Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Segreti dei cluster rotanti in AWS PCS
Usa Gestione dei segreti AWS Managed Rotation per ruotare i segreti del cluster in AWS PCS. La rotazione segreta regolare è una best practice di sicurezza per mantenere un elevato livello di sicurezza negli ambienti HPC. Questa funzionalità consente di soddisfare gli standard di conformità del settore, tra cui HIPAA e FedRAMP, che impongono una rotazione regolare delle credenziali.
Il segreto del cluster ha un duplice scopo: autenticare i nodi di calcolo che si uniscono al cluster e fungere da chiave JWT per l'autenticazione dell'API REST di Slurm. Quando viene ruotato, entrambi gli aspetti vengono influenzati contemporaneamente.
## Come funziona la rotazione segreta dei cluster
Preparati manualmente per mantenere la stabilità del cluster durante la rotazione segreta:
1. **Preparazione**: ridimensiona tutti i gruppi di nodi di elaborazione fino a una capacità pari a 0 e assicurati che nessun processo sia in esecuzione
1. **Rotazione**: avvia la rotazione tramite la console o l'API di Secrets Manager
1. **Monitoraggio**: monitora i progressi attraverso gli eventi CloudTrail
1. **Ripristino**: ridimensiona i gruppi di nodi di elaborazione fino alla capacità desiderata
Durante la rotazione, il cluster rimane invariato e `ACTIVE` la fatturazione prosegue normalmente. Il processo richiede in genere alcuni minuti.
## Requisiti e limitazioni
Prima di modificare i segreti dei cluster, completa i seguenti requisiti:
+ Il cluster deve essere nel nostro `ACTIVE` stato `UPDATE_FAILED`
+ Il ruolo IAM deve avere `secretsmanager:RotateSecret` l'autorizzazione
+ Tutti i gruppi di nodi di calcolo devono essere scalati fino a una capacità pari a 0
+ Interrompi tutti i lavori prima della rotazione
Restrizioni:
+ Preparazione manuale richiesta per ogni rotazione
+ I token JWT esistenti non sono più validi e richiedono una riemissione
+ I nodi di accesso BYO richiedono un aggiornamento segreto manuale dopo la rotazione
**Topics**
+ [Come funziona la rotazione segreta dei cluster](#cluster-secret-rotation-overview)
+ [Requisiti e limitazioni](#cluster-secret-rotation-requirements)
+ [Ruota un cluster segreto in AWS PCS](cluster-secret-rotation-procedure.md)
+ [Domande frequenti sulla rotazione segreta dei cluster in AWS PCS](cluster-secret-rotation-faq.md)
+ [Risoluzione dei problemi di rotazione segreta del cluster in AWS PCS](cluster-secret-rotation-troubleshooting.md)
# Ruota un cluster segreto in AWS PCS
Ruota il segreto del cluster per soddisfare i requisiti di sicurezza e risolvere potenziali compromessi. Questo processo richiede l'attivazione della modalità di manutenzione del cluster.
## Prerequisiti
+ Ruolo IAM con `secretsmanager:RotateSecret` autorizzazione
+ Cluster nel `ACTIVE` nostro `UPDATE_FAILED` stato
## Procedura
1. Notifica agli utenti del cluster la prossima finestra di manutenzione.
1. Metti il cluster in modalità di manutenzione scalando tutti i gruppi di nodi di calcolo a 0 capacità.
1. Usa l' UpdateComputeNodeGroup API per impostare entrambi minInstanceCount e su 0 maxInstanceCount per tutti i gruppi di nodi di calcolo.
1. Attendi che tutti i nodi si fermino.
1. Facoltativo: svuota le code dello scheduler con i comandi Slurm prima di terminare la capacità per una corretta gestione dei lavori.
