Wie rotiere ich den Cluster-API-Schlüssel, wenn es ein Leck gibt?

Ihre Clustersicherheit wurde aufgrund eines verfügbar gemachten API-Schlüssels beeinträchtigt.

Es gibt viele Gründe, warum oder wie ein API-Schlüsselleck auftritt. Planen Sie nach der Schlüsselrotation eine gründliche Ursachenanalyse.

Lösen Sie das Problem, indem Sie Ihre Clusterberechtigungsnachweise rotieren.

1. Suchen Sie mithilfe Ihrer Cluster-ID die IAM-Service-ID für Ihren Cluster. Notieren Sie sich die Service-ID, die mit cluster-CLUSTERID beginnt.

   ibmcloud iam service-ids | grep CLUSTER-ID
   

   Beispielausgabe

   ServiceId-bc8cebd4-491e-4582-9a75-e93938004f79     cluster-ck0a5faw0bm3lnln95lg   ... ...
   

2. Suchen Sie die API-Schlüssel, die der im vorherigen Schritt gefundenen Service-ID zugeordnet sind. Im folgenden Beispiel wird der API-Schlüssel, der für Container Registry verwendet wird, gewechselt.

   ibmcloud iam service-api-keys ServiceId-xxx-xxx
   Getting all API keys of xxx...
   OK
   ID                                            Name                           Description                                                          Created At              Last Updated            Locked
   ApiKey-79ed0b99-1ac9-4676-96be-8cbaa485fa74   cluster-ck9blho20n01rtorhqhg   API key created for cluster access to IBM Cloud Container Registry   2023-09-26T11:04+0000   2023-09-26T11:04+0000   false
   

3. Um einen neuen Schlüssel zu generieren, löschen Sie den Service-API-Schlüssel.

   ibmcloud iam service-api-key-delete SERVICE_API_KEY_ID_OR_NAME SERVICE_ID_OR_NAME
   

4. Führen Sie den ibmcloud ks cluster pull-secret apply -Befehl aus. Dieser Befehl generiert einen neuen API-Schlüssel und aktualisiert den geheimen Schlüssel all-icr-io im Standardnamensbereich.

   ibmcloud ks cluster pull-secret apply --cluster CLUSTER
   

5. Beachten Sie, dass der neue API-Schlüssel sofort generiert wird. Das Füllen des aktualisierten geheimen Schlüssels kann jedoch einige Minuten dauern.