Ruotare i token di sicurezza del cluster

Rotazione chiavi

La rotazione delle chiavi consiste nell'atto di modificare il materiale crittografico sottostante contenuto in una chiave di crittografia della chiave (KEK). Puoi attivarla manualmente, solitamente dopo un incidente di sicurezza in cui le chiavi potrebbero essere state compromesse. La rotazione della chiave sostituisce solo il singolo campo della chiave contenente i dati non elaborati della chiave di crittografia/decrittografia.

Per ruotare le chiavi di crittografia gestite dal cliente, svolgi i seguenti passaggi:

  1. Crea una nuova versione della chiave di Azure Key Vault.

  2. Dopo una rotazione della chiave, i nuovi secret verranno criptati utilizzando la nuova chiave. I vecchi secret continueranno a essere decriptati utilizzando le vecchie chiavi. Il cluster memorizza le informazioni chiave insieme al cifrario per facilitare la decrittografia dopo rotazione della chiave.

    Forza il cluster a criptare nuovamente tutti i secret utilizzando la nuova chiave:

    kubectl get secrets --all-namespaces -o json | \
    kubectl annotate --overwrite -f - encryption-key-rotation-time=`date +"%Y%m%d-%H%M%S"`