Produk yang dijelaskan dalam dokumentasi ini, GKE di AWS, kini dalam mode pemeliharaan dan akan dihentikan pada 17 Maret 2027.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Merotasi kunci keamanan cluster Anda

Rotasi Kunci

Rotasi kunci adalah tindakan mengubah materi kriptografi yang mendasarinya yang terdapat dalam kunci enkripsi kunci (KEK). Rotasi kunci dapat dipicu secara otomatis sebagai bagian dari rotasi terjadwal, atau secara manual, biasanya setelah insiden keamanan yang mungkin menyebabkan kunci terganggu. Rotasi kunci hanya mengganti satu kolom dalam kunci yang berisi data kunci enkripsi/dekripsi mentah.

Rotasi Kunci Otomatis

AWS Key Management Service (KMS) mendukung rotasi kunci KMS otomatis. Jika diaktifkan, AWS akan otomatis membuat materi kunci kriptografi baru untuk kunci Anda setahun sekali. Tidak ada tindakan manual yang diperlukan.

Setelah rotasi kunci, GKE di AWS akan mengenkripsi setiap Secret baru dengan kunci baru. Secret yang dibuat sebelumnya masih didekripsi dengan kunci aslinya. Oleh karena itu, AWS menyimpan materi kunci CMK yang lebih lama secara permanen, sehingga DEK lama dapat didekripsi saat Secret lama dibaca.

Anda dapat melihat apakah kunci KMS memiliki rotasi otomatis yang diaktifkan atau tidak dengan perintah berikut:

aws kms get-key-rotation --key-id KMS_KEY_ID

Ganti KMS_KEY_ID dengan ID kunci AWS KMS Anda.

Anda dapat mengaktifkan rotasi kunci otomatis dengan menjalankan perintah ini:

aws kms enable-key-rotation --key-id KMS_KEY_ID

Rotasi Kunci Manual

Bagian ini menjelaskan cara merotasi kunci konfigurasi node pool atau panel kontrol secara manual.

Kunci konfigurasi panel kontrol

Untuk merotasi kunci konfigurasi panel kontrol secara manual, lakukan langkah-langkah berikut:

Buat kunci Cloud Key Management Service baru. Simpan nilai ARN kunci KMS Anda. Anda akan menggunakannya nanti.
Pastikan peran IAM yang terkait dengan cluster memiliki izin untuk mengenkripsi dan mendekripsi menggunakan kunci baru.
Gunakan perintah gcloud container aws clusters update untuk memperbarui kunci enkripsi.
```
 gcloud container aws clusters update CLUSTER_NAME \
    --location=GOOGLE_CLOUD_LOCATION \
    --config-encryption-kms-key-arn=CONFIG_ENCRYPTION_KMS_KEY_ARN
```
Ganti kode berikut:
- CLUSTER_NAME: nama cluster Anda
- GOOGLE_CLOUD_LOCATION: region yang didukung Google Cloud yang mengelola cluster Anda—misalnya, us-west1
- CONFIG_ENCRYPTION_KMS_KEY_ARN: ARN kunci KMS baru Anda

Volume root panel kontrol

Untuk merotasi kunci volume root panel kontrol secara manual, lakukan langkah-langkah berikut:

Buat kunci Cloud Key Management Service baru. Simpan nilai ARN kunci KMS Anda. Anda akan menggunakannya nanti.
Pastikan peran IAM yang terkait dengan cluster memiliki izin untuk mengenkripsi dan mendekripsi menggunakan kunci baru.
Gunakan perintah gcloud container aws clusters update untuk memperbarui kunci enkripsi.
```
 gcloud container aws clusters update CLUSTER_NAME \
    --location=GOOGLE_CLOUD_LOCATION \
    --root-volume-kms-key-arn=ROOT_VOLUME_KMS_KEY_ARN
```
Ganti kode berikut:
- CLUSTER_NAME: nama cluster Anda
- GOOGLE_CLOUD_LOCATION: region yang didukung Google Cloud yang mengelola cluster Anda—misalnya, us-west1
- ROOT_VOLUME_KMS_KEY_ARN: Amazon Resource Name (ARN) dari kunci AWS KMS untuk mengenkripsi volume root

Kunci konfigurasi node pool

Untuk merotasi kunci konfigurasi node pool secara manual, lakukan langkah-langkah berikut:

Buat kunci Cloud Key Management Service baru.
Pastikan peran IAM yang terkait dengan cluster memiliki izin untuk mengenkripsi dan mendekripsi menggunakan kunci baru.
Perbarui alias KMS yang digunakan:
```
 aws kms update-alias --alias-name KEY_ALIAS \
     --target-key-id CONFIG_ENCRYPTION_KMS_KEY_ARN
```
Ganti kode berikut:
- KEY_ALIAS: alias kunci yang ada
- CONFIG_ENCRYPTION_KMS_KEY_ARN: ARN kunci KMS baru Anda

Paksa cluster untuk mengenkripsi ulang semua Secret cluster menggunakan kunci enkripsi baru:

 kubectl get secrets --all-namespaces -o json | \
 kubectl annotate --overwrite -f - encryption-key-rotation-time=`date +"%Y%m%d-%H%M%S"`

Nonaktifkan kunci AWS KMS lama. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan dan menonaktifkan kunci.

Volume root node pool

Untuk merotasi kunci volume root node pool secara manual, lakukan langkah-langkah berikut:

Buat kunci Cloud Key Management Service baru.
Pastikan peran IAM yang terkait dengan cluster memiliki izin untuk mengenkripsi dan mendekripsi menggunakan kunci baru.
Perbarui alias KMS yang digunakan:
```
 aws kms update-alias --alias-name KEY_ALIAS \
     --target-key-id ROOT_VOLUME_KMS_KEY_ARN
```
Ganti kode berikut:
- KEY_ALIAS: alias kunci yang ada
- ROOT_ENCRYPTION_KMS_KEY_ARN: ARN kunci KMS baru Anda
Perbarui node pool Anda:
```
 gcloud container aws node-pools update NODE_POOL_NAME \
     --root-volume-kms-key-arn=ROOT_VOLUME_KMS_KEY_ARN
```
Ganti kode berikut:
- NODE_POOL_NAME: nama node pool Anda
- ROOT_VOLUME_KMS_KEY_ARN: Amazon Resource Name (ARN) dari kunci AWS KMS untuk mengenkripsi volume root
Nonaktifkan kunci AWS KMS lama. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan dan menonaktifkan kunci.

Merotasi kunci keamanan cluster Anda Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.