Actualizar el modo de Key Vault para un clúster de Azure Kubernetes Service (AKS) con cifrado etcd de Key Management Service (KMS) (heredado)

En este artículo se muestra cómo actualizar el modo de almacén de claves de público a privado o privado a público para un clúster de Azure Kubernetes Service (AKS) con cifrado etcd del servicio de administración de claves (KMS).

Prerrequisitos

Un clúster de AKS con el cifrado etcd de KMS habilitado. Para obtener más información, consulte Incorporación de cifrado del servicio de administración de claves (KMS) a un clúster de Azure Kubernetes Service (AKS).
Versión 2.39.0 o posterior de la CLI de Azure. Busque su versión usando el comando az --version. Si necesita instalarla o actualizarla, consulte Instalación de la CLI de Azure.

Actualización del modo de un almacén de claves

Nota:

Para cambiar un almacén de claves diferente con un modo diferente (ya sea público o privado), puede ejecutar az aks update directamente. Para cambiar el modo de un almacén de claves conectado, primero debe desactivar KMS y, a continuación, volver a activarlo con los nuevos identificadores del almacén de claves.

Actualización de un almacén de claves público a privado
Actualización de un almacén de claves público a privado

Desactive KMS en el clúster existente y libere el almacén de claves mediante el comando az aks update con el parámetro --disable-azure-keyvault-kms.
```
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --disable-azure-keyvault-kms
```
Advertencia

Después de desactivar KMS, la clave del almacén de claves de cifrado sigue siendo necesaria. No se puede eliminar ni expirar.
Actualice todos los secretos mediante el kubectl get secrets comando para asegurarse de que los secretos creados anteriormente ya no están cifrados. Para clústeres más grandes, es posible que quiera subdividir los secretos por espacio de nombres o crear un script de actualización. Si se produce un error en el comando anterior para actualizar KMS, ejecute el siguiente comando para evitar un estado inesperado para el complemento KMS.
```
kubectl get secrets --all-namespaces -o json | kubectl replace -f -
```
Al ejecutar el comando, se puede ignorar con seguridad el siguiente error:
```
The object has been modified; please apply your changes to the latest version and try again.
```
Actualice el almacén de claves de público a privado utilizando el comando az keyvault update con el parámetro --public-network-access establecido en Disabled.
```
az keyvault update --name $KEY_VAULT --resource-group $RESOURCE_GROUP --public-network-access Disabled
```

Active KMS con el almacén de claves privada actualizado mediante el comando az aks update con el parámetro --azure-keyvault-kms-key-vault-network-access establecido en Private.

az aks update \
     --name $CLUSTER_NAME \
     --resource-group $RESOURCE_GROUP  \
     --enable-azure-keyvault-kms \
     --azure-keyvault-kms-key-id $KEY_ID \
     --azure-keyvault-kms-key-vault-network-access "Private" \
     --azure-keyvault-kms-key-vault-resource-id $KEY_VAULT_RESOURCE_ID

Desactive KMS en el clúster existente para liberar el almacén de claves mediante el comando az aks update.
```
az aks update --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP --disable-azure-keyvault-kms
```
Advertencia

Después de desactivar KMS, la clave del almacén de claves de cifrado sigue siendo necesaria. No se puede eliminar ni expirar.
Actualice todos los secretos mediante el kubectl get secrets comando para asegurarse de que los secretos creados anteriormente ya no están cifrados. Para clústeres más grandes, es posible que quiera subdividir los secretos por espacio de nombres o crear un script de actualización. Si se produce un error en el comando anterior para actualizar KMS, ejecute el siguiente comando para evitar un estado inesperado para el complemento KMS.
```
kubectl get secrets --all-namespaces -o json | kubectl replace -f -
```
Al ejecutar el comando, se puede ignorar con seguridad el siguiente error:
```
The object has been modified; please apply your changes to the latest version and try again.
```
Actualice el almacén de claves de público a privado utilizando el comando az keyvault update con el parámetro --public-network-access establecido en Enabled.
```
az keyvault update --name $KEY_VAULT --resource-group $RESOURCE_GROUP --public-network-access Enabled
```

Active KMS con el almacén de claves privada actualizado mediante el comando az aks update con el parámetro --azure-keyvault-kms-key-vault-network-access establecido en Public.

az aks update \
     --name $CLUSTER_NAME \
     --resource-group $RESOURCE_GROUP  \
     --enable-azure-keyvault-kms \
     --azure-keyvault-kms-key-id $KEY_ID \
     --azure-keyvault-kms-key-vault-network-access "Public" \
     --azure-keyvault-kms-key-vault-resource-id $KEY_VAULT_RESOURCE_ID

Pasos siguientes

Para obtener más información sobre el uso de KMS con AKS, consulte los siguientes artículos:

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-12-22

Compartir a través de

Actualizar el modo de Key Vault para un clúster de Azure Kubernetes Service (AKS) con cifrado etcd de Key Management Service (KMS) (heredado)

Prerrequisitos

Actualización del modo de un almacén de claves

Comentarios

Recursos adicionales