Es posible crear nuevas claves de cifrado de datos en reposo en caso de que una clave caduque o se vea comprometida.

Al generar nuevas claves de cifrado para el clúster de vSAN, están disponibles las siguientes opciones:
  • Si genera una nueva KEK, todos los hosts del clúster de vSAN reciben la nueva KEK del KMS. La DEK de cada host se vuelve a cifrar con la nueva KEK.
  • Si elige volver a cifrar todos los datos con claves nuevas, se generan una nueva KEK y una nueva DEK. Para volver a cifrar los datos, es preciso reformatear el disco en forma sucesiva.

Requisitos previos

  • Privilegios necesarios:
    • Host.Inventory.EditCluster (Host.Inventario.EditarClúster)
    • Cryptographer.ManageKeys(Criptógrafo.AdministrarClaves)
  • Se debe haber configurado un proveedor de claves y establecido una conexión de confianza entre vCenter Server y KMS.

Procedimiento

  1. Desplácese hasta el clúster de hosts de vSAN.
  2. Haga clic en la pestaña Configurar.
  3. En vSAN, seleccione Servicios.
  4. Haga clic en Generar nuevas claves de cifrado.
  5. Para generar una nueva KEK, haga clic en Aplicar. Las DEK se volverán a cifrar con la nueva KEK.
    • Para generar una nueva KEK y nuevas DEK, y para volver a cifrar todos los datos del clúster de vSAN, active la siguiente casilla: También vuelva a cifrar todos los datos en el almacenamiento con nuevas claves.
    • Si el clúster de vSAN tiene recursos limitados, marque la casilla Permitir redundancia reducida. Si permite la redundancia reducida, es posible que los datos estén en riesgo durante la operación de reformateo de disco.