Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Modifica delle opzioni delle VM schermate su un'istanza VM

Questo documento descrive come attivare e disattivare le opzioni Shielded VM in un' istanza VM. Per vedere quali immagini supportano le funzionalità Shielded VM, consulta Funzionalità di sicurezza delle immagini del sistema operativo.

Panoramica

In un'istanza Shielded VM, Compute Engine attiva per impostazione predefinita le opzioni Virtual Trusted Platform Module (vTPM) e monitoraggio dell'integrità. Se disattivi vTPM, Compute Engine disattiva il monitoraggio dell'integrità perché si basa sui dati raccolti dall'avvio con misurazioni.

Compute Engine non abilita Avvio protetto per impostazione predefinita perché i driver non firmati e altri software di basso livello potrebbero non essere compatibili. Avvio protetto garantisce che il sistema esegua solo software autentici verificando la firma di tutti i componenti di avvio e interrompendo il processo di avvio in caso di mancata verifica della firma. In questo modo, si impedisce che forme di malware del kernel, come rootkit o bootkit, persistano dopo i riavvii della VM. Google consiglia di abilitare Avvio protetto se puoi assicurarti che non impedisca l'avvio di una VM di test rappresentativa e se è appropriato per il tuo workload.

Limitazioni

Anche se le istanze VM di Compute Engine supportano Avvio protetto, un'immagine caricata su una VM di Compute Engine potrebbe non supportarlo. In particolare, sebbene la maggior parte delle distribuzioni Linux supporti Avvio protetto sulle immagini x86 recenti, non è sempre supportato per impostazione predefinita su ARM64. Molte immagini Linux sono configurate per rifiutare il caricamento di build non firmate di moduli del kernel out-of-tree quando Avvio protetto è abilitato. Questo influisce più comunemente sui driver GPU, ma a volte anche sugli strumenti di monitoraggio della sicurezza che richiedono moduli del kernel.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni:

compute.instances.updateShieldedInstanceConfig sull'istanza VM

Modifica delle opzioni Shielded VM in un'istanza VM

Utilizza la seguente procedura per modificare le opzioni Shielded VM:

Console

Nella console Google Cloud , vai alla pagina Istanze VM.

Vai a Istanze VM
Fai clic sul nome dell'istanza per aprire la pagina Dettagli istanza VM.
Fai clic su Arresta per arrestare la VM. Se non è presente l'opzione Arresta, fai clic su Altre azioni > Arresta.
Dopo l'arresto dell'istanza, fai clic su Modifica.
Nella sezione Shielded VM, modifica le opzioni Shielded VM:
- Seleziona Attiva Avvio protetto per abilitare Avvio protetto. Compute Engine non abilita Avvio protetto per impostazione predefinita perché i driver non firmati e altri software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di abilitare Avvio protetto.
- Seleziona Attiva vTPM per disattivare il Virtual Trusted Platform Module (vTPM). Per impostazione predefinita, Compute Engine abilita il Virtual Trusted Platform Module (vTPM).
- Seleziona Attiva il monitoraggio dell'integrità per disattivare il monitoraggio dell'integrità. Per impostazione predefinita, Compute Engine abilita il monitoraggio dell'integrità.
Fai clic su Salva.
Fai clic su Avvia per avviare l'istanza.

gcloud

Arresta l'istanza:
```
gcloud compute instances stop VM_NAME
```
Sostituisci VM_NAME con il nome della VM da arrestare.
Aggiorna le opzioni Shielded VM:
```
gcloud compute instances update VM_NAME \
    [--[no-]shielded-secure-boot] \
    [--[no-]shielded-vtpm] \
    [--[no-]shielded-integrity-monitoring]
```
Sostituisci VM_NAME con il nome della VM su cui aggiornare le opzioni Shielded VM.

shielded-secure-boot: Compute Engine non abilita Avvio protetto per impostazione predefinita perché i driver non firmati e altri software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di abilitare Avvio protetto.
- Abilita Avvio protetto utilizzando il flag --shielded-secure-boot (consigliato).
- Disabilita Avvio protetto utilizzando --no-shielded-secure-boot.
shielded-vtpm: il Virtual Trusted Platform Module (vTPM) è abilitato per impostazione predefinita. + Abilita utilizzando --shielded-vtpm (impostazione predefinita) + Disabilita utilizzando il flag --no-shielded-vtpm

shielded-integrity-monitoring: monitoraggio dell'integrità è abilitato per impostazione predefinita. + Abilita utilizzando --shielded-integrity-monitoring (impostazione predefinita) + Disabilita utilizzando il flag --no-shielded-integrity-monitoring.
Avvia l'istanza:
```
gcloud compute instances start VM_NAME
```
Sostituisci VM_NAME con il nome della VM da avviare.

REST

Arresta l'istanza:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/stop
```
Sostituisci quanto segue:
- PROJECT_ID: progetto contenente la VM da arrestare
- ZONE: zona contenente la VM da arrestare
- VM_NAME: la VM da arrestare
Utilizza instances.updateShieldedInstanceConfig per abilitare o disabilitare le opzioni Shielded VM nell'istanza:
```
PATCH https://compute.googleapis.com/compute/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/updateShieldedInstanceConfig

{
 "enableSecureBoot": {true|false},
 "enableVtpm": {true|false},
 "enableIntegrityMonitoring": {true|false}
}
```
Sostituisci quanto segue:
- PROJECT_ID: il progetto contenente la VM su cui abilitare o disabilitare le opzioni Shielded VM.
- ZONE: la zona contenente la VM su cui abilitare o disabilitare le opzioni Shielded VM.
- VM_NAME: la VM su cui abilitare o disabilitare le opzioni Shielded VM.
enableSecureBoot: Compute Engine non abilita Avvio protetto per impostazione predefinita perché i driver non firmati e altri software di basso livello potrebbero non essere compatibili. Se possibile, Google consiglia di abilitare Avvio protetto.

enableVtpm: Compute Engine abilita il Virtual Trusted Platform Module (vTPM) per impostazione predefinita.

enableIntegrityMonitoring: Compute Engine abilita il monitoraggio dell'integrità per impostazione predefinita.
Avvia l'istanza:
```
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/start
```
Sostituisci quanto segue:
- PROJECT_ID: progetto contenente la VM da avviare
- ZONE: zona contenente la VM da avviare
- VM_NAME: VM da avviare

Passaggi successivi

Scopri di più sulle funzionalità di sicurezza offerte da Shielded VM.
Scopri di più sul monitoraggio dell'integrità in un'istanza Shielded VM.

Modifica delle opzioni delle VM schermate su un'istanza VM Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.