Endorsement Keys abrufen

In diesem Thema wird beschrieben, wie Sie den Endorsement Key (EKPub) von einer Shielded VM-Instanz abrufen.

Sie können den Endorsement Key sowohl für den Verschlüsselungsschlüssel als auch für den Signierschlüssel abrufen. Mit dem Verschlüsselungsschlüssel können Sie Daten verschlüsseln, sodass sie nur vom vTPM gelesen werden können. Sie können auch den Signaturschlüssel verwenden, um die vom vTPM erstellten Signaturen zu überprüfen. Anhand des Schlüssels können Sie außerdem die Identität einer VM-Instanz ermitteln, bevor Sie vertrauliche Informationen an diese senden.

Zum Abrufen von Endorsement Keys benötigen Sie die Berechtigung getShieldedInstanceIdentity.

Endorsement Keys mithilfe der Google Cloud CLI abrufen

Verwenden Sie den Befehl gcloud compute instances get-shielded-identity, um den öffentlichen Teil des Endorsement Keys von einer Shielded VM-Instanz abzurufen.

    gcloud compute instances get-shielded-identity [INSTANCE_NAME]

Die zurückgegebenen Ergebnisse sehen in etwa so aus:

encryptionKey:
  ekPub: |
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU
    mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj
    X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ
    4wIDAQAB
    -----END PUBLIC KEY-----
kind: compute#shieldedInstanceIdentity
signingKey:
  ekPub: |
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM
    lQIDAQAB
    -----END PUBLIC KEY-----

Endorsement Keys mithilfe der Compute Engine API abrufen

Mit der Compute Engine API können Sie Informationen zum Endorsement Key aufrufen. Weitere Informationen zur Verwendung der API finden Sie in den Anleitungen.

GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/getShieldedInstanceIdentity

{
  "signingKey": {
    "ekPub": [PEM-formatted key]
  },
  "encryptionKey": {
    "ekPub": [PEM-formatted key]
  },
  "kind": "compute#shieldedInstanceIdentity"
}

Nächste Schritte

• Weitere Informationen zum Ändern von Optionen auf einer Shielded VM-Instanz.
• Antworten auf Ereignisse der Integritätsprüfung automatisieren.