Rota una clave raíz

Si tu clave raíz se ve comprometida o si decides rotar las claves raíz de forma periódica, puedes rotar tus claves a una nueva clave raíz con el recurso RotationJob.

Consulta la descripción general de la API de KMS para obtener detalles sobre la API de KMS y la API de KRM de Key Management Service para ver la definición completa de la API.

Antes de comenzar

Antes de continuar, asegúrate de tener lo siguiente:

  • El comando kubectl configurado para acceder al servidor de la API de Management Para ello, obtén un archivo kubeconfig con la interfaz de línea de comandos (CLI) de gcloud.

  • El rol de administrador de trabajos de rotación de KMS Para obtener los permisos que necesitas para rotar claves, pídele al administrador de IAM de tu organización que te otorgue el rol de administrador de trabajos de rotación de KMS (kms-rotationjob-admin).

Rota una clave raíz

Para crear una clave raíz nueva y rotar tus claves, completa los siguientes pasos:

  1. Crea un archivo YAML y agrega el recurso RotationJob y el siguiente contenido:

    apiVersion: "kms.gdc.goog/v1"
kind: RotationJob
metadata:
  name: ROTATION_NAME
spec:
  rootKeyResourceName: ROOT_KEY_RESOURCE_NAME

    Reemplaza ROTATION_NAME por un nombre para el trabajo de rotación, rotate-job1, por ejemplo.

    Reemplaza ROOT_KEY_RESOURCE_NAME por el nombre de la clave raíz especificado en el formulario namespace/NAMESPACE/secrets/ROOT_KEY_NAME.

    Por ejemplo, namespaces/kms-system/secrets/ctm-root.

  2. Aplica el contenido del archivo YAML al KMS:

    kubectl apply -f FILENAME.yaml

    Reemplaza FILENAME por el nombre del archivo YAML.

    Después de ejecutar el comando, el KMS crea una clave raíz nueva y rota cada clave con la nueva clave raíz.

  3. Para verificar que se completó la rotación de claves raíz, ejecuta el siguiente comando:

    kubectl get rotationjobs ROTATION_NAME

    Reemplaza ROTATION_NAME por el nombre del trabajo de rotación.

    Después de ejecutar el comando, verás el estado del trabajo de rotación como Completed si se realizó correctamente.

  4. Quita la anotación Done de la clave raíz. Quitar la anotación te permite rotar la llave más de una vez. Tu operador de infraestructura (IO) debe realizar este paso. Pídele a tu IO que ejecute lo siguiente:

    kubectl annotate secret kms-key-ROOT_KEY_NAME -n kms-system gdch.cluster.gke.io/rotation-status-