Recupero delle chiavi di verifica

Questo argomento descrive come recuperare la chiave di verifica (EKPub) da un'istanza VM schermata.

Puoi recuperare la chiave di approvazione sia per la chiave di crittografia che per la chiave di firma. Puoi utilizzare la chiave di crittografia per criptare i dati in modo che solo il vTPM sia in grado di leggerli, oppure la chiave di firma per verificare le firme eseguite dal vTPM. Puoi anche utilizzare la chiave per accertare l'identità di un'istanza VM prima di inviare ad essa informazioni sensibili.

Devi disporre dell'autorizzazione getShieldedInstanceIdentity per recuperare le chiavi di verifica.

Recupero delle chiavi di verifica mediante Google Cloud CLI

Utilizza il comando gcloud compute instances get-shielded-identity per recuperare la porzione pubblica della chiave di verifica da un'istanza VM schermata.

    gcloud compute instances get-shielded-identity [INSTANCE_NAME]

I risultati restituiti sono simili ai seguenti:

encryptionKey:
  ekPub: |
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU
    mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj
    X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ
    4wIDAQAB
    -----END PUBLIC KEY-----
kind: compute#shieldedInstanceIdentity
signingKey:
  ekPub: |
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM
    lQIDAQAB
    -----END PUBLIC KEY-----

Recupero delle chiavi di verifica mediante l'API di Compute Engine

Puoi utilizzare l'API Compute Engine per visualizzare le informazioni relative alla chiave di verifica. Per ulteriori informazioni su come utilizzare l'API, consultare le guide illustrative .

GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/getShieldedInstanceIdentity

{
  "signingKey": {
    "ekPub": [PEM-formatted key]
  },
  "encryptionKey": {
    "ekPub": [PEM-formatted key]
  },
  "kind": "compute#shieldedInstanceIdentity"
}

Passaggi successivi

• Scopri di più sulla modifica delle opzioni in un'istanza Shielded VM.
• Scopri un approccio per automatizzare le risposte agli eventi di monitoraggio dell'integrità.