English
Deutsch
Español
Español – América Latina
Français
Indonesia
Italiano
Português
Português – Brasil
中文 – 简体
中文 – 繁體
日本語
한국어

Console

Entre em contato conosco Comece gratuitamente

Esta página foi traduzida pela API Cloud Translation.

Modificar opções de VM protegida em uma instância de VM
Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Este documento descreve como ativar e desativar as opções de VM protegida em uma instância de VM. Para ver quais imagens suportam recursos de VM protegida, consulte Recursos de segurança de imagem do sistema operacional .

Visão geral

Em uma instância de VM protegida, o Compute Engine ativa o Trusted Platform Module (vTPM) virtual e opções de monitoramento de integridade por padrão. Se você desativar o vTPM, o Compute Engine desativará o monitoramento de integridade porque o monitoramento de integridade depende de dados coletados pelo Measured Boot .

O Compute Engine não ativa a inicialização segura por padrão porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. A inicialização segura ajuda a garantir que o sistema execute apenas software autêntico, verificando a assinatura de todos os componentes de inicialização e interrompendo o processo de inicialização se a verificação da assinatura falhar. Isso ajuda a evitar que formas de malware de kernel, como rootkits ou bootkits, persistam durante as reinicializações da VM. O Google recomenda ativar a inicialização segura se você puder garantir que ela não impedirá a inicialização de uma VM de teste representativa e se for apropriada para sua carga de trabalho.

Limitações

Embora as instâncias de VM do Compute Engine sejam compatíveis com inicialização segura, uma imagem carregada em uma VM do Compute Engine talvez não seja compatível. Notavelmente, embora a maioria das distribuições Linux suporte inicialização segura em imagens x86 recentes, nem sempre é compatível por padrão em ARM64. Muitas imagens do Linux são configuradas para recusar o carregamento de compilações não assinadas de módulos de kernel fora da árvore quando a inicialização segura está habilitada. Isso geralmente afeta os drivers da GPU, mas às vezes também afeta as ferramentas de monitoramento de segurança que exigem módulos do kernel.

Permissões necessárias para esta tarefa

Para executar esta tarefa, você deve ter as seguintes permissões :

compute.instances.updateShieldedInstanceConfig na instância de VM

Modificar opções de VM protegida em uma instância de VM

Use o procedimento a seguir para modificar as opções da VM protegida:

Console

No console do Google Cloud, acesse a página de instâncias de VM .
Acesse as instâncias de VM
Clique no nome da instância para abrir a página de detalhes da instância de VM .
Clique em Parar .
Depois que a instância for interrompida, clique em Editar .
Na seção VM protegida , modifique as opções de VM protegida:
- Ative a inicialização segura para ativar a inicialização segura. O Compute Engine não ativa a inicialização segura por padrão porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. Se possível, o Google recomenda ativar o Secure Boot.
- Ative o vTPM para desativar o módulo de plataforma confiável virtual (vTPM). Por padrão, o Compute Engine ativa o Virtual Trusted Platform Module (vTPM) .
- Ative o monitoramento de integridade para desativar o monitoramento de integridade. Por padrão, o Compute Engine permite o monitoramento de integridade .
Clique em Salvar .
Clique em Iniciar para iniciar a instância.

gcloud

Pare a instância:
```
gcloud compute instances stop VM_NAME
```
Substitua VM_NAME pelo nome da VM a ser interrompida.
Atualize as opções de VM protegida:
```
gcloud compute instances update VM_NAME \
    [--[no-]shielded-secure-boot] \
    [--[no-]shielded-vtpm] \
    [--[no-]shielded-integrity-monitoring]
```
Substitua VM_NAME pelo nome da VM na qual as opções de VM protegida serão atualizadas.
shielded-secure-boot : o Compute Engine não ativa a inicialização segura por padrão porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. Se possível, o Google recomenda ativar o Secure Boot.
- Habilite a inicialização segura usando o sinalizador --shielded-secure-boot (recomendado).
- Desative a inicialização segura usando --no-shielded-secure-boot .
shielded-vtpm : o módulo de plataforma confiável virtual (vTPM) está habilitado por padrão. + Habilite usando --shielded-vtpm (padrão) + Desabilite usando o sinalizador --no-shielded-vtpm
shielded-integrity-monitoring : o monitoramento de integridade é habilitado por padrão. + Habilite usando --shielded-integrity-monitoring (padrão) + Desabilite usando o sinalizador --no-shielded-integrity-monitoring .
Inicie a instância:
```
gcloud compute instances start VM_NAME
```
Substitua VM_NAME pelo nome da VM a ser iniciada.

API

Pare a instância:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
```
Substitua o seguinte:
- PROJECT_ID : projeto que contém a VM a ser interrompida
- ZONE : zona que contém a VM a ser parada
- VM_NAME : a VM a ser interrompida
Use instances.updateShieldedInstanceConfig para ativar ou desativar opções de VM protegida na instância:
```
PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig

{
 "enableSecureBoot": {true|false},
 "enableVtpm": {true|false},
 "enableIntegrityMonitoring": {true|false}
}
```
Substitua o seguinte:
- PROJECT_ID : o projeto que contém a VM para ativar ou desativar as opções de VM protegida.
- ZONE : a zona que contém a VM para ativar ou desativar as opções de VM protegida.
- VM_NAME : a VM na qual ativar ou desativar as opções de VM protegida.
enableSecureBoot : o Compute Engine não ativa a inicialização segura por padrão porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. Se possível, o Google recomenda ativar o Secure Boot.
enableVtpm : o Compute Engine ativa o Virtual Trusted Platform Module (vTPM) por padrão.
enableIntegrityMonitoring : o Compute Engine permite o monitoramento de integridade por padrão.
Inicie a instância:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
```
Substitua o seguinte:
- PROJECT_ID : projeto que contém a VM a ser iniciada
- ZONE : zona que contém a VM a ser iniciada
- VM_NAME : VM a ser iniciada

O que vem a seguir

Leia mais sobre os recursos de segurança oferecidos pelo Shielded VM.
Saiba mais sobre como monitorar a integridade em uma instância de VM protegida .

Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.

Última atualização 2025-04-17 UTC.