在 AWS PCS 中輪換叢集秘密 - AWS PCS
叢集秘密輪換的運作方式要求與限制

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 AWS PCS 中輪換叢集秘密

使用 AWS Secrets Manager 受管輪換在 AWS PCS 中輪換叢集秘密。定期秘密輪換是維護 HPC 環境中強式安全狀態的安全最佳實務。此功能可讓您符合產業合規標準,包括 HIPAA 和 FedRAMP,這需要定期輪換登入資料。

叢集秘密提供雙重用途:驗證加入叢集的運算節點,以及做為 Slurm REST API 身分驗證的 JWT 金鑰。輪換時,兩個層面都會同時受到影響。

叢集秘密輪換的運作方式

手動準備以在秘密輪換期間維持叢集穩定性:

  1. 準備 – 將所有運算節點群組擴展到 0 容量,並確保沒有任務正在執行

  2. 輪換 – 透過 Secrets Manager 主控台或 API 啟動輪換

  3. 監控 – 透過 CloudTrail 事件追蹤進度

  4. 復原 – 將運算節點群組擴展回所需的容量

在輪換期間,您的叢集會保持 ACTIVE 狀態,且計費會繼續正常。程序通常需要幾分鐘的時間。

要求與限制

在輪換叢集秘密之前,請先完成下列要求:

  • 叢集必須處於 ACTIVEUPDATE_FAILED 狀態

  • IAM 角色必須具有 secretsmanager:RotateSecret 許可

  • 所有運算節點群組都必須擴展至 0 容量

  • 在輪換之前停止所有任務

限制:

  • 每次輪換所需的手動準備

  • 現有的 JWT 字符無效,需要重新發行

  • BYO 登入節點在輪換後需要手動秘密更新

主題