Faire pivoter un secret de cluster dans AWS PCS - AWS PCS
PrérequisProcédure

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Faire pivoter un secret de cluster dans AWS PCS

Faites alterner le secret de votre cluster pour vous conformer aux exigences de sécurité et faire face aux compromissions potentielles. Ce processus nécessite de mettre votre cluster en mode maintenance.

Prérequis

  • Rôle IAM avec autorisation secretsmanager:RotateSecret

  • Cluster dans ACTIVE notre UPDATE_FAILED état

Procédure

  1. Informez les utilisateurs du cluster de la prochaine fenêtre de maintenance.

  2. Mettez le cluster en mode maintenance en redimensionnant tous les groupes de nœuds de calcul à une capacité nulle.

    1. Utilisez l' UpdateComputeNodeGroup API pour définir les deux minInstanceCount et la valeur 0 maxInstanceCount pour tous les groupes de nœuds de calcul.

    2. Attendez que tous les nœuds s'arrêtent.

    3. Facultatif : Videz les files d'attente du planificateur à l'aide des commandes Slurm avant de mettre fin à la capacité afin de gérer les tâches avec élégance.

  3. Lancez la rotation via Secrets Manager.

    • Méthode de console :

      1. Accédez à Secrets Manager, sélectionnez le secret de votre cluster, puis choisissez Rotate secret.

    • Méthode API :

      1. Utilisez l'rotate-secretAPI Secrets Manager.

  4. Surveillez la progression de la rotation.

    1. Suivez les progrès par le biais CloudTrail d'événements.

    2. Vérifiez lastRotatedDate via la console Secrets Manager ou l'secretsmanager:describeSecretAPI.

    3. Attendez notre RotationSucceeded RotationFailed CloudTrail événement.

  5. Une fois la rotation réussie, restaurez la capacité du cluster.

    1. Utilisez l' UpdateComputeNodeGroup API pour réinitialiser les groupes de nœuds à la min/max capacité souhaitée.

    2. Pour les nœuds de AWS connexion gérés par PC : aucune action supplémentaire n'est requise.

    3. Pour les nœuds de connexion BYO :

      1. Connectez-vous aux nœuds de connexion.

      2. Mise à jour /etc/slurm/slurm.key avec le nouveau secret de Secrets Manager.

      3. Redémarrez le démon Slurm Auth et Cred Kiosk (sackd).