保存データの暗号化のキーの有効期限が切れたり、キーが漏えいしたりした場合は、新しいキーを生成できます。

vSAN クラスタの新しい暗号化キーを生成する際には、次のオプションを利用できます。
  • 新しい KEK を生成すると、vSAN クラスタ内のすべてのホストが、新しい KEK を KMS から受け取ります。この新しい KEK を使用して、各ホストの DEK が再暗号化されます。
  • 新しいキーを使用してすべてのデータを再暗号化する場合は、新しい KEK と DEK が生成されます。データを再暗号化するには、ディスクのローリング再フォーマットが必要です。

前提条件

  • 必要な権限:
    • Host.Inventory.EditCluster
    • Cryptographer.ManageKeys
  • あらかじめ、キー プロバイダを設定して、vCenter Server と KMS 間で信頼された接続を確立しておく必要があります。

手順

  1. vSAN ホスト クラスタに移動します。
  2. [構成] タブをクリックします。
  3. [vSAN] の下で [サービス] を選択します。
  4. [新しい暗号化キーの生成] をクリックします。
  5. 新しい KEK を生成するには、[適用] をクリックします。この新しい KEK を使用して、DEK が再暗号化されます。
    • 新しい KEK と DEK を生成して、vSAN クラスタのすべてのデータを再暗号化するには、[新しいキーを使用してストレージのすべてのデータの再暗号化も行う] チェック ボックスを選択します。
    • vSAN クラスタのリソースに制限がある場合は、[冗長性の低下を許可] チェック ボックスを選択します。冗長性の低下を許可した場合、ディスクの再フォーマット操作中にデータにリスクが及ぶおそれがあります。