vSAN chiffre toutes les données utilisateur stockées dans VMware Cloud on AWS.

Le chiffrement est activé par défaut sur chaque cluster déployé sur votre SDDC et ne peut pas être désactivé.

Lorsque vous déployez un cluster, vSAN utilise le service AWS KMS (AWS Key Management Service) pour générer une clé principale de client (CMK, Customer Master Key), qui est stockée par AWS KMS. vSAN génère une clé de chiffrement de clé (KEK, Key Encryption Key) et la chiffre en utilisant la clé CMK. La clé KEK est à son tour utilisée pour chiffrer les clés de chiffrement de disque (DEK, Disk Encryption Key) générées pour chaque disque vSAN.

Vous pouvez modifier les clés KEK à l'aide de l'API vSAN ou de l'interface utilisateur de vSphere Client. Ce processus est appelé un renouvellement de clés superficiel. La modification de la CMK ou de la DEK n'est pas prise en charge. Si vous devez modifier la CMK ou la DEK, créez un cluster et migrez vos machines virtuelles et vos données vers celle-ci.