检索背书密钥

对于加密密钥和签名密钥,您可以从安全强化型虚拟机实例检索背书密钥 (EKPub) 的公开部分。您可以使用加密密钥加密数据,使其仅对 vTPM 可读,或使用签名密钥来验证 vTPM 的签名。您还可以使用密钥确定虚拟机实例的身份,然后再向其发送敏感信息。

您必须具有 getShieldedInstanceIdentity 权限才能检索背书密钥。

使用 gcloud 命令行工具检索背书密钥

您可以使用 gcloud compute instances get-shielded-instance-identity 命令从安全强化型虚拟机实例检索背书密钥的公开部分。

    gcloud compute instances get-shielded-instance-identity [INSTANCE_NAME]

返回的结果类似于以下内容:

encryptionKey:
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU
    mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj
    X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ
    4wIDAQAB
    -----END PUBLIC KEY-----
kind: compute#shieldedVmIdentity
signingKey:
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM
    lQIDAQAB
    -----END PUBLIC KEY-----

使用 Compute Engine API 检索背书密钥

您可以使用 Compute Engine API 查看背书密钥的信息。如需详细了解如何使用该 API,请参阅方法指南

GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]

{
  "signing": {
    "ekCert": [PEM-formatted certificate data]
    "ekPub": [PEM-formatted key]
  }
  "encryption": {
    "ekCert": [PEM-formatted certificate data]
    "ekPub": [PEM-formatted key]
  }
}
此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页