Esta documentación es para la versión más reciente de GKE en Azure, lanzada en noviembre de 2021. Consulta las notas de la versión para obtener más información.

Usa tu propia llave desde un módulo de seguridad de hardware

En este tema, se explica cómo puedes usar tu propia clave del módulo de seguridad de hardware (HSM) de la bóveda de clave de Azure para la encriptación en reposo en GKE en Azure.

Antes de comenzar

Para realizar estos pasos, debes estar familiarizado con la arquitectura de seguridad de GKE en Azure.

Para seguir estos pasos, debes tener lo siguiente:

Un HSM compatible con Azure
Azure Key Vault con el modelo de permisos de control de acceso basado en funciones de Azure
Una clave protegida con HSM importada en Azure Key Vault
El servicio principal de GKE on Azure con permisos para administrar la autorización de la bóveda de clave de Azure y encriptar datos con la clave proporcionada

La forma más fácil de otorgar estos permisos es asignar los roles integrados de Azure Key Vault Crypto Officer y User Access Administrator a la cuenta principal del servicio.

Usa tu propia clave

Para usar tu propia clave, sigue estos pasos:

Guarda el ID de la clave de Azure Key Vault en una variable de entorno.

export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
    --resource-group ${RESOURCE_GROUP} --query id -otsv)"
export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"

Pasa los ID de la clave en el parámetro --config-encryption-key-id cuando crees un clúster.

gcloud container azure clusters create CLUSTER_NAME \
    --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
    ...

Continúa con los pasos en Crea un clúster.

¿Qué sigue?

Consulta Acerca de las claves en la documentación de Azure.