Secrets Encryption at Rest

Objectifs

Vérifier que les secrets sont stockés en clair dans etcd et activer le chiffrement AES-CBC.

Prerequisites

# Générer une clé de 32 octets encodée en base64
head -c 32 /dev/urandom | base64

Configurer le chiffrement

Créez /etc/kubernetes/enc.yaml.

Solution

apiVersion: apiserver.config.k8s.io/v1
kind: EncryptionConfiguration
resources:
  - resources:
      - secrets
    providers:
      - aescbc:
          keys:
            - name: key1
              secret: <VOTRE_CLE_BASE64>
      - identity: {}

Activation

Ajoutez le flag --encryption-provider-config=/etc/kubernetes/enc.yaml au manifeste de l’API Server.