Es posible crear nuevas claves de cifrado de datos en reposo en caso de que una clave caduque o se vea comprometida.
Al generar nuevas claves de cifrado para el clúster de
vSAN, están disponibles las siguientes opciones:
- Si genera una nueva KEK, todos los hosts del clúster de vSAN reciben la nueva KEK del KMS. La DEK de cada host se vuelve a cifrar con la nueva KEK.
- Si elige volver a cifrar todos los datos con claves nuevas, se generan una nueva KEK y una nueva DEK. Para volver a cifrar los datos, es preciso reformatear el disco en forma sucesiva.
Requisitos previos
- Privilegios necesarios:
- (Host.Inventario.EditarClúster)
- (Criptógrafo.AdministrarClaves)
- Se debe haber configurado un proveedor de claves y establecido una conexión de confianza entre vCenter Server y KMS.