Effectuer une rotation des clés de sécurité de votre cluster
Rotation des clés
La rotation des clés consiste à modifier le matériel de cryptographie sous-jacent contenu dans une clé de chiffrement de clé (KEK). Elle peut être déclenchée manuellement, généralement après un incident de sécurité où des clés ont pu être compromises. La rotation des clés ne remplace que le champ unique de la clé contenant les données brutes de la clé de chiffrement/déchiffrement.
Pour procéder à la rotation des clés de chiffrement gérées par le client, procédez comme suit :
Après une rotation des clés, les nouveaux secrets sont chiffrés à l'aide de cette nouvelle clé. Les anciens secrets seront toujours déchiffrés à l'aide des anciennes clés. Le cluster stocke les informations de clé ainsi que l'algorithme de chiffrement pour faciliter le déchiffrement après la rotation des clés.
Forcez le cluster à rechiffrer tous les secrets à l'aide de la nouvelle clé :
kubectl get secrets --all-namespaces -o json | \ kubectl annotate --overwrite -f - encryption-key-rotation-time=`date +"%Y%m%d-%H%M%S"`