Cette documentation concerne la version la plus récente de GKE sur Azure, publiée en novembre 2021. Consultez les notes de version pour plus d'informations.

Effectuer une rotation des clés de sécurité de votre cluster

Rotation des clés

La rotation des clés consiste à modifier le matériel de cryptographie sous-jacent contenu dans une clé de chiffrement de clé (KEK). Elle peut être déclenchée manuellement, généralement après un incident de sécurité où des clés ont pu être compromises. La rotation des clés ne remplace que le champ unique de la clé contenant les données brutes de la clé de chiffrement/déchiffrement.

Pour procéder à la rotation des clés de chiffrement gérées par le client, procédez comme suit :

Créez une nouvelle version de clé Azure Key Vault.
Après une rotation des clés, les nouveaux secrets sont chiffrés à l'aide de cette nouvelle clé. Les anciens secrets seront toujours déchiffrés à l'aide des anciennes clés. Le cluster stocke les informations de clé ainsi que l'algorithme de chiffrement pour faciliter le déchiffrement après la rotation des clés.

Forcez le cluster à rechiffrer tous les secrets à l'aide de la nouvelle clé :
```
kubectl get secrets --all-namespaces -o json | \
kubectl annotate --overwrite -f - encryption-key-rotation-time=`date +"%Y%m%d-%H%M%S"`
```