暗号化操作権限は、どのユーザーがどのタイプの暗号化操作をどのタイプのオブジェクトに対して実行できるかを制御します。

この権限は、階層内の異なるレベルで設定できます。たとえば、フォルダ レベルで権限を設定した場合、その権限をフォルダ内の 1 つ以上のオブジェクトに伝達できます。[必要とするオブジェクト] 列に示されるオブジェクトには、直接または継承のいずれか方法で権限が設定されている必要があります。

表 1. 暗号化操作権限
vSphere Client での権限名 説明 必要とするオブジェクト API での権限名
直接アクセス 暗号化されたリソースへのアクセスをユーザーに許可します。ユーザーは、仮想マシンのエクスポート、NFC から仮想マシンへのアクセス許可、暗号化された仮想マシンとのコンソール セッションの開始が可能になります。 仮想マシン、ホスト、またはデータストア Cryptographer.Access
ディスクの追加

暗号化された仮想マシンへのディスクの追加をユーザーに許可します。

仮想マシン Cryptographer.AddDisk
クローン作成

暗号化された仮想マシンのクローン作成をユーザーに許可します。

仮想マシン Cryptographer.Clone
復号化

仮想マシンまたはディスクの復号化をユーザーに許可します。

仮想マシン Cryptographer.Decrypt
暗号化

仮想マシンまたは仮想マシン ディスクの暗号化をユーザーに許可します。

仮想マシン Cryptographer.Encrypt
新規暗号化

仮想マシン作成中の仮想マシンの暗号化、またはディスク作成中のディスクの暗号化をユーザーに許可します。

仮想マシンのフォルダ Cryptographer.EncryptNew
暗号化ポリシーの管理 暗号化 IO フィルタで仮想マシン ストレージ ポリシーを管理することをユーザーに許可します。デフォルトでは、暗号化 ストレージ ポリシーを使用する仮想マシンは、他のストレージ ポリシーを使用しません。 vCenter Server ルート フォルダ Cryptographer.ManageEncryptionPolicy
KMS の管理 vCenter Server システムのキー管理サーバの管理をユーザーに許可します。管理タスクには、KMS インスタンスの追加および削除、KMS との信頼関係の確立などが含まれます。 vCenter Server システム Cryptographer.ManageKeyServers
キーの管理 キー管理操作の実行をユーザーに許可します。これらの操作を vSphere Client から実行することはサポートされていませんが、crypto-util または API を使用して実行できます。 vCenter Server ルート フォルダ Cryptographer.ManageKeys
移行 暗号化された仮想マシンを別の ESXi ホストに移行することをユーザーに許可します。vMotion を使用した移行、または使用しない移行と、Storage vMotion をサポートします。別の vCenter Server インスタンスへの移行をサポートします。 仮想マシン Cryptographer.Migrate
再暗号化 異なるキーを持つ仮想マシンまたはディスクの再暗号化をユーザーに許可します。この権限は、深い再暗号化と浅い再暗号化の両方の操作に必要です。 仮想マシン Cryptographer.Recrypt
仮想マシンの登録 暗号化された仮想マシンを ESXi ホストに登録することをユーザーに許可します。 仮想マシンのフォルダ Cryptographer.RegisterVM
ホストの登録 ホストの暗号化を有効にすることをユーザーに許可します。暗号化をホストで明示的に有効にするか、仮想マシンの作成プロセスで有効にできます。 スタンドアロン ホストのホスト フォルダ、クラスタ内のホストのクラスタ Cryptographer.RegisterHost
KMS 情報の読み取り ユーザーが vCenter Server およびホストで vSphere Native Key Provider を一覧表示できるようにします。また、ユーザーは vSphere Native Key Provider 情報を取得できます。 vCenter Server またはホスト Cryptographer.ReadKeyServersInfo