vSAN cifra todos los datos de usuario en reposo en VMware Cloud on AWS.

El cifrado está habilitado de forma predeterminada en todos los clústeres implementados en el SDDC y no se puede desactivar.

Al implementar un clúster, vSAN utiliza el servicio de administración de claves de AWS (AWS KMS) para generar una clave maestra de cliente (CMK), que se almacena en AWS KMS. A continuación, vSAN genera una clave de cifrado de claves (KEK) y la cifra con la CMK. A su vez, la KEK se utiliza para cifrar las claves de cifrado de discos (DEK) generadas para cada disco de vSAN.

Puede cambiar las KEK mediante la API de vSAN o la interfaz de usuario de vSphere Client. Este proceso se conoce como regeneración de claves superficial. No se admite el cambio de la CMK o de las DEK. Si debe cambiar la CMK o las DEK, cree un nuevo clúster y migre las máquinas virtuales y los datos a él.