Configurer des clés de chiffrement pour un serveur
Vous pouvez configurer des clés de chiffrement pour chiffrer les mots de passe de votre serveur. Il s'agit de clés de chiffrement gérées par le client (CMEK) que vous pouvez gérer à l'aide de Cloud Key Management Service (Cloud KMS). Vous pouvez les définir lors de l'approvisionnement d'un nouveau serveur ou lors de la réinitialisation d'un serveur existant. Vous pouvez utiliser une clé de chiffrement avec plusieurs serveurs.
L'utilisation d'une clé de chiffrement est facultative. Toutefois, une fois que vous avez configuré une clé de chiffrement, vous devez l'utiliser. Vous ne pouvez pas modifier ce paramètre. Cependant, vous pouvez modifier la clé ou sa version.
Cette fonctionnalité n'est disponible que pour les systèmes d'exploitation Linux compatibles avec la solution Bare Metal.
Avant de commencer
Créez une clé de chiffrement à l'aide de Cloud KMS.
Pour créer une clé de chiffrement, procédez comme suit :
Dans le projet dans lequel vous souhaitez créer la clé, activez l'API Cloud KMS.
Ne le faites qu'une seule fois par projet.
Attribuez les rôles suivants à votre compte de service de solution Bare Metal. Ne le faites qu'une seule fois par projet.
roles/cloudkms.viewer: vérifiez queCryptoKeyVersionest disponible.roles/cloudkms.publicKeyViewer: récupérez une clé publique.
Pour savoir comment attribuer un rôle, consultez la section Attribuer des rôles à une ressource.
Pour attribuer ces rôles, utilisez la commande
gcloud projects add-iam-policy-binding.gcloud projects add-iam-policy-binding KMS_PROJECT_ID \ --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \ --role roles/cloudkms.publicKeyViewer
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \ --member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \ --role roles/cloudkms.viewer
Remplacez les éléments suivants :
- KMS_PROJECT_ID : projet contenant votre clé Cloud KMS
- PROJECT_NUMBER : projet contenant votre serveur de solution Bare Metal
Créez une clé de déchiffrement asymétrique.
Vous pouvez créer autant de clés et de versions que nécessaire.
Configurer des clés de chiffrement lors de l'approvisionnement d'un serveur
Vous pouvez configurer une clé de chiffrement pour un nouveau serveur de solution Bare Metal lors de son approvisionnement à l'aide du Google Cloud formulaire d'entrée de la console.
Pour configurer une clé de chiffrement lors de l'approvisionnement d'un serveur, consultez la section Saisir vos sélections à l'aide du formulaire d'entrée de la console. Google Cloud
Configurer des clés de chiffrement lors de la réinitialisation d'un serveur
Pour configurer des clés de chiffrement lors de la réinitialisation d'un serveur, consultez la section Modifier le système d'exploitation d'un serveur.
Afficher les clés de chiffrement et les mots de passe d'un serveur
Pour afficher les clés de chiffrement et les mots de passe d'un serveur, procédez comme suit :
Console
Accédez à la page Servers (Serveurs).
Cliquez sur le nom du serveur.
Sur la page Server details (Détails du serveur), affichez la clé de chiffrement dans le champ Password encryption key (Clé de chiffrement du mot de passe).
Pour afficher les comptes utilisateur et leurs mots de passe chiffrés correspondants, accédez à la section User Accounts (Comptes utilisateur).
gcloud
Exécutez la commande gcloud alpha bms instances auth-info :
gcloud alpha bms instances auth-info SERVER_NAME --project=PROJECT_ID --region=REGION
Remplacez les éléments suivants :
- SERVER_NAME : nom du serveur de solution Bare Metal
- PROJECT_ID : ID du projet
- REGION : région du serveur de solution Bare Metal
Déchiffrer un mot de passe
Pour obtenir le mot de passe brut, procédez comme suit :
Obtenez le texte chiffré. Utilisez la commande
gcloud alpha bms instances auth-info.gcloud alpha bms instances auth-info SERVER_NAME \ --project=PROJECT_ID \ --region=REGION \ --format='value(userAccounts.USERNAME.ENCRYPTED_PASSWORD_FILE)' | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
Remplacez les éléments suivants :
- SERVER_NAME : nom de votre serveur de solution Bare Metal
- PROJECT_ID : ID de votre projet de solution Bare Metal
- REGION : emplacement de votre serveur de solution Bare Metal
- USERNAME : nom d'utilisateur du compte associé au
mot de passe que vous souhaitez déchiffrer. La valeur est
rootoucustomeradmin. - ENCRYPTED_PASSWORD_FILE : fichier dans lequel vous avez enregistré le mot de passe chiffré. Pour éviter tout problème lié au format du mot de passe après sa copie,
supprimez les espaces et les caractères de saut de ligne (
'\n'). - CIPHERTEXT_FILE : nom du fichier de texte chiffré
Exemple :
gcloud alpha bms instances auth-info my-instance \ --region=europe-west3 \ --project=project-testing \ --format='value(userAccounts.customeradmin.encryptedPassword)' | tr -d ' \n' | base64 -d > ciphertext
Pour obtenir le texte chiffré à partir du mot de passe copié à partir de la Google Cloud console, exécutez la commande suivante :
cat ENCRYPTED_PASSWORD_FILE | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
Remplacez les éléments suivants :
- ENCRYPTED_PASSWORD_FILE : fichier dans lequel vous avez enregistré le
mot de passe chiffré. Pour éviter tout problème lié au format du mot de passe après
sa copie, supprimez les espaces et les caractères de saut de ligne (
'\n'). - CIPHERTEXT_FILE : nom du fichier de texte chiffré
Exemple :
cat encrypted_password | tr -d ' \n' | base64 -d > ciphertext
Déchiffrez le mot de passe. Suivez les étapes décrites dans Déchiffrer des données.