Datenschutz im AWS Parallel Computing Service - AWS PCS
Verschlüsselung im RuhezustandVerschlüsselung während der ÜbertragungSchlüsselverwaltungDatenschutz für den Datenverkehr zwischen NetzwerkenAPI-Verkehr verschlüsselnDatenverkehr verschlüsseln

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz im AWS Parallel Computing Service

Das Modell der AWS gemeinsamen Verantwortung und geteilter Verantwortung gilt für den Datenschutz in AWS Parallel Computing Service. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter Häufig gestellte Fragen zum Datenschutz. Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag AWS -Modell der geteilten Verantwortung und in der DSGVO im AWS -Sicherheitsblog.

Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:

  • Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).

  • Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.

  • Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter Arbeiten mit CloudTrail Pfaden im AWS CloudTrail Benutzerhandbuch.

  • Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.

  • Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.

  • Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter Federal Information Processing Standard (FIPS) 140-3.

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld Name, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit AWS PCS oder anderen Geräten arbeiten und dabei die Konsole, die API oder AWS-Services verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

Verschlüsselung im Ruhezustand

Die Verschlüsselung ist standardmäßig für Daten im Ruhezustand aktiviert, wenn Sie einen AWS Parallel Computing Service (AWS PCS) -Cluster mit der AWS Management Console, AWS CLI, AWS PCS-API oder erstellen AWS SDKs. AWS PCS verwendet einen AWS eigenen KMS-Schlüssel, um Daten im Ruhezustand zu verschlüsseln. Weitere Informationen finden Sie unter Kundenschlüssel und AWS Schlüssel im AWS KMS Entwicklerhandbuch. Sie können auch einen vom Kunden verwalteten Schlüssel verwenden. Weitere Informationen finden Sie unter Erforderliche KMS-Schlüsselrichtlinie für die Verwendung mit verschlüsselten EBS-Volumes auf PCS AWS.

Das Clustergeheimnis wird im von Secrets Manager verwalteten KMS-Schlüssel gespeichert AWS Secrets Manager und mit diesem verschlüsselt. Weitere Informationen finden Sie unter Arbeiten mit Clustergeheimnissen in AWS PCS.

In einem AWS PCS-Cluster werden die folgenden Daten gespeichert:

  • Scheduler-Status — Er umfasst Daten zu laufenden Jobs und bereitgestellten Knoten im Cluster. Dies sind die Daten, die Slurm in den in Ihrem definierten Zustand beibehält. StateSaveLocation slurm.conf Weitere Informationen finden Sie in der Beschreibung von StateSaveLocationin der Slurm-Dokumentation. AWS PCS löscht Jobdaten, nachdem ein Job abgeschlossen ist.

  • Scheduler Auth Secret — AWS PCS verwendet es, um die gesamte Scheduler-Kommunikation im Cluster zu authentifizieren.

Für Informationen zum Scheduler-Status verschlüsselt AWS PCS Daten und Metadaten automatisch, bevor sie in das Dateisystem geschrieben werden. Das verschlüsselte Dateisystem verwendet den Industriestandard-Verschlüsselungsalgorithmus AES-256 für Daten im Ruhezustand.

Verschlüsselung während der Übertragung

Ihre Verbindungen zur AWS PCS-API verwenden die TLS-Verschlüsselung mit dem Signaturprozess von Signature Version 4, unabhängig davon, ob Sie AWS Command Line Interface (AWS CLI) oder verwenden. AWS SDKs Weitere Informationen finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Signieren von AWS API-Anfragen. AWS verwaltet die Zugriffskontrolle über die API mit den IAM-Richtlinien für die Sicherheitsanmeldedaten, die Sie für die Verbindung verwenden.

AWS PCS verwendet TLS, um eine Verbindung zu anderen AWS Diensten herzustellen.

Innerhalb eines Slurm-Clusters ist der Scheduler mit dem auth/slurm Authentifizierungs-Plug-In konfiguriert, das die Authentifizierung für die gesamte Scheduler-Kommunikation ermöglicht. Slurm bietet keine Verschlüsselung auf Anwendungsebene für seine Kommunikation. Alle Daten, die über Cluster-Instances fließen, bleiben lokal in der EC2 VPC und unterliegen daher der VPC-Verschlüsselung, wenn diese Instances die Verschlüsselung bei der Übertragung unterstützen. Weitere Informationen finden Sie unter Verschlüsselung bei der Übertragung im Amazon Elastic Compute Cloud-Benutzerhandbuch. Die Kommunikation zwischen dem Controller (in einem Dienstkonto bereitgestellt) und den Clusterknoten in Ihrem Konto ist verschlüsselt.

Schlüsselverwaltung

AWS PCS verwendet einen AWS eigenen KMS-Schlüssel zum Verschlüsseln von Daten. Weitere Informationen finden Sie unter Kundenschlüssel und AWS Schlüssel im AWS KMS Entwicklerhandbuch. Sie können auch einen vom Kunden verwalteten Schlüssel verwenden. Weitere Informationen finden Sie unter Erforderliche KMS-Schlüsselrichtlinie für die Verwendung mit verschlüsselten EBS-Volumes auf PCS AWS.

Das Clustergeheimnis wird im von Secrets Manager verwalteten KMS-Schlüssel gespeichert AWS Secrets Manager und mit diesem verschlüsselt. Weitere Informationen finden Sie unter Arbeiten mit Clustergeheimnissen in AWS PCS.

Datenschutz für den Datenverkehr zwischen Netzwerken

AWS Die PCS-Rechenressourcen für einen Cluster befinden sich innerhalb einer VPC im Kundenkonto. Daher verbleibt der gesamte interne AWS PCS-Servicetraffic innerhalb eines Clusters im AWS Netzwerk und wird nicht über das Internet übertragen. Die Kommunikation zwischen dem Benutzer und den AWS PCS-Knoten kann über das Internet erfolgen. Wir empfehlen, SSH oder Systems Manager zu verwenden, um eine Verbindung zu den Knoten herzustellen. Weitere Informationen finden Sie unter Was ist AWS Systems Manager? im AWS Systems Manager Benutzerhandbuch.

Sie können auch die folgenden Angebote verwenden, um Ihr lokales Netzwerk zu AWS verbinden mit:

Sie greifen auf die AWS PCS-API zu, um administrative Aufgaben für den Service auszuführen. Sie und Ihre Benutzer greifen auf die Slurm-Endpunktports zu, um direkt mit dem Scheduler zu interagieren.

API-Verkehr verschlüsseln

Um auf die AWS PCS-API zugreifen zu können, müssen Clients Transport Layer Security (TLS) 1.2 oder höher unterstützen. Wir benötigen TLS 1.2 und empfehlen TLS 1.3. Clients müssen außerdem Cipher Suites mit PFS (Perfect Forward Secrecy) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman) unterstützen. Die meisten modernen Systemen wie Java 7 und höher unterstützen diese Modi. Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Sie können AWS Security Token Service (AWS STS) auch verwenden, um temporäre Sicherheitsanmeldeinformationen zum Signieren von Anfragen zu generieren.

Datenverkehr verschlüsseln

Die Verschlüsselung von Daten während der Übertragung wird von unterstützten EC2 Instanzen aus aktiviert, die auf den Scheduler-Endpunkt zugreifen, und zwischen ComputeNodeGroup Instanzen innerhalb von. AWS Cloud Weitere Informationen finden Sie unter Verschlüsselung während der Übertragung.