キー プロバイダを設定すると、必要な権限を持ったユーザーが、暗号化した仮想マシンやディスクを作成できるようになります。これらのユーザーは、既存の仮想マシンの暗号化、暗号化された仮想マシンの復号化、仮想マシンへの仮想 Trusted Platform Module (vTPM) の追加を行うこともできます。

キー プロバイダのタイプに応じて、プロセス フローでキー サーバ、vCenter ServerESXi ホストを使用します。

標準のキー プロバイダの暗号化プロセス フロー

暗号化プロセスでは、各種の vSphere コンポーネントが次のように作用し合います。
  1. ユーザーが暗号化タスク(暗号化された仮想マシンの作成など)を実行すると、vCenter Server は、新しいキーをデフォルトのキー サーバに要求します。このキーが KEK として使用されます。
  2. vCenter Server が、そのキー ID を保存し、ESXi ホストにキーを渡します。ESXi ホストがクラスタに属している場合、vCenter Server は、その KEK をクラスタ内の各ホストに送信します。

    キーそのものは vCenter Server システムに保存されません。把握されるのは、このキー ID だけです。

  3. ESXi ホストが、仮想マシンとそのディスクに使用する内部キー (DEK) を生成します。さらに、生成した内部キーをメモリにのみ保持し、KEK を使用して内部キーを暗号化します。

    暗号化されていない内部キーがディスクに格納されることは決してありません。格納されるのは、暗号化されたデータだけです。KEK はキー サーバから取得されているため、ホストは同じ KEK を使用し続けます。

  4. ESXi ホストが、暗号化された内部キーで仮想マシンを暗号化します。

    この KEK を保有し、かつ暗号化されたキー ファイルにアクセスできるすべてのホストは、暗号化された仮想マシンまたは暗号化されたディスクに対する操作を実行することができます。

信頼済みキー プロバイダの暗号化プロセス フロー

vSphere 信頼機関 暗号化プロセス フローには、vSphere 信頼機関 サービス、信頼済みキー プロバイダ、vCenter Server、および ESXi ホストが含まれます。

信頼済みキー プロバイダを使用した仮想マシンの暗号化は、仮想マシンの暗号化ユーザー エクスペリエンスとしては標準のキー プロバイダの使用を使用する場合と同様です。vSphere 信頼機関 を使用した仮想マシンの暗号化でも、仮想マシンの暗号化ストレージ ポリシーや vTPM デバイスの有無に基づいて、仮想マシンの暗号化のタイミングを決定します。vSphere Client から仮想マシンを暗号化するときは、引き続きデフォルトの設定済みキー プロバイダ(vSphere 6.5 および 6.7 では KMS クラスタと呼ばれていました)を使用します。また、同様の方法で API を使用して、キー プロバイダを手動で指定することもできます。vSphere 6.5 に追加された既存の暗号化権限は、vSphere 7.0 以降でも vSphere 信頼機関 に対して有効です。

信頼済みキー プロバイダの暗号化プロセスには、標準のキー プロバイダの場合とは異なるいくつかの重要な相違点があります。

  • 信頼機関管理者は、vCenter Server インスタンスのキー サーバを設定するときに情報を直接指定することはなく、キー サーバの信頼を確立することもありません。代わりに、vSphere 信頼機関 は、信頼済みホストが使用できる信頼済みキー プロバイダを公開します。

  • vCenter ServerESXi ホストにキーをプッシュせず、代わりに各信頼済みキー プロバイダを 1 つのトップレベル キーとして扱うことができます。
  • 信頼済みホストのみが、信頼機関ホストからの暗号化操作を要求できます。

vSphere Native Key Provider の暗号化プロセス フロー

vSphere Native Key Provider は、vSphere 7.0 Update 2 以降に含まれています。vSphere Native Key Provider を構成すると、vCenter Server はクラスタのすべての ESXi ホストにプライマリ キーをプッシュします。vSphere Native Key Provider を更新または削除した場合も、その変更がクラスタ内のホストにプッシュされます。暗号化プロセス フローは、信頼されているキー プロバイダの場合と同様です。違いは、vSphere Native Key Provider がキーを生成し、プライマリ キーでラップしてからキーを返して暗号化する点です。

キー サーバのカスタム属性

Key Management Interoperability Protocol (KMIP) は、ベンダー固有のニーズを満たすためにカスタム属性の追加をサポートしています。カスタム属性を使用すると、キー サーバに保存されているキーをより具体的に識別できます。vCenter Server では、仮想マシンのキーとホスト キーに次のカスタム属性が追加されます。

表 1. 仮想マシンの暗号化カスタム属性
カスタム属性
x-Vendor VMware, Inc.
x-Product VMware vSphere
x-Product_Version vCenter Server のバージョン
x-Component 仮想マシン
x-Name 仮想マシン名(ConfigInfo または ConfigSpec から収集)
x-Identifier 仮想マシンの instanceUuid(ConfigInfo または ConfigSpec から収集)
表 2. ホスト暗号化のカスタム属性
カスタム属性
x-Vendor VMware, Inc.
x-Product VMware vSphere
x-Product_Version vCenter Server のバージョン
x-Component ESXi Server
x-Name ホスト名
x-Identifier ホストのハードウェア UUID

vCenter Server は、キー サーバによるキーの作成時に x-Vendorx-Product、および x-Product_Version 属性を追加します。キーを使用して仮想マシンまたはホストを暗号化する場合、vCenter Serverx-Componentx-Identifier、および x-Name 属性を設定します。これらのカスタム属性は、キー サーバのユーザー インターフェイスで表示できる場合があります。キー サーバのベンダーに確認してください。

ホスト キーと仮想マシン キーのどちらにも、6 つのカスタム属性があります。x-Vendorx-Product、および x-Product_Version は、両方のキーで同じである場合があります。これらの属性は、キーの生成時に設定されます。キーが仮想マシン用かホスト用かに応じて、x-Componentx-Identifier、および x-Name 属性が付加されることがあります。

暗号化キーのエラー

キー サーバから ESXi ホストへのキーの送信でエラーが発生すると、vCenter Server は次のイベントのイベント ログにメッセージを生成します。

  • ホスト接続またはホストのサポートに問題があるため、ESXi ホストへのキーの追加に失敗しました。
  • キー サーバにキーが見つからないため、キー サーバからキーを取得できませんでした。
  • キー サーバの接続不良により、キー サーバからキーを取得できませんでした。

暗号化された仮想マシンの復号化

後で暗号化された仮想マシンを復号化する場合は、そのストレージ ポリシーを変更します。仮想マシンとすべてのディスクのストレージ ポリシーを変更することができます。コンポーネントを個別に復号化する必要がある場合は、まず選択したディスクを復号化したうえで、仮想マシン ホームのストレージ ポリシーを変更することによって仮想マシンを復号化します。個々のコンポーネントを復号化する場合、両方のキーが必要になります。暗号化された仮想マシンまたは仮想ディスクの復号化を参照してください。