Rotieren Sie ein Clustergeheimnis in AWS PCS - AWS PCS
VoraussetzungenVerfahren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rotieren Sie ein Clustergeheimnis in AWS PCS

Wechseln Sie Ihr Clustergeheimnis, um die Sicherheitsanforderungen zu erfüllen und potenzielle Sicherheitslücken zu vermeiden. Dieser Vorgang erfordert, dass Ihr Cluster in den Wartungsmodus versetzt wird.

Voraussetzungen

  • IAM-Rolle mit Genehmigung secretsmanager:RotateSecret

  • Cluster in ACTIVE oder im Bundesstaat UPDATE_FAILED

Verfahren

  1. Informieren Sie die Cluster-Benutzer über das bevorstehende Wartungsfenster.

  2. Versetzen Sie den Cluster in den Wartungsmodus, indem Sie alle Rechenknotengruppen auf eine Kapazität von 0 skalieren.

    1. Verwenden Sie die UpdateComputeNodeGroup API, maxInstanceCount um minInstanceCount sowohl als auch für alle Compute-Knotengruppen auf 0 zu setzen.

    2. Warten Sie, bis alle Knoten gestoppt sind.

    3. Optional: Entleeren Sie die Scheduler-Warteschlangen mit Slurm-Befehlen, bevor Sie die Kapazität für eine reibungslose Auftragsabwicklung beenden.

  3. Initiieren Sie die Rotation über Secrets Manager.

    • Konsolenmethode:

      1. Navigieren Sie zu Secrets Manager, wählen Sie Ihr Clustergeheimnis aus und wählen Sie Rotate Secret aus.

    • API-Methode:

      1. Verwenden Sie die Secrets Manager rotate-secret Manager-API.

  4. Überwachen Sie den Fortschritt der Rotation.

    1. Verfolgen Sie den Fortschritt anhand von CloudTrail Ereignissen.

    2. Überprüfen Sie lastRotatedDate dies entweder über die Secrets Manager Manager-Konsole oder die secretsmanager:describeSecret API.

    3. Warten Sie auf RotationSucceeded unser RotationFailed CloudTrail Ereignis.

  5. Stellen Sie nach erfolgreicher Rotation die Clusterkapazität wieder her.

    1. Verwenden Sie die UpdateComputeNodeGroup API, um Knotengruppen auf die gewünschte min/max Kapazität zurückzusetzen.

    2. Für AWS PCS-verwaltete Anmeldeknoten: Keine zusätzlichen Maßnahmen erforderlich.

    3. Für BYO-Anmeldeknoten:

      1. Connect zu Anmeldeknoten her.

      2. Aktualisiere /etc/slurm/slurm.key mit dem neuen Secret von Secrets Manager.

      3. Starte den Slurm Auth and Cred Kiosk Daemon (sackd) neu.