PCS AWS でクラスターシークレットをローテーションする - AWS PCS
前提条件手順

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

PCS AWS でクラスターシークレットをローテーションする

クラスターシークレットを更新してセキュリティ要件に準拠し、潜在的な侵害に対処します。このプロセスでは、クラスターをメンテナンスモードにする必要があります。

前提条件

  • アクセスsecretsmanager:RotateSecret許可を持つ IAM ロール

  • ACTIVE または UPDATE_FAILED状態のクラスター

手順

  1. 次回のメンテナンスウィンドウをクラスターユーザーに通知します。

  2. すべてのコンピューティングノードグループを 0 容量にスケーリングして、クラスターをメンテナンスモードにします。

    1. UpdateComputeNodeGroup API を使用して、すべてのコンピューティングノードグループに対して minInstanceCount と maxInstanceCount の両方を 0 に設定します。

    2. すべてのノードが停止するまで待ちます。

    3. オプション: 正常なジョブ処理のために容量を終了する前に、Slurm コマンドを使用してスケジューラキューをドレインします。

  3. Secrets Manager を使用してローテーションを開始します。

    • コンソールメソッド:

      1. Secrets Manager に移動し、クラスターシークレットを選択し、シークレットのローテーションを選択します。

    • API メソッド:

      1. Secrets Manager rotate-secret API を使用します。

  4. ローテーションの進行状況をモニタリングします。

    1. CloudTrail イベントを通じて進行状況を追跡します。

    2. Secrets Manager コンソールまたは secretsmanager:describeSecret API lastRotatedDateで確認します。

    3. RotationSucceeded または RotationFailed CloudTrail イベントを待ちます。

  5. ローテーションが成功したら、クラスターの容量を復元します。

    1. UpdateComputeNodeGroup API を使用して、ノードグループを希望の最小/最大容量にリセットします。

    2. PCS AWS マネージドログインノードの場合: 追加のアクションは必要ありません。

    3. BYO ログインノードの場合:

      1. ログインノードに接続します。

      2. Secrets Manager の新しいシークレット/etc/slurm/slurm.keyで を更新します。

      3. Slurm Auth デーモンと Cred Kiosk デーモン (サック) を再起動します。