vSAN では、VMware Cloud on AWS で保存されているすべてのユーザー データを暗号化します。

暗号化は、SDDC で展開される各クラスタにおいてデフォルトで有効になっており、無効にすることはできません。

クラスタを展開する際に、vSAN は、AWS キー マネージメント サービス (AWS KMS) を使用してお客様マスター キー (CMK) を生成します。この CMK は、AWS KMS によって格納されます。そして、vSAN はキー暗号化キー (KEK) を生成し、CMK を使用して暗号化します。次に KEK を使用して vSAN ディスクごとに生成されるディスク暗号化キー (DEK) を暗号化します。

vSAN API または vSphere Client ユーザー インターフェイスを使用して、KEK を変更できます。このプロセスは、キー再生成(表層)の実行と呼ばれます。お客様マスター キー (CMK) またはディスクの暗号化キー (DEK) の変更はサポートされていません。CMK または DEK を変更する必要がある場合、新しいクラスタを作成し、仮想マシンおよびデータをクラスタに移行してください。