このトピックでは、Shielded VM インスタンスからエンドースメント鍵(EKPub)を取得する方法について説明します。
暗号鍵と署名鍵の両方のエンドースメント鍵を取得できます。データを暗号化して vTPM だけを読み取る暗号鍵、または、vTPM の署名を検証するための署名鍵のいずれかを使用できます。鍵を使用すると、機密情報を送信する前に、VM インスタンスの ID を確認することもできます。
エンドースメント鍵を取得するには、getShieldedInstanceIdentity 権限が必要です。
Google Cloud CLI を使用したエンドースメント鍵の取得
gcloud compute instances get-shielded-identity コマンドを使用して、Shielded VM インスタンスからエンドースメント鍵の公開部分を取得します。
gcloud compute instances get-shielded-identity [INSTANCE_NAME]
返される結果は次のようになります。
encryptionKey:
ekPub: |
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM
12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU
mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj
X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ
4wIDAQAB
-----END PUBLIC KEY-----
kind: compute#shieldedInstanceIdentity
signingKey:
ekPub: |
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc
12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM
lQIDAQAB
-----END PUBLIC KEY-----
Compute Engine API を使用したエンドースメント鍵の取得
Compute Engine API を使用すると、エンドースメント鍵の情報を表示できます。API の使用方法について詳しくは、入門ガイドをご覧ください。
GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/getShieldedInstanceIdentity
{
"signingKey": {
"ekPub": [PEM-formatted key]
},
"encryptionKey": {
"ekPub": [PEM-formatted key]
},
"kind": "compute#shieldedInstanceIdentity"
}
次のステップ
- Shielded VM インスタンスでオプションを変更する方法について学ぶ。
- 整合性モニタリング イベントに対するレスポンスを自動化するアプローチの 1 つを学ぶ。