Las tareas de cifrado son solo posibles en los entornos que incluyen vCenter Server. Además, el host ESXi debe tener un modo de cifrado habilitado para la mayoría de las tareas de cifrado. El usuario que realiza la tarea debe contar con los privilegios correspondientes. Un conjunto de privilegios Operaciones criptográficas permite un control detallado. Si las tareas de cifrado de máquinas virtuales requieren un cambio en el modo de cifrado de host, se requieren privilegios adicionales.

Privilegios de cifrado y funciones

De manera predeterminada, el usuario con la función Administrador de vCenter Servertiene todos los privilegios. La función Sin administrador de criptografía no tiene los siguientes privilegios que se requieren para las operaciones de cifrado.

  • Agregue los privilegios Operaciones criptográficas.

  • Global > Diagnósticos

  • Host > Inventario > Agregar host a clúster

  • Host > Inventario > Agregar host independiente

  • Host > Operaciones locales > Administrar grupos de usuarios

Puede asignar la función Sin administrador de criptografía para los administradores de vCenter Server que no necesitan privilegios Operaciones criptográficas.

Para limitar aún más lo que pueden hacer los usuarios, puede clonar la función Sin administrador de criptografía y crear una función personalizada solo con algunos privilegios Operaciones criptográficas. Por ejemplo, puede crear una función que permita a los usuarios cifrar máquinas virtuales, pero no descifrarlas. Consulte Usar funciones para asignar privilegios.

Modo de cifrado de host

Puede cifrar máquinas virtuales solo si el modo de cifrado de host está habilitado para el host ESXi. El modo de cifrado de host a menudo se habilita automáticamente, pero también puede habilitarse de forma explícita. Puede comprobar y establecer de forma intencional el modo de cifrado de host actual desde vSphere Web Client o mediante vSphere API.

Para obtener instrucciones, consulte Habilitar el modo de cifrado de host de forma explícita.

Una vez que el modo de cifrado de host está habilitado, no puede deshabilitarse con facilidad. Consulte Deshabilitar el modo de cifrado de host.

Los cambios automáticos se producen cuando las operaciones de cifrado intentan habilitar el modo de cifrado de host. Por ejemplo, supongamos se agrega una máquina virtual cifrada a un host independiente y que el modo de cifrado de host no está habilitado. Si se tienen los privilegios correspondientes en el host, el modo de cifrado cambia a habilitado en forma automática.

Supongamos que un clúster tiene tres hosts ESXi: A, B y C. El usuario agrega una máquina virtual cifrada al host A. Lo que sucede depende de varios factores.

  • Si ya se ha habilitado el cifrado para los hosts A, B y C, solo se necesitan los privilegios Operaciones criptográficas > Cifrar nuevo para crear la máquina virtual.

  • Si los hosts A y B están habilitados para el cifrado y el C no lo está, el sistema procede de la siguiente manera.

    • Supongamos que tiene los privilegios Operaciones criptográficas > Cifrar nuevo y los privilegios Operaciones de cifrado > Registrar host en cada host. En ese caso, el proceso de creación de la máquina virtual habilitará el cifrado en el host C. El proceso de cifrado habilitará el modo de cifrado de hosts en el host C y envíará la clave a cada host del clúster.

      Para este caso, también se puede habilitar el cifrado de host en el host C de forma explícita.

    • Suponga que solo tiene los privilegios Operaciones criptográficas > Cifrar nuevo en la máquina virtual o en una carpeta de máquinas virtuales. En ese caso, la creación de máquinas virtuales se completará correctamente y la clave estará disponible en el host A y el host B. El host C permanecerá deshabilitado para el cifrado y no tendrá la clave de la máquina virtual.

  • Si ninguno de los hosts tiene el cifrado habilitado y cuenta con los privilegios Operaciones criptográficas > Registrar host en el host A, el proceso de creación de la máquina virtual habilitará el cifrado de hosts en dicho host. De lo contrario, se produce un error.

Requisitos de espacio de disco

Al cifrar una máquina virtual existente, se necesita al menos el doble de espacio que el que utiliza actualmente la máquina virtual.