This documentation is for the current version of GKE on AWS, released in November 2021. See the Release notes for more information.

クラスタのセキュリティキーをローテーションする

鍵のローテーション

鍵のローテーションは、鍵暗号鍵（KEK）に含まれる基盤となる暗号マテリアルを変更する動作です。このオペレーションは、スケジュール設定されたローテーションの一環として自動的にトリガーできます。また、鍵が不正使用された可能性があるセキュリティインシデントの後に手動で行うこともできます。鍵のローテーションによって、暗号鍵と復号鍵の元データを含む鍵の単一フィールドのみが置き換えられます。

鍵の自動ローテーション

AWS Key Management Service（KMS）は、KMS 鍵の自動ローテーションをサポートしています。有効にすると、AWS は年に 1 回、鍵の新しい暗号鍵マテリアルを自動的に生成します。手動での対応は必要ありません。

鍵のローテーション後、GKE on AWS により新しい Secret が新しい鍵で暗号化されます。以前に作成された Secret は、引き続き元の鍵で復号されます。このため、AWS は CMK の古い鍵マテリアルを無期限に保持し、古い Secret が読み取られたときに古い DEK を復号できるようにしています。

KMS 鍵の自動ローテーションが有効になっているかどうかを確認するには、次のコマンドを使用します。

aws kms get-key-rotation --key-id KMS_KEY_ID

KMS_KEY_ID は、AWS KMS 鍵 ID に置き換えます。

鍵の自動ローテーションを有効にするには、このコマンドを実行します。

aws kms enable-key-rotation --key-id KMS_KEY_ID

手動による鍵のローテーション

このセクションでは、コントロールプレーンまたはノードプール構成の鍵を手動でローテーションする方法について説明します。

コントロールプレーン構成の鍵

コントロールプレーン構成の鍵を手動でローテーションするには、次の操作を行います。

新しい Cloud Key Management Service 鍵を作成します。KMS 鍵の ARN の値を保存します。これは後で使用します。
クラスタに関連付けられた IAM ロールに、新しい鍵を使用して暗号化と復号を行う権限があることを確認します。
gcloud container aws clusters update コマンドを使用して暗号鍵を更新します。
```
 gcloud container aws clusters update CLUSTER_NAME \
    --location=GOOGLE_CLOUD_LOCATION \
    --config-encryption-kms-key-arn=CONFIG_ENCRYPTION_KMS_KEY_ARN
```
次のように置き換えます。
- CLUSTER_NAME: クラスタの名前
- GOOGLE_CLOUD_LOCATION: クラスタを管理するサポート対象の Google Cloud リージョン（例: us-west1）
- CONFIG_ENCRYPTION_KMS_KEY_ARN: 新しい KMS 鍵の ARN

コントロールプレーンのルートボリューム

コントロールプレーンのルートボリュームの鍵を手動でローテーションするには、次の操作を行います。

新しい Cloud Key Management Service 鍵を作成します。KMS 鍵の ARN の値を保存します。これは後で使用します。
クラスタに関連付けられた IAM ロールに、新しい鍵を使用して暗号化と復号を行う権限があることを確認します。
gcloud container aws clusters update コマンドを使用して暗号鍵を更新します。
```
 gcloud container aws clusters update CLUSTER_NAME \
    --location=GOOGLE_CLOUD_LOCATION \
    --root-volume-kms-key-arn=ROOT_VOLUME_KMS_KEY_ARN
```
次のように置き換えます。
- CLUSTER_NAME: クラスタの名前
- GOOGLE_CLOUD_LOCATION: クラスタを管理するサポート対象の Google Cloud リージョン（例: us-west1）
- ROOT_VOLUME_KMS_KEY_ARN: ルートボリュームを暗号化するための AWS KMS 鍵の Amazon Resource Name（ARN）

ノードプール構成の鍵

ノードプール構成の鍵を手動でローテーションするには、次の操作を行います。

新しい Cloud Key Management Service 鍵を作成します。
クラスタに関連付けられた IAM ロールに、新しい鍵を使用して暗号化と復号を行う権限があることを確認します。
使用中の KMS エイリアスを更新します。
```
 aws kms update-alias --alias-name KEY_ALIAS \
     --target-key-id CONFIG_ENCRYPTION_KMS_KEY_ARN
```
次のように置き換えます。
- KEY_ALIAS: 既存の鍵のエイリアス
- CONFIG_ENCRYPTION_KMS_KEY_ARN: 新しい KMS 鍵の ARN

新しい暗号鍵を使用してすべてのクラスタ Secret の再暗号化を強制的に実行します。

 kubectl get secrets --all-namespaces -o json | \
 kubectl annotate --overwrite -f - encryption-key-rotation-time=`date +"%Y%m%d-%H%M%S"`

古い AWS KMS 鍵を無効にします。詳細については、鍵の有効化と無効化をご覧ください。

ノードプールのルートボリューム

ノードプールのルートボリュームの鍵を手動でローテーションするには、次の操作を行います。

新しい Cloud Key Management Service 鍵を作成します。
クラスタに関連付けられた IAM ロールに、新しい鍵を使用して暗号化と復号を行う権限があることを確認します。
使用中の KMS エイリアスを更新します。
```
 aws kms update-alias --alias-name KEY_ALIAS \
     --target-key-id ROOT_VOLUME_KMS_KEY_ARN
```
次のように置き換えます。
- KEY_ALIAS: 既存の鍵のエイリアス
- ROOT_ENCRYPTION_KMS_KEY_ARN: 新しい KMS 鍵の ARN
ノードプールを更新します。
```
 gcloud container aws node-pools update NODE_POOL_NAME \
     --root-volume-kms-key-arn=ROOT_VOLUME_KMS_KEY_ARN
```
次のように置き換えます。
- NODE_POOL_NAME: ノードプールの名前
- ROOT_VOLUME_KMS_KEY_ARN: ルートボリュームを暗号化するための AWS KMS 鍵の Amazon Resource Name（ARN）
古い AWS KMS 鍵を無効にします。詳細については、鍵の有効化と無効化をご覧ください。

クラスタのセキュリティ キーをローテーションする