Sie können neue Verschlüsselungsschlüssel für ruhende Daten generieren, falls ein Schlüssel abläuft oder kompromittiert wird.
Die folgenden Optionen stehen zur Verfügung, wenn Sie neue Verschlüsselungsschlüssel für Ihren
vSAN-Cluster generieren.
- Wenn Sie einen neuen KEK generieren, erhalten alle Hosts im vSAN-Cluster den neuen KEK vom KMS. Der DEK eines jeden Hosts wird mit dem neuen KEK neu verschlüsselt.
- Wenn Sie alle Daten mit neuen Schlüsseln neu verschlüsseln möchten, werden ein neuer KEK und neue DEKs generiert. Eine rollierende Neuformatierung der Festplatten ist erforderlich, um die Daten neu zu verschlüsseln.
Voraussetzungen
- Erforderliche Rechte:
- Sie müssen einen Schlüsselanbieter eingerichtet und eine vertrauenswürdige Verbindung zwischen vCenter Server und dem KMS hergestellt haben.