Les tâches de chiffrement sont possibles uniquement dans les environnements qui incluent vCenter Server. De plus, le mode de chiffrement doit être activé sur l'hôte ESXi pour la plupart des tâches de chiffrement. L'utilisateur qui exécute la tâche doit disposer des privilèges appropriés. Un ensemble de privilèges Opérations de chiffrement permet d'effectuer un contrôle plus précis. Si des tâches de chiffrement de machines virtuelles nécessitent de modifier le mode de chiffrement de l'hôte, des privilèges supplémentaires sont requis.

Privilèges de chiffrement et rôles

Par défaut, l'utilisateur ayant le rôle d'vCenter Serveradministrateur détient tous les privilèges. Le rôle Aucun administrateur de chiffrement ne dispose pas des privilèges suivant qui sont requis pour les opérations de chiffrement.

  • Ajoutez des privilèges Opérations de chiffrement.

  • Global > Diagnostics

  • Hôte > Inventaire > Ajouter hôte au cluster

  • Hôte > Inventaire > Ajouter un hôte autonome

  • Hôte > Opérations locales > Gérer des groupes d'utilisateurs

Vous pouvez attribuer le rôle Aucun administrateur de chiffrement à des vCenter Server administrateurs qui n'ont pas besoin de privilèges Opérations de chiffrement.

Pour limiter davantage ce que les utilisateurs sont autorisés à faire, vous pouvez cloner le rôle Aucun administrateur de chiffrement et créer un rôle personnalisé avec certains privilèges Opérations de chiffrement uniquement. Par exemple, vous pouvez créer un rôle qui permet aux utilisateurs de chiffrer des machines virtuelles, mais de ne pas les déchiffrer. Reportez-vous à Utilisation des rôles pour assigner des privilèges.

Mode de chiffrement de l'hôte

Vous ne pouvez chiffrer de machines virtuelles que si le mode de chiffrement de l'hôte est activé pour l'hôte ESXi. Le mode de chiffrement de l'hôte est automatiquement activé, mais il peut être activé explicitement. Vous pouvez vérifier et définir explicitement le mode de chiffrement de l'hôte actuel depuis vSphere Web Client ou à l'aide de vSphere API.

Voir Activer explicitement le mode de chiffrement de l'hôte pour des instructions.

Une fois le mode de chiffrement de l'hôte activé, celui-ci ne peut pas être désactivé facilement. Reportez-vous à Désactiver le mode de chiffrement de l'hôte.

Des modifications automatiques se produisent lorsque des opérations de chiffrement tentent d'activer le mode de chiffrement de l'hôte. Supposez par exemple que vous ajoutez une machine virtuelle chiffrée à un hôte autonome. Le mode de chiffrement de l'hôte n'est pas activé. Si vous disposez des privilèges requis sur l'hôte, le mode de chiffrement devient automatiquement activé.

Supposez qu'un cluster dispose de trois hôtes ESXi, A, B et C. Vous ajoutez une machine virtuelle chiffrée à l'hôte A. L'effet produit dépend de plusieurs facteurs.

  • Si le chiffrement pour les hôtes A, B et C est déjà activé, vous avez uniquement besoin des privilèges Opérations de chiffrement > Chiffrer nouvel élément pour pouvoir créer la machine virtuelle.

  • Si les hôtes A et B sont activés pour le chiffrement et que C n'est pas activé, le système procède de la manière suivante.

    • Supposons que vous possédiez les privilèges Opérations de chiffrement > Chiffrer nouvel élément et Opérations cryptographiques > Enregistrer l'hôte sur chaque hôte. Dans ce cas, le processus de création de la machine virtuelle active le chiffrement sur l'hôte C. Le processus de chiffrement active le mode de chiffrement de l'hôte sur l'hôte C et envoie la clé à chaque hôte dans le cluster.

      Dans ce cas, vous pouvez également activer explicitement le chiffrement de l'hôte sur l'hôte C.

    • Supposons que vous disposiez des privilèges Opérations cryptographiques > Chiffrer nouvel élément uniquement sur la machine virtuelle ou le dossier de machines virtuelles. Dans ce cas, la création de la machine virtuelle aboutit et la clé devient disponible sur l'hôte A et l'hôte B. Le chiffrement reste désactivé sur l'hôte C et il n'obtient pas la clé de la machine virtuelle.

  • Si aucun des hôtes n'est activé pour le chiffrement et que vous disposez des privilèges Opérations de chiffrement > Enregistrer l'hôte sur l'hôte A, le processus de création de machine virtuelle active le chiffrement de l'hôte sur cet hôte. Sinon, une erreur se produit.

Conditions requises en matière d'espace disque

Lorsque vous chiffrez une machine virtuelle existante, vous avez besoin d'au moins deux fois l'espace en cours d'utilisation par la machine virtuelle.