在 AWS PCS 中轮换集群密钥 - AWS PC
集群密钥轮换的工作原理要求和限制

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 AWS PCS 中轮换集群密钥

使用 AWS Secrets Manager 托管轮换在 AWS PCS 中轮换集群密钥。定期轮换密钥是在 HPC 环境中保持强大安全态势的最佳安全实践。此功能使您能够满足行业合规标准,包括要求定期轮换证书的 HIPAA 和 FedRAMP。

集群密钥有两个用途:对加入集群的计算节点进行身份验证,以及作为 Slurm REST API 身份验证的 JWT 密钥。旋转时,两个方面会同时受到影响。

集群密钥轮换的工作原理

手动准备以在密钥轮换期间保持集群的稳定性:

  1. 准备 — 将所有计算节点组的容量扩展到 0 并确保没有作业在运行

  2. 轮换 — 通过 Secrets Manager 控制台或 API 启动轮换

  3. 监控-通过 CloudTrail 事件跟踪进度

  4. 恢复-将计算节点组扩展回所需的容量

在轮换期间,您的集群将保持ACTIVE状态,并且继续正常计费。该过程通常需要几分钟。

要求和限制

在轮换集群密钥之前,请完成以下要求:

  • 集群必须处于ACTIVEUPDATE_FAILED状态

  • IAM 角色必须拥有secretsmanager:RotateSecret权限

  • 所有计算节点组的容量都必须扩展到 0

  • 轮换前停止所有作业

限制:

  • 每次轮换都需要手动准备

  • 现有的 JWT 代币失效,需要重新发行

  • BYO 登录节点需要在轮换后手动更新密钥

主题