保存データの暗号化のキーの有効期限が切れたり、キーが漏えいしたりした場合は、新しいキーを生成できます。
vSAN クラスタの新しい暗号化キーを生成する際には、次のオプションを利用できます。
- 新しい KEK を生成すると、vSAN クラスタ内のすべてのホストが、新しい KEK を KMS から受け取ります。この新しい KEK を使用して、各ホストの DEK が再暗号化されます。
- 新しいキーを使用してすべてのデータを再暗号化する場合は、新しい KEK と DEK が生成されます。データを再暗号化するには、ディスクのローリング再フォーマットが必要です。
前提条件
- 必要な権限:
- あらかじめ、キー プロバイダを設定して、vCenter Server と KMS 間で信頼された接続を確立しておく必要があります。