Esta documentação é referente à versão mais recente do GKE no Azure, lançada em novembro de 2021. Consulte as Notas de lançamento para mais informações.

Alternar as chaves de segurança do cluster

Revezamento de chaves

A rotação de chaves é o ato de alterar o material criptográfico subjacente contido em uma chave de criptografia de chaves (KEK, na sigla em inglês). Ela pode ser acionada manualmente, geralmente após um incidente de segurança em que as chaves podem ter sido comprometidas. A rotação de chaves substitui apenas o campo na chave que contém os dados brutos de criptografia/criptografia.

Para fazer a rotação de chaves de criptografia gerenciadas pelo cliente, siga estas etapas:

Crie uma nova versão de chave do Azure Key Vault.
Após uma rotação de chaves, os novos secrets serão criptografados usando a nova chave. Os secrets antigos ainda serão descriptografados com chaves antigas. O cluster armazena informações de chave junto com a criptografia para auxiliar a descriptografia após a rotação de chaves.

Force o cluster a criptografar novamente todos os secrets usando a nova chave:
```
kubectl get secrets --all-namespaces -o json | \
kubectl annotate --overwrite -f - encryption-key-rotation-time=`date +"%Y%m%d-%H%M%S"`
```