Recupera claves de recomendación

En este tema, se describe cómo recuperar la clave de recomendación (EKPub) desde una instancia de VM protegida.

Puedes recuperar la clave de recomendación para la clave de encriptación y la clave de firma. La clave de encriptación sirve para encriptar datos, de manera que solo el vTPM pueda leerlos. La clave de firma permite verificar las firmas que crea el vTPM. También puedes usar la clave para confirmar la identidad de una instancia de VM antes de enviarle información sensible.

Debes contar con el permiso getShieldedInstanceIdentity para recuperar las claves de recomendación.

Recupera las claves de recomendación con Google Cloud CLI

Usa el comando gcloud compute instances get-shielded-identity para recuperar la parte pública de la clave de recomendación desde una instancia de VM protegida.

    gcloud compute instances get-shielded-identity [INSTANCE_NAME]

Los resultados que se muestran siguen un formato similar al que se presenta a continuación:

encryptionKey:
  ekPub: |
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU
    mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj
    X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ
    4wIDAQAB
    -----END PUBLIC KEY-----
kind: compute#shieldedInstanceIdentity
signingKey:
  ekPub: |
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM
    lQIDAQAB
    -----END PUBLIC KEY-----

Recupera las claves de recomendación con la API de Compute Engine

Puedes usar la API de Compute Engine para ver la información de la clave de recomendación. Consulta las guías prácticas a fin de obtener más información sobre el uso de la API.

GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/getShieldedInstanceIdentity

{
  "signingKey": {
    "ekPub": [PEM-formatted key]
  },
  "encryptionKey": {
    "ekPub": [PEM-formatted key]
  },
  "kind": "compute#shieldedInstanceIdentity"
}

¿Qué sigue?