vSAN 會加密 VMware Cloud on AWS 中所有處於靜態的使用者資料。

依預設,在 SDDC 中部署的每個叢集上已啟用加密,並且無法關閉。

當您部署叢集時,vSAN 會使用 AWS 金鑰管理服務 (AWS KMS) 產生客戶主要金鑰 (CMK),該金鑰由 AWS KMS 儲存。然後,vSAN 會產生金鑰加密金鑰 (KEK),並使用 CMK 進行加密。反過來,KEK 用於加密為每個 vSAN 磁碟產生的磁碟加密金鑰 (DEK)。

您可以透過 vSAN API 或 vSphere Client 使用者介面變更 KEK。此程序稱為執行淺層重設金鑰。不支援變更 CMK 或 DEK。如果您必須變更 CMK 或 DEK,請建立新的叢集,並將虛擬機器和資料移轉到其中。