Recuperar claves de respaldo

Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Este tema describe cómo recuperar la clave de respaldo (EKPub) de una instancia de VMinstance blindada.

Puede recuperar la clave de aprobación tanto para la clave de cifrado como para la clave de firma. Puede utilizar la clave de cifrado para cifrar datos de modo que solo el vTPM pueda leerlos, o la clave de firma para verificar las firmas que realiza el vTPM. También puede utilizar la clave para determinar la identidad de una instancia de VM antes de enviarle información confidencial.

Debe tener el permiso getShieldedInstanceIdentity para recuperar claves de aprobación.

Recuperar claves de respaldo mediante la CLI de Google Cloud

Usa el comando gcloud compute instances get-shielded-identity para recuperar la parte pública de la clave de respaldo de una instancia de VM protegida.

    gcloud compute instances get-shielded-identity [INSTANCE_NAME]

Los resultados devueltos son similares a los siguientes:

encryptionKey:
  ekPub: |
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU
    mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj
    X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ
    4wIDAQAB
    -----END PUBLIC KEY-----
kind: compute#shieldedInstanceIdentity
signingKey:
  ekPub: |
    -----BEGIN PUBLIC KEY-----
    MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc
    12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
    V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM
    lQIDAQAB
    -----END PUBLIC KEY-----

Recuperar claves de respaldo usando la API de Compute Engine

Puedes usar la API de Compute Engine para ver información clave de respaldo. Para obtener más información sobre cómo utilizar la API, consulte las guías prácticas .

GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/getShieldedInstanceIdentity

{
  "signingKey": {
    "ekPub": [PEM-formatted key]
  },
  "encryptionKey": {
    "ekPub": [PEM-formatted key]
  },
  "kind": "compute#shieldedInstanceIdentity"
}

¿Qué sigue?

• Obtenga información sobre cómo modificar opciones en una instancia de VM protegida .
• Conozca un enfoque para automatizar las respuestas a eventos de monitoreo de integridad .