本主题介绍如何从安全强化型虚拟机实例检索背书密钥 (EKPub)。
您可以检索加密密钥和签名密钥的背书密钥。您可以使用加密密钥加密数据,使其仅对 vTPM 可读,或使用签名密钥来验证 vTPM 的签名。您还可以使用密钥确定虚拟机实例的身份,然后再向其发送敏感信息。
您必须具有 getShieldedInstanceIdentity 权限才能检索背书密钥。
使用 Google Cloud CLI 检索背书密钥
您可以使用 gcloud compute instances get-shielded-identity 命令从安全强化型虚拟机实例检索背书密钥的公开部分。
gcloud compute instances get-shielded-identity [INSTANCE_NAME]
返回的结果类似于以下内容:
encryptionKey:
ekPub: |
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM
12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU
mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj
X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ
4wIDAQAB
-----END PUBLIC KEY-----
kind: compute#shieldedInstanceIdentity
signingKey:
ekPub: |
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc
12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM
lQIDAQAB
-----END PUBLIC KEY-----
使用 Compute Engine API 检索背书密钥
您可以使用 Compute Engine API 查看背书密钥的信息。如需详细了解如何使用该 API,请参阅方法指南。
GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/getShieldedInstanceIdentity
{
"signingKey": {
"ekPub": [PEM-formatted key]
},
"encryptionKey": {
"ekPub": [PEM-formatted key]
},
"kind": "compute#shieldedInstanceIdentity"
}
后续步骤
- 了解修改安全强化型虚拟机实例上的选项。
- 详细了解一种自动响应完整性监控事件的方法。