AKS utiliza el complemento KMS Key Management Service para cifrar los secretos almacenados en etcd con una clave de Azure Key Vault CMK. Este enfoque mejora la ciberseguridad y el cumplimiento normativo al mantener el control de la clave de cifrado. Revisa la guía oficial en Microsoft Learn.
Puntos clave antes de empezar
1 KMS exige una identidad administrada asignada por el usuario user assigned managed identity, no se admiten identidades asignadas por el sistema. Debes conceder permisos de clave a esa identidad en el Key Vault antes de activar KMS. 2 No elimines la clave ni el Key Vault mientras KMS esté habilitado. Si lo haces, los secretos almacenados en etcd podrían quedar inaccesibles e irrecuperables. Consulta la documentación oficial en Microsoft Learn.
Variables recomendadas
Define los siguientes valores para mantener consistencia durante el despliegue RG CLUSTER LOCATION nombre de la región de Azure KV_NAME KEY_NAME IDENTITY_NAME y posteriormente KEY_ID y KEYVAULT_RESOURCE_ID cuando los obtengas.
Paso 1 Verifica que Azure CLI esté actualizado
Ejecuta az --version y actualiza si es necesario, ya que KMS requiere una versión reciente del CLI.
Paso 2 Crea el Key Vault y la clave
Opción pública Crea un Key Vault con acceso de red público y luego genera una clave RSA dentro del almacén. Recupera el identificador de la clave y consérvalo como KEY_ID para usarlo más adelante. Opción privada Si prefieres un Key Vault privado desactiva el acceso público y habilita la integración de red del servidor de API de AKS API Server VNet Integration. En este caso también necesitarás el identificador del recurso del Key Vault KEYVAULT_RESOURCE_ID. La guía oficial detalla los prerrequisitos en Microsoft Learn.
Paso 3 Crea la identidad administrada asignada por el usuario
Crea la identidad en el mismo grupo de recursos y región. Obtén su principalId y su id de recurso resourceId. Conserva ambos valores, los necesitarás para conceder permisos y asociarla al clúster.
Paso 4 Concede permisos a la identidad en el Key Vault
Si el Key Vault usa directivas de acceso acceso clásico establece una directiva para el object id de la identidad con permisos de clave encrypt y decrypt. Si el Key Vault usa RBAC asigna el rol Key Vault Crypto User a la identidad en el ámbito del recurso del Key Vault. Ambas opciones están documentadas en Microsoft Learn.
Paso 5 Asocia la identidad al clúster de AKS
Actualiza el clúster para usar managed identity y asigna la identidad de usuario recién creada. Verifica la asociación consultando la propiedad identity del recurso AKS. Al añadir una identidad de usuario el plano de control puede reconfigurarse, monitoriza el estado del recurso hasta que finalice.
Paso 6 Activa KMS para etcd con Azure Key Vault
Para Key Vault público habilita azure keyvault kms con los parámetros enable azure keyvault kms, azure keyvault kms key vault network access con valor Public y azure keyvault kms key id con el valor KEY_ID. Para Key Vault privado además de lo anterior define azure keyvault kms key vault network access como Private y especifica azure keyvault kms key vault resource id con el valor KEYVAULT_RESOURCE_ID. Tras completarse, AKS usará tu CMK para cifrar los secretos en etcd. Revisa las banderas exactas en Microsoft Learn.
Paso 7 Re cifra los secretos existentes importante
Los secretos creados antes de habilitar KMS siguen cifrados con el mecanismo previo. Para actualizar su cifrado puedes ejecutar el reemplazo masivo por ejemplo kubectl get secrets --all-namespaces -o json seguido de kubectl replace -f -. Considera hacerlo por espacios de nombres para limitar el alcance.
Paso 8 Verifica el estado por CLI
Consulta el bloque securityProfile.azureKeyVaultKms con az aks show --query securityProfile.azureKeyVaultKms -o json. Si aparece el objeto con keyId y networkAccess KMS está activo. También puedes inspeccionar todo el objeto de seguridad para confirmar la configuración.
Paso 9 Verifica en Azure Portal opcional
En algunos clústeres antiguos el Portal puede no mostrar una sección de cifrado dedicada. El método fiable es la verificación por CLI o usando la vista JSON del recurso y comprobando properties.securityProfile.azureKeyVaultKms.
Advertencias operativas
No elimines la clave ni el Key Vault con KMS activo, podrías dejar inoperable el clúster. Si rotas la clave crea una nueva versión, actualiza el clúster con el nuevo KEY_ID y vuelve a reemplazar los secretos para re cifrarlos. Si tu Key Vault usa firewall o endpoints privados configura la integración de red del servidor de API de AKS antes de activar KMS.
Atajos útiles
Obtener el bloque KMS actual az aks show --query securityProfile.azureKeyVaultKms. Re cifrar secretos en todos los espacios de nombres kubectl get secrets --all-namespaces -o json y luego kubectl replace -f -.
Cómo puede ayudarte Q2BSTUDIO
En Q2BSTUDIO somos una empresa de desarrollo de software con foco en aplicaciones a medida y software a medida, especialistas en inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi. Diseñamos e implantamos arquitecturas seguras de Kubernetes y AKS, gestionamos claves CMK, automatizamos rotaciones y auditorías, y creamos pipelines de despliegue con principios DevSecOps para reforzar la protección de datos. Si necesitas modernizar tu infraestructura o migrar tus cargas a la nube, nuestro equipo de servicios cloud puede acompañarte de extremo a extremo en la adopción de Azure y AWS. Conócenos mejor en nuestros servicios cloud AWS y Azure y refuerza tu postura de ciberseguridad con prácticas de pentesting, hardening y respuesta ante incidentes que ofrecemos desde nuestra unidad de ciberseguridad. También te ayudamos con automatización de procesos, cuadros de mando con power bi y analítica avanzada para inteligencia de negocio.
¿Quieres una guía paso a paso completamente adaptada a tus nombres de recursos y políticas de red o integrarlo en Infraestructura como Código con Terraform o Bicep Nuestra oficina técnica puede entregarte una receta reproducible y segura alineada con buenas prácticas de AKS y Key Vault, además de integraciones con monitorización, logging y alertas.