Vous pouvez générer de nouvelles clés de chiffrement pour les données au repos si une clé expire ou devient compromise.

Les options suivantes sont disponibles lorsque vous générez de nouvelles clés de chiffrement pour votre cluster vSAN.
  • Si vous générez une nouvelle clé KEK, tous les hôtes dans le cluster vSAN reçoivent la nouvelle clé KEK du serveur KMS. La clé DEK de chaque hôte est rechiffrée avec la nouvelle clé KEK.
  • Si vous choisissez d'effectuer un renouvellement de clés approfondi et de rechiffrer toutes les données en utilisant de nouvelles clés, de nouvelles clés KEK et DEK sont générées. Un reformatage de disque successif est requis pour rechiffrer les données.

Conditions préalables

  • Privilèges requis :
    • Host.Inventory.EditCluster
    • Cryptographer.ManageKeys
  • Vous devez avoir configuré un fournisseur de clés et établi une connexion approuvée entre vCenter Server et le serveur KMS.

Procédure

  1. Accédez au cluster hôte vSAN.
  2. Cliquez sur l'onglet Configurer.
  3. Sous vSAN, sélectionnez Services.
  4. Cliquez sur Générer de nouvelles clés de chiffrement.
  5. Pour générer une nouvelle clé KEK, cliquez sur Appliquer. Les clés DEK sont rechiffrées avec la nouvelle clé KEK.
    • Pour générer une ou des nouvelles clés KEK, et rechiffrer toutes les données dans le cluster vSAN, cochez la case suivante : Rechiffrer également toutes les données du stockage avec de nouvelles clés.
    • Si votre cluster vSAN dispose de ressources limitées, cochez la case Autoriser la redondance réduite. Si vous autorisez une redondance réduite, vos données peuvent être menacées pendant une opération de reformatage du disque.