加密操作特权控制哪些人可以在哪些对象类型上执行哪些类型的加密操作。

您可以在层次结构中的不同级别设置此特权。例如,如果您在文件夹级别设置了某项特权,则可以将此特权传播到该文件夹中的一个或多个对象。“要求”列中列出的对象必须具有特权组,可以直接具有,也可以通过继承获得。

表 1. 加密操作特权
vSphere Client 中的特权名称 描述 要求 API 中的特权名称
直接访问 允许用户访问加密资源。用户可以导出虚拟机,对虚拟机进行 NFC 访问以及打开与加密虚拟机的控制台会话。 虚拟机、主机或数据存储 Cryptographer.Access
添加磁盘

允许用户向加密虚拟机添加磁盘。

虚拟机 Cryptographer.AddDisk
克隆

允许用户克隆加密虚拟机。

虚拟机 Cryptographer.Clone
解密

允许用户解密虚拟机或磁盘。

虚拟机 Cryptographer.Decrypt
加密

允许用户加密虚拟机或虚拟机磁盘。

虚拟机 Cryptographer.Encrypt
加密新项

允许用户在创建虚拟机时加密虚拟机或在创建磁盘时加密磁盘。

虚拟机文件夹 Cryptographer.EncryptNew
管理加密策略 允许用户使用加密 IO 筛选器管理虚拟机存储策略。默认情况下,使用加密存储策略的虚拟机不使用其他存储策略。 vCenter Server root 文件夹 Cryptographer.ManageEncryptionPolicy
管理 KMS 允许用户管理 vCenter Server 系统的密钥管理服务器。管理任务包括添加和移除 KMS 实例以及与 KMS 建立信任关系。 vCenter Server 系统 Cryptographer.ManageKeyServers
管理密钥 允许用户执行密钥管理操作。不支持通过 vSphere Client 执行这些操作,但可以通过使用 crypto-util 或 API 执行。 vCenter Server root 文件夹 Cryptographer.ManageKeys
迁移 允许用户将加密虚拟机迁移到其他 ESXi 主机。支持使用或不使用 vMotion 和 Storage vMotion 进行迁移。支持迁移到不同的 vCenter Server 实例。 虚拟机 Cryptographer.Migrate
重新加密 允许用户使用其他密钥重新加密虚拟机或磁盘。深层和浅层重新加密操作均需要此特权。 虚拟机 Cryptographer.Recrypt
注册虚拟机 允许用户向 ESXi 主机注册加密虚拟机。 虚拟机文件夹 Cryptographer.RegisterVM
注册主机 允许用户在主机上启用加密。可以在主机上明确启用加密,或者在虚拟机创建过程中启用加密。 主机文件夹(对于独立主机),集群(对于集群中的主机) Cryptographer.RegisterHost
读取 KMS 信息 允许用户列出 vCenter Server 和主机上的 vSphere Native Key Provider。还允许用户获取 vSphere Native Key Provider 信息。 vCenter Server 或主机 Cryptographer.ReadKeyServersInfo