预计无法从存储中读取(包括对存储的任何必需解密)将阻止对对象(包括读、写和删除请求)的访问。
删除路径需要检查诸如终结器之类的事物，而终结控制器可以通过API执行任意操作(读取和更新对象)。
为部分对象加密添加支持将是一项增强功能，而非真正的bug修复，并且肯定需要提出建议。

我将为此制定一个KEP。

问题在90天不活跃后过期。
使用 /remove-lifecycle stale 将问题标记为新鲜。
过期的问题在30天不活跃后开始腐烂并最终关闭。
如果现在可以安全地关闭此问题，请使用 /close 进行操作。
向 sig-testing, kubernetes/test-infra 和/或 fejta 发送反馈。
生命周期：过期

过期的问题在30天不活动后会变质。
使用 /remove-lifecycle rotten 将问题标记为新鲜。
腐烂的问题在额外的30天不活动后关闭。
如果现在可以安全地关闭此问题，请使用 /close 进行操作。
将反馈发送给sig-testing, kubernetes/test-infra 和/或 fejta 。
生命周期腐烂

以下是文本内容的翻译结果：

腐烂的问题在30天不活动后关闭。
使用 /reopen 重新打开问题。
使用 /remove-lifecycle rotten 将问题标记为新鲜。
向 sig-testing, kubernetes/test-infra 和/或 fejta 发送反馈。
/close

关闭此问题。
对此的回应：
腐烂的问题在30天内无活动后关闭。
使用 /reopen 重新打开问题。
使用 /remove-lifecycle rotten 将问题标记为新鲜。
向 sig-testing, kubernetes/test-infra 和/或 fejta 发送反馈。
/close
使用 PR 评论与我互动的说明已提供 here 。如果您对我的行为有任何疑问或建议，请针对 kubernetes/test-infra 存储库提出问题。

@enj:重新打开这个问题。
对此的回应：
/reopen
使用PR评论与我互动的说明已提供。如果您对我的行为有任何问题或建议，请针对kubernetes/test-infra仓库提出一个问题。

/triage accepted
/assign @stlaz@ibihim
这是在最近一次SIG auth会议中讨论的一个高层次的问题。大致的想法是提出一个KEP(Standa和Krzysztof已经自愿报名了😛),该KEP将添加两个功能：

1. 让API服务器以结构化的方式返回哪个资源无法解密/解码，作为返回的API状态错误的一部分
2. 在删除选项中创建一个新字段，允许表达“我想删除这个，如果有解密/解码错误”的意思(也许可以支持某种形式的试运行？)
   这将使外部工具(kubectl插件？)得以创建(也可以是一个SIG Auth子项目),允许具有足够访问Kubernetes API(可能是集群管理员)的最终用户恢复一个无法解密/解码某些子集的项目(尽管也许该工具可以通过请求来自watch缓存的数据来尝试部分恢复？)。一个重要的方面是，“坏状态是否永久/终止”的决定将由最终用户来做(而不是API服务器代表用户做出决定)。
   目前，需要直接访问etcd才能删除这种状态的项目。

这个问题已经超过一年没有更新了，应该重新进行优先级评估。
你可以：

• 确认这个问题仍然与 /triage accepted (仅组织成员)相关
• 用 /close 关闭这个问题

有关优先级评估过程的更多详细信息，请参见 https://www.kubernetes.dev/docs/guide/issue-triage/
已接受移除优先级评估