暗号化された仮想マシンのクローンを作成すると、キーを変更しない限り、そのクローンは同じキーで暗号化されます。キーを変更するには、vSphere Client、PowerCLI、または API を使用します。

PowerCLI または API を使用すると、暗号化された仮想マシンのクローンを作成し、1 回の手順でキーを変更できます。詳細については、『vSphere Web Services SDK Programming Guide』を参照してください。

クローン作成時には次の操作を実行できます。
  • 暗号化されていない仮想マシンまたは仮想マシン テンプレートから、暗号化された仮想マシンを作成する。
  • 暗号化された仮想マシンまたは仮想マシン テンプレートから、復号化された仮想マシンを作成する。
  • ソース仮想マシンのキーとは異なるキーを使用して、ターゲット仮想マシンを再暗号化する。
  • vSphere 8.0 以降では、vTPM デバイスを使用する仮想マシンの [置き換え] オプションを選択すると、新しい空の vTPM が生成され、独自のシークレットと ID が取得されます。
注: vSphere 8.0 には vpxd.clone.tpmProvisionPolicy という詳細設定が含まれていて、vTPM のデフォルトのクローン作成動作を「置き換え」に設定することができます。
暗号化された仮想マシンからインスタント クローン仮想マシンを作成する。この場合、インスタント クローンはソース仮想マシンと同じキーを共有することに注意します。ソース仮想マシンでもインスタント クローン仮想マシンでも、キーを再暗号化することはできません。『 vSphere Web Services SDK Programming Guide』を参照してください。

前提条件

  • キー プロバイダを構成して、有効にする必要があります。
  • 暗号化ストレージ ポリシーを作成するか、バンドルされているサンプルの仮想マシン暗号化ポリシーを使用します。
  • 必要な権限:
    • 暗号化操作.クローン作成
    • 暗号化操作.暗号化
    • 暗号化操作.復号化
    • 暗号化操作.再暗号化
    • ホストの暗号化モードが有効でない場合は、暗号化操作.ホストの登録 権限も必要です。

手順

  1. vSphere Client インベントリ内で仮想マシンに移動します。
  2. 仮想マシンを右クリックし、[クローン作成] > [仮想マシンにクローン作成] > [] の順に選択します。
  3. ウィザードの次のページに進みます。
    1. [名前とフォルダの選択] 画面で名前を入力し、デプロイするデータセンターまたはフォルダを選択します。
    2. [コンピューティング リソースの選択] で、暗号化された仮想マシンを作成する権限を持つオブジェクトを選択します。暗号化タスクの前提条件と必要な権限については、『vSphere セキュリティ』ドキュメントを参照してください。
    3. クローンが作成された vTPM のキーを変更します。

      仮想マシンのクローンを作成すると、vTPM およびそのシークレットを含む仮想マシン全体が複製され、システムの ID の特定に使用できるようになります。vTPM のシークレットを変更するには、[TPM プロビジョニング ポリシー][置き換え] を選択します。

      注:

      vTPM のシークレットを置き換えると、ワークロード関連のキーを含むすべてのキーが置き換えられます。ベスト プラクティスとして、キーを置き換える前に、ワークロードで vTPM が使用されなくなったことを確認します。ワークロードで vTPM が使用されている場合、クローン作成された仮想マシンのワークロードが正しく機能しなくなる可能性があります。

    4. [ストレージの選択] 画面で、テンプレートの構成ファイルとすべての仮想ディスクを格納するデータストアまたはデータストア クラスタを選択します。クローン操作の過程でストレージ ポリシーを変更できます。たとえば、暗号化ポリシーを使用している状態から非暗号化ポリシーに変更すると、ディスクが復号化されます。
    5. [クローン オプションの選択] で追加のカスタマイズ オプションを選択します。
    6. [設定の確認] 画面で情報を確認し、[完了] をクリックします。
  4. (オプション) クローンが作成された仮想マシンのキーを変更します。
    デフォルトでは、親と同じキーでクローンが作成された仮想マシンが作成されます。ベスト プラクティスは、複数の仮想マシンが同一のキーを持つことがないよう、クローン作成された仮想マシンのキーを変更することです。
    1. 表層と深層のどちらの再暗号化を行うかを決定します。

      異なる DEK と KEK を使用するには、クローンが作成された仮想マシンの再暗号化(深層)を実行します。異なる KEK を使用するには、クローンが作成された仮想マシンの再暗号化(表層)を実行します。再暗号化(深層)を行うには、仮想マシンをパワーオフする必要があります。再暗号化(表層)は、仮想マシンのスナップショットが作成済みであれば仮想マシンがパワーオン状態でも実行できます。スナップショットが作成済みの暗号化された仮想マシンの再暗号化(表層)は、単一のスナップショット分岐(ディスク チェーン)に対してのみ許可されます。複数のスナップショット分岐はサポートされていません。チェーン内のすべてのリンクを新しい KEK で更新する前に再暗号化(表層)が失敗した場合でも、古い KEK と新しい KEK があれば暗号化された仮想マシンにアクセスできます。

    2. API を使用して、クローンの再暗号化を実行します。詳細については、『vSphere Web Services SDK Programming Guide』を参照してください。