Alternar uma chave raiz

Se a chave raiz for comprometida ou se você optar por girar as chaves raiz periodicamente, use o recurso RotationJob para girar as chaves para uma nova chave raiz.

Consulte a visão geral da API KMS para mais detalhes sobre a API KMS e a API KRM do serviço de gerenciamento de chaves para conferir a definição completa da API.

Antes de começar

Antes de continuar, verifique se você tem o seguinte:

  • O comando kubectl configurado para acessar o servidor da API Management. Para fazer isso, receba um arquivo kubeconfig usando a interface de linha de comando (CLI) gdcloud.

  • O papel de administrador de jobs de rotação do KMS. Para receber as permissões necessárias para fazer a rotação de chaves, peça ao administrador do IAM da organização para conceder a você o papel de administrador de jobs de rotação do KMS (kms-rotationjob-admin).

Alternar uma chave raiz

Para criar uma nova chave raiz e girar as chaves, siga estas etapas:

  1. Crie um arquivo YAML e adicione o recurso RotationJob e o seguinte conteúdo:

    apiVersion: "kms.gdc.goog/v1"
kind: RotationJob
metadata:
  name: ROTATION_NAME
spec:
  rootKeyResourceName: ROOT_KEY_RESOURCE_NAME

    Substitua ROTATION_NAME por um nome para o job de rotação — por exemplo: rotate-job1.

    Substitua ROOT_KEY_RESOURCE_NAME pelo nome da chave raiz especificado no formato namespace/NAMESPACE/secrets/ROOT_KEY_NAME.

    Por exemplo, namespaces/kms-system/secrets/ctm-root

  2. Aplique o conteúdo do arquivo YAML ao KMS:

    kubectl apply -f FILENAME.yaml

    Substitua FILENAME pelo nome do arquivo YAML.

    Depois de executar o comando, o KMS cria uma nova chave raiz e faz a rotação de todas as chaves com a nova chave raiz.

  3. Para verificar se a rotação de chaves raiz foi concluída, execute o seguinte comando:

    kubectl get rotationjobs ROTATION_NAME

    Substitua ROTATION_NAME pelo nome do job de rotação.

    Depois de executar o comando, o status do job de rotação será Completed se a operação for bem-sucedida.

  4. Remova a anotação Done da chave raiz. Remover a anotação permite girar a chave mais de uma vez. Seu operador de infraestrutura (IO) precisa realizar esta etapa. Peça ao IO para executar o seguinte:

    kubectl annotate secret kms-key-ROOT_KEY_NAME -n kms-system gdch.cluster.gke.io/rotation-status-