Recupera claves de recomendación

Puedes recuperar la parte pública de la clave de recomendación (EKPub) desde una instancia de VM protegida, tanto para la clave de encriptación como la de firma. La clave de encriptación sirve para encriptar datos, de manera que solo el vTPM pueda leerlos. La clave de firma permite verificar las firmas que crea el vTPM. También puedes usar la clave para confirmar la identidad de una instancia de VM antes de enviarle información sensible.

Debes contar con el permiso getShieldedInstanceIdentity para recuperar las claves de recomendación.

Recupera las claves de recomendación con la herramienta de línea de comandos de gcloud

Usa el comando gcloud compute instances get-shielded-instance-identity para recuperar la parte pública de la clave de recomendación desde una instancia de VM protegida.

    gcloud compute instances get-shielded-instance-identity [INSTANCE_NAME]

Los resultados que se muestran siguen un formato similar al que se presenta a continuación:

encryptionKey:
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU
    mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj
    X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ
    4wIDAQAB
    -----END PUBLIC KEY-----
kind: compute#shieldedVmIdentity
signingKey:
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM
    lQIDAQAB
    -----END PUBLIC KEY-----

Recupera las claves de recomendación con la API de Compute Engine

Puedes usar la API de Compute Engine para ver la información de la clave de recomendación. Consulta las guías prácticas a fin de obtener más información sobre el uso de la API.

GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]

{
  "signing": {
    "ekCert": [PEM-formatted certificate data]
    "ekPub": [PEM-formatted key]
  }
  "encryption": {
    "ekCert": [PEM-formatted certificate data]
    "ekPub": [PEM-formatted key]
  }
}
¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…