A disponibilidade da Solução Bare Metal está passando para um modelo especializado e somente com lista de permissões. Se você já é cliente, entre em contato com a equipe da sua conta do Google para saber mais sobre o valor da migração para as novas ofertas de parceria estratégica entre a Oracle e o Google Cloud.

Configurar chaves de criptografia para um servidor

É possível configurar chaves de criptografia para criptografar as senhas do servidor. Essas chaves são chaves de criptografia gerenciadas pelo cliente (CMEK) que podem ser gerenciadas usando o Cloud Key Management Service (Cloud KMS). É possível defini-las ao provisionar um novo servidor ou ao restaurar a imagem de um servidor atual. Você pode usar uma chave de criptografia com vários servidores.

O uso de uma chave de criptografia é opcional. No entanto, depois de configurar uma chave de criptografia, você precisa usá-la. Não é possível mudar essa configuração. No entanto, é possível mudar a chave ou a versão dela.

Esse recurso está disponível apenas para os SOs Linux com suporte da Solução Bare Metal.

Antes de começar

Usando o Cloud KMS, crie uma chave de criptografia.

**Observação** :não é necessário criar a chave do Cloud KMS no mesmo projeto que contém o servidor da Solução Bare Metal.

Para criar uma chave de criptografia, siga estas etapas:
1. No projeto em que você quer criar a chave, ative a API Cloud KMS.
  
  Faça isso apenas uma vez por projeto.
2. Atribua os seguintes papéis à conta de serviço da Solução Bare Metal. Faça isso apenas uma vez por projeto.
  - roles/cloudkms.viewer: verifique se o CryptoKeyVersion está disponível para uso.
  - roles/cloudkms.publicKeyViewer: recupere uma chave pública.
  Para aprender a conceder um papel, consulte Conceder papéis em um recurso.
  
  Para atribuir esses papéis, use o comando gcloud projects add-iam-policy-binding.
```
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \
--role roles/cloudkms.publicKeyViewer
```
```
gcloud projects add-iam-policy-binding KMS_PROJECT_ID \
--member serviceAccount:service-PROJECT_NUMBER@gcp-sa-bms.iam.gserviceaccount.com \
--role roles/cloudkms.viewer
```
  Substitua:
  - KMS_PROJECT_ID: o projeto que contém a chave do Cloud KMS
  - PROJECT_NUMBER: o projeto que contém o servidor da Solução Bare Metal
3. Crie uma chave de descriptografia assimétrica.
  
  Importante: selecione o algoritmo RSA de 3072 bits - Padding OAEP - Resumo SHA256. O uso de qualquer outro algoritmo pode resultar em senhas indecifráveis.
  
  É possível criar quantas chaves e versões forem necessárias.

Configurar chaves de criptografia ao provisionar um servidor

É possível configurar uma chave de criptografia para um novo servidor da Solução Bare Metal ao provisioná-lo usando o Google Cloud formulário de entrada do console.

Para configurar uma chave de criptografia ao provisionar um servidor, consulte Usar o Google Cloud formulário de entrada do console para inserir suas seleções.

Configurar chaves de criptografia ao restaurar a imagem de um servidor

Para configurar chaves de criptografia ao restaurar a imagem de um servidor, consulte Mudar o SO de um servidor.

Ver chaves de criptografia e senhas de um servidor

Para ver as chaves de criptografia e senhas de um servidor, siga estas etapas:

Console

Acesse a página Servidores.

Acessar servidores
Clique no nome do servidor.

Na página Detalhes do servidor, consulte a chave de criptografia no campo Chave de criptografia de senha.
Para ver as contas de usuário e as senhas criptografadas correspondentes, acesse a seção Contas de usuário.

gcloud

Use o comando gcloud alpha bms instances auth-info:

gcloud alpha bms instances auth-info SERVER_NAME --project=PROJECT_ID --region=REGION

Substitua:

SERVER_NAME: o nome do servidor da Solução Bare Metal
PROJECT_ID: o ID do projeto
REGION: a região do servidor da Solução Bare Metal

Descriptografar uma senha

Para receber a senha bruta, siga estas etapas:

Obtenha o texto criptografado. Use o comando gcloud alpha bms instances auth-info.
```
gcloud alpha bms instances auth-info SERVER_NAME \
--project=PROJECT_ID \
--region=REGION \
--format='value(userAccounts.USERNAME.ENCRYPTED_PASSWORD_FILE)' | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
```
Substitua:
- SERVER_NAME: o nome do servidor da Solução Bare Metal
- PROJECT_ID: o ID do projeto da Solução Bare Metal
- REGION: o local do servidor da Solução Bare Metal
- USERNAME: o nome de usuário da conta associada à senha que você quer descriptografar. O valor é root ou customeradmin.
- ENCRYPTED_PASSWORD_FILE: o arquivo em que você salvou a senha criptografada. Para evitar problemas com o formato da senha após a cópia, remova os espaços e os caracteres de nova linha ('\n').
- CIPHERTEXT_FILE: o nome do arquivo de texto criptografado
Exemplo:
```
gcloud alpha bms instances auth-info my-instance \
--region=europe-west3 \
--project=project-testing \
--format='value(userAccounts.customeradmin.encryptedPassword)' | tr -d ' \n' | base64 -d > ciphertext
```
Para obter o texto criptografado da senha copiada do Google Cloud console, use o seguinte comando:
```
cat ENCRYPTED_PASSWORD_FILE | tr -d ' \n' | base64 -d > CIPHERTEXT_FILE
```
Substitua:
- ENCRYPTED_PASSWORD_FILE: o arquivo em que você salvou a senha criptografada. Para evitar problemas com o formato da senha após a cópia, remova os espaços e os caracteres de nova linha ('\n').
- CIPHERTEXT_FILE: o nome do arquivo de texto criptografado
Exemplo:
```
cat encrypted_password | tr -d ' \n' | base64 -d > ciphertext
```
Descriptografe a senha. Siga as etapas em Descriptografar dados.