輪替叢集的安全金鑰

金鑰輪替

金鑰輪替是指變更金鑰加密金鑰 (KEK) 中包含的基礎加密編譯資料。通常是在發生安全事件 (金鑰可能遭盜用) 後，手動觸發這項作業。金鑰輪替只會替換金鑰中包含原始加密/解密金鑰資料的單一欄位。

如要輪替客戶代管的加密金鑰，請執行下列步驟：

1. 建立新的 Azure Key Vault 金鑰版本。

2. 金鑰輪替後，系統會使用新金鑰加密新的 Secret。舊密鑰仍可用於解密舊密鑰。叢集會儲存金鑰資訊和密碼，以便在金鑰輪替後解密。

   強制叢集使用新金鑰重新加密所有密鑰：

   kubectl get secrets --all-namespaces -o json | \
   kubectl annotate --overwrite -f - encryption-key-rotation-time=`date +"%Y%m%d-%H%M%S"`