浅层重新加密或重新加密（也称为 shallow recrypt（浅层重新加密））支持在加密虚拟机上使用新的（和不同的）密钥加密密钥 (KEK)。可以在虚拟机打开电源时执行重新加密操作。如果虚拟机存在快照，也可以执行重新加密。仅允许在单个快照分支（磁盘链）上对具有快照的加密虚拟机执行重新加密。不支持多个快照分支。如果重新加密在使用新 KEK 更新链中的所有链接之前失败，则仍然可以访问加密虚拟机（如果具有新旧 KEK）。