6.2.2. Vault の暗号鍵を回転させる
Vault Transit の暗号鍵をローテーションすることで、以前のバージョンで暗号化されたデータへのアクセスを維持しながら、新しいキーバージョンを生成できます。
前提条件
-
cluster-adminロールを持つユーザーとしてクラスターにアクセスできる。 - あなたは、キーをローテーションする権限を持つ Vault インスタンスにアクセスできます。
- Kubernetes KMS v2 暗号化が有効になっており、正常に動作しています。
手順
以下のコマンドを入力して、Vault の暗号鍵をローテーションしてください。
$ vault write -f transit/keys/kms-key/rotateVault は新しいキーバージョンを作成し、復号化のために以前のバージョンを保持します。API サーバーは、各シークレットに対して適切なキーバージョンを自動的に使用します。
以下のコマンドを入力して、新しいキーのバージョンを確認してください。
$ vault read transit/keys/kms-keylatest_versionフィールドには、現在のキーのバージョン番号が表示されます。
検証
既存のシークレットに引き続きアクセスできることを確認するには、次のコマンドを入力してください。
$ oc get secret -A
すべての秘密情報は、エラーなく読み取れるべきである。
既存の暗号化された秘密情報は、再暗号化する必要はありません。Vault はすべての鍵バージョンを保持し、復号化には適切なバージョンを自動的に使用します。