IBM Cloud Docs
¿Cómo puedo rotar la clave API del clúster si hay una fuga?

¿Cómo puedo rotar la clave API del clúster si hay una fuga?

La seguridad del clúster se ha visto comprometida debido a una clave de API expuesta.

Puede haber muchas razones por las que o cómo se produce una fuga de clave de API. Después de rotar la clave, planifique completar un análisis completo de la causa raíz.

Para resolver el problema, rote las credenciales del clúster.

  1. Utilice el ID de clúster para buscar el ID de servicio de IAM para el clúster. Anote el ID de servicio que empieza por cluster-CLUSTERID.

    ibmcloud iam service-ids | grep CLUSTER-ID

    Salida de ejemplo

    ServiceId-bc8cebd4-491e-4582-9a75-e93938004f79     cluster-ck0a5faw0bm3lnln95lg   ... ...

  2. Busque las claves de API asociadas con el ID de servicio que ha encontrado en el paso anterior. En el ejemplo siguiente, se rota la clave de API utilizada para Container Registry.

    ibmcloud iam service-api-keys ServiceId-xxx-xxx
Getting all API keys of xxx...
OK
ID                                            Name                           Description                                                          Created At              Last Updated            Locked
ApiKey-79ed0b99-1ac9-4676-96be-8cbaa485fa74   cluster-ck9blho20n01rtorhqhg   API key created for cluster access to IBM Cloud Container Registry   2023-09-26T11:04+0000   2023-09-26T11:04+0000   false

  3. Para generar una clave nueva, suprima la clave de API de servicio.

    ibmcloud iam service-api-key-delete SERVICE_API_KEY_ID_OR_NAME SERVICE_ID_OR_NAME

  4. Ejecute ibmcloud ks cluster pull-secret apply mandato. Este mandato genera una nueva clave de API y actualiza el secreto de all-icr-io en el espacio de nombres predeterminado.

    ibmcloud ks cluster pull-secret apply --cluster CLUSTER

  5. Tenga en cuenta que la nueva clave de API se genera inmediatamente. Sin embargo, el secreto actualizado puede tardar varios minutos en llenarse.