暗号化操作権限は、どのユーザーがどのタイプの暗号化操作をどのタイプのオブジェクトに対して実行できるかを制御します。

この権限は、階層内の異なるレベルで設定できます。たとえば、フォルダ レベルで権限を設定した場合、その権限をフォルダ内の 1 つ以上のオブジェクトに伝達できます。[必要とするオブジェクト] 列に示されるオブジェクトには、直接または継承のいずれか方法で権限が設定されている必要があります。

表 1. 暗号化操作権限

権限名

説明

必要とするオブジェクト

暗号化操作 > 直接アクセス

暗号化されたリソースへのアクセスをユーザーに許可します。たとえば、ユーザーは、仮想マシンのエクスポート、仮想マシンへの NFC アクセスなどを実行できます。

仮想マシン、ホスト、またはデータストア

暗号化操作 > ディスクの追加

暗号化された仮想マシンへのディスクの追加をユーザーに許可します。

仮想マシン

暗号化操作 > クローン作成

暗号化された仮想マシンのクローン作成をユーザーに許可します。

仮想マシン

暗号化操作 > 復号化

仮想マシンまたはディスクの復号化をユーザーに許可します。

仮想マシン

暗号化操作 > 暗号化

仮想マシンまたは仮想マシン ディスクの暗号化をユーザーに許可します。

仮想マシン

暗号化操作 > 新規暗号化

仮想マシン作成中の仮想マシンの暗号化、またはディスク作成中のディスクの暗号化をユーザーに許可します。

仮想マシンのフォルダ

暗号化操作 > 暗号化ポリシーの管理

暗号化 IO フィルタで仮想マシン ストレージ ポリシーを管理することをユーザーに許可します。デフォルトでは、暗号化 ストレージ ポリシーを使用する仮想マシンは、他のストレージ ポリシーを使用しません。

vCenter Server ルート フォルダ

暗号化操作 > キー サーバの管理

vCenter Server システムのキー管理サーバの管理をユーザーに許可します。管理タスクには、KMS インスタンスの追加および削除、KMS との信頼関係の確立などが含まれます。

vCenter Server システム

暗号化操作 > キーの管理

キー管理操作の実行をユーザーに許可します。これらの操作を vSphere Web Client から実行することはサポートされていませんが、crypto-util または API を使用して実行できます。

vCenter Server ルート フォルダ

暗号化操作 > 移行

暗号化された仮想マシンを別の ESXi ホストに移行することをユーザーに許可します。vMotion を使用した移行、または使用しない移行と、Storage vMotion をサポートします。別の vCenter Server インスタンスへの移行はサポートしません。

仮想マシン

暗号化操作 > 再暗号化

異なるキーを持つ仮想マシンまたはディスクの再暗号化をユーザーに許可します。この権限は、深い再暗号化と浅い再暗号化の両方の操作に必要です。

仮想マシン

暗号化操作 > 仮想マシンの登録

暗号化された仮想マシンを ESXi ホストに登録することをユーザーに許可します。

仮想マシンのフォルダ

暗号化操作 > ホストの登録

ホストの暗号化を有効にすることをユーザーに許可します。暗号化をホストで明示的に有効にするか、仮想マシンの作成プロセスで有効にできます。

スタンドアロン ホストのホスト フォルダ、クラスタ内のホストのクラスタ