必要に応じて、VMware Cloud on AWS クラスタの新しいキー暗号化キー (KEK) を生成できます。

このプロセスは、キー再生成(表層)の実行と呼ばれます。お客様マスター キー (CMK) またはディスクの暗号化キー (DEK) の変更はサポートされていません。CMK または DEK を変更する必要がある場合、新しいクラスタを作成し、仮想マシンおよびデータをクラスタに移行してください

手順

  1. クラウド SDDC の vSphere Client にログインします。
  2. vSAN クラスタに移動します。
  3. [設定] タブをクリックします。
  4. [vSAN] の下で [サービス] を選択します。
  5. [新しい暗号化キーの生成] をクリックします。
  6. 新しい KEK を生成するには、[適用] をクリックします。
    ディスクの暗号化キー (DEK) は、新しい KEK で再暗号化されます。

例: このタスクに VMware PowerCLI を使用する

cloudadmin パスワードがわかっている場合は、次のような PowerCLI コマンドを使用して、vSAN サービスのキー再生成(表層)を行うことができます。この例では、https://code.vmware.com/samples/2200#code からダウンロードできる Vsan-EncryptionRekey.psl コード サンプルに基づいて、SDDC vCenter Server vcenter.sddc-54-200-165-35.vmwarevmc.comCluster-1 で実行されている vSAN サービスのキーを再生成します。

PS > ./Vsan-EncryptionRekey.psl -vCenter vcenter.sddc-54-200-165-35.vmwarevmc.com -User
      cloudadmin@vmc.local -Password cloudadmin-password -ReKey shallow -ClusterName Cluster-1