暗号化された仮想マシンのクローンを作成すると、そのクローンは同じキーで暗号化されます。クローンのキーを変更するには、API を使用してクローンの再暗号化を実行します。vSphere Web Services SDK プログラミング ガイド を参照してください。

クローン作成時には次の操作を実行できます。

  • 暗号化されていない仮想マシンまたはテンプレート仮想マシンから、暗号化された仮想マシンを作成する。
  • 暗号化された仮想マシンまたはテンプレート仮想マシンから、復号化された仮想マシンを作成する。
  • ソース仮想マシンのキーとは異なるキーを使用して、ターゲット仮想マシンを再暗号化する。

暗号化された仮想マシンからインスタント クローン仮想マシンを作成する。この場合、インスタント クローンはソース仮想マシンと同じキーを共有することに注意します。ソース仮想マシンでもインスタント クローン仮想マシンでも、キーを再暗号化することはできません。vSphere Web Services SDK プログラミング ガイド を参照してください。

前提条件

  • KMS との信頼された接続を確立して、デフォルトの KMS を選択します。
  • 暗号化ストレージ ポリシーを作成するか、バンドルされているサンプルの仮想マシン暗号化ポリシーを使用します。
  • 必要な権限:
    • 暗号化操作.クローン作成
    • 暗号化操作.暗号化
    • 暗号化操作.復号化
    • 暗号化操作.再暗号化
    • ホストの暗号化モードが有効でない場合は、暗号化操作.ホストの登録権限も必要です。

手順

  1. vSphere Client インベントリで、仮想マシンに移動して参照します。
  2. 暗号化されたマシンのクローンを作成するには、仮想マシンを右クリックし、[クローン] > [仮想マシンにクローン作成] を選択してから、プロンプトの指示に従います。
    オプション 操作
    名前とフォルダの選択 クローンの名前と作成先を指定します。
    コンピューティング リソースの選択 暗号化された仮想マシンを自分の権限で作成することのできるオブジェクトを指定します。暗号化タスクの前提条件と必要な権限を参照してください。
    ストレージの選択 [仮想ディスク フォーマットの選択]メニューで必要な選択を行い、データストアを選択します。クローン操作の過程でストレージ ポリシーを変更できます。たとえば、暗号化ポリシーを使用している状態から非暗号化ポリシーに変更すると、ディスクが復号化されます。
    クローン オプションの選択 vSphere の仮想マシン管理』ドキュメントの説明に従ってクローン オプションを選択します。
    設定の確認 情報を確認し、[終了] をクリックします。
  3. (オプション) クローンが作成された仮想マシンのキーを変更します。
    デフォルトでは、親と同じキーでクローンが作成された仮想マシンが作成されます。ベスト プラクティスは、複数の仮想マシンが同一のキーを持つことがないよう、クローン作成された仮想マシンのキーを変更することです。
    1. 表層と深層のどちらの再暗号化を行うかを決定します。
      異なる DEK と KEK を使用するには、クローンが作成された仮想マシンの再暗号化(深層)を実行します。異なる KEK を使用するには、クローンが作成された仮想マシンの再暗号化(表層)を実行します。再暗号化(深層)を行うには、仮想マシンをパワーオフする必要があります。再暗号化(表層)は、仮想マシンのスナップショットが作成済みであれば仮想マシンがパワーオン状態でも実行できます。スナップショットが作成済みの暗号化された仮想マシンの再暗号化(表層)は、単一のスナップショット分岐(ディスク チェーン)に対してのみ許可されます。複数のスナップショット分岐はサポートされていません。チェーン内のすべてのリンクを新しい KEK で更新する前に再暗号化(表層)が失敗した場合でも、古い KEK と新しい KEK があれば暗号化された仮想マシンにアクセスできます。
    2. API を使用して、クローンの再暗号化を実行します。vSphere Web Services SDK プログラミング ガイド を参照してください。