Recuperar claves de aprobación

Puedes recuperar la parte pública de la clave de aprobación (EKPub) desde una instancia de VM blindada tanto para la clave de encriptado como para la clave de firma. Usa la clave de encriptado para encriptar datos de modo que solo el vTPM pueda leerlos o utiliza la clave de firma para verificar las firmas que realiza el vTPM. También puedes recurrir a la clave para determinar la identidad de una instancia de VM antes de enviarle información sensible.

Para poder recuperar claves de aprobación, debes contar con el permiso getShieldedInstanceIdentity.

Recuperar claves de aprobación mediante la herramienta de línea de comandos gcloud

Utiliza el comando gcloud compute instances get-shielded-instance-identity para recuperar la parte pública de la clave de aprobación de una instancia de VM blindada.

    gcloud compute instances get-shielded-instance-identity [INSTANCE_NAME]

Los resultados que obtengas deberían ser similares a los siguientes:

encryptionKey:
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU
    mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj
    X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ
    4wIDAQAB
    -----END PUBLIC KEY-----
kind: compute#shieldedVmIdentity
signingKey:
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM
    lQIDAQAB
    -----END PUBLIC KEY-----

Recuperar claves de aprobación mediante la API Compute Engine

Puedes utilizar la API Compute Engine para consultar la información sobre las claves de aprobación. Para obtener más información sobre cómo usar la API, consulta las guías prácticas.

GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]

{
  "signing": {
    "ekCert": [PEM-formatted certificate data]
    "ekPub": [PEM-formatted key]
  }
  "encryption": {
    "ekCert": [PEM-formatted certificate data]
    "ekPub": [PEM-formatted key]
  }
}