vSAN은 VMware Cloud on AWS에 있는 모든 사용자 데이터를 암호화합니다.
암호화는 SDDC에 배포된 각 클러스터에서 기본적으로 사용하도록 설정되며 해제할 수 없습니다.
클러스터를 배포할 때 vSAN은 AWS KMS(AWS 키 관리 서비스)를 사용하여 CMK(고객 마스터 키)를 생성하며 이는 AWS KMS에서 저장됩니다. 그런 다음 vSAN은 KEK(키 암호화 키)를 생성하고 CMK를 사용하여 KEK를 암호화합니다. 그리고 KEK는 각 vSAN 디스크에 대해 생성된 DEK(디스크 암호화 키)를 암호화하는 데 사용됩니다.
vSAN API 또는vSphere Client UI를 사용하여 KEK를 변경할 수 있습니다. 이 프로세스는 얕은 수준의 키 재생성(shallow rekey)이라고도 합니다. CMK 또는 DEK를 변경하는 것은 지원되지 않습니다. CMK 또는 DEK를 변경해야 하는 경우에는 새 클러스터를 생성하고 VM 및 데이터를 새 클러스터로 마이그레이션합니다.