Rotar una clave raíz

En este documento se describe cómo rotar una clave raíz. Si tu clave raíz se ve comprometida o decides rotar periódicamente las claves raíz para mejorar la seguridad, puedes rotar tus claves a una nueva clave raíz mediante el recurso RotationJob.

Al rotar una clave raíz, se crea otra clave raíz, que se convierte en la clave principal y envuelve todas las claves que no son raíz. No puedes eliminar una clave raíz; la rotación es la única forma de sustituirla. Consulta Tipos de claves raíz para obtener más información sobre las claves raíz.

Consulta la descripción general de la API KMS para obtener más información sobre la API KMS y la API KRM de Key Management Service para ver la definición completa de la API.

Antes de empezar

Antes de continuar, asegúrate de que tienes lo siguiente:

  • El comando kubectl configurado para acceder al servidor de la API Management. Para ello, obtén un archivo kubeconfig con la interfaz de línea de comandos (CLI) de gdcloud.

  • Rol Administrador de tareas de rotación de KMS. Para obtener los permisos que necesitas para rotar claves, pide al administrador de gestión de identidades y accesos de tu organización que te conceda el rol Administrador de trabajos de rotación de KMS (kms-rotationjob-admin).

Rotar una clave raíz

Para crear una clave raíz y rotar las claves, sigue estos pasos:

  1. Crea un archivo YAML y añade el recurso RotationJob y el siguiente contenido:

    apiVersion: "kms.gdc.goog/v1"
kind: RotationJob
metadata:
  name: ROTATION_NAME
spec:
  rootKeyResourceName: ROOT_KEY_RESOURCE_NAME

    Sustituye ROTATION_NAME por el nombre del trabajo de rotación (por ejemplo, rotate-job1).

    Sustituye ROOT_KEY_RESOURCE_NAME por el nombre de la clave raíz especificado en el formulario namespace/NAMESPACE/secrets/ROOT_KEY_NAME.

    Por ejemplo, namespaces/kms-system/secrets/ctm-root.

  2. Aplica el contenido del archivo YAML al KMS:

    kubectl apply -f FILENAME.yaml

    Sustituye FILENAME por el nombre del archivo YAML.

    Después de ejecutar el comando, KMS crea una clave raíz y rota todas las claves con la nueva clave raíz.

  3. Para verificar que la rotación de la clave raíz se ha completado, ejecuta lo siguiente:

    kubectl get rotationjobs ROTATION_NAME

    Sustituye ROTATION_NAME por el nombre del trabajo de rotación.

    Después de ejecutar el comando, verás el estado del trabajo de rotación como Completed si se ha completado correctamente.

  4. Quita la anotación Done de la clave raíz. Si quitas la anotación, podrás rotar la clave más de una vez. Tu operador de infraestructura debe realizar este paso. Pide a tu IO que ejecute lo siguiente:

    kubectl annotate secret kms-key-ROOT_KEY_NAME -n kms-system gdch.cluster.gke.io/rotation-status-