本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 AWS PCS 中轮换集群密钥
<a name="cluster-secret-rotation"></a>

使用 AWS Secrets Manager 托管轮换在 AWS PCS 中轮换集群密钥。定期轮换密钥是在 HPC 环境中保持强大安全态势的最佳安全实践。此功能使您能够满足行业合规标准，包括要求定期轮换证书的 HIPAA 和 FedRAMP。

集群密钥有两个用途：对加入集群的计算节点进行身份验证，以及作为 Slurm REST API 身份验证的 JWT 密钥。旋转时，两个方面会同时受到影响。

## 集群密钥轮换的工作原理
<a name="cluster-secret-rotation-overview"></a>

手动准备以在密钥轮换期间保持集群的稳定性：

1. **准备** — 将所有计算节点组的容量扩展到 0 并确保没有作业在运行

1. **轮换** — 通过 Secrets Manager 控制台或 API 启动轮换

1. **监控**-通过 CloudTrail 事件跟踪进度

1. **恢复**-将计算节点组扩展回所需的容量

在轮换期间，您的集群将保持`ACTIVE`状态，并且继续正常计费。该过程通常需要几分钟。

## 要求和限制
<a name="cluster-secret-rotation-requirements"></a>

在轮换集群密钥之前，请完成以下要求：
+ 集群必须处于`ACTIVE`或`UPDATE_FAILED`状态
+ IAM 角色必须拥有`secretsmanager:RotateSecret`权限
+ 所有计算节点组的容量都必须扩展到 0
+ 轮换前停止所有作业

限制：
+ 每次轮换都需要手动准备
+ 现有的 JWT 代币失效，需要重新发行
+ BYO 登录节点需要在轮换后手动更新密钥

**Topics**
+ [集群密钥轮换的工作原理](#cluster-secret-rotation-overview)
+ [要求和限制](#cluster-secret-rotation-requirements)
+ [在 AWS PCS 中轮换集群密钥](cluster-secret-rotation-procedure.md)
+ [有关 AWS PCS 中集群密钥轮换的常见问题](cluster-secret-rotation-faq.md)
+ [排除 AWS PCS 中集群密钥轮换的问题](cluster-secret-rotation-troubleshooting.md)