Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Rotierende Clustergeheimnisse in AWS PCS
Verwenden Sie AWS Secrets Manager Managed Rotation, um Cluster-Geheimnisse in AWS PCS rotieren zu lassen. Die regelmäßige Rotation von Geheimnissen ist eine bewährte Sicherheitsmethode zur Aufrechterhaltung eines hohen Sicherheitsniveaus in HPC-Umgebungen. Diese Funktion ermöglicht es Ihnen, branchenübliche Compliance-Standards wie HIPAA und FedRAMP zu erfüllen, die eine regelmäßige Rotation von Anmeldeinformationen vorschreiben.
Das Clustergeheimnis dient zwei Zwecken: zur Authentifizierung von Rechenknoten, die dem Cluster beitreten, und als JWT-Schlüssel für die Slurm-REST-API-Authentifizierung. Bei Rotation wirken sich beide Aspekte gleichzeitig aus.
## So funktioniert die geheime Cluster-Rotation
Bereiten Sie sich manuell vor, um die Cluster-Stabilität während der geheimen Rotation aufrechtzuerhalten:
1. **Vorbereitung** — Skalieren Sie alle Rechenknotengruppen auf eine Kapazität von 0 und stellen Sie sicher, dass keine Jobs ausgeführt werden
1. **Rotation** — Initiieren Sie die Rotation über die Secrets Manager Manager-Konsole oder API
1. **Überwachung** — Verfolgen Sie den Fortschritt anhand von CloudTrail Ereignissen
1. **Wiederherstellung** — Skalieren Sie die Rechenknotengruppen wieder auf die gewünschte Kapazität
Während der Rotation bleibt Ihr Cluster unverändert `ACTIVE` und die Abrechnung läuft normal weiter. Der Vorgang dauert in der Regel einige Minuten.
## Anforderungen und Einschränkungen
Bevor Sie Clustergeheimnisse rotieren, müssen Sie die folgenden Anforderungen erfüllen:
+ Der Cluster muss den `UPDATE_FAILED` Status „`ACTIVE`oder“ haben
+ Die IAM-Rolle muss über eine entsprechende Berechtigung verfügen `secretsmanager:RotateSecret`
+ Alle Compute-Knotengruppen müssen auf eine Kapazität von 0 skaliert werden
+ Stoppen Sie alle Jobs vor der Rotation
Einschränkungen:
+ Für jede Rotation ist eine manuelle Vorbereitung erforderlich
+ Bestehende JWT-Token werden ungültig und müssen erneut ausgestellt werden
+ BYO-Anmeldeknoten müssen nach der Rotation manuell geheim aktualisiert werden
**Topics**
+ [So funktioniert die geheime Cluster-Rotation](#cluster-secret-rotation-overview)
+ [Anforderungen und Einschränkungen](#cluster-secret-rotation-requirements)
+ [Rotieren Sie ein Clustergeheimnis in AWS PCS](cluster-secret-rotation-procedure.md)
+ [Häufig gestellte Fragen zur geheimen Cluster-Rotation in AWS PCS](cluster-secret-rotation-faq.md)
+ [Fehlerbehebung bei der geheimen Cluster-Rotation in AWS PCS](cluster-secret-rotation-troubleshooting.md)
# Rotieren Sie ein Clustergeheimnis in AWS PCS
Wechseln Sie Ihr Clustergeheimnis, um die Sicherheitsanforderungen zu erfüllen und potenzielle Sicherheitslücken zu vermeiden. Dieser Vorgang erfordert, dass Ihr Cluster in den Wartungsmodus versetzt wird.
## Voraussetzungen
+ IAM-Rolle mit Genehmigung `secretsmanager:RotateSecret`
+ Cluster in `ACTIVE` oder im Bundesstaat `UPDATE_FAILED`
## Verfahren
1. Informieren Sie die Cluster-Benutzer über das bevorstehende Wartungsfenster.
1. Versetzen Sie den Cluster in den Wartungsmodus, indem Sie alle Rechenknotengruppen auf eine Kapazität von 0 skalieren.
1. Verwenden Sie die UpdateComputeNodeGroup API, maxInstanceCount um minInstanceCount sowohl als auch für alle Compute-Knotengruppen auf 0 zu setzen.
1. Warten Sie, bis alle Knoten gestoppt sind.
1. Optional: Entleeren Sie die Scheduler-Warteschlangen mit Slurm-Befehlen, bevor Sie die Kapazität für eine reibungslose Auftragsabwicklung beenden.
1. Initiieren Sie die Rotation über Secrets Manager.
+ **Konsolenmethode**:
1. Navigieren Sie zu Secrets Manager, wählen Sie Ihr Clustergeheimnis aus und wählen Sie **Rotate Secret** aus.
+ **API-Methode**:
1. Verwenden Sie die Secrets Manager `rotate-secret` Manager-API.
1. Überwachen Sie den Fortschritt der Rotation.
1. Verfolgen Sie den Fortschritt anhand von CloudTrail Ereignissen.
1. Überprüfen Sie `lastRotatedDate` dies entweder über die Secrets Manager Manager-Konsole oder die `secretsmanager:describeSecret` API.
1. Warten Sie auf `RotationSucceeded` unser `RotationFailed` CloudTrail Ereignis.
1. Stellen Sie nach erfolgreicher Rotation die Clusterkapazität wieder her.
1. Verwenden Sie die UpdateComputeNodeGroup API, um Knotengruppen auf die gewünschte min/max Kapazität zurückzusetzen.
1. Für AWS PCS-verwaltete Anmeldeknoten: Keine zusätzlichen Maßnahmen erforderlich.
1. Für BYO-Anmeldeknoten:
1. Connect zu Anmeldeknoten her.
1. Aktualisiere `/etc/slurm/slurm.key` mit dem neuen Secret von Secrets Manager.
1. Starte den Slurm Auth and Cred Kiosk Daemon (sackd) neu.
# Häufig gestellte Fragen zur geheimen Cluster-Rotation in AWS PCS
Hier finden Sie Antworten auf häufig gestellte Fragen zur geheimen Cluster-Rotation in AWS PCS.
**Was ist ein geheimer Clusterschlüssel?**
Ein Clustergeheimnis ist ein sicherer Berechtigungsnachweis, der eine sichere Kommunikation zwischen dem Slurm-Controller und den AWS PCS-Rechenknoten ermöglicht. Es dient auch als JSON Web Token (JWT) -Schlüssel für die Slurm-REST-API-Authentifizierung.
**Was ist der Unterschied zwischen Cluster-Secret und JWT-Schlüssel?**
In AWS PCS sind das Clustergeheimnis und der JWT-Schlüssel dieselbe Ressource, die unterschiedlichen Zwecken dient. Das Clustergeheimnis authentifiziert die interne Kommunikation von Slurm, während der JWT-Schlüssel Token für die REST-API-Authentifizierung signiert. Bei Rotation sind beide Aspekte gleichzeitig betroffen.
**Wie lange dauert die Rotation?**
Der Rotationsvorgang dauert in der Regel einige Minuten. Ihr Cluster bleibt im Status AKTIV und die Abrechnung läuft während der Rotation normal weiter.
**Kann ich automatische Rotationen planen?**
Sie können die geplante Rotation in Secrets Manager aktivieren. Die erste Version erfordert jedoch vor jeder Rotation eine manuelle Vorbereitung (Skalierung der Knotengruppen auf 0).
**Funktionieren meine vorhandenen JWT-Token nach der Rotation noch?**
Nein, bestehende JWT-Token werden nach der Rotation ungültig. Geben Sie neue Token für REST-API-Clients aus.
**Wo finde ich mein Clustergeheimnis?**
Sie finden Ihr Clustergeheimnis in der Secrets Manager-Konsole oder über die AWS PCS-Konsole. Eine ausführliche Anleitung finden Sie unter [Wird verwendet AWS Secrets Manager , um das Cluster-Geheimnis zu finden](working-with_clusters_secrets_find_secrets-manager.md) und[Verwenden Sie AWS PCS, um das Cluster-Geheimnis zu finden](working-with_clusters_secrets_find_pcs.md).
**Warum erfordert die Rotation die Skalierung von Knotengruppen auf 0?**
Für die Rotation sind keine laufenden Instances erforderlich, um die Cluster-Stabilität während des geheimen Aktualisierungsprozesses zu gewährleisten. Dadurch werden Authentifizierungskonflikte zwischen alten und neuen Geheimnissen vermieden.
**Welche Compliance-Anforderungen unterstützt diese Funktion?**
Diese Funktion ermöglicht es AWS PCS, branchenübliche Compliance-Standards wie HIPAA und FedRAMP zu erfüllen, die im Rahmen ihrer Sicherheitskontrollen eine regelmäßige Rotation von Anmeldeinformationen vorschreiben.
# Fehlerbehebung bei der geheimen Cluster-Rotation in AWS PCS
Die Rotation des geheimen Clusters schlägt fehl, wenn die Umgebung nicht ordnungsgemäß vorbereitet ist. Die häufigste Ursache sind aktive Instanzen in Ihrem Cluster. Um Ausfälle zu verhindern:
1. Stellen Sie für alle Knotengruppen die Kapazität 0 ein.
1. Warten Sie, bis die Knoten gestoppt sind.
1. Stellen Sie sicher, dass sich Ihr Cluster nicht in den folgenden Zuständen befindet: `CREATE_FAILED` `DELETE_FAILED``RESUMING`,`SUSPENDING`,, oder`SUSPENDED`.
Wenn die Rotation fehlschlägt:
+ Es erscheint ein RotationFailed CloudTrail Ereignis
+ Das Clustergeheimnis bleibt unverändert
+ Einzelheiten finden Sie in CloudTrail der RotationFailed Veranstaltung
+ Schließe alle Vorbereitungsschritte für eine erfolgreiche Rotation ab