翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# PCS AWS でのクラスターシークレットの更新
<a name="cluster-secret-rotation"></a>

 AWS Secrets Manager マネージドローテーションを使用して、PCS AWS でクラスターシークレットをローテーションします。定期的なシークレットローテーションは、HPC 環境で強力なセキュリティ体制を維持するためのセキュリティのベストプラクティスです。この機能を使用すると、定期的な認証情報のローテーションを義務付ける HIPAA や FedRAMP などの業界のコンプライアンス基準を満たすことができます。

クラスターシークレットは、クラスターに参加するコンピューティングノードを認証し、Slurm REST API 認証の JWT キーとして使用するという 2 つの目的を果たします。ローテーションすると、両方の側面が同時に影響を受けます。

## クラスターシークレットローテーションの仕組み
<a name="cluster-secret-rotation-overview"></a>

シークレットのローテーション中にクラスターの安定性を維持するために手動で準備します。

1. **準備** — すべてのコンピューティングノードグループを 0 容量にスケールし、ジョブが実行されていないことを確認します。

1. **ローテーション** – Secrets Manager コンソールまたは API を使用してローテーションを開始します。

1. **モニタリング** – CloudTrail イベントを通じて進行状況を追跡する

1. **復旧** — コンピューティングノードグループを必要な容量にスケールバックする

ローテーション中、クラスターは `ACTIVE`状態のままになり、請求は通常どおり続行されます。このプロセスには通常数分かかります。

## 要件と制限
<a name="cluster-secret-rotation-requirements"></a>

クラスターシークレットを更新する前に、以下の要件を満たす必要があります。
+ クラスターは `ACTIVE`または `UPDATE_FAILED`状態である必要があります
+ IAM ロールには アクセス`secretsmanager:RotateSecret`許可が必要です
+ すべてのコンピューティングノードグループは 0 容量にスケールする必要があります
+ ローテーション前にすべてのジョブを停止する

制限:
+ 各ローテーションに必要な手動準備
+ 既存の JWT トークンが無効になり、再発行が必要
+ BYO ログインノードでは、ローテーション後に手動でシークレットを更新する必要があります

**Topics**
+ [クラスターシークレットローテーションの仕組み](#cluster-secret-rotation-overview)
+ [要件と制限](#cluster-secret-rotation-requirements)
+ [PCS AWS でクラスターシークレットをローテーションする](cluster-secret-rotation-procedure.md)
+ [PCS AWS でのクラスターシークレットローテーションに関するよくある質問](cluster-secret-rotation-faq.md)
+ [PCS AWS でのクラスターシークレットローテーションのトラブルシューティング](cluster-secret-rotation-troubleshooting.md)

# PCS AWS でクラスターシークレットをローテーションする
<a name="cluster-secret-rotation-procedure"></a>

クラスターシークレットを更新してセキュリティ要件に準拠し、潜在的な侵害に対処します。このプロセスでは、クラスターをメンテナンスモードにする必要があります。

## 前提条件
<a name="cluster-secret-rotation-procedure-prerequisites"></a>
+ アクセス`secretsmanager:RotateSecret`許可を持つ IAM ロール
+ `ACTIVE` または `UPDATE_FAILED`状態のクラスター