1. Avvia la rotazione tramite Secrets Manager.
+ **Metodo della console:**
1. Vai a Secrets Manager, seleziona il segreto del cluster e scegli **Ruota segreto**.
+ **Metodo API:**
1. Usa l'`rotate-secret`API Secrets Manager.
1. Monitora l'avanzamento della rotazione.
1. Tieni traccia dei progressi attraverso CloudTrail gli eventi.
1. Verifica `lastRotatedDate` tramite la console Secrets Manager o l'`secretsmanager:describeSecret`API.
1. Attendi `RotationSucceeded` il `RotationFailed` CloudTrail nostro evento.
1. Dopo una rotazione riuscita, ripristina la capacità del cluster.
1. Utilizza l' UpdateComputeNodeGroup API per ripristinare i gruppi di nodi alla min/max capacità desiderata.
1. Per i nodi di accesso AWS gestiti da PCS: non è richiesta alcuna azione aggiuntiva.
1. Per i nodi di accesso BYO:
1. Connect ai nodi di accesso.
1. Aggiorna `/etc/slurm/slurm.key` con il nuovo segreto di Secrets Manager.
1. Riavvia Slurm Auth e Cred Kiosk Daemon (sackd).
# Domande frequenti sulla rotazione segreta dei cluster in AWS PCS
Trova le risposte alle domande più comuni sulla rotazione segreta dei cluster in AWS PCS.
**Cos'è un cluster secret?**
Un cluster secret è una credenziale sicura che consente comunicazioni sicure tra il controller Slurm e i nodi di calcolo AWS PCS. Serve anche come chiave JSON Web Token (JWT) per l'autenticazione dell'API REST di Slurm.
**Qual è la differenza tra il segreto del cluster e la chiave JWT?**
In AWS PCS, il segreto del cluster e la chiave JWT sono la stessa risorsa che serve a scopi diversi. Il segreto del cluster autentica le comunicazioni interne di Slurm, mentre la chiave JWT firma i token per l'autenticazione dell'API REST. Quando viene ruotato, entrambi gli aspetti vengono influenzati contemporaneamente.
**Quanto dura la rotazione?**
Il processo di rotazione richiede in genere alcuni minuti. Il cluster rimane nello stato ATTIVO e la fatturazione continua normalmente durante la rotazione.
**Posso programmare le rotazioni automatiche?**
È possibile abilitare la rotazione pianificata in Secrets Manager. Tuttavia, la versione iniziale richiede una preparazione manuale (ridimensionamento dei gruppi di nodi a 0) prima di ogni rotazione.
**I miei token JWT esistenti funzioneranno ancora dopo la rotazione?**
No, i token JWT esistenti non sono più validi dopo la rotazione. Emetti nuovi token per i client API REST.
**Dove posso trovare il segreto del mio cluster?**
È possibile trovare il segreto del cluster nella console Secrets Manager o tramite la console AWS PCS. Per istruzioni dettagliate, consulta [Usa per trovare Gestione dei segreti AWS il segreto del cluster](working-with_clusters_secrets_find_secrets-manager.md) e[Usa AWS PCS per trovare il segreto del cluster](working-with_clusters_secrets_find_pcs.md).
**Perché la rotazione richiede il ridimensionamento dei gruppi di nodi a 0?**
La rotazione non richiede l'esecuzione di istanze per garantire la stabilità del cluster durante il processo di aggiornamento segreto. In questo modo si evitano conflitti di autenticazione tra vecchi e nuovi segreti.
**Quali requisiti di conformità supporta questa funzionalità?**
Questa funzionalità consente a AWS PCS di soddisfare gli standard di conformità del settore, tra cui HIPAA e FedRAMP, che impongono la rotazione regolare delle credenziali come parte dei controlli di sicurezza.
# Risoluzione dei problemi di rotazione segreta del cluster in AWS PCS
La rotazione segreta del cluster fallisce se l'ambiente non è preparato correttamente. La causa più comune sono le istanze attive nel cluster. Per evitare errori:
1. Imposta tutti i gruppi di nodi sulla capacità 0.
1. Attendi che i nodi si fermino.
1. Verifica che il cluster non sia in questi stati: `CREATE_FAILED``DELETE_FAILED`,`RESUMING`,`SUSPENDING`, o`SUSPENDED`.
Se la rotazione fallisce:
+ Viene visualizzato un RotationFailed CloudTrail evento
+ Il segreto del cluster rimane invariato
+ Controlla l' RotationFailed evento CloudTrail per i dettagli
+ Completa tutte le fasi di preparazione per una rotazione corretta