キーの有効期限が切れたり、キーが漏えいしたりした場合には、新しい暗号化キーを生成できます。

このタスクについて

vSAN クラスタの新しい暗号化キーを生成する際には、次のオプションを利用できます。

  • 新しい KEK を生成すると、vSAN クラスタ内のすべてのホストが、新しい KEK を KMS から受け取ります。この新しい KEK を使用して、各ホストの DEK が再暗号化されます。

  • 新しいキーを使用してすべてのデータを再暗号化する場合は、新しい KEK と DEK が生成されます。データを再暗号化するには、ディスクのローリング再フォーマットが必要です。

前提条件

  • 必要な権限:

    • Host > Inventory > EditCluster

    • Cryptographer > ManageKeys

  • あらかじめ、KMS クラスタを設定して、vCenter Server と KMS 間で信頼された接続を確立しておく必要があります。

手順

  1. vSphere Web Client で、vSAN ホスト クラスタに移動します。
  2. 構成 タブをクリックします。
  3. [vSAN] の下で 全般 を選択します。
  4. vSAN がオンになっているペインで、新しい暗号化キーの生成 ボタンをクリックします。
  5. 新しい KEK を生成するには、OK をクリックします。この新しい KEK を使用して、DEK が再暗号化されます。

    • 新しい KEK と DEK を生成して、vSAN クラスタのすべてのデータを再暗号化するには、新しいキーを使用してストレージのすべてのデータの再暗号化も行う チェック ボックスを選択します。

    • vSAN クラスタのリソースに制限がある場合は、冗長性の低下を許可 チェック ボックスを選択します。冗長性の低下を許可した場合、ディスクの再フォーマット操作中にデータにリスクが及ぶおそれがあります。