サービスアカウントキーのローテーション

このページでは、次のサービスアカウントキーをローテーションする方法について説明します。

サービスアカウントキーをローテーションするには:

現在のシークレットのバックアップを保存するディレクトリを作成します。
```
mkdir backup
```

関連するサービスアカウントについて、次の情報をメモします。

コンポーネントアクセス

クラスタ	シークレット	名前空間
管理者	admin-cluster-creds	kube-system
管理者	user-cluster-creds	`CLUSTER_NAME`-gke-onprem-mgmt
管理者	private-registry-creds	kube-system
ユーザー	private-registry-creds	kube-system

非公開レジストリを使用していない場合、private-registry-creds Secret はコンポーネントアクセスサービスアカウントキーを保持します。
非公開レジストリを使用している場合は、private-registry-creds Secret には、コンポーネントアクセスサービスアカウントキーではなく、非公開レジストリの認証情報が保持されます。

Connect-register

クラスタ	シークレット	名前空間
管理者	admin-cluster-creds	kube-system
管理者	user-cluster-creds	`CLUSTER_NAME`-gke-onprem-mgmt

Logging-monitoring

クラスタ	シークレット	名前空間
管理者	admin-cluster-creds	kube-system
管理者	user-cluster-creds	`CLUSTER_NAME`-gke-onprem-mgmt
ユーザー	google-cloud-credentials	kube-system
ユーザー	stackdriver-service-account-key	knative-serving

監査ロギング

クラスタ	シークレット	名前空間
管理者	admin-cluster-creds	kube-system
管理者	user-cluster-creds	`CLUSTER_NAME`-gke-onprem-mgmt
管理者	kube-apiserver	`CLUSTER_NAME`

Stackdriver

クラスタ	シークレット	名前空間
管理者	admin-cluster-creds	kube-system
管理者	user-cluster-creds	`CLUSTER_NAME`-gke-onprem-mgmt
ユーザー	google-cloud-credentials	kube-system
ユーザー	stackdriver-service-account-key	knative-serving

次のコマンドを使用して、各シークレットのバックアップを作成します。

kubectl get secret SECRET --namespace NAMESPACE \
    --kubeconfig KUBECONFIG -o json > backup/SECRET-NAMESPACE.json

次のように置き換えます。

NAMESPACE は、シークレットが配置されている名前空間です。例: kube-system
KUBECONFIG: 管理クラスタまたはユーザークラスタの kubeconfig ファイルへのパス。
SECRET: Secret の名前。例: admin-cluster-creds

たとえば、監査ロギングサービスアカウントに対する次のコマンドを実行します。

kubectl get secret admin-cluster-creds --namespace kube-system \
        --kubeconfig KUBECONFIG -o json > backup/admin-cluster-creds-kube-system.json

kubectl get secret user-cluster-creds --namespace NAMESPACE \
        --kubeconfig KUBECONFIG -o json > backup/user-cluster-creds-NAMESPACE.json

kubectl get secret kube-apiserver --namespace NAMESPACE \
        --kubeconfig KUBECONFIG -o json > backup/kube-apiserver-NAMESPACE.json

新しいサービスアカウントキーファイルを作成するには、次のコマンドを実行します。
```
gcloud iam service-accounts keys create NEW_KEY_FILE --iam-account IAM_ACCOUNT
```
次のように置き換えます。
- NEW_KEY_FILE: 新しいサービスアカウントキーファイルの名前
- IAM_ACCOUNT: サービスアカウントのメールアドレス。
管理クラスタの構成ファイルで、componentAccessServiceAccountKeyPath フィールド、gkeConnect セクション、stackdriver セクション、cloudAuditLogging セクションを見つけます。これらの場所では、サービスアカウントキーファイルへのパスを置き換えてください。
ユーザークラスタの構成ファイルで、componentAccessServiceAccountKeyPath フィールド、gkeConnect セクション、stackdriver セクション、cloudAudigLogging セクションを見つけます。これらの場所では、サービスアカウントキーファイルへのパスを置き換えてください。
次のコマンドを実行して、変更を保存します。

一度に 1 つのコンポーネントの鍵をローテーションすることも、コンポーネントを sakeys に設定してすべての鍵を一度にローテーションすることもできます。
```
gkectl update credentials COMPONENT \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    --config ADMIN_CLUSTER_CONFIG \
    --admin-cluster

gkectl update credentials COMPONENT \
    --kubeconfig ADMIN_CLUSTER_KUBECONFIG \
    --config USER_CLUSTER_CONFIG
```
次のように置き換えます。
- COMPONENT: 次のいずれか。
  - componentaccess
  - register
  - cloudauditlogging
  - stackdriver
  - sakeys（すべてのコンポーネントキーをローテーションします）
- ADMIN_CLUSTER_KUBECONFIG は、管理クラスタの kubeconfig ファイルのパス。
- ADMIN_CLUSTER_CONFIG: 管理クラスタの構成ファイルへのパス。
- USER_CLUSTER_CONFIG: ユーザークラスタの構成ファイルへのパス。

ノードの再作成

一部のサービスアカウントキーのローテーションでは、ノードの再作成が必要なため、さらに時間がかかることがあります。

サービスアカウント	ノードの再作成が必要
コンポーネントアクセス	Artifact Registry を使用する場合: はい限定公開レジストリを使用する場合: いいえ
監査ロギング	管理クラスタ: はい。ただし、コントロールプレーンノードのみ kubeception を使用するユーザークラスタ: いいえ Controlplane V2 を使用するユーザークラスタ: はい。ただし、コントロールプレーンノードのみ
logging-monitoring	×
connect-register	×

ノードの再作成が必要な鍵のローテーションでは、ノードはローリングアップデートプロセスで置き換えられます。つまり、ノードは 1 つずつ再作成されます。

鍵のローテーション中に発生する可能性のあるダウンタイムは、クラスタのアップグレード時のダウンタイムと同様です。詳細については、アップグレード中のダウンタイムをご覧ください。

バックアップの復元

前の手順で作成したシークレットのバックアップを復元する必要がある場合は、次のコマンドを実行します。

kubectl apply -f backup/