暗号化の権限とロールの使用

暗号化操作権限を必要としない vCenter Server 管理者には、非暗号化管理者ロールを割り当てることができます。

ユーザーが実行できることに追加の制限を設定するには、非暗号化管理者ロールをクローン作成し、一部の暗号化操作権限のみを持つカスタム ロールを作成します。たとえば、ユーザーによる暗号化は許可するが、仮想マシンの復号化は許可しないロールを作成できます。vCenter Server ロールを使用した権限の割り当てを参照してください。

ホスト暗号化モードについて

ホスト暗号化モードでは、ESXi ホストが仮想マシンと仮想ディスクを暗号化するための暗号化マテリアルを受け入れる準備ができているかどうかを判断します。ホスト上で暗号化処理を実行できるようにするには、ホスト暗号化モードを有効にする必要があります。ホスト暗号化モードは、必要に応じて自動的に設定される場合もありますが、明示的に設定することもできます。現在のホスト暗号化モードは、vSphere Client から、または vSphere API を使用して、確認および明示的な設定ができます。

ホスト暗号化モードを有効にすると、vCenter Server がホストにホスト キーをインストールし、ホストを暗号で「安全」な状態にすることができます。ホスト キーがインストールされると、vCenter Server によるキー プロバイダからのキーの取得や、ESXi ホストへのキーのプッシュなど、他の暗号化処理を続行できます。

「セーフ」モードでは、ユーザー ワールド（つまり hostd）と暗号化された仮想マシンのコア ダンプが暗号化されます。非暗号化仮想マシンでは、コア ダンプは暗号化されません。

暗号化されたコア ダンプと VMware テクニカル サポートでの使用方法については、VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/2147388) を参照してください。

手順については ホスト暗号化モードの明示的な有効化 を参照してください。

ホスト暗号化モードを設定した後、無効にすることは簡単ではありません。API を使用したホスト暗号化モードの無効化 を参照してください。

ホスト暗号化モードの設定を試行する暗号化操作が行われると、変更が自動的に行われます。たとえば、暗号化された仮想マシンをスタンドアローン ホストに追加する場合を考えます。ホスト暗号化モードは設定されていません。ホストに対する必要な権限があれば、暗号化モードが自動的に設定されます。

クラスタに A、B、C の 3 台の ESXi ホストがあるとします。このとき、暗号化された仮想マシンをホスト A に作成する場合の結果は、いくつかの要因に左右されます。

• ホスト A、B、C で暗号化モードがすでに設定されている場合、暗号化操作.新規の暗号化の権限さえあれば、仮想マシンを作成できます。
• ホスト A とホスト B で暗号化が設定され、ホスト C では設定されていない場合、次の規則が適用されます。
  • 暗号化操作.新規の暗号化と暗号化操作.ホストの登録の両方の権限が各ホストにあるとします。この場合、暗号化プロセスによってホスト C にホスト暗号化モードが設定され、クラスタ内の各ホストにキーがプッシュされます。

    このケースでは、ホスト C のホスト暗号化モードを明示的に設定することもできます。

  • 仮想マシンまたは仮想マシン フォルダに対し、暗号化操作.新規の暗号化権限のみがある場合を考えます。その場合、仮想マシンの作成は成功し、キーがホスト A とホスト B で使用可能になります。ホスト C での暗号化は引き続き無効で、仮想マシン キーもありません。
• いずれのホストでも暗号化モードが設定されておらず、かつホスト A に対して暗号化操作.ホストの登録権限がある場合、仮想マシンの作成プロセスにより、そのホストでホストの暗号化モードが設定されます。それ以外の場合は、ホスト B と C でエラーが発生します。
• vSphere API を使用して、クラスタの暗号化モードを「強制的に有効にする」ように設定することもできます。強制的に有効にすると、クラスタ内のすべてのホストが「安全」に暗号化されます。つまり、vCenter Server のホストにホスト キーがインストールされます。vSphere Web Services SDK プログラミング ガイド を参照してください。

仮想マシンを暗号化するときのディスク容量の要件

既存の仮想マシンを暗号化する場合、現在使用している仮想マシンの 2 倍以上の容量が必要になります。