Cette page a été traduite par l'API Cloud Translation.

Configurer des clés de chiffrement pour un serveur

Vous pouvez configurer des clés de chiffrement pour chiffrer les mots de passe de votre serveur. Il s'agit de clés de chiffrement gérées par le client (CMEK) que vous pouvez gérer à l'aide de Cloud Key Management Service (Cloud KMS). Vous pouvez les définir lorsque vous provisionnez un nouveau serveur ou lorsque vous réinstallez un serveur existant. Vous pouvez utiliser une clé de chiffrement avec plusieurs serveurs.

L'utilisation d'une clé de chiffrement est facultative. Toutefois, une fois que vous avez configuré une clé de chiffrement, vous devez l'utiliser. Vous ne pouvez pas modifier ce paramètre. Toutefois, vous pouvez modifier la clé ou sa version.

Cette fonctionnalité n'est disponible que pour les OS Linux compatibles avec la solution Bare Metal.

Avant de commencer

Créez une clé de chiffrement à l'aide de Cloud KMS.

Remarque : Vous n'avez pas besoin de créer la clé Cloud KMS dans le même projet que celui qui contient votre serveur solution Bare Metal Solution.

Pour créer une clé de chiffrement, procédez comme suit :
1. Dans le projet dans lequel vous souhaitez créer la clé, activez l'API Cloud KMS.
  
  Vous ne devez effectuer cette opération qu'une seule fois par projet.
2. Attribuez les rôles suivants à votre compte de service solution Bare Metal. Vous ne devez effectuer cette opération qu'une seule fois par projet.
  - roles/cloudkms.viewer : vérifiez que CryptoKeyVersion est disponible.
  - roles/cloudkms.publicKeyViewer : récupère une clé publique.
  Pour savoir comment attribuer un rôle, consultez Attribuer des rôles à une ressource.
  
  Pour attribuer ces rôles, utilisez la commande gcloud projects add-iam-policy-binding.
```
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \
--role roles/cloudkms.publicKeyViewer
```
```
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \
--role roles/cloudkms.viewer
```
  Remplacez les éléments suivants :
  - KMS_PROJECT_ID : projet contenant votre clé Cloud KMS
  - PROJECT_NUMBER : projet contenant votre serveur de solution Bare Metal.
3. Créez une clé de déchiffrement asymétrique.
  
  Important : Vous devez sélectionner l'algorithme RSA 3 072 bits - Remplissage OAEP - Condensé SHA256. L'utilisation d'un autre algorithme peut entraîner des mots de passe indéchiffrables.
  
  Vous pouvez créer autant de clés et de versions que nécessaire.

Configurer des clés de chiffrement lors du provisionnement d'un serveur

Vous pouvez configurer une clé de chiffrement pour un nouveau serveur solution Bare Metal lors de son provisionnement à l'aide du formulaire d'ingestion de la consoleGoogle Cloud .

Pour configurer une clé de chiffrement lors du provisionnement d'un serveur, consultez Saisir vos sélections à l'aide du formulaire d'entrée de la console. Google Cloud

Configurer des clés de chiffrement lors de la réinitialisation d'un serveur

Pour configurer des clés de chiffrement lors de la réinitialisation d'un serveur, consultez Modifier l'OS d'un serveur.

Afficher les clés de chiffrement et les mots de passe d'un serveur

Pour afficher les clés de chiffrement et les mots de passe d'un serveur, procédez comme suit :

Console

Accédez à la page Serveurs.

Accéder aux serveurs
Cliquez sur le nom du serveur.

Sur la page Détails du serveur, consultez la clé de chiffrement dans le champ Clé de chiffrement du mot de passe.
Pour afficher les comptes utilisateur et leurs mots de passe chiffrés correspondants, accédez à la section Comptes utilisateur.

gcloud

Exécutez la commande gcloud alpha bms instances auth-info :

gcloud alpha bms instances auth-info SERVER_NAME --project=PROJECT_ID --region=REGION

Remplacez les éléments suivants :

SERVER_NAME : nom du serveur de solution Bare Metal
PROJECT_ID : ID du projet
REGION : région du serveur de solution Bare Metal

Déchiffrer un mot de passe

Pour obtenir le mot de passe brut, procédez comme suit :

Obtenez le texte chiffré. Exécutez la commande gcloud alpha bms instances auth-info.
```
gcloud alpha bms instances auth-info SERVER_NAME \
--project=PROJECT_ID \
--region=REGION \
--format='value(userAccounts.USERNAME.ENCRYPTED_PASSWORD_FILE)' | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
```
Remplacez les éléments suivants :
- SERVER_NAME : nom de votre serveur de solution Bare Metal
- PROJECT_ID : ID de votre projet de solution Bare Metal
- REGION : emplacement de votre serveur de solution Bare Metal.
- USERNAME : nom d'utilisateur du compte associé au mot de passe que vous souhaitez décrypter. La valeur est root ou customeradmin.
- ENCRYPTED_PASSWORD_FILE : fichier dans lequel vous avez enregistré le mot de passe chiffré. Pour éviter tout problème lié au format du mot de passe après l'avoir copié, supprimez les espaces et les caractères de retour à la ligne ('\n').
- CIPHERTEXT_FILE : nom du fichier de texte chiffré
Exemple :
```
gcloud alpha bms instances auth-info my-instance \
--region=europe-west3 \
--project=project-testing \
--format='value(userAccounts.customeradmin.encryptedPassword)' | tr -d ' \n' | base64 -d > ciphertext
```
Pour obtenir le texte chiffré à partir du mot de passe copié depuis la console Google Cloud , utilisez la commande suivante :
```
cat ENCRYPTED_PASSWORD_FILE | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
```
Remplacez les éléments suivants :
- ENCRYPTED_PASSWORD_FILE : fichier dans lequel vous avez enregistré le mot de passe chiffré. Pour éviter tout problème lié au format du mot de passe après l'avoir copié, supprimez les espaces et les caractères de retour à la ligne ('\n').
- CIPHERTEXT_FILE : nom du fichier de texte chiffré
Exemple :
```
cat encrypted_password | tr -d ' \n' | base64 -d > ciphertext
```
Déchiffrez le mot de passe. Suivez la procédure décrite dans Déchiffrer les données.