暗号化タスクは、vCenter Server を含んだ環境でのみ実行することができます。加えて、ESXi ホストでは、ほとんどの暗号化タスクについて、暗号化モードが有効になっている必要があります。このタスクを実行するユーザーには、適切な権限が与えられている必要があります。きめ細かい制御は、一連の暗号化操作権限によって可能となります。仮想マシンの暗号化タスクにホストの暗号化モードへの変更が伴う場合は、さらに別の権限が必要となります。

暗号化の権限とロール

デフォルトでは、vCenter Server の管理者ロールを持つユーザーにはすべての権限が与えられます。非暗号化管理者ロールには、暗号化操作に必要な次の権限がありません。

  • 暗号化操作権限の追加

  • グローバル > 診断

  • ホスト > インベントリ > クラスタへのホストの追加

  • ホスト > インベントリ > スタンドアロン ホストの追加

  • ホスト > ローカル操作 > ユーザー グループの管理

暗号化操作権限を必要としない vCenter Server 管理者には、非暗号化管理者ロールを割り当てることができます。

ユーザーができることをさらに制限するには、非暗号化管理者ロールをクローン作成し、一部の暗号化操作権限のみを持つカスタム ロールを作成します。たとえば、ユーザーに暗号化は許可するが、仮想マシンの復号化は許可しないロールを作成できます。ロールを使用した権限の割り当てを参照してください。

ホストの暗号化モード

仮想マシンを暗号化するためには、ホスト暗号化モードが ESXi ホストで有効になっている必要があります。通常ホスト暗号化モードは自動的に有効になりますが、明示的に有効にすることもできます。現在のホスト暗号化モードは、vSphere Web Client から、または vSphere API を使用して確認したり明示的に設定したりすることができます。

その手順はホスト暗号化モードを明示的に有効にするを参照してください。

ホスト暗号化モードを有効にした後で無効にするのは簡単ではありません。ホスト暗号化モードを無効にするを参照してください。

ホスト暗号化モードを有効にしようと試みる暗号化操作が行われると、変更が自動的に行われます。たとえば、暗号化された仮想マシンをスタンドアロン ホストに追加し、ホスト暗号化モードが有効でないとします。ホストに対する必要な権限があれば、暗号化モードが自動的に有効になります。

クラスタに A、B、C の 3 つの ESXi ホストが存在するとします。このとき、暗号化された仮想マシンをホスト A に追加した場合の結果は、いくつかの要因に左右されます。

  • ホスト A、B、C で暗号化が既に有効な場合、暗号化操作 > 新規の暗号化の権限さえあれば、仮想マシンを作成できます。

  • ホスト A とホスト B は暗号化が有効になっているものの、ホスト C は有効になっていない場合、次の規則が適用されます。

    • 暗号化操作 > 新規の暗号化暗号化操作 > ホストの登録の両方の権限が各ホストにあるとします。その場合、仮想マシンの作成プロセスにより、ホスト C の暗号化が有効になります。暗号化プロセスにより、ホスト C でホスト暗号化モードが有効になり、クラスタ内の各ホストにキーが送られます。

      このケースでは、ホスト C のホスト暗号化を明示的に有効にすることもできます。

    • 仮想マシンまたは仮想マシン フォルダに対し、暗号化操作 > 新規の暗号化権限だけがあるとします。その場合、仮想マシンの作成は成功し、キーがホスト A とホスト B で使用可能になります。ホスト C での暗号化は引き続き無効で、仮想マシン キーもありません。

  • いずれのホストも暗号化が有効でなく、かつホスト A に対して暗号化操作 > ホストの登録権限がある場合、仮想マシンの作成プロセスにより、そのホストでのホストの暗号化が有効になります。それ以外の場合は、エラーになります。

ディスク容量要件

既存の仮想マシンを暗号化する場合、現在使用している仮想マシンの 2 倍以上の容量が必要になります。