Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Rotation des secrets de cluster dans AWS PCS
Utilisez AWS Secrets Manager Managed Rotation pour faire pivoter les secrets du cluster dans AWS PCS. La rotation régulière des secrets est une bonne pratique de sécurité pour maintenir une posture de sécurité solide dans les environnements HPC. Cette fonctionnalité vous permet de respecter les normes de conformité du secteur, notamment les normes HIPAA et FedRAMP, qui imposent une rotation régulière des accréditations.
Le secret du cluster a un double objectif : authentifier les nœuds de calcul rejoignant le cluster et servir de clé JWT pour l'authentification de l'API REST de Slurm. En cas de rotation, les deux aspects sont affectés simultanément.
## Comment fonctionne la rotation des secrets du cluster
Préparez-vous manuellement à maintenir la stabilité du cluster pendant la rotation secrète :
1. **Préparation** : redimensionnez tous les groupes de nœuds de calcul à une capacité nulle et assurez-vous qu'aucune tâche n'est en cours d'exécution
1. **Rotation** : initiez la rotation via la console ou l'API Secrets Manager
1. **Surveillance** — Suivez les progrès grâce aux CloudTrail événements
1. **Restauration** : redimensionnez les groupes de nœuds de calcul pour les ramener à la capacité souhaitée
Pendant la rotation, votre cluster reste en bon `ACTIVE` état et la facturation se poursuit normalement. Le processus prend généralement quelques minutes.
## Exigences et limitations
Avant de faire pivoter les secrets du cluster, répondez aux exigences suivantes :
+ Le cluster doit être dans `ACTIVE` ou dans un `UPDATE_FAILED` état
+ Le rôle IAM doit avoir une autorisation `secretsmanager:RotateSecret`
+ Tous les groupes de nœuds de calcul doivent être dimensionnés à une capacité nulle
+ Arrêter toutes les tâches avant la rotation
Limites:
+ Préparation manuelle requise pour chaque rotation
+ Les jetons JWT existants deviennent invalides et doivent être réémis
+ Les nœuds de connexion BYO nécessitent une mise à jour secrète manuelle après la rotation
**Topics**
+ [Comment fonctionne la rotation des secrets du cluster](#cluster-secret-rotation-overview)
+ [Exigences et limitations](#cluster-secret-rotation-requirements)
+ [Faire pivoter un secret de cluster dans AWS PCS](cluster-secret-rotation-procedure.md)
+ [Questions fréquemment posées sur la rotation des secrets de cluster dans AWS PCS](cluster-secret-rotation-faq.md)
+ [Résolution des problèmes de rotation des secrets de cluster dans AWS PCS](cluster-secret-rotation-troubleshooting.md)
# Faire pivoter un secret de cluster dans AWS PCS
Faites alterner le secret de votre cluster pour vous conformer aux exigences de sécurité et faire face aux compromissions potentielles. Ce processus nécessite de mettre votre cluster en mode maintenance.
## Prérequis
+ Rôle IAM avec autorisation `secretsmanager:RotateSecret`
+ Cluster dans `ACTIVE` notre `UPDATE_FAILED` état
## Procédure
1. Informez les utilisateurs du cluster de la prochaine fenêtre de maintenance.
1. Mettez le cluster en mode maintenance en redimensionnant tous les groupes de nœuds de calcul à une capacité nulle.
1. Utilisez l' UpdateComputeNodeGroup API pour définir les deux minInstanceCount et la valeur 0 maxInstanceCount pour tous les groupes de nœuds de calcul.
1. Attendez que tous les nœuds s'arrêtent.
1. Facultatif : Videz les files d'attente du planificateur à l'aide des commandes Slurm avant de mettre fin à la capacité afin de gérer les tâches avec élégance.