## 手順
<a name="cluster-secret-rotation-procedure-steps"></a>

1. 次回のメンテナンスウィンドウをクラスターユーザーに通知します。

1. すべてのコンピューティングノードグループを 0 容量にスケーリングして、クラスターをメンテナンスモードにします。

   1. UpdateComputeNodeGroup API を使用して、すべてのコンピューティングノードグループに対して minInstanceCount と maxInstanceCount の両方を 0 に設定します。

   1. すべてのノードが停止するまで待ちます。

   1. オプション: 正常なジョブ処理のために容量を終了する前に、Slurm コマンドを使用してスケジューラキューをドレインします。

1. Secrets Manager を使用してローテーションを開始します。
   + **コンソールメソッド**:

     1. Secrets Manager に移動し、クラスターシークレットを選択し、シー**クレットのローテーション**を選択します。
   + **API メソッド**:

     1. Secrets Manager `rotate-secret` API を使用します。

1. ローテーションの進行状況をモニタリングします。

   1. CloudTrail イベントを通じて進行状況を追跡します。

   1. Secrets Manager コンソールまたは `secretsmanager:describeSecret` API `lastRotatedDate`で確認します。

   1. `RotationSucceeded` または `RotationFailed` CloudTrail イベントを待ちます。

1. ローテーションが成功したら、クラスターの容量を復元します。

   1. UpdateComputeNodeGroup API を使用して、ノードグループを希望の最小/最大容量にリセットします。

   1. PCS AWS マネージドログインノードの場合: 追加のアクションは必要ありません。

   1. BYO ログインノードの場合:

      1. ログインノードに接続します。

      1. Secrets Manager の新しいシークレット`/etc/slurm/slurm.key`で を更新します。

      1. Slurm Auth デーモンと Cred Kiosk デーモン (サック) を再起動します。

# PCS AWS でのクラスターシークレットローテーションに関するよくある質問
<a name="cluster-secret-rotation-faq"></a>

PCS でのクラスターシークレットのローテーションに関する一般的な質問に対する回答を見つけ AWS ます。

**クラスターシークレットとは**  
クラスターシークレットは、Slurm コントローラーと AWS PCS コンピューティングノード間の安全な通信を可能にする安全な認証情報です。また、Slurm REST API 認証の JSON ウェブトークン (JWT) キーとしても機能します。

**クラスターシークレットと JWT キーの違いは何ですか?**  
 AWS PCS では、クラスターシークレットと JWT キーは同じリソースであり、さまざまな目的に対応します。クラスターシークレットは Slurm 内部通信を認証し、JWT キーは REST API 認証用のトークンに署名します。ローテーションすると、両方の側面が同時に影響を受けます。

**ローテーションにはどのくらいの時間がかかりますか?**  
ローテーションプロセスには通常数分かかります。クラスターは ACTIVE 状態のままで、ローテーション中は請求が通常どおり続行されます。

**自動ローテーションをスケジュールできますか?**  
Secrets Manager でスケジュールされたローテーションを有効にできます。ただし、最初のリリースでは、各ローテーションの前に手動で準備 (ノードグループを 0 にスケーリング) する必要があります。

**ローテーション後も既存の JWT トークンは機能しますか?**  
いいえ。既存の JWT トークンはローテーション後に無効になります。REST API クライアントの新しいトークンを発行します。

**クラスターシークレットはどこにありますか?**  
クラスターシークレットは、Secrets Manager コンソールまたは PCS AWS コンソールから見つけることができます。詳細な手順については、[AWS Secrets Manager を使用してクラスターシークレットを検索する](working-with_clusters_secrets_find_secrets-manager.md)「」および「」を参照してください[PCS AWS を使用してクラスターシークレットを検索する](working-with_clusters_secrets_find_pcs.md)。

**ローテーションでノードグループを 0 にスケーリングする必要があるのはなぜですか?**  
ローテーションでは、シークレット更新プロセス中にクラスターの安定性を確保するために実行中のインスタンスは必要ありません。これにより、古いシークレットと新しいシークレット間の認証の競合が防止されます。

**この機能はどのようなコンプライアンス要件をサポートしていますか?**  
この機能により、PCS AWS は HIPAA や FedRAMP などの業界のコンプライアンス標準を満たすことができます。これは、セキュリティコントロールの一部として定期的な認証情報のローテーションを義務付けています。

# PCS AWS でのクラスターシークレットローテーションのトラブルシューティング
<a name="cluster-secret-rotation-troubleshooting"></a>

環境が適切に準備されていない場合、クラスターシークレットのローテーションは失敗します。最も一般的な原因は、クラスター内のアクティブなインスタンスです。失敗を防ぐには:

1. すべてのノードグループを 0 容量に設定します。

1. ノードが停止するのを待ちます。

1. クラスターが `CREATE_FAILED`、、`DELETE_FAILED`、`RESUMING`、`SUSPENDING`または の状態にないことを確認します`SUSPENDED`。

ローテーションが失敗した場合:
+ RotationFailed CloudTrail イベントが表示される
+ クラスターシークレットは変更されません
+ 詳細については、CloudTrail で RotationFailed イベントを確認してください。
+ ローテーションを成功させるためのすべての準備ステップを完了する