vSAN 会静态加密 VMware Cloud on AWS 中的所有用户数据。

默认情况下,在 SDDC 中部署的每个群集上启用加密,并且无法禁用加密。

部署群集时,vSAN 使用 AWS 密钥管理服务 (AWS KMS) 生成客户主密钥 (CMK),该密钥由 AWS KMS 存储。vSAN 然后生成密钥加密密钥 (KEK),并使用 CMK 将其加密。KEK 反过来用于加密针对每个 vSAN 磁盘生成的磁盘加密密钥 (DEK)。

您可以使用 vSAN API 或 vSphere Client UI 更改 KEK。此过程称为执行浅层重新加密。 不支持更改 CMK 或 DEK。如果您必须更改 CMK 或 DEK,请创建新的群集并将虚拟机和数据迁移到其中。