As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segredos do cluster rotativo no AWS PCS
Use o AWS Secrets Manager Managed Rotation para alternar os segredos do cluster no AWS PCS. A rotação regular de segredos é uma prática recomendada de segurança para manter uma postura de segurança forte em ambientes de HPC. Esse recurso permite que você atenda aos padrões de conformidade do setor, incluindo HIPAA e FedRAMP, que exigem a rotação regular de credenciais.
O segredo do cluster tem dois propósitos: autenticar os nós de computação que se juntam ao cluster e ser a chave JWT para a autenticação da API REST do Slurm. Quando girados, os dois aspectos são afetados simultaneamente.
## Como funciona a rotação secreta do cluster
Prepare-se manualmente para manter a estabilidade do cluster durante a rotação secreta:
1. **Preparação** — escale todos os grupos de nós de computação para 0 de capacidade e garanta que nenhuma tarefa esteja em execução
1. **Rotação** — Inicie a rotação por meio do console ou API do Secrets Manager
1. **Monitoramento** — Acompanhe o progresso por meio de CloudTrail eventos
1. **Recuperação** — redimensione os grupos de nós de computação até a capacidade desejada
Durante a rotação, seu cluster permanece no `ACTIVE` estado e o faturamento continua normalmente. O processo normalmente leva alguns minutos.
## Requisitos e limitações
Antes de alternar os segredos do cluster, preencha estes requisitos:
+ O cluster deve estar em `ACTIVE` ou `UPDATE_FAILED` estado
+ A função do IAM deve ter `secretsmanager:RotateSecret` permissão
+ Todos os grupos de nós de computação devem ser dimensionados para 0 de capacidade
+ Pare todos os trabalhos antes da rotação
Limitações:
+ Preparação manual necessária para cada rotação
+ Os tokens JWT existentes se tornam inválidos e exigem reemissão
+ Os nós de login BYO exigem atualização secreta manual após a rotação
**Topics**
+ [Como funciona a rotação secreta do cluster](#cluster-secret-rotation-overview)
+ [Requisitos e limitações](#cluster-secret-rotation-requirements)
+ [Faça a rotação de um segredo de cluster no AWS PCS](cluster-secret-rotation-procedure.md)
+ [Perguntas frequentes sobre rotação secreta de cluster no AWS PCS](cluster-secret-rotation-faq.md)
+ [Solução de problemas de rotação secreta de cluster no AWS PCS](cluster-secret-rotation-troubleshooting.md)
# Faça a rotação de um segredo de cluster no AWS PCS
Alterne o segredo do seu cluster para cumprir os requisitos de segurança e resolver possíveis comprometimentos. Esse processo exige colocar seu cluster em modo de manutenção.
## Pré-requisitos
+ Função do IAM com `secretsmanager:RotateSecret` permissão
+ Cluster em `ACTIVE` ou `UPDATE_FAILED` estado
## Procedimento
1. Notifique os usuários do cluster sobre a próxima janela de manutenção.
1. Coloque o cluster em modo de manutenção escalando todos os grupos de nós de computação para 0 de capacidade.
1. Use a UpdateComputeNodeGroup API para definir ambos minInstanceCount e como 0 maxInstanceCount para todos os grupos de nós de computação.
1. Espere até que todos os nós parem.
1. Opcional: elimine as filas do agendador com os comandos do Slurm antes de encerrar a capacidade para um gerenciamento adequado do trabalho.
1. Inicie a rotação por meio do Secrets Manager.
+ **Método de console**:
1. Navegue até Secrets Manager, selecione o segredo do cluster e escolha **Rotate secret**.
+ **Método de API**:
1. Use a `rotate-secret` API Secrets Manager.
1. Monitore o progresso da rotação.
1. Acompanhe o progresso por meio de CloudTrail eventos.
1. Verifique `lastRotatedDate` no console do Secrets Manager ou na `secretsmanager:describeSecret` API.
1. Aguarde `RotationSucceeded` nosso `RotationFailed` CloudTrail evento.
1. Após a rotação bem-sucedida, restaure a capacidade do cluster.
1. Use a UpdateComputeNodeGroup API para redefinir os grupos de nós para a min/max capacidade desejada.
1. Para nós de login AWS gerenciados por PCs: nenhuma ação adicional é necessária.
1. Para nós de login BYO:
1. Conecte-se aos nós de login.
1. Atualize `/etc/slurm/slurm.key` com o novo segredo do Secrets Manager.
1. Reinicie o Slurm Auth e o Cred Kiosk Daemon (sackd).
# Perguntas frequentes sobre rotação secreta de cluster no AWS PCS
Encontre respostas para perguntas comuns sobre rotação secreta de cluster no AWS PCS.
**O que é um segredo de cluster?**
Um segredo de cluster é uma credencial segura que permite comunicações seguras entre o controlador Slurm e os nós de computação AWS PCS. Ela também serve como chave JSON Web Token (JWT) para autenticação da API Slurm REST.
**Qual é a diferença entre o segredo do cluster e a chave JWT?**
No AWS PCS, o segredo do cluster e a chave JWT são o mesmo recurso com propósitos diferentes. O segredo do cluster autentica as comunicações internas do Slurm, enquanto a chave JWT assina tokens para autenticação da API REST. Quando girados, os dois aspectos são afetados simultaneamente.
**Quanto tempo demora a rotação?**
O processo de rotação normalmente leva alguns minutos. Seu cluster permanece no estado ATIVO e o faturamento continua normalmente durante a rotação.
**Posso programar rotações automáticas?**
Você pode ativar a rotação programada no Secrets Manager. No entanto, a versão inicial requer preparação manual (escalando grupos de nós para 0) antes de cada rotação.
**Meus tokens JWT existentes ainda funcionarão após a rotação?**
Não, os tokens JWT existentes se tornam inválidos após a rotação. Emita novos tokens para clientes da API REST.
**Onde posso encontrar o segredo do meu cluster?**
Você pode encontrar o segredo do seu cluster no console Secrets Manager ou no console AWS PCS. Para obter instruções detalhadas, consulte [Use AWS Secrets Manager para encontrar o segredo do cluster](working-with_clusters_secrets_find_secrets-manager.md) [Use o AWS PCS para encontrar o segredo do cluster](working-with_clusters_secrets_find_pcs.md) e.
**Por que a rotação exige a escalabilidade dos grupos de nós para 0?**
A rotação não requer instâncias em execução para garantir a estabilidade do cluster durante o processo de atualização secreta. Isso evita conflitos de autenticação entre segredos antigos e novos.
**A quais requisitos de conformidade esse recurso oferece suporte?**
Esse recurso permite que a AWS PCS atenda aos padrões de conformidade do setor, incluindo HIPAA e FedRAMP, que exigem a rotação regular de credenciais como parte de seus controles de segurança.
# Solução de problemas de rotação secreta de cluster no AWS PCS
A rotação secreta do cluster falha se o ambiente não estiver preparado adequadamente. A causa mais comum são as instâncias ativas em seu cluster. Para evitar falhas:
1. Defina todos os grupos de nós para 0 de capacidade.
1. Aguarde até que os nós parem.
1. Verifique se seu cluster não está nos seguintes estados: `CREATE_FAILED``DELETE_FAILED`,`RESUMING`,`SUSPENDING`, ou`SUSPENDED`.
Se a rotação falhar:
+ Um RotationFailed CloudTrail evento aparece
+ O segredo do cluster permanece inalterado
+ Confira o RotationFailed evento CloudTrail para obter detalhes
+ Conclua todas as etapas de preparação para uma rotação bem-sucedida