English
Deutsch
Español – América Latina
Français
Indonesia
Italiano
Português – Brasil
中文 – 简体
中文 – 繁體
日本語
한국어

Console

Entre em contato Comece gratuitamente

Esta página foi traduzida pela API Cloud Translation.

Como modificar opções de VM protegida em uma instância de VM

Neste documento, você verá como ativar e desativar as opções de VM protegida em uma instância de VM. Para ver quais imagens são compatíveis com os recursos de VM protegida, consulte os recursos de segurança da imagem do SO.

Informações gerais

Em uma instância de VM protegida, o Compute Engine ativa o Módulo de plataforma confiável virtual (vTPM, na sigla em inglês) e as opções de monitoramento de integridade por padrão. Se você desativar o vTPM, o Compute Engine desativará o monitoramento de integridade porque ele depende de dados coletados pela Inicialização medida.

O Compute Engine não ativa a Inicialização segura por padrão, porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. A Inicialização segura ajuda a garantir que o sistema execute apenas um software autêntico. Para isso, ela verifica a assinatura de todos os componentes de inicialização e interrompe o processo de inicialização se a verificação da assinatura falhar. Isso ajuda a evitar que formas de malware kernel, como rootkits ou bootkits, persistam nas reinicializações da VM. O Google recomenda que você ative a Inicialização segura se ela não impedir que uma VM de teste representativa seja inicializada e que seja apropriada para sua carga de trabalho.

Limitações

Ainda que as instâncias de VM do Compute Engine sejam compatíveis com a inicialização segura, é possível que uma imagem carregada em uma VM do Compute Engine não seja. Embora a maioria das distribuições do Linux seja compatível com a Inicialização segura em imagens x86 recentes, ela nem sempre é compatível por padrão em ARM64. Muitas imagens do Linux são configuradas para se recusar a carregar builds não assinados de módulos de kernel fora da árvore quando a Inicialização segura está ativada. Geralmente isso afeta os drivers de GPU, mas às vezes também afeta as ferramentas de monitoramento de segurança que exigem módulos do kernel.

Permissões exigidas para a tarefa

Para executar esta tarefa, é preciso ter a permissão a seguir:

compute.instances.updateShieldedInstanceConfig na instância de VM

Como modificar opções de VM protegida em uma instância de VM

Use o procedimento a seguir para modificar as opções de VM protegida:

Console

No Google Cloud console, acesse a página Instâncias de VM:

Acessar Instâncias de VM
Clique no nome da instância para abrir a página Detalhes da instância de VM.
Clique em Parar para interromper a VM. Se não houver a opção Parar, clique em Mais ações > Parar.
Depois que a instância parar, clique em Editar.
Na seção VM protegida, modifique as opções de VM protegida:
- Alterne a opção Ativar Inicialização segura para ativar a Inicialização segura. O Compute Engine não ativa a Inicialização segura por padrão, porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. Se possível, o Google recomenda ativar a Inicialização segura.
- Alterne para Ativar vTPM para desativar o módulo de plataforma confiável virtual (vTPM). Por padrão, o Compute Engine ativa o Módulo de plataforma confiável virtual (vTPM).
- Ative a opção Ativar monitoramento de integridade para desativar o monitoramento de integridade. Por padrão, o Compute Engine ativa o monitoramento de integridade.
Clique em Salvar.
Clique em Iniciar para iniciar a instância.

gcloud

Interrompa a instância:
```
gcloud compute instances stop VM_NAME
```
Substitua VM_NAME pelo nome da VM a ser interrompida.
Atualize as opções de VM protegida:
```
gcloud compute instances update VM_NAME \
    [--[no-]shielded-secure-boot] \
    [--[no-]shielded-vtpm] \
    [--[no-]shielded-integrity-monitoring]
```
Substitua VM_NAME pelo nome da VM na qual as opções de VM protegida serão atualizadas.

shielded-secure-boot: o Compute Engine não ativa a Inicialização segura por padrão, porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. Se possível, o Google recomenda ativar a Inicialização segura.
- Ative a Inicialização segura usando a sinalização --shielded-secure-boot (recomendado).
- Desative a Inicialização segura usando --no-shielded-secure-boot.
shielded-vtpm: o módulo de plataforma confiável virtual (vTPM, na sigla em inglês) é ativado por padrão. + Ativar usando --shielded-vtpm (padrão) + Desativar usando a sinalização --no-shielded-vtpm

shielded-integrity-monitoring: o monitoramento de integridade é ativado por padrão. + Ativar usando --shielded-integrity-monitoring (padrão) + Desativar usando a sinalização --no-shielded-integrity-monitoring.
Inicie a instância:
```
gcloud compute instances start VM_NAME
```
Substitua VM_NAME pelo nome da VM a ser iniciada.

REST

Interrompa a instância:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
```
Substitua:
- PROJECT_ID: projeto que contém a VM a ser interrompida
- ZONE: zona que contém a VM a ser interrompida
- VM_NAME: a VM a ser interrompida
Use instances.updateShieldedInstanceConfig para ativar ou desativar as opções de VM protegida na instância:
```
PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig

{
 "enableSecureBoot": {true|false},
 "enableVtpm": {true|false},
 "enableIntegrityMonitoring": {true|false}
}
```
Substitua:
- PROJECT_ID: projeto com a VM que terá as opções de VM protegida ativadas ou desativadas.
- ZONE: zona com a VM que terá as opções de VM protegida ativadas ou desativadas.
- VM_NAME: VM que terá as opções de VM protegida ativadas ou desativadas.
enableSecureBoot: o Compute Engine não ativa a Inicialização segura por padrão, porque drivers não assinados e outros softwares de baixo nível podem não ser compatíveis. Se possível, o Google recomenda ativar a Inicialização segura.

enableVtpm: o Compute Engine ativa o Módulo de plataforma confiável virtual (vTPM) por padrão.

enableIntegrityMonitoring: o Compute Engine ativa o monitoramento de integridade por padrão.
Inicie a instância:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
```
Substitua:
- PROJECT_ID: projeto que contém a VM a ser iniciada
- ZONE: zona que contém a VM a ser iniciada
- VM_NAME: VM a ser iniciada

A seguir

Leia mais sobre os recursos de segurança oferecidos pela VM protegida.
Saiba mais sobre como monitorar a integridade em uma instância de VM protegida.

Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.

Última atualização 2025-08-19 UTC.