IBM Cloud Docs
ベアメタル・サーバー用の Trusted Platform Module (TPM) を使用したセキュア・ブート

ベアメタル・サーバー用の Trusted Platform Module (TPM) を使用したセキュア・ブート

セキュア・ブートでは、ブート・プロセスのすべてのコードのシグニチャーを検査することにより、サーバーが信頼できるソフトウェアで始動するようにします。 そのため、イメージは、署名付きブート・ローダーを使用してセキュア・ブートをサポートする必要があります。 Trusted Platform Module (TPM) は、ハードウェア・ベースのセキュリティー機能を提供します。 TPM はサポート・ソフトウェアを使用して、プラットフォームの保全性を維持し、暗号鍵を生成します。 通常、TPM はセキュア・ブートで使用されます。

2023 年 1 月 31 日 より前にプロビジョンしたサーバーはサポートされません。

セキュア・ブート用にサポートされるイメージ

セキュア・ブートを使用してサーバーをプロビジョンすると、以下のイメージが使用可能になります。 これらの機能は、 x86-64 アーキテクチャーでのみ使用できることに注意してください。

セキュアブート対応OS
画像 アーキテクチャー
Red Hat Enterprise Linux 8 x86-64
SAP向けRed Hat Enterprise Linux 8.4 x86-64
SAP HANA向けRed Hat Enterprise Linux 8.4 x86-64
SUSELinuxEnterprise server (SLES) 15SP3 x86-64
SUSELinuxEnterprise server (SLES) 15SP4 x86-64
Ubuntu 18.04, 20.04, 22.04 x86-64
VMware ESXi 7 x86-64
Windows 2016、2019、2022 x86-64

制限

セキュア・ブートおよび TPM を使用可能にする前に、以下の制限を考慮してください。

  • この機能がリリースされる前にプロビジョンしたサーバーはサポートされません。
  • セキュア・ブートには、署名付き OS が必要です。 署名付き OS なしでセキュア・ブートを有効にすると、サーバーはブートできません。
  • セキュア・ブートおよび TPM は、 x86 サーバーでのみ使用可能です。
  • ESXi イメージで TPM を使用するには、セキュア・ブートが必要です。

TPM でセキュア・ブートを有効にする

サーバーを作成または更新するときに、セキュア・ブートを有効にするかどうかを指定できます。 セキュア・ブートおよび TPM の選択は、プロビジョニング・ページの 「拡張オプション」 で確認できます。

サポートされている既存のサーバーでセキュア・ブートまたは TPM を使用するには、サーバーの詳細ページから使用可能にすることができます。

セキュア・ブートまたは TPM を使用可能にするには、サーバーの電源をオフにする必要があります。

BIOS ファームウェアに保管されているキー

以下のキーは、カスタム・イメージの署名に使用できる BIOS ファームウェアに保管されます。 カスタムイメージの詳細については、カスタムイメージを使い始める を参照してください。

  • マイクロソフト社 UEFI CA 2011
  • Microsoft Windows 実動 PCA 2011
  • SUPERMICRO 製品 CA 2018