1. Lancez la rotation via Secrets Manager.
+ **Méthode de console** :
1. Accédez à Secrets Manager, sélectionnez le secret de votre cluster, puis choisissez **Rotate secret**.
+ **Méthode API** :
1. Utilisez l'`rotate-secret`API Secrets Manager.
1. Surveillez la progression de la rotation.
1. Suivez les progrès par le biais CloudTrail d'événements.
1. Vérifiez `lastRotatedDate` via la console Secrets Manager ou l'`secretsmanager:describeSecret`API.
1. Attendez notre `RotationSucceeded` `RotationFailed` CloudTrail événement.
1. Une fois la rotation réussie, restaurez la capacité du cluster.
1. Utilisez l' UpdateComputeNodeGroup API pour réinitialiser les groupes de nœuds à la min/max capacité souhaitée.
1. Pour les nœuds de AWS connexion gérés par PC : aucune action supplémentaire n'est requise.
1. Pour les nœuds de connexion BYO :
1. Connectez-vous aux nœuds de connexion.
1. Mise à jour `/etc/slurm/slurm.key` avec le nouveau secret de Secrets Manager.
1. Redémarrez le démon Slurm Auth et Cred Kiosk (sackd).
# Questions fréquemment posées sur la rotation des secrets de cluster dans AWS PCS
Trouvez les réponses aux questions les plus fréquemment posées sur la rotation des secrets de cluster dans AWS PCS.
**Qu'est-ce qu'un secret de cluster ?**
Un secret de cluster est un identifiant sécurisé qui permet des communications sécurisées entre le contrôleur Slurm et les nœuds de calcul AWS PCS. Il sert également de clé JSON Web Token (JWT) pour l'authentification de l'API REST de Slurm.
**Quelle est la différence entre le secret du cluster et la clé JWT ?**
Dans AWS PCS, le secret du cluster et la clé JWT sont la même ressource servant des objectifs différents. Le secret du cluster authentifie les communications internes de Slurm, tandis que la clé JWT signe les jetons pour l'authentification via l'API REST. En cas de rotation, les deux aspects sont affectés simultanément.
**Combien de temps dure la rotation ?**
Le processus de rotation prend généralement quelques minutes. Votre cluster reste à l'état ACTIF et la facturation se poursuit normalement pendant la rotation.
**Puis-je planifier des rotations automatiques ?**
Vous pouvez activer la rotation planifiée dans Secrets Manager. Cependant, la version initiale nécessite une préparation manuelle (mise à l'échelle des groupes de nœuds à 0) avant chaque rotation.
**Mes jetons JWT existants fonctionneront-ils toujours après la rotation ?**
Non, les jetons JWT existants deviennent invalides après la rotation. Émettez de nouveaux jetons pour les clients de l'API REST.
**Où puis-je trouver le secret de mon cluster ?**
Vous pouvez trouver le secret de votre cluster dans la console Secrets Manager ou via la console AWS PCS. Pour des instructions détaillées, reportez-vous [AWS Secrets Manager À utiliser pour trouver le secret du cluster](working-with_clusters_secrets_find_secrets-manager.md) aux sections et[Utilisez AWS PCS pour trouver le secret du cluster](working-with_clusters_secrets_find_pcs.md).
**Pourquoi la rotation nécessite-t-elle de redimensionner les groupes de nœuds à 0 ?**
La rotation ne nécessite aucune instance en cours d'exécution pour garantir la stabilité du cluster pendant le processus de mise à jour secrète. Cela permet d'éviter les conflits d'authentification entre les anciens et les nouveaux secrets.
**Quelles sont les exigences de conformité prises en charge par cette fonctionnalité ?**
Cette fonctionnalité permet à AWS PCS de respecter les normes de conformité du secteur, notamment HIPAA et FedRAMP, qui imposent une rotation régulière des identifiants dans le cadre de leurs contrôles de sécurité.
# Résolution des problèmes de rotation des secrets de cluster dans AWS PCS
La rotation du secret du cluster échoue si l'environnement n'est pas correctement préparé. Les instances actives de votre cluster en sont la cause la plus courante. Pour éviter toute défaillance :
1. Définissez la capacité de tous les groupes de nœuds sur 0.
1. Attendez que les nœuds s'arrêtent.
1. Vérifiez que votre cluster n'est pas dans les états suivants : `CREATE_FAILED``DELETE_FAILED`,`RESUMING`,`SUSPENDING`, ou`SUSPENDED`.
En cas d'échec de la rotation :
+ Un RotationFailed CloudTrail événement apparaît
+ Le secret du cluster reste inchangé
+ Consultez l' RotationFailed événement CloudTrail pour plus de détails
+ Effectuez toutes les étapes de préparation pour une rotation réussie