Vous pouvez générer de nouvelles clés de chiffrement de clé (KEK, Key Encryption Key) pour votre cluster VMware Cloud on AWS si nécessaire.

Ce processus est appelé un renouvellement de clés superficiel. La modification de la CMK ou de la DEK n'est pas prise en charge. Si vous devez modifier la CMK ou la DEK, créez un cluster et migrez vos machines virtuelles et vos données vers celle-ci

Procédure

  1. Connectez-vous à vSphere Client pour votre SDDC cloud.
  2. Accédez au cluster vSAN.
  3. Cliquez sur l'onglet Configurer.
  4. Sous vSAN, sélectionnez Services.
  5. Cliquez sur Générer de nouvelles clés de chiffrement.
  6. Cliquez sur Appliquer pour générer de nouvelles clés KEK.
    Les clés de chiffrement de disque (DEK, Disk Encryption Key) sont rechiffrées avec les nouvelles clés KEK.

Exemple : Utilisation de VMware PowerCLI pour cette tâche

Si vous connaissez le mot de passe cloudadmin, vous pouvez utiliser une commande PowerCLI comme celle-ci pour effectuer un renouvellement de clés superficiel pour le service vSAN. Cet exemple, basé sur le modèle de code Vsan-EncryptionRekey.psl que vous pouvez télécharger à partir de https://code.vmware.com/samples/2200#code, génère une nouvelle clé du service vSan qui s'exécute sur le Cluster-1 de l'instance de vCenter du SDDCvcenter.sddc-54-200-165-35.vmwarevmc.com : 

PS > ./Vsan-EncryptionRekey.psl -vCenter vcenter.sddc-54-200-165-35.vmwarevmc.com -User
      cloudadmin@vmc.local -Password cloudadmin-password -ReKey shallow -ClusterName Cluster-1