鍵管理システムで新しく生成されたマスタ暗号化キーを利用するとき、FEPClusterカスタムリソースのfepChildCrVal.sysTde.tdek.targetKeyIdに新しいマスタ暗号化キーのIDに更新します。この値が更新されたとき、オペレーターが自動的にTDEの再有効化を実行します。

また、鍵管理システムと接続するための資格情報が更新された場合、FEPClusterカスタムリソースの対応する値を更新します。資格情報が更新されると、オペレーターが自動的にキーストアのオープンを実行します。

TDEの再有効化、または、キーストアのオープンが完了したとき、下記のイベントが通知されます。

# TDEが再有効化が成功したとき
$ kubectl get event
LAST SEEN   TYPE    REASON                     OBJECT                     MESSAGE
164m        Normal  SuccessfulTdeSetMasterKey  fepconfig/<FEPClusterCR名> <namespace>, Successfully set TDE masterKey

# TDEの再有効化が失敗したとき
$ kubectl get event
LAST SEEN   TYPE    REASON                     OBJECT                     MESSAGE
164m        Warning    FailedTdeSetMasterKey   fepconfig/<FEPClusterCR名> <namespace>, Error/Failure set TDE masterKey

処理が失敗していた場合は、FEPClusterカスタムリソースに定義したパラメータを見直し、正しい値を入力し直します。

資格情報を格納したSecretやConfigMapの内容だけを更新し、カスタムリソースの修正がない場合は、“5.12.2 資格情報の更新”で説明している、FEPActionカスタムリソースを利用して、キーストアのオープンを実行します。