Rotierende Clustergeheimnisse in AWS PCS - AWS PCS
So funktioniert die geheime Cluster-RotationAnforderungen und Einschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rotierende Clustergeheimnisse in AWS PCS

Verwenden Sie AWS Secrets Manager Managed Rotation, um Cluster-Geheimnisse in AWS PCS rotieren zu lassen. Die regelmäßige Rotation von Geheimnissen ist eine bewährte Sicherheitsmethode zur Aufrechterhaltung eines hohen Sicherheitsniveaus in HPC-Umgebungen. Diese Funktion ermöglicht es Ihnen, branchenübliche Compliance-Standards wie HIPAA und FedRAMP zu erfüllen, die eine regelmäßige Rotation von Anmeldeinformationen vorschreiben.

Das Clustergeheimnis dient zwei Zwecken: zur Authentifizierung von Rechenknoten, die dem Cluster beitreten, und als JWT-Schlüssel für die Slurm-REST-API-Authentifizierung. Bei Rotation wirken sich beide Aspekte gleichzeitig aus.

So funktioniert die geheime Cluster-Rotation

Bereiten Sie sich manuell vor, um die Cluster-Stabilität während der geheimen Rotation aufrechtzuerhalten:

  1. Vorbereitung — Skalieren Sie alle Rechenknotengruppen auf eine Kapazität von 0 und stellen Sie sicher, dass keine Jobs ausgeführt werden

  2. Rotation — Initiieren Sie die Rotation über die Secrets Manager Manager-Konsole oder API

  3. Überwachung — Verfolgen Sie den Fortschritt anhand von CloudTrail Ereignissen

  4. Wiederherstellung — Skalieren Sie die Rechenknotengruppen wieder auf die gewünschte Kapazität

Während der Rotation bleibt Ihr Cluster unverändert ACTIVE und die Abrechnung läuft normal weiter. Der Vorgang dauert in der Regel einige Minuten.

Anforderungen und Einschränkungen

Bevor Sie Clustergeheimnisse rotieren, müssen Sie die folgenden Anforderungen erfüllen:

  • Der Cluster muss den UPDATE_FAILED Status „ACTIVEoder“ haben

  • Die IAM-Rolle muss über eine entsprechende Berechtigung verfügen secretsmanager:RotateSecret

  • Alle Compute-Knotengruppen müssen auf eine Kapazität von 0 skaliert werden

  • Stoppen Sie alle Jobs vor der Rotation

Einschränkungen:

  • Für jede Rotation ist eine manuelle Vorbereitung erforderlich

  • Bestehende JWT-Token werden ungültig und müssen erneut ausgestellt werden

  • BYO-Anmeldeknoten müssen nach der Rotation manuell geheim aktualisiert werden

Topics