クラスタAPIキーが漏れた場合、どのようにローテーションすればよいですか？

API キーが公開されているため、クラスターのセキュリティーが侵害されました。

API キー・リークが発生する理由としては、さまざまなものが考えられます。 鍵をローテートした後、完全な根本原因分析の実行を計画します。

この問題を解決するには、クラスター資格情報をローテーションします。

1. クラスター ID を使用して、クラスターの IAM サービス ID を見つけます。 cluster-CLUSTERID で始まるサービス ID を書き留めます。

   ibmcloud iam service-ids | grep CLUSTER-ID
   

   出力例

   ServiceId-bc8cebd4-491e-4582-9a75-e93938004f79     cluster-ck0a5faw0bm3lnln95lg   ... ...
   

2. 前のステップで見つけたサービス ID に関連付けられた API キーを見つけます。 以下の例では、 Container Registry に使用される API キーがローテートされます。

   ibmcloud iam service-api-keys ServiceId-xxx-xxx
   Getting all API keys of xxx...
   OK
   ID                                            Name                           Description                                                          Created At              Last Updated            Locked
   ApiKey-79ed0b99-1ac9-4676-96be-8cbaa485fa74   cluster-ck9blho20n01rtorhqhg   API key created for cluster access to IBM Cloud Container Registry   2023-09-26T11:04+0000   2023-09-26T11:04+0000   false
   

3. 新しい鍵を生成するには、サービス API 鍵を削除します。

   ibmcloud iam service-api-key-delete SERVICE_API_KEY_ID_OR_NAME SERVICE_ID_OR_NAME
   

4. ibmcloud ks cluster pull-secret apply コマンド を実行します。 このコマンドは、新しい API キーを生成し、デフォルトの名前空間内の all-icr-io シークレットを更新します。

   ibmcloud ks cluster pull-secret apply --cluster CLUSTER
   

5. 新しい API キーは即時に生成されることに注意してください。 ただし、更新されたシークレットにデータが取り込まれるまでに数分かかる場合があります。