可以使用 CLI 對加密的虛擬機器執行淺層重設金鑰。可能會出於業務或符合性原因對加密虛的擬機器執行重設金鑰。

淺層金鑰 (亦稱為雙重加密) 僅取代金鑰加密金鑰 (KEK)。若要執行淺層重設金鑰,無需關閉加密虛擬機器的電源。如果需要同時取代磁碟加密金鑰 (DEK) 和 KEK,則必須執行深層重設金鑰。

此工作顯示如何使用目前指派的金鑰提供者在加密虛擬機器上執行淺層重設金鑰。

如需更多概念資訊,請參閱如何對已加密的虛擬機器進行雙重加密 (重設金鑰)

必要條件

所需權限:密碼編譯作業.Recrypt

備註: 已設定 IDE 控制器的虛擬機器必須關閉電源,才能執行淺層重設金鑰作業。

程序

  1. 在 PowerCLI 工作階段中,執行 Connect-VIServer cmdlet,以管理員身分連線到 vCenter Server 主機。
  2. 將目前金鑰提供者指派給變數。 
    $kp = Get-KeyProvider keyprovider_name
  3. 將加密虛擬機器指派給變數。 
    $vm = Get-VM encrypted_vm_name
  4. 檢查加密虛擬機器的安全性資訊。 
    Get-SecurityInfo -Entity $vm

    記下 EncryptionKeyId。

  5. 對加密虛擬機器執行淺層重設金鑰。 
    Set-VM -vm $vm -KeyProvider $kp

    輸入 Y 以確認重設金鑰。

  6. 若要驗證 EncryptionKeyId 是否已變更,請檢查加密虛擬機器的安全性資訊。 
    Get-SecurityInfo -Entity $vm