PCS AWS でのクラスターシークレットの更新

AWS Secrets Manager マネージドローテーションを使用して、PCS AWS でクラスターシークレットをローテーションします。定期的なシークレットローテーションは、HPC 環境で強力なセキュリティ体制を維持するためのセキュリティのベストプラクティスです。この機能を使用すると、定期的な認証情報のローテーションを義務付ける HIPAA や FedRAMP などの業界のコンプライアンス基準を満たすことができます。

クラスターシークレットは、クラスターに参加するコンピューティングノードを認証し、Slurm REST API 認証の JWT キーとして使用するという 2 つの目的を果たします。ローテーションすると、両方の側面が同時に影響を受けます。

クラスターシークレットローテーションの仕組み

シークレットのローテーション中にクラスターの安定性を維持するために手動で準備します。

準備 — すべてのコンピューティングノードグループを 0 容量にスケールし、ジョブが実行されていないことを確認します。
ローテーション – Secrets Manager コンソールまたは API を使用してローテーションを開始します。
モニタリング – CloudTrail イベントを通じて進行状況を追跡する
復旧 — コンピューティングノードグループを必要な容量にスケールバックする

ローテーション中、クラスターは ACTIVE状態のままになり、請求は通常どおり続行されます。このプロセスには通常数分かかります。

要件と制限

クラスターシークレットを更新する前に、以下の要件を満たす必要があります。

クラスターは ACTIVEまたは UPDATE_FAILED状態である必要があります
IAM ロールにはアクセスsecretsmanager:RotateSecret許可が必要です
すべてのコンピューティングノードグループは 0 容量にスケールする必要があります
ローテーション前にすべてのジョブを停止する

制限:

各ローテーションに必要な手動準備
既存の JWT トークンが無効になり、再発行が必要
BYO ログインノードでは、ローテーション後に手動でシークレットを更新する必要があります

トピック

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Slurm クラスターシークレットを取得する

シークレットのローテーション