使用するキー プロバイダ、外部キー サーバ、vCenter Server システム、および ESXi ホストによって暗号化ソリューションが提供される可能性があります。
次のコンポーネントは、vSphere 仮想マシンの暗号化を構成します。
- KMS とも呼ばれる外部キー サーバ(vSphere Native Key Provider では必要ありません)
- vCenter Server
- ESXi ホスト
vSphere 仮想マシンの暗号化のキー サーバのロールについて
キー サーバは、キー プロバイダに関連付けられているキー管理相互運用性プロトコル (KMIP) の管理サーバです。標準キー プロバイダと信頼済みキー プロバイダには、キー サーバが必要です。vSphere Native Key Provider にはキー サーバは必要ではありません。次の表は、キー プロバイダとキー サーバの相互作用の違いについて説明します。
キー プロバイダ | キー サーバとの相互作用 |
---|---|
標準のキー プロバイダ | 標準のキー プロバイダは、vCenter Server を使用してキー サーバにキーを要求します。キー サーバはキーを生成して保存し、ESXi ホストに配布するために vCenter Server に渡します。 |
信頼済みキー プロバイダ | 信頼済みキー プロバイダはキー プロバイダ サービスを使用します。これにより、信頼できる ESXi ホストはキーを直接取得できます。vSphere 信頼機関 キー プロバイダ サービスについてを参照してください。 |
vSphere Native Key Provider | vSphere Native Key Provider にはキー サーバは必要ではありません。vCenter Server はプライマリ キーを生成し、ESXi ホストにプッシュします。次に、ESXi ホストは、データ暗号化キーを生成します(vCenter Server に接続されていない場合でも)。vSphere Native Key Provider の概要を参照してください。 |
vSphere Client または vSphere API を使用することで、キー プロバイダ インスタンスを vCenter Server システムに追加できます。複数のキー プロバイダ インスタンスを使用する場合は、すべてが同一ベンダーのインスタンスであることと、キーを複製することが必要です。
複数の環境で複数のキー サーバ ベンダーを使用する環境では、各キー サーバに 1 つのキー プロバイダを追加し、デフォルトのキー プロバイダを指定できます。最初に追加したキー プロバイダがデフォルトのキー プロバイダになります。後から明示的にデフォルトを指定できます。
KMIP クライアントである vCenter Server は、Key Management Interoperability Protocol (KMIP) を使用することで任意のキー サーバを簡単に使用することができます。
vSphere 仮想マシンの暗号化の vCenter Server のロールについて
次の表は、暗号化プロセスにおける vCenter Server の役割を示します。
キー プロバイダ | vCenter Server の役割 | 権限の確認方法 |
---|---|---|
標準のキー プロバイダ | キー サーバにログインするための資格情報を持っているのは vCenter Server だけです。ESXi ホストには、この認証情報がありません。vCenter Server はキー サーバからキーを取得し、ESXi ホストに渡します。vCenter Server はキー サーバのキーを格納しませんが、キー ID のリストは保持します。 | vCenter Server は、暗号化操作を実行するユーザーの権限をチェックします。 |
信頼済みキー プロバイダ | vSphere 信頼機関 は、vCenter Server がキー サーバからキーを要求する必要をなくし、ワークロード クラスタの認証状態を条件として暗号化キーにアクセスできるようにします。信頼済みのクラスタと信頼機関クラスタには、別の vCenter Server システムを使用する必要があります。 | vCenter Server は、暗号化操作を実行するユーザーの権限をチェックします。TrustedAdmins SSO グループのメンバーであるユーザーだけが管理操作を実行できます。 |
vSphere Native Key Provider | vCenter Server はキーを生成します。 | vCenter Server は、暗号化操作を実行するユーザーの権限をチェックします。 |
vSphere Client を使用して、ユーザーのグループに暗号化操作権限を割り当てるか非暗号化管理者カスタム ロールを割り当てることができます。仮想マシンの暗号化タスクの前提条件と必要な権限を参照してください。
vCenter Server は、vSphere Client イベント コンソールから表示、エクスポートできるイベントのリストに暗号化イベントを追加します。各イベントには、ユーザー、日時、キー ID、および暗号化操作が示されています。
キー サーバから取得するキーは、キー暗号化キー (KEK) として使用されます。
vSphere 仮想マシンの暗号化の ESXi ホストのロールについて
ESXi ホストは、暗号化ワークフローのいくつかの場面で使用されます。
キー プロバイダ | ESXi ホストの側面 |
---|---|
標準のキー プロバイダ |
|
信頼済みキー プロバイダ | ESXi ホストは、信頼できるホストであるか信頼機関のホストであるかに応じて、vSphere 信頼機関 サービスを実行します。信頼できる ESXi ホストは、信頼機関のホストによって公開されたキー プロバイダを使用して暗号化できるワークロード仮想マシンを実行します。vSphere 信頼機関 の信頼済みインフラストラクチャを参照してください。 |
vSphere Native Key Provider | ESXi ホストは、vSphere Native Key Provider から直接キーを取得します。 |
このドキュメントでは、ESXi ホストによって生成されるキーのことを内部キーと呼びます。このキーは通常、データ暗号化キー (DEK) として使用されます。