vSAN verschlüsselt alle ruhenden Benutzerdaten in VMware Cloud on AWS.

Auf jedem in Ihrem SDDC bereitgestellten Cluster ist die Verschlüsselung standardmäßig aktiviert und kann nicht deaktiviert werden.

Wenn Sie einen Cluster bereitstellen, verwendet vSAN AWS Key Management Service (AWS KMS) zum Generieren eines Kunden-Masterschlüssels (Customer Master Key – CMK), der von AWS KMS gespeichert wird. Anschließend generiert vSAN einen Schlüssel-Verschlüsselungsschlüssel (KEK) und verschlüsselt ihn mithilfe des CMK. Der KEK wird seinerseits zum Verschlüsseln von Festplatten-Verschlüsselungsschlüsseln (DEKs) für jede vSAN-Festplatte verwendet.

Sie können die KEKs entweder mithilfe der vSAN-API oder über die vSphere Client-Benutzeroberfläche ändern. Dieser Prozess ist als flache erneute Schlüsselerstellung bekannt. Das Ändern des CMK oder von DEKs wird nicht unterstützt. Wenn Sie den CMK oder DEKs ändern müssen, erstellen Sie einen neuen Cluster und migrieren Sie Ihre VMs und Daten zu diesem neuen Cluster.