使用するキー プロバイダ、外部キー サーバ、vCenter Server システム、および ESXi ホストによって暗号化ソリューションが提供される可能性があります。

次のコンポーネントは、vSphere 仮想マシンの暗号化を構成します。

  • KMS とも呼ばれる外部キー サーバ(vSphere Native Key Provider では必要ありません)
  • vCenter Server
  • ESXi ホスト

キー サーバ

キー サーバは、キー プロバイダに関連付けられているキー管理相互運用性プロトコル (KMIP) の管理サーバです。標準キー プロバイダと信頼済みキー プロバイダには、キー サーバが必要です。vSphere Native Key Provider にはキー サーバは必要ではありません。次の表は、キー プロバイダとキー サーバの相互作用の違いについて説明します。

表 1. キー プロバイダとキー サーバの相互作用
キー プロバイダ キー サーバとの相互作用
標準のキー プロバイダ 標準のキー プロバイダは、vCenter Server を使用してキー サーバにキーを要求します。キー サーバはキーを生成して保存し、ESXi ホストに配布するために vCenter Server に渡します。
信頼済みキー プロバイダ 信頼済みキー プロバイダはキー プロバイダ サービスを使用します。これにより、信頼できる ESXi ホストはキーを直接取得できます。vSphere 信頼機関 キー プロバイダ サービスについてを参照してください。
vSphere Native Key Provider vSphere Native Key Provider にはキー サーバは必要ではありません。vCenter Server はプライマリ キーを生成し、ESXi ホストにプッシュします。次に、ESXi ホストは、データ暗号化キーを生成します(vCenter Server に接続されていない場合でも)。vSphere Native Key Provider の概要を参照してください。

vSphere Client または vSphere API を使用することで、キー プロバイダ インスタンスを vCenter Server システムに追加できます。複数のキー プロバイダ インスタンスを使用する場合は、すべてが同一ベンダーのインスタンスであることと、キーを複製することが必要です。

複数の環境で複数のキー サーバ ベンダーを使用する環境では、各キー サーバに 1 つのキー プロバイダを追加し、デフォルトのキー プロバイダを指定できます。最初に追加したキー プロバイダがデフォルトのキー プロバイダになります。後から明示的にデフォルトを指定できます。

KMIP クライアントである vCenter Server は、Key Management Interoperability Protocol (KMIP) を使用することで任意のキー サーバを簡単に使用することができます。

vCenter Server

次の表は、暗号化プロセスにおける vCenter Server の役割を示します。

表 2. キー プロバイダと vCenter Server
キー プロバイダ vCenter Server の役割 権限の確認方法
標準のキー プロバイダ キー サーバにログインするための資格情報を持っているのは vCenter Server だけです。ESXi ホストには、この認証情報がありません。vCenter Server はキー サーバからキーを取得し、ESXi ホストに渡します。vCenter Server はキー サーバのキーを格納しませんが、キー ID のリストは保持します。 vCenter Server は、暗号化操作を実行するユーザーの権限をチェックします。
信頼済みキー プロバイダ vSphere 信頼機関 は、vCenter Server がキー サーバからキーを要求する必要をなくし、ワークロード クラスタの認証状態を条件として暗号化キーにアクセスできるようにします。信頼済みのクラスタと信頼機関クラスタには、別の vCenter Server システムを使用する必要があります。 vCenter Server は、暗号化操作を実行するユーザーの権限をチェックします。TrustedAdmins SSO グループのメンバーであるユーザーだけが管理操作を実行できます。
vSphere Native Key Provider vCenter Server はキーを生成します。 vCenter Server は、暗号化操作を実行するユーザーの権限をチェックします。

vSphere Client を使用して、ユーザーのグループに暗号化操作権限を割り当てるか非暗号化管理者カスタム ロールを割り当てることができます。暗号化タスクの前提条件と必要な権限を参照してください。

vCenter Server は、vSphere Client イベント コンソールから表示、エクスポートできるイベントのリストに暗号化イベントを追加します。各イベントには、ユーザー、日時、キー ID、および暗号化操作が示されています。

キー サーバから取得するキーは、キー暗号化キー (KEK) として使用されます。

ESXi ホスト

ESXi ホストは、暗号化ワークフローのいくつかの場面で使用されます。

表 3. ESXi ホスト
キー プロバイダ ESXi ホストの側面
標準のキー プロバイダ
  • vCenter Server は、キーが必要になった ESXi ホストにキーを渡します。ホストは、暗号化モードが有効になっている必要があります。現在のユーザーのロールに、暗号化操作権限が含まれている必要があります。暗号化タスクの前提条件と必要な権限および暗号化操作権限を参照してください。
  • 暗号化された仮想マシンのゲスト データが、ディスクへの保存時に確実に暗号化されるようにします。
  • 暗号化された仮想マシンのゲスト データが、暗号化されないままネットワークを通じて送信されないようにします。
信頼済みキー プロバイダ ESXi ホストは、信頼できるホストであるか信頼機関のホストであるかに応じて、vSphere 信頼機関 サービスを実行します。信頼できる ESXi ホストは、信頼機関のホストによって公開されたキー プロバイダを使用して暗号化できるワークロード仮想マシンを実行します。信頼済みインフラストラクチャの概要を参照してください。
vSphere Native Key Provider ESXi ホストは、vSphere Native Key Provider から直接キーを取得します。

このドキュメントでは、ESXi ホストによって生成されるキーのことを内部キーと呼びます。このキーは通常、データ暗号化キー (DEK) として使用されます。