클러스터의 보안 키 순환

키 순환

키 순환은 키 암호화 키(KEK)에 포함된 기본 암호화 자료를 변경하는 작업입니다. 일반적으로 키가 손상될 수 있는 보안 사고가 발생하면 키 순환을 수동으로 트리거할 수 있습니다. 키 순환을 수행하면 키에서 원시 암호화/복호화 키 데이터가 포함된 단일 필드만 바뀝니다.

고객 관리 암호화 키를 순환하려면 다음 단계를 수행합니다.

1. 새 Azure Key Vault 키 버전을 만듭니다.

2. 키를 순환하면 새 보안 비밀이 새 키를 통해 암호화됩니다. 이전 보안 비밀은 여전히 이전 키를 통해 복호화됩니다. 클러스터는 키 순환 후 복호화를 지원하도록 암호화와 함께 키 정보를 저장합니다.

   새 키를 사용하여 클러스터에서 모든 보안 비밀을 강제로 다시 암호화하도록 합니다.

   kubectl get secrets --all-namespaces -o json | \
   kubectl annotate --overwrite -f - encryption-key-rotation-time=`date +"%Y%m%d-%H%M%S"`