במאמר הזה מוסבר איך לאחזר את מפתח האישור (EKPub) ממופע של מכונה וירטואלית מוגנת.
אפשר לאחזר את מפתח האישור גם עבור מפתח ההצפנה וגם עבור מפתח החתימה. אפשר להשתמש במפתח ההצפנה כדי להצפין נתונים כך שרק ה-vTPM יוכל לקרוא אותם, או במפתח החתימה כדי לאמת חתימות שנוצרו על ידי ה-vTPM. אפשר גם להשתמש במפתח כדי לוודא את הזהות של מופע של מכונה וירטואלית לפני ששולחים אליו מידע רגיש.
צריכה להיות לכם הרשאה של getShieldedInstanceIdentity כדי לאחזר מפתחות אישור.
אחזור מפתחות אישור באמצעות Google Cloud CLI
משתמשים בפקודה gcloud compute instances get-shielded-identity כדי לאחזר את החלק הציבורי של מפתח האישור ממופע של מכונה וירטואלית מוגנת.
gcloud compute instances get-shielded-identity [INSTANCE_NAME]
התוצאות שמוחזרות אמורות להיראות כך:
encryptionKey:
ekPub: |
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4ucWqhLjIkcEJyqc8KJM
12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
oBSrm0swIu3x4LWR/Ebl5KA0EKe9YFGaS9Pguun1m6X8Ld2zAqmoIwnxDiOqxQEU
mx2wxkjf0bbjxG5ZI1i3t/c/QzeaE2WWTlKdgnUDyxSloDBq63yywtoIrp1nbDLj
X8qdBymixu8jXXp1iGwmEUltnEnx779JKTpKgKTEednri+NcfRmXHrnPCxfiPudQ
4wIDAQAB
-----END PUBLIC KEY-----
kind: compute#shieldedInstanceIdentity
signingKey:
ekPub: |
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAzQvcD+2LAnsXAgdsVYAc
12345678abcdefghijklmnopqrstuvwxyz12345678abcdefghijklmnopqrstu
V/7WHasUuGlkbqiDOuDWgb15FAn35PU64HGey67McZTUT9EvrkT/ryXi4kZgBtoM
lQIDAQAB
-----END PUBLIC KEY-----
אחזור מפתחות אישור באמצעות Compute Engine API
אפשר להשתמש ב-Compute Engine API כדי לראות את המידע על מפתח האישור. מידע נוסף על השימוש ב-API זמין במדריכים.
GET /compute/v1/projects/[PROJECT_ID]/zones/[ZONE]/instances/[INSTANCE_NAME]/getShieldedInstanceIdentity
{
"signingKey": {
"ekPub": [PEM-formatted key]
},
"encryptionKey": {
"ekPub": [PEM-formatted key]
},
"kind": "compute#shieldedInstanceIdentity"
}