仮想マシンの暗号化タスクは、vCenter Server を含む環境でのみ実行することができます。また、ESXi ホストでは、ほとんどの暗号化タスクについて、暗号化モードが有効になっている必要があります。このタスクを実行するユーザーには、適切な権限が与えられている必要があります。一連の暗号化操作権限によって、きめ細かな制御が可能となります。仮想マシンの暗号化タスクにホストの暗号化モードへの変更が伴う場合は、さらに別の権限が必要となります。

注: vSphere 信頼機関 には、前提条件および必要な権限が追加で必要です。 vSphere 信頼機関の前提条件と必要な権限 を参照してください。

暗号化の権限とロールの使用

デフォルトでは、 vCenter Server の管理者ロールを持つユーザーには暗号化操作を含むすべての権限が与えられます。 非暗号化管理者ロールには、暗号化操作に必要な次の権限がありません。
  • 暗号化操作権限の追加
  • グローバル.診断
  • ホスト.インベントリ.クラスタへのホストの追加
  • ホスト.インベントリ.スタンドアロン ホストの追加
  • ホスト.ローカル操作.ユーザー グループの管理

暗号化操作権限を必要としない vCenter Server 管理者には、非暗号化管理者ロールを割り当てることができます。

ユーザーが実行できることに追加の制限を設定するには、非暗号化管理者ロールをクローン作成し、一部の暗号化操作権限のみを持つカスタム ロールを作成します。たとえば、ユーザーによる暗号化は許可するが、仮想マシンの復号化は許可しないロールを作成できます。vCenter Server ロールを使用した権限の割り当てを参照してください。

ホスト暗号化モードについて

ホスト暗号化モードでは、ESXi ホストが仮想マシンと仮想ディスクを暗号化するための暗号化マテリアルを受け入れる準備ができているかどうかを判断します。ホスト上で暗号化処理を実行できるようにするには、ホスト暗号化モードを有効にする必要があります。ホスト暗号化モードは、必要に応じて自動的に設定される場合もありますが、明示的に設定することもできます。現在のホスト暗号化モードは、vSphere Client から、または vSphere API を使用して、確認および明示的な設定ができます。

ホスト暗号化モードを有効にすると、vCenter Server がホストにホスト キーをインストールし、ホストを暗号で「安全」な状態にすることができます。ホスト キーがインストールされると、vCenter Server によるキー プロバイダからのキーの取得や、ESXi ホストへのキーのプッシュなど、他の暗号化処理を続行できます。

「セーフ」モードでは、ユーザー ワールド(つまり hostd)と暗号化された仮想マシンのコア ダンプが暗号化されます。非暗号化仮想マシンでは、コア ダンプは暗号化されません。

暗号化されたコア ダンプと VMware テクニカル サポートでの使用方法については、VMware のナレッジベースの記事 (http://kb.vmware.com/kb/2147388) を参照してください。

手順については ホスト暗号化モードの明示的な有効化 を参照してください。

ホスト暗号化モードを設定した後、無効にすることは簡単ではありません。API を使用したホスト暗号化モードの無効化 を参照してください。

ホスト暗号化モードの設定を試行する暗号化操作が行われると、変更が自動的に行われます。たとえば、暗号化された仮想マシンをスタンドアローン ホストに追加する場合を考えます。ホスト暗号化モードは設定されていません。ホストに対する必要な権限があれば、暗号化モードが自動的に設定されます。

クラスタに A、B、C の 3 台の ESXi ホストがあるとします。このとき、暗号化された仮想マシンをホスト A に作成する場合の結果は、いくつかの要因に左右されます。

  • ホスト A、B、C で暗号化モードがすでに設定されている場合、暗号化操作.新規の暗号化の権限さえあれば、仮想マシンを作成できます。
  • ホスト A とホスト B で暗号化が設定され、ホスト C では設定されていない場合、次の規則が適用されます。
    • 暗号化操作.新規の暗号化暗号化操作.ホストの登録の両方の権限が各ホストにあるとします。この場合、暗号化プロセスによってホスト C にホスト暗号化モードが設定され、クラスタ内の各ホストにキーがプッシュされます。

      このケースでは、ホスト C のホスト暗号化モードを明示的に設定することもできます。

    • 仮想マシンまたは仮想マシン フォルダに対し、暗号化操作.新規の暗号化権限のみがある場合を考えます。その場合、仮想マシンの作成は成功し、キーがホスト A とホスト B で使用可能になります。ホスト C での暗号化は引き続き無効で、仮想マシン キーもありません。
  • いずれのホストでも暗号化モードが設定されておらず、かつホスト A に対して暗号化操作.ホストの登録権限がある場合、仮想マシンの作成プロセスにより、そのホストでホストの暗号化モードが設定されます。それ以外の場合は、ホスト B と C でエラーが発生します。
  • vSphere API を使用して、クラスタの暗号化モードを「強制的に有効にする」ように設定することもできます。強制的に有効にすると、クラスタ内のすべてのホストが「安全」に暗号化されます。つまり、vCenter Server のホストにホスト キーがインストールされます。vSphere Web Services SDK プログラミング ガイド を参照してください。

仮想マシンを暗号化するときのディスク容量の要件

既存の仮想マシンを暗号化する場合、現在使用している仮想マシンの 2 倍以上の容量が必要になります。