Como modificar opções de VM protegida em uma instância de VM

Neste documento, você vai aprender a ativar e desativar as opções de VM protegida em uma instância de VM. Para saber quais imagens aceitam os recursos de VM protegida, consulte os recursos de segurança da imagem do SO.

Visão geral

Em uma instância de VM protegida, o Compute Engine ativa o módulo de plataforma confiável virtual (vTPM) e as opções de monitoramento de integridade por padrão. Se você desativar o vTPM, o Compute Engine vai desativar o monitoramento de integridade porque ele depende de dados coletados pela Inicialização medida.

O Compute Engine não ativa a Inicialização segura por padrão porque drivers não assinados e outros softwares de baixo nível podem não ser aceitos. A Inicialização segura ajuda a garantir que o sistema execute apenas um software autêntico. Para isso, ela verifica a assinatura de todos os componentes de inicialização e interrompe o processo de inicialização se a verificação da assinatura falhar. Isso ajuda a evitar que formas de malware kernel, como rootkits ou bootkits, persistam nas reinicializações da VM. O Google recomenda a ativação da Inicialização segura caso ela não impeça que uma VM de teste representativa seja inicializada e caso ela seja apropriada para a carga de trabalho.

Limitações

Ainda que as instâncias de VM do Compute Engine aceitem a Inicialização segura, é possível que uma imagem carregada em uma VM do Compute Engine não a aceite. Embora a maioria das distribuições do Linux aceitem a Inicialização segura em imagens x86 recentes, ela nem sempre é aceita por padrão em ARM64. Muitas imagens do Linux são configuradas para se recusar a carregar builds não assinados de módulos do kernel fora da árvore quando a Inicialização segura está ativada. Em geral, isso afeta os drivers de GPU, mas às vezes também afeta as ferramentas de monitoramento de segurança que exigem módulos do kernel.

Permissões exigidas para a tarefa

Para executar esta tarefa, é preciso ter a seguinte permissão:

compute.instances.updateShieldedInstanceConfig na instância de VM

Como modificar opções de VM protegida em uma instância de VM

Use o procedimento a seguir para modificar as opções de VM protegida:

Console

No console do Google Cloud , acesse a página Instâncias de VM.

Acessar Instâncias de VM
Clique no nome da instância para abrir a página Detalhes da instância de VM.
Clique em Parar para parar a VM. Se não houver a opção Parar, clique em Mais ações > Parar.
Depois que a instância for interrompida, clique em Editar.
Na seção VM protegida, modifique as opções de VM protegida:
- Clique em Ativar Inicialização segura para ativar a Inicialização segura. O Compute Engine não ativa a Inicialização segura por padrão porque drivers não assinados e outros softwares de baixo nível podem não ser aceitos. Se possível, o Google recomenda ativar a Inicialização segura.
- Clique em Ativar vTPM para desativar o módulo de plataforma confiável virtual (vTPM). Por padrão, o Compute Engine ativa o Módulo de plataforma confiável virtual (vTPM).
- Clique em Ativar monitoramento de integridade para desativar o monitoramento de integridade. Por padrão, o Compute Engine ativa o monitoramento de integridade.
Clique em Salvar.
Clique em Iniciar para iniciar a instância.

gcloud

Interrompa a instância:
```
gcloud compute instances stop VM_NAME
```
Substitua VM_NAME pelo nome da VM a ser interrompida.
Atualize as opções de VM protegida:
```
gcloud compute instances update VM_NAME \
    [--[no-]shielded-secure-boot] \
    [--[no-]shielded-vtpm] \
    [--[no-]shielded-integrity-monitoring]
```
Substitua VM_NAME pelo nome da VM em que as opções de VM protegida serão atualizadas.

shielded-secure-boot: o Compute Engine não ativa a Inicialização segura por padrão porque drivers não assinados e outros softwares de baixo nível podem não ser aceitos. Se possível, o Google recomenda ativar a Inicialização segura.
- Ative a Inicialização segura usando a sinalização --shielded-secure-boot (recomendado).
- Desative a Inicialização segura usando --no-shielded-secure-boot.
shielded-vtpm: o módulo de plataforma confiável virtual (vTPM) é ativado por padrão. + Para ativar, use --shielded-vtpm (padrão). + Para desativar, use a flag --no-shielded-vtpm.

shielded-integrity-monitoring: o monitoramento de integridade é ativado por padrão. + Ativar usando --shielded-integrity-monitoring (padrão) + Desativar usando a sinalização --no-shielded-integrity-monitoring.
Inicie a instância:
```
gcloud compute instances start VM_NAME
```
Substitua VM_NAME pelo nome da VM a ser iniciada.

REST

Interrompa a instância:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
```
Substitua:
- PROJECT_ID: projeto que contém a VM a ser interrompida
- ZONE: zona que contém a VM a ser interrompida
- VM_NAME: a VM a ser interrompida.
Use instances.updateShieldedInstanceConfig para ativar ou desativar as opções de VM protegida na instância:
```
PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig

{
 "enableSecureBoot": {true|false},
 "enableVtpm": {true|false},
 "enableIntegrityMonitoring": {true|false}
}
```
Substitua:
- PROJECT_ID: projeto com a VM que terá as opções de VM protegida ativadas ou desativadas.
- ZONE: zona com a VM que terá as opções de VM protegida ativadas ou desativadas.
- VM_NAME: VM que terá as opções de VM protegida ativadas ou desativadas.
enableSecureBoot: o Compute Engine não ativa a Inicialização segura por padrão porque drivers não assinados e outros softwares de baixo nível podem não ser aceitos. Se possível, o Google recomenda ativar a Inicialização segura.

enableVtpm: o Compute Engine ativa o Módulo de plataforma confiável virtual (vTPM) por padrão.

enableIntegrityMonitoring: o Compute Engine ativa o monitoramento de integridade por padrão.
Inicie a instância:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
```
Substitua:
- PROJECT_ID: projeto que contém a VM a ser iniciada
- ZONE: zona que contém a VM a ser iniciada
- VM_NAME: VM a ser iniciada

A seguir

Leia mais sobre os recursos de segurança oferecidos pela VM protegida.
Saiba mais sobre como monitorar a integridade em uma instância de VM protegida.

Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.

Última atualização 2025-11-12 UTC.