Requisitos previos y privilegios necesarios para tareas de cifrado

Las tareas de cifrado son solo posibles en los entornos que incluyen vCenter Server. Además, el host ESXi debe tener un modo de cifrado habilitado para la mayoría de las tareas de cifrado. El usuario que realiza la tarea debe contar con los privilegios correspondientes. Un conjunto de privilegios Operaciones criptográficas permite un control detallado. Si las tareas de cifrado de máquinas virtuales requieren un cambio en el modo de cifrado de host, se requieren privilegios adicionales.

Privilegios de cifrado y funciones

De manera predeterminada, el usuario con la función Administrador de vCenter Servertiene todos los privilegios. La función Sin administrador de criptografía no tiene los siguientes privilegios que se requieren para las operaciones de cifrado.

Agregue los privilegios Operaciones criptográficas.
Global.Diagnósticos
Host.Inventario.Agregar host a clúster
Host.Inventario.Agregar host independiente
Host.Operaciones locales.Administrar grupos de usuarios

Puede asignar la función Sin administrador de criptografía para los administradores de vCenter Server que no necesitan privilegios Operaciones criptográficas.

Para limitar aún más lo que pueden hacer los usuarios, puede clonar la función Sin administrador de criptografía y crear una función personalizada solo con algunos privilegios Operaciones criptográficas. Por ejemplo, puede crear una función que permita a los usuarios cifrar máquinas virtuales, pero no descifrarlas. Consulte Usar funciones para asignar privilegios.

Modo de cifrado de host

El modo de cifrado de host determina si un host ESXi está listo para aceptar material de cifrado con el fin de cifrar las máquinas virtuales y los discos virtuales. Para realizar las operaciones de cifrado en un host, debe habilitarse el modo de cifrado de host. El modo de cifrado de host a menudo se habilita automáticamente, pero también puede habilitarse de forma explícita. Puede comprobar y establecer de forma intencional el modo de cifrado de host actual desde vSphere Client o mediante vSphere API.

Cuando se habilita el modo de cifrado de host, vCenter Server instala una clave de host en el host, lo que garantiza que este está "seguro" desde el punto de vista del cifrado. Tras establecer la clave de host, se pueden realizar otras operaciones de cifrado, incluidas la obtención por parte de vCenter Server de claves del clúster del servidor de administración de claves y la inserción de estas en los hosts ESXi.

En el modo "seguro", se cifran los volcados de núcleos de los ámbitos de usuario (es decir, hostd) y las máquinas virtuales cifradas. No se cifran los volcados de núcleos de las máquinas virtuales sin cifrar.

Para obtener más información sobre los volcados de núcleos cifrados y la forma en que los utiliza el soporte técnico de VMware, consulte el artículo de la base de conocimientos de VMware en http://kb.vmware.com/kb/2147388.

Para obtener instrucciones, consulte Habilitar el modo de cifrado de host de forma explícita.

Una vez que el modo de cifrado de host está habilitado, no puede deshabilitarse con facilidad. Consulte Deshabilitar el modo de cifrado de host.

Los cambios automáticos se producen cuando las operaciones de cifrado intentan habilitar el modo de cifrado de host. Por ejemplo, supongamos se agrega una máquina virtual cifrada a un host independiente y que el modo de cifrado de host no está habilitado. Si se tienen los privilegios correspondientes en el host, el modo de cifrado cambia a habilitado en forma automática.

Supongamos que el clúster tiene tres hosts ESXi: A, B y C. Debe crear una máquina virtual cifrada en el host A. Lo que suceda dependerá de varios factores.

Si ya se ha habilitado el cifrado para los hosts A, B y C, solo se necesitan los privilegios Operaciones criptográficas.Cifrar nuevo para crear la máquina virtual.
Si los hosts A y B están habilitados para el cifrado y el C no lo está, el sistema procede de la siguiente manera.
- Supongamos que tiene los privilegios Operaciones criptográficas.Cifrar nuevo y los privilegios Operaciones de cifrado.Registrar host en cada host. En ese caso, el proceso de creación de la máquina virtual habilitará el cifrado en el host C. El proceso de cifrado habilitará el modo de cifrado de hosts en el host C y envíará la clave a cada host del clúster.
  Para este caso, también se puede habilitar el cifrado de host en el host C de forma explícita.
- Suponga que solo tiene los privilegios Operaciones criptográficas.Cifrar nuevo en la máquina virtual o en una carpeta de máquinas virtuales. En ese caso, la creación de máquinas virtuales se completará correctamente y la clave estará disponible en el host A y el host B. El host C permanecerá deshabilitado para el cifrado y no tendrá la clave de la máquina virtual.
Si ninguno de los hosts tiene el cifrado habilitado y cuenta con los privilegios Operaciones criptográficas.Registrar host en el host A, el proceso de creación de la máquina virtual habilitará el cifrado de hosts en dicho host. De lo contrario, se produce un error.

Requisitos de espacio de disco

Al cifrar una máquina virtual existente, se necesita al menos el doble de espacio que el que utiliza actualmente la máquina virtual.