Puedes recuperar la parte pública de la clave de aprobación (EKPub) desde una instancia de VM blindada tanto para la clave de encriptado como para la clave de firma. Usa la clave de encriptado para encriptar datos de modo que solo el vTPM pueda leerlos o utiliza la clave de firma para verificar las firmas que realiza el vTPM. También puedes recurrir a la clave para determinar la identidad de una instancia de VM antes de enviarle información sensible.
Para poder recuperar claves de aprobación, debes contar con el permiso getShieldedInstanceIdentity
.
Recuperar claves de aprobación mediante la herramienta de línea de comandos gcloud
Utiliza el comando gcloud compute instances get-shielded-instance-identity
para recuperar la parte pública de la clave de aprobación de una instancia de VM blindada.
gcloud compute instances get-shielded-instance-identity [INSTANCE_NAME]
Los resultados que obtengas deberían ser similares a los siguientes:
encryptionKey: -----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM 12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ 4wIDAQAB -----END PUBLIC KEY----- kind: compute#shieldedVmIdentity signingKey: -----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc 12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM lQIDAQAB -----END PUBLIC KEY-----
Recuperar claves de aprobación mediante la API Compute Engine
Puedes utilizar la API Compute Engine para consultar la información sobre las claves de aprobación. Para obtener más información sobre cómo usar la API, consulta las guías prácticas.
GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]
{
"signing": {
"ekCert": [PEM-formatted certificate data]
"ekPub": [PEM-formatted key]
}
"encryption": {
"ekCert": [PEM-formatted certificate data]
"ekPub": [PEM-formatted key]
}
}