Die Verfügbarkeit der Bare-Metal-Lösung wird auf ein spezielles Modell umgestellt, das nur auf der Zulassungsliste basiert. Wenn Sie bereits Kunde sind, wenden Sie sich bitte an Ihr Google-Account-Team, um die Vorteile einer Migration zu den neuen Angeboten der strategischen Partnerschaft zwischen Oracle und Google Cloud zu besprechen.

Verschlüsselungsschlüssel für einen Server einrichten

Sie können Verschlüsselungsschlüssel einrichten, um Ihre Serverpasswörter zu verschlüsseln. Diese Schlüssel sind kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK), die Sie mit Cloud Key Management Service (Cloud KMS) verwalten können. Sie können sie beim Bereitstellen eines neuen Servers oder beim Reimaging eines vorhandenen Servers festlegen. Sie können einen Verschlüsselungsschlüssel mit mehreren Servern verwenden.

Die Verwendung eines Verschlüsselungsschlüssels ist optional. Wenn Sie jedoch einen Verschlüsselungsschlüssel eingerichtet haben, müssen Sie ihn verwenden. Diese Einstellung kann nicht geändert werden. Sie können jedoch den Schlüssel oder seine Version ändern.

Diese Funktion ist nur für die von der Bare-Metal-Lösung unterstützten Linux-Betriebssysteme verfügbar.

Hinweis

Erstellen Sie mit Cloud KMS einen Verschlüsselungsschlüssel.

**Hinweis** :Sie müssen den Cloud KMS-Schlüssel nicht im selben Projekt erstellen, in dem sich Ihr Bare-Metal-Lösung befindet.

So erstellen Sie einen Verschlüsselungsschlüssel:
1. Aktivieren Sie im Projekt, in dem Sie den Schlüssel erstellen möchten, die Cloud KMS API.
  
  Führen Sie diesen Schritt nur einmal pro Projekt aus.
2. Weisen Sie die folgenden Rollen zu Ihrem Bare-Metal-Lösungskonto zu. Führen Sie diesen Schritt nur einmal pro Projekt aus.
  - roles/cloudkms.viewer: Prüfen Sie, ob die CryptoKeyVersion verwendet werden kann.
  - roles/cloudkms.publicKeyViewer: Rufen Sie einen öffentlichen Schlüssel ab.
  Informationen zum Zuweisen einer Rolle finden Sie unter Rollen für eine Ressource zuweisen.
  
  Verwenden Sie den Befehl gcloud projects add-iam-policy-binding, um diese Rollen zuzuweisen.
```
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \
--role roles/cloudkms.publicKeyViewer
```
```
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \
--role roles/cloudkms.viewer
```
  Ersetzen Sie Folgendes:
  - KMS_PROJECT_ID: das Projekt, das Ihren Cloud KMS-Schlüssel enthält
  - PROJECT_NUMBER: das Projekt, das Ihren Bare-Metal-Lösungsserver enthält
3. Erstellen Sie einen asymmetrischen Entschlüsselungsschlüssel.
  
  Wichtig: Sie müssen den Algorithmus 3072 bit RSA - OAEP Padding - SHA256 Digest auswählen. Die Verwendung eines anderen Algorithmus kann zu nicht entschlüsselbaren Passwörtern führen.
  
  Sie können beliebig viele Schlüssel und Versionen erstellen.

Verschlüsselungsschlüssel beim Bereitstellen eines Servers einrichten

Sie können einen Verschlüsselungsschlüssel für einen neuen Bare-Metal-Lösungsserver einrichten, wenn Sie ihn über das Google Cloud Aufnahmeformular der Console bereitstellen.

Informationen zum Einrichten eines Verschlüsselungsschlüssels beim Bereitstellen eines Servers finden Sie unter Aufnahmeformular der Console verwenden, um Ihre Auswahl einzugeben. Google Cloud

Verschlüsselungsschlüssel beim Reimaging eines Servers einrichten

Informationen zum Einrichten von Verschlüsselungsschlüsseln beim Reimaging eines Servers finden Sie unter Betriebssystem für einen Server ändern.

Verschlüsselungsschlüssel und Passwörter eines Servers ansehen

So rufen Sie Verschlüsselungsschlüssel und Passwörter eines Servers auf:

Console

Rufen Sie die Seite Server auf.

Zu den Servern
Klicken Sie auf den Servernamen.

Auf der Seite Serverdetails sehen Sie den Verschlüsselungsschlüssel im Feld Verschlüsselungsschlüssel für Passwort.
Im Bereich Nutzerkonten finden Sie die Nutzerkonten und die entsprechenden verschlüsselten Passwörter.

gcloud

Führen Sie den Befehl gcloud alpha bms instances auth-info aus:

gcloud alpha bms instances auth-info SERVER_NAME --project=PROJECT_ID --region=REGION

Ersetzen Sie Folgendes:

SERVER_NAME: der Name des Bare-Metal-Lösungsservers
PROJECT_ID: die ID des Projekts
REGION: die Region des Bare-Metal-Lösungsservers

Passwort entschlüsseln

So rufen Sie das unverschlüsselte Passwort ab:

Rufen Sie den Geheimtext ab. Verwenden Sie den Befehl gcloud alpha bms instances auth-info.
```
gcloud alpha bms instances auth-info SERVER_NAME \
--project=PROJECT_ID \
--region=REGION \
--format='value(userAccounts.USERNAME.ENCRYPTED_PASSWORD_FILE)' | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
```
Ersetzen Sie Folgendes:
- SERVER_NAME: der Name Ihres Bare-Metal-Lösungsservers
- PROJECT_ID: die ID Ihres Bare-Metal-Lösungsprojekts
- REGION: der Standort Ihres Bare-Metal-Lösungsservers
- USERNAME: der Nutzername des Kontos, das mit dem Passwort verknüpft ist, das Sie entschlüsseln möchten. Der Wert ist entweder root oder customeradmin.
- ENCRYPTED_PASSWORD_FILE: die Datei, in der Sie das verschlüsselte Passwort gespeichert haben. Entfernen Sie die Leerzeichen und Zeilenumbrüche ('\n'), um Probleme mit dem Format des Passworts nach dem Kopieren zu vermeiden.
- CIPHERTEXT_FILE: der Name der Geheimtextdatei
Beispiel:
```
gcloud alpha bms instances auth-info my-instance \
--region=europe-west3 \
--project=project-testing \
--format='value(userAccounts.customeradmin.encryptedPassword)' | tr -d ' \n' | base64 -d > ciphertext
```
Verwenden Sie den folgenden Befehl, um den Geheimtext aus dem Passwort abzurufen, das aus der Google Cloud Console kopiert wurde:
```
cat ENCRYPTED_PASSWORD_FILE | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
```
Ersetzen Sie Folgendes:
- ENCRYPTED_PASSWORD_FILE: die Datei, in der Sie das verschlüsselte Passwort gespeichert haben. Entfernen Sie die Leerzeichen und Zeilenumbrüche ('\n'), um Probleme mit dem Format des Passworts nach dem Kopieren zu vermeiden.
- CIPHERTEXT_FILE: der Name der Geheimtextdatei
Beispiel:
```
cat encrypted_password | tr -d ' \n' | base64 -d > ciphertext
```
Entschlüsseln Sie das Passwort. Folgen Sie der Anleitung unter Daten entschlüsseln.