Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Protección de datos en AWS Parallel Computing Service
El modelo de
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
-
Utiliza la autenticación multifactor (MFA) en cada cuenta.
-
Se utiliza SSL/TLS para comunicarse con AWS los recursos. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
-
Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte Cómo trabajar con CloudTrail senderos en la Guía del AWS CloudTrail usuario.
-
Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados que contienen Servicios de AWS.
-
Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
-
Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta Estándar de procesamiento de la información federal (FIPS) 140-3
.
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabaja con AWS PCS u otros dispositivos Servicios de AWS mediante la consola, la API o AWS CLI AWS SDKs Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya la información de las credenciales en la URL para validar la solicitud para ese servidor.
Cifrado en reposo
El cifrado está habilitado de forma predeterminada para los datos en reposo cuando se crea un clúster de AWS Parallel Computing Service (AWS PCS) con la AWS Management Console API de AWS PCS o AWS SDKs. AWS CLI AWS El PCS utiliza AWS una clave KMS propia para cifrar los datos en reposo. Para obtener más información, consulte las claves y AWS claves del cliente en la Guía para AWS KMS desarrolladores. También puede utilizