vSAN codifica tutti i dati degli utenti non attivi in VMware Cloud on AWS.

La crittografia è abilitata per impostazione predefinita in ogni cluster distribuito nell'SDDC e non può essere disattivata.

Quando si distribuisce un cluster, vSAN utilizza il servizio di gestione delle chiavi AWS (Key Management Service, AWS KMS) per generare una chiave master del cliente (Customer Master Key, CMK), che viene archiviata da AWS KMS. vSAN quindi genera una chiave di crittografia a chiave (KEK) e la codifica utilizzando la CMK. A sua volta, la KEK viene utilizzata per codificare le DEK (Disk Encryption Keys) generate per ogni disco vSAN.

È possibile modificare le KEK utilizzando l'API di vSAN o l'interfaccia utente vSphere Client. Questa procedura è nota come esecuzione della reimpostazione superficiale delle chiavi. La modifica della CMK o delle DEK non è supportata. Se è necessario modificare la CMK o le DEK, creare un nuovo cluster e migrare le macchine virtuali e i dati a tale cluster.