クラスタのセキュリティ キーをローテーションする

鍵のローテーション

鍵のローテーションは、鍵暗号鍵(KEK)に含まれる基盤となる暗号マテリアルを変更する動作です。これは手動でトリガーでき、通常は、鍵が不正使用された可能性があるセキュリティ インシデントの後に行われます。鍵のローテーションによって、暗号鍵と復号鍵の元データを含む鍵の単一フィールドのみが置き換えられます。

顧客管理の暗号鍵をローテーションするには、次の操作を行います。

  1. 新しい Azure Key Vault 鍵バージョンを作成します

  2. 鍵のローテーション後、新しい Secret は新しい鍵を使用して暗号化されます。古い Secret は、引き続き古い鍵を使用して復号されます。クラスタは暗号とともに鍵情報を保存し、鍵のローテーション後の復号を支援します。

    新しい鍵を使用して、クラスタですべての Secret を強制的に再暗号化します。

    kubectl get secrets --all-namespaces -o json | \
    kubectl annotate --overwrite -f - encryption-key-rotation-time=`date +"%Y%m%d-%H%M%S"`