Identity and Access Management para AWS ParallelCluster - AWS ParallelCluster

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Identity and Access Management para AWS ParallelCluster

AWS ParallelCluster utiliza los mismos usuarios y roles para acceder a los recursos de AWS y sus servicios. Las políticas de instancia y usuario que se AWS ParallelCluster utiliza para conceder permisos se documentan en AWS Identity and Access Management permisos en AWS ParallelCluster.

La única diferencia importante es cómo se realiza la autenticación cuando se utiliza un usuario de estándar y credenciales a largo plazo. Aunque los usuarios de AWS estándar necesitan una contraseña para acceder a la consola de un servicio de , ese mismo usuario de necesita un par de claves de acceso para realizar las mismas operaciones a través de AWS ParallelCluster. Todas las demás credenciales a corto plazo se utilizan de la misma manera que con la consola.

Las credenciales que se utilizan en AWS ParallelCluster se almacenan en archivos de texto sin formato y no se cifran.

  • El archivo $HOME/.aws/credentials almacena las credenciales a largo plazo necesarias para acceder a los recursos de AWS. Cómo recuperar el ID de clave de acceso y la clave de acceso secreta

  • Las credenciales a corto plazo, como las de los roles que se adoptan o que se utilizan para servicios de AWS IAM Identity Center, también se almacenan en las carpetas $HOME/.aws/cli/cache y $HOME/.aws/sso/cache, respectivamente.

Mitigación de riesgos

  • Le recomendamos encarecidamente que configure los permisos del sistema de archivos en la carpeta $HOME/.aws, sus subcarpetas y archivos para restringir el acceso exclusivamente a los usuarios autorizados.

  • Utilice roles con credenciales temporales siempre que sea posible para reducir la posibilidad de que se produzcan daños si las credenciales se ven comprometidas. Utilice credenciales a largo plazo solo para solicitar y actualizar las credenciales a corto plazo de los roles.