English
Deutsch
Español
Español – América Latina
Français
Indonesia
Italiano
Português
Português – Brasil
中文 – 简体
中文 – 繁體
日本語
한국어

Consola

Contacto Empieza gratis

Esta página se ha traducido con Cloud Translation API.

Modificación de opciones de VM blindadas en una instancia de VM
Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Este documento describe cómo habilitar y deshabilitar las opciones de VM protegida en una instancia de VM. Para ver qué imágenes admiten funciones de VM protegida, consulte Funciones de seguridad de imágenes del sistema operativo .

Descripción general

En una instancia de VM protegida, Compute Engine habilita el Módulo de plataforma segura (vTPM) virtual y las opciones de monitoreo de integridad de forma predeterminada. Si deshabilitas vTPM, Compute Engine deshabilita el monitoreo de integridad porque el monitoreo de integridad se basa en los datos recopilados por el arranque medido .

Compute Engine no habilita el arranque seguro de forma predeterminada porque es posible que los controladores no firmados y otro software de bajo nivel no sean compatibles. El arranque seguro ayuda a garantizar que el sistema solo ejecute software auténtico al verificar la firma de todos los componentes de arranque y detener el proceso de arranque si falla la verificación de la firma. Esto ayuda a evitar que formas de malware del kernel, como rootkits o bootkits, persistan durante los reinicios de la máquina virtual. Google recomienda habilitar el arranque seguro si puede asegurarse de que no impida que se inicie una máquina virtual de prueba representativa y si es apropiado para su carga de trabajo.

Limitaciones

Aunque las instancias de VM de Compute Engine admiten el arranque seguro, es posible que una imagen cargada en una VM de Compute Engine no lo haga. En particular, aunque la mayoría de las distribuciones de Linux admiten el arranque seguro en imágenes x86 recientes, no siempre es compatible de forma predeterminada en ARM64. Muchas imágenes de Linux están configuradas para negarse a cargar compilaciones no firmadas de módulos del kernel fuera del árbol cuando el arranque seguro está habilitado. Esto afecta más comúnmente a los controladores de GPU, pero a veces también afecta a las herramientas de monitoreo de seguridad que requieren módulos del kernel.

Permisos necesarios para esta tarea

Para realizar esta tarea, debe tener los siguientes permisos :

compute.instances.updateShieldedInstanceConfig en la instancia de VM

Modificación de opciones de VM blindadas en una instancia de VM

Utilice el siguiente procedimiento para modificar las opciones de VM protegida:

Consola

En la consola de Google Cloud, vaya a la página de instancias de VM .
Ir a instancias de VM
Haga clic en el nombre de la instancia para abrir la página de detalles de la instancia de VM .
Haga clic en Detener .
Después de que la instancia se detenga, haga clic en Editar .
En la sección VM blindada , modifique las opciones de VM blindada:
- Active Activar arranque seguro para habilitar el arranque seguro. Compute Engine no habilita el arranque seguro de forma predeterminada porque es posible que los controladores no firmados y otro software de bajo nivel no sean compatibles. Si es posible, Google recomienda habilitar el arranque seguro.
- Active Activar vTPM para desactivar el módulo de plataforma virtual confiable (vTPM). De forma predeterminada, Compute Engine habilita el Módulo de plataforma confiable virtual (vTPM) .
- Active Activar monitoreo de integridad para desactivar el monitoreo de integridad. De forma predeterminada, Compute Engine habilita el monitoreo de integridad .
Haga clic en Guardar .
Haga clic en Iniciar para iniciar la instancia.

nube de gcloud

Detener la instancia:
```
gcloud compute instances stop VM_NAME
```
Reemplace VM_NAME con el nombre de la VM que se detendrá.
Actualice las opciones de VM protegida:
```
gcloud compute instances update VM_NAME \
    [--[no-]shielded-secure-boot] \
    [--[no-]shielded-vtpm] \
    [--[no-]shielded-integrity-monitoring]
```
Reemplace VM_NAME con el nombre de la VM en la que actualizar las opciones de la VM protegida.
shielded-secure-boot : Compute Engine no habilita el arranque seguro de forma predeterminada porque los controladores no firmados y otro software de bajo nivel pueden no ser compatibles. Si es posible, Google recomienda habilitar el arranque seguro.
- Habilite el arranque seguro utilizando el indicador --shielded-secure-boot (recomendado).
- Deshabilite el arranque seguro mediante --no-shielded-secure-boot .
shielded-vtpm : el módulo de plataforma virtual confiable (vTPM) está habilitado de forma predeterminada. + Habilitar usando --shielded-vtpm (predeterminado) + Deshabilitar usando el indicador --no-shielded-vtpm
shielded-integrity-monitoring : el monitoreo de integridad está habilitado de forma predeterminada. + Habilitar usando --shielded-integrity-monitoring (predeterminado) + Deshabilitar usando el indicador --no-shielded-integrity-monitoring .
Inicie la instancia:
```
gcloud compute instances start VM_NAME
```
Reemplace VM_NAME con el nombre de la VM para comenzar.

API

Detener la instancia:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
```
Reemplace lo siguiente:
- PROJECT_ID : proyecto que contiene la VM que se va a detener
- ZONE : zona que contiene la VM a detener
- VM_NAME : la VM que se detendrá
Utilice instances.updateShieldedInstanceConfig para habilitar o deshabilitar las opciones de VM protegida en la instancia:
```
PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig

{
 "enableSecureBoot": {true|false},
 "enableVtpm": {true|false},
 "enableIntegrityMonitoring": {true|false}
}
```
Reemplace lo siguiente:
- PROJECT_ID : el proyecto que contiene la VM para habilitar o deshabilitar las opciones de VM protegida.
- ZONE : la zona que contiene la VM para habilitar o deshabilitar las opciones de VM protegida.
- VM_NAME : la VM para habilitar o deshabilitar las opciones de VM protegida.
enableSecureBoot : Compute Engine no habilita el arranque seguro de forma predeterminada porque los controladores no firmados y otro software de bajo nivel pueden no ser compatibles. Si es posible, Google recomienda habilitar el arranque seguro.
enableVtpm : Compute Engine habilita el Módulo de plataforma segura virtual (vTPM) de forma predeterminada.
enableIntegrityMonitoring : Compute Engine habilita el monitoreo de integridad de forma predeterminada.
Inicie la instancia:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
```
Reemplace lo siguiente:
- PROJECT_ID : proyecto que contiene la VM para iniciar
- ZONE : zona que contiene la VM para iniciar
- VM_NAME : VM para comenzar

¿Qué sigue?

Lea más sobre las funciones de seguridad que ofrece Shielded VM.
Obtenga más información sobre cómo monitorear la integridad en una instancia de VM protegida .

A menos que se indique lo contrario, el contenido de esta página está sujeto a la licencia Reconocimiento 4.0 de Creative Commons y las muestras de código están sujetas a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio web de Google Developers. Java es una marca registrada de Oracle o sus afiliados.

Última actualización: 2025-04-17 (UTC).