暗号化タスクは、vCenter Server を含んだ環境でのみ実行することができます。加えて、ESXi ホストでは、ほとんどの暗号化タスクについて、暗号化モードが有効になっている必要があります。このタスクを実行するユーザーには、適切な権限が与えられている必要があります。一連の暗号化操作権限によって、きめ細かな制御が可能となります。仮想マシンの暗号化タスクにホストの暗号化モードへの変更が伴う場合は、さらに別の権限が必要となります。
暗号化の権限とロール
- 暗号化操作権限の追加
暗号化操作権限を必要としない vCenter Server 管理者には、非暗号化管理者ロールを割り当てることができます。
ユーザーが実行できることに追加の制限を設定するには、非暗号化管理者ロールをクローン作成し、一部の暗号化操作権限のみを持つカスタム ロールを作成します。たとえば、ユーザーによる暗号化は許可するが、仮想マシンの復号化は許可しないロールを作成できます。ロールを使用した権限の割り当てを参照してください。
ホストの暗号化モード
ホスト暗号化モードでは、ESXi ホストが仮想マシンと仮想ディスクを暗号化するための暗号化マテリアルを受け入れる準備ができているかどうかを判断します。ホスト上で暗号化処理を実行できるようにするには、ホスト暗号化モードを有効にする必要があります。ホスト暗号化モードは、必要に応じて自動的に有効になる場合もありますが、明示的に有効にすることもできます。現在のホスト暗号化モードは、vSphere Client から、または vSphere API を使用して、確認および明示的な設定ができます。
ホスト暗号化モードを有効にすると、vCenter Server がホストにホスト キーをインストールし、ホストを暗号で「安全」な状態にすることができます。ホスト キーがインストールされると、vCenter Server によるキー プロバイダからのキーの取得や、ESXi ホストへのキーのプッシュなど、他の暗号化処理を続行できます。
「セーフ」モードでは、ユーザー ワールド(つまり hostd)と暗号化された仮想マシンのコア ダンプが暗号化されます。非暗号化仮想マシンでは、コア ダンプは暗号化されません。
暗号化されたコア ダンプと VMware テクニカル サポートでの使用方法については、VMware のナレッジベースの記事 (http://kb.vmware.com/kb/2147388) を参照してください。
手順については ホスト暗号化モードを明示的に有効にする を参照してください。
ホスト暗号化モードを有効にした後で無効にするのは簡単ではありません。API を使用したホスト暗号化モードの無効化 を参照してください。
ホスト暗号化モードを有効にしようと試みる暗号化操作が行われると、変更が自動的に行われます。たとえば、暗号化された仮想マシンをスタンドアローン ホストに追加し、ホスト暗号化モードが有効でないとします。ホストに対する必要な権限があれば、暗号化モードが自動的に有効になります。
クラスタに A、B、C の 3 台の ESXi ホストがあるとします。このとき、暗号化された仮想マシンをホスト A に作成する場合の結果は、いくつかの要因に左右されます。
- ホスト A、B、C で暗号化が既に有効な場合、 の権限さえあれば、仮想マシンを作成できます。
- ホスト A とホスト B は暗号化が有効になっているものの、ホスト C は有効になっていない場合、次の規則が適用されます。
このケースでは、ホスト C のホスト暗号化を明示的に有効にすることもできます。
と の両方の権限が各ホストにあるとします。その場合、仮想マシンの作成プロセスにより、ホスト C の暗号化が有効になります。暗号化プロセスにより、ホスト C でホスト暗号化モードが有効になり、クラスタ内の各ホストにキーが送られます。 - 仮想マシンまたは仮想マシン フォルダに対し、 権限だけがあるとします。その場合、仮想マシンの作成は成功し、キーがホスト A とホスト B で使用可能になります。ホスト C での暗号化は引き続き無効で、仮想マシン キーもありません。
- いずれのホストも暗号化が有効でなく、かつホスト A に対して 権限がある場合、仮想マシンの作成プロセスにより、そのホストでのホストの暗号化が有効になります。それ以外の場合は、エラーになります。
- vSphere API を使用して、クラスタの暗号化モードを「強制的に有効にする」ように設定することもできます。強制的に有効にすると、クラスタ内のすべてのホストが「安全」に暗号化されます。つまり、vCenter Server のホストにホスト キーがインストールされます。vSphere Web Services SDK プログラミング ガイド を参照してください。
ディスク容量要件
既存の仮想マシンを暗号化する場合、現在使用している仮想マシンの 2 倍以上の容量が必要になります。