Mengambil kunci endorsement

Topik ini menjelaskan cara mengambil kunci endorsement (EKPub) dari instance Shielded VM.

Anda dapat mengambil kunci endorsement untuk kunci enkripsi dan kunci penandatanganan. Anda dapat menggunakan kunci enkripsi untuk mengenkripsi data sehingga hanya vTPM yang dapat membacanya, atau kunci penandatanganan untuk memverifikasi tanda tangan yang dibuat vTPM. Anda juga dapat menggunakan kunci tersebut untuk memastikan identitas instance VM sebelum mengirim informasi sensitif ke instance tersebut.

Anda harus memiliki izin getShieldedInstanceIdentity untuk mengambil kunci endorsement.

Mengambil kunci endorsement menggunakan Google Cloud CLI

Gunakan perintah gcloud compute instances get-shielded-identity untuk mengambil bagian publik kunci endorsement dari instance Shielded VM.

    gcloud compute instances get-shielded-identity [INSTANCE_NAME]

Hasilnya terlihat seperti berikut:

encryptionKey:
  ekPub: |
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU
    mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj
    X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ
    4wIDAQAB
    -----END PUBLIC KEY-----
kind: compute#shieldedInstanceIdentity
signingKey:
  ekPub: |
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM
    lQIDAQAB
    -----END PUBLIC KEY-----

Mengambil kunci endorsement menggunakan Compute Engine API

Anda dapat menggunakan Compute Engine API untuk melihat informasi kunci endorsement. Untuk mengetahui informasi selengkapnya tentang cara menggunakan API, lihat Panduan cara kerja.

GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/getShieldedInstanceIdentity

{
  "signingKey": {
    "ekPub": [PEM-formatted key]
  },
  "encryptionKey": {
    "ekPub": [PEM-formatted key]
  },
  "kind": "compute#shieldedInstanceIdentity"
}

Langkah selanjutnya

• Pelajari cara mengubah opsi pada instance Shielded VM.
• Pelajari satu pendekatan untuk mengotomatiskan respons terhadap peristiwa pemantauan integritas.