Você pode gerar novas chaves de criptografia para dados em repouso, caso uma chave expire ou seja comprometida.

As opções a seguir estão disponíveis quando você gera novas chaves de criptografia para o cluster vSAN.
  • Se você gerar uma nova KEK, todos os hosts no cluster vSAN receberão a nova KEK do KMS. A DEK de cada host é criptografada novamente com a nova KEK.
  • Se você optar por criptografar novamente todos os dados usando novas chaves, uma nova KEK e novas DEKs serão geradas. É necessária uma reformatação do disco sem interrupção para criptografar novamente os dados.

Pré-requisitos

  • Privilégios necessários:
    • Host.Inventário.EditCluster
    • Criptógrafo.ManageKeys
  • Você deve ter configurado um provedor de chaves e estabelecido uma conexão confiável entre vCenter Server e o KMS.

Procedimento

  1. Navegue até o cluster de host vSAN.
  2. Clique na guia Configurar (Configure).
  3. Em vSAN, selecione Serviços (Services).
  4. Clique em Gerar novas chaves de criptografia (Generate New Encryption Keys).
  5. Para gerar uma nova KEK, clique em Aplicar (Apply). As DEKs são criptografadas novamente com a nova KEK.
    • Para gerar uma nova KEK e novas DEKs e criptografar novamente todos os dados no cluster vSAN, marque a seguinte caixa de seleção: Também criptografar novamente todos os dados no armazenamento usando novas chaves (Also re-encrypt all data on the storage using new keys)
      Observação: Essa "deep-rekey" não é compatível com o vSphere 8.0 se vSAN Express Storage Architecture estiver ativado no cluster.
      .
    • Se o cluster vSAN tiver recursos limitados, marque a caixa de seleção Permitir redundância reduzida (Allow Reduced Redundancy). Se você permitir redundância reduzida, seus dados poderão estar em risco durante a operação de reformatação do disco.