Cette rubrique explique comment récupérer la clé d'endossement (EKPub) d'une instance de VM protégée.
Vous pouvez récupérer la clé d'endossement pour la clé de chiffrement et pour la clé de signature. Vous pouvez utiliser la clé de chiffrement pour chiffrer les données afin que seul le vTPM puisse les lire, ou la clé de signature pour vérifier les signatures effectuées par le vTPM. Vous pouvez également utiliser la clé pour vérifier l'identité d'une instance de VM avant de lui envoyer des informations sensibles.
Vous devez disposer de l'autorisation getShieldedInstanceIdentity
pour récupérer les clés d'endossement.
Récupérer des clés d'endossement à l'aide de Google Cloud CLI
Utilisez la commande gcloud compute instances get-shielded-identity
pour extraire la partie publique de la clé d'endossement à partir d'une instance de VM protégée.
gcloud compute instances get-shielded-identity [INSTANCE_NAME]
Les résultats renvoyés se présentent comme suit :
encryptionKey: ekPub: | -----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM 12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ 4wIDAQAB -----END PUBLIC KEY----- kind: compute#shieldedInstanceIdentity signingKey: ekPub: | -----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc 12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM lQIDAQAB -----END PUBLIC KEY-----
Récupérer des clés d'endossement à l'aide de l'API Compute Engine
Vous pouvez utiliser l'API Compute Engine pour afficher les informations relatives à la clé d'endossement. Pour plus d'informations sur l'utilisation de l'API, consultez les guides d'utilisation.
GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/getShieldedInstanceIdentity
{
"signingKey": {
"ekPub": [PEM-formatted key]
},
"encryptionKey": {
"ekPub": [PEM-formatted key]
},
"kind": "compute#shieldedInstanceIdentity"
}
Étape suivante
- Apprenez-en plus sur la modification des options sur une instance de VM protégée.
- Découvrez une approche permettant d'automatiser les réponses aux événements de surveillance de l'intégrité.