轮替集群的安全密钥

密钥轮替

密钥轮替是指更改密钥加密密钥 (KEK) 中包含的底层加密材料的行为。它可手动触发。通常是在出现安全突发事件,导致密钥可能已遭破解之后进行手动触发。密钥轮替仅替换包含原始加密/解密密钥数据的密钥中的单个字段。

如需轮替 CMEK(客户管理的加密密钥),请执行以下步骤:

  1. 创建新的 Azure Key Vault 密钥版本

  2. 密钥轮替后,系统将使用新密钥加密新 Secret。旧 Secret 仍将使用旧密钥进行解密。集群会存储密钥信息以及密码,以便在密钥轮替后进行解密。

    强制集群使用新密钥重新加密所有 Secret:

    kubectl get secrets --all-namespaces -o json | \
    kubectl annotate --overwrite -f - encryption-key-rotation-time=`date +"%Y%m%d-%H%M%S"`