Recupero delle chiavi di verifica

Questo argomento descrive come recuperare la chiave di verifica (EKPub) da un'istanza VM schermata.

Puoi recuperare la chiave di verifica sia per la chiave di crittografia sia per la chiave di firma. Puoi utilizzare la chiave di crittografia per criptare i dati in modo che solo il vTPM possa leggerli o la chiave di firma per verificare le firme effettuate dal vTPM. Puoi utilizzare la chiave anche per verificare l'identità di un'istanza VM prima di inviarle informazioni sensibili.

Devi avere l'autorizzazione getShieldedInstanceIdentity per recuperare le chiavi di verifica.

Recupero delle chiavi di verifica mediante Google Cloud CLI

Utilizza il comando gcloud compute instances get-shielded-identity per recuperare la parte pubblica della chiave di verifica da un'istanza Shielded VM.

    gcloud compute instances get-shielded-identity [INSTANCE_NAME]

I risultati restituiti sono simili ai seguenti:

encryptionKey:
  ekPub: |
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU
    mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj
    X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ
    4wIDAQAB
    -----END PUBLIC KEY-----
kind: compute#shieldedInstanceIdentity
signingKey:
  ekPub: |
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM
    lQIDAQAB
    -----END PUBLIC KEY-----

Recupero delle chiavi di verifica mediante l'API di Compute Engine

Puoi utilizzare l'API Compute Engine per visualizzare le informazioni relative alla chiave di verifica. Per ulteriori informazioni su come utilizzare l'API, consultare le guide illustrative .

GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/getShieldedInstanceIdentity

{
  "signingKey": {
    "ekPub": [PEM-formatted key]
  },
  "encryptionKey": {
    "ekPub": [PEM-formatted key]
  },
  "kind": "compute#shieldedInstanceIdentity"
}

Passaggi successivi

• Scopri di più sulla modifica delle opzioni su un&#Shielded VM schermata.
• Scopri un approccio per automatizzare le risposte agli eventi di monitoraggio dell'integrità.