Prüfen, ob Confidential Computing aktiviert ist

Es gibt mehrere Möglichkeiten, zu prüfen, ob Confidential Computing für eine VM-Instanz aktiviert ist.

gcloud

Führen Sie den folgenden Befehl aus, um zu ermitteln, welche Confidential Computing-Technologie für Ihre vertrauliche VM verwendet wird:

gcloud compute instances describe INSTANCE_NAME \
    --zone=ZONE_NAME \
    --format="yaml(confidentialInstanceConfig)"

Geben Sie folgende Werte an:

  • INSTANCE_NAME: Der Name der Confidential VM-Instanz.

  • ZONE_NAME: Die Zone, in der die vertrauliche VM-Instanz ausgeführt wird.

Wenn Ihre VM-Instanz AMD SEV verwendet, erhalten Sie eine der folgenden Antworten:

confidentialInstanceConfig:
  enableConfidentialCompute: true

confidentialInstanceConfig:
  confidentialInstanceType: SEV

Wenn Ihre VM-Instanz AMD SEV-SNP oder Intel TDX verwendet, erhalten Sie eine der folgenden Antworten:

confidentialInstanceConfig:
  confidentialInstanceType: SEV_SNP

confidentialInstanceConfig:
  confidentialInstanceType: TDX

dmesg

Um herauszufinden, welche Confidential Computing-Technologie Ihre Confidential VM verwendet, können Sie möglicherweise die dmesg-Logs auf Ihrer VM verwenden.

Wenn Sie prüfen möchten, ob Ihre dmesg-Logs Informationen zu Confidential Computing enthalten, stellen Sie über SSH eine Verbindung zu Ihrer VM her und führen Sie dmesg aus:

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Suchen Sie in der Tabelle auf dem Tab Instanzen die Zeile für Ihre Confidential VM-Instanz.

  3. Klicken Sie in derselben Zeile auf SSH, um ein Terminalfenster für die Interaktion mit Ihrer Confidential VM-Instanz zu öffnen.

  4. Führen Sie dazu diesen Befehl aus:

    sudo dmesg | grep -i "Encryption Features active"

Wenn Ihre VM AMD SEV verwendet, sollte die Antwort in etwa so aussehen:

Memory Encryption Features active: SEV

Wenn Ihre VM AMD SEV-SNP verwendet, sollte die Antwort in etwa so aussehen:

Memory Encryption Features active: SEV SEV-ES SEV-SNP

Wenn Ihre VM Intel TDX verwendet, sollte die Antwort in etwa so aussehen:

Memory Encryption Features active: Intel TDX

Identitätstokens

Sie können das eindeutige Identitätstoken einer VM von einem Metadatenserver anfordern, um Informationen wie die Instanz-ID, die Erstellungszeit, die Lizenzcodes für die Images der Instanz und ob es sich bei der VM um eine Confidential VM-Instanz handelt, zu überprüfen.

Wenn die Anforderung instance_confidentiality im Token den Wert 1 hat, ist die VM eine Confidential VM-Instanz. Das Token gibt nicht an, welche vertrauliche Computing-Technologie verwendet wird.

Informationen zum Abrufen und Decodieren des Identitätstokens einer VM finden Sie unter Identität einer Instanz prüfen.

Wenn Sie ausführlichere Informationen zum Status einer Confidential VM-Instanz abrufen möchten, können Sie Ereignisse der Integritätsprüfung untersuchen. Weitere Informationen finden Sie unter Integrität von vertraulichen VMs überwachen.