Etcdに格納されたRestでのKubernetesシークレットの暗号化

「カスタム作成」ワークフローで新規クラスタを作成する際に、クラスタのetcdキー/値ストアにあるKubernetesシークレットを暗号化するマスター暗号化鍵を管理する場合は、マスター暗号化鍵へのアクセスを設定します。

1. コンソールにログインします。

2. Kubernetesシークレットの暗号化に使用するマスター暗号化キーのOCIDがわかっている場合は、次のステップに進みます。それ以外の場合:

   • 適切なマスター暗号化キーがVaultにすでに存在するが、そのOCIDが不明な場合は、マスター暗号化キーのリストの手順に従い、マスター暗号化キーのOCIDをノートにとります。
   • 適切なマスター暗号化キーがVaultに存在しない場合は、マスター暗号化キーの作成の手順に従って、次のように設定します:
     • ソフトウェアまたはHSMへの保護モード。
     • キー・シェイプ:アルゴリズムからAES、RSAまたはECDSA。
     • キーのシェイプ:長さ: AESキー(128、256)およびRSAキー(2048、3072、4096)またはキー・シェイプ:曲線ID(ECDSAキー(NIST_P256、NIST_P384、NIST_P521)用です。
     新しいマスター暗号化キーを作成したら、そのOCIDを書き留めます。

3. ボールトのマスター暗号化キーへのアクセス権を付与します。

   マスター暗号化キーへのアクセスは、次の2つの方法で付与できます。

   新規IAMポリシーの作成(推奨)

   1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。
   2. ポリシーを作成するにはの説明に従って、ポリシーに名前を付けます(たとえば、acme-oke-kms-policy)。

   3. 次の形式で、マスター暗号化キーへのアクセス権を付与するポリシー・ステートメントを入力します:

      Allow any-user to use keys in compartment <compartment-name> where ALL {request.principal.type = 'cluster', target.key.id = '<key-ocid>'}
      

      ここでは:

      • <compartment-name>は、マスター暗号化キーを含むコンパートメントの名前です。
      • <key-OCID>は、ボールトにおけるマスター暗号化キーのOCIDです。

      例:

      Allow any-user to use keys in compartment acme-kms-key-compartment where ALL {request.principal.type = 'cluster', target.key.id = 'ocid1.key.oc1.iad.annrl______trfg'}
      

   4. 「作成」をクリックして、新しいポリシーを作成します。
   新しい動的グループを作成し、新しいIAMポリシーを作成します。

   1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。「アイデンティティ・ドメイン」で、「動的グループ」をクリックします。
   2. 動的グループを作成するにはの手順に従って、動的グループに名前を付けます(たとえば、acme-oke-kms-dyn-grp)。

   3. コンパートメント内のすべてのクラスタを含むルールを次の形式で入力します:

      ALL {resource.type = 'cluster', resource.compartment.id = '<compartment-ocid>'}

      <compartment-ocid>は、新しいクラスタを作成する予定のコンパートメントのOCIDです。

      例:

      ALL {resource.type = 'cluster', resource.compartment.id = 'ocid1.compartment.oc1..aaaaaaaa23______smwa'}

   4. 「動的グループの作成」をクリックします。

      コンパートメント内のすべてのクラスタを含む動的グループを作成したら、ボールトでマスター暗号化キーへの動的グループ・アクセス権を付与するポリシーを作成できるようになります。

   5. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ポリシー」をクリックします。
   6. ポリシーを作成するにはの手順に従って、ポリシーに名前を付けます(たとえば、acme-oke-kms-dyn-grp-policy)。

   7. 次の形式で、マスター暗号化キーへの動的グループ・アクセス権を付与するポリシー・ステートメントを入力します:

      Allow dynamic-group <dynamic-group-name> to use keys in compartment <compartment-name> where target.key.id = '<key-OCID>'

      ここでは:

      • <dynamic-group-name>は、以前に作成した動的グループの名前です。
      • <compartment-name>は、マスター暗号化キーを含むコンパートメントの名前です。
      • <key-OCID>は、ボールトにおけるマスター暗号化キーのOCIDです。

      例:

      Allow dynamic-group <acme-oke-kms-dyn-grp> to use keys in compartment acme-kms-key-compartment where target.key.id = 'ocid1.key.oc1.iad.annrl______trfg'

   8. 「作成」をクリックして、新しいポリシーを作成します。

4. 新しいクラスタを作成する場合は、「管理するキーを使用した暗号化」オプションを選択し、マスター暗号化キーを指定します(コンソールを使用したカスタム作成ワークフローでの明示的に定義した設定によるクラスタの作成を参照)。

5. (オプション)クラスタを作成した後、セキュリティを強化するには:

   1. 作成した新しいクラスタのOCIDをノートにとります。

   2. マスター暗号化キーの使用を制限します。

      • 単にIAMポリシーを作成した場合は、コンパートメント内のすべてのクラスタではなく、新しいクラスタのOCIDを明示的に含めるようにポリシー・ステートメントを変更します。例:

        Allow any-user to use keys in compartment acme-kms-key-compartment where ALL {request.principal.type = 'cluster', target.key.id = 'ocid1.key.oc1.iad.annrl______trfg', request.principal.id = 'ocid1.cluster.oc1.iad.aaaaaaaaaf______yg5q'}
        

      • 動的グループを作成した場合は、以前に作成した動的グループ・ルールを変更して、コンパートメント内のすべてのクラスタではなく、新しいクラスタのOCIDを明示的に指定します。例:

        resource.id = 'ocid1.cluster.oc1.iad.aaaaaaaaaf______yg5q'

マスター暗号化キーを自分で管理するオプションを選択した場合は、Vaultサービスでマスター暗号化キーをローテーションし、マスター暗号化キーの新しいバージョンを作成できます(Vaultキーのローテーションを参照)。

kubectl get secrets --all-namespaces -o json | kubectl annotate --overwrite -f - encryption-key-rotation-time="<time>"

ここで、<time>は、ローテーションを実行するタイミングを示す文字列です。例:

kubectl get secrets --all-namespaces -o json | kubectl annotate --overwrite -f - encryption-key-rotation-time="20210909_2135"

別のテナンシのマスター暗号化キーを使用するクラスタをテナンシに作成できます。この場合、クロステナンシ・ポリシーを記述し、テナンシ内のクラスタがボールト・サービスのテナンシ内のマスター暗号化キーにアクセスできるようにする必要があります。クラスタを作成し、別のテナンシにあるマスター暗号化キーを指定する場合、コンソールを使用してクラスタを作成することはできません。

たとえば、クラスタがClusterTenancyにあり、マスター暗号化キーがKeyTenancyにあるとします。ClusterTenancyのグループ(OKEAdminGroup)に属するユーザーには、クラスタを作成する権限があります。ルールALL {resource.type = 'cluster', resource.compartment.id = 'ocid1.compartment.oc1..<unique_ID>'}を使用してクラスタに動的グループ(OKEAdminDynGroup)が作成されたため、ClusterTenancyに作成されたすべてのクラスタは動的グループに属します。

KeyTenancyのルート・コンパートメントには、次のポリシーがあります:

• ClusterTenancyのOCIDを使用して、ClusterTenancyを別名OKE_Tenancyにマップします
• OKEAdminGroupおよびOKEAdminDynGroupのOCIDを使用して、それぞれ別名RemoteOKEAdminGroupおよびRemoteOKEClusterDynGroupにマップします
• RemoteOKEAdminGroupおよびRemoteOKEClusterDynGroupに、KeyTenancyの特定のマスター・キーを使用して暗号化操作をリスト、表示および実行する機能を付与します

Define tenancy OKE_Tenancy as ocid1.tenancy.oc1..<unique_ID>
Define dynamic-group RemoteOKEClusterDynGroup as ocid1.dynamicgroup.oc1..<unique_ID>
Define group RemoteOKEAdminGroup as ocid1.group.oc1..<unique_ID>
Admit dynamic-group RemoteOKEClusterDynGroup of tenancy ClusterTenancy to use keys in tenancy where target.key.id = 'ocid1.key.oc1..<unique_ID>'
Admit group RemoteOKEAdminGroup of tenancy ClusterTenancy to use keys in tenancy where target.key.id = 'ocid1.key.oc1..<unique_ID>'

ClusterTenancyのルート・コンパートメントには、次のポリシーがあります:

Define tenancy KMS_Tenancy as ocid1.tenancy.oc1..<unique_ID>
Endorse group OKEAdminGroup to use keys in tenancy KMS_Tenancy
Endorse dynamic-group OKEAdminDynGroup to use keys in tenancy KMS_Tenancy
Allow dynamic-group OKEAdminDynGroup to use keys in tenancy where target.key.id = 'ocid1.key.oc1..<unique_ID>'

クロステナンシ・ポリシーの記述例は、テナンシ間でのオブジェクト・ストレージ・リソースへのアクセスを参照してください。

oci ce cluster create --name oke-with-cross-kms --kubernetes-version v1.16.8 --vcn-id ocid1.vcn.oc1.iad.<unique_ID> --service-lb-subnet-ids '["ocid1.subnet.oc1.iad.<unique_ID>"]' --compartment-id ocid1.compartment.oc1..<unique_ID> --kms-key-id ocid1.key.oc1.iad.<unique_ID>