Шифрование etcd в Managed Kubernetes
Managed Kubernetes поддерживает шифрование Secret и ConfigMap в etcd.
По умолчанию шифрование etcd в кластере отключено. Включить его можно только при создании кластера. Кроме того, в работающем кластере нельзя поменять ключ шифрования или отключить шифрование.
При включении шифрования необходимо выбрать ключ из сервиса Key Management.
На пользовательском сервисном аккаунте, выбранном в кластере, должна быть назначена роль sckm.user. Если при создании кластера:
выбрано автоматическое создание сервисного аккаунта, то роль sckm.user на этот сервисный аккаунт будет также назначена автоматически.
выбран сервисный аккаунт, настроенный самостоятельно, то такому сервисному аккаунту необходимо самостоятельно назначить роль sckm.user.
Для взаимодействия с Key Management используется преднастроенный KMS-плагин. В качестве KMS-провайдера Managed Kubernetes использует KMS v2, который поддерживает схему шифрования envelope encryption:
Данные в etcd шифруются с помощью одноразового ключа шифрования данных (Data Encryption Key), который регулярно ротируется.
DEK шифруется с помощью ключа шифрования ключа (Key Encryption Key).
KEK хранится и управляется в сервисе Key Management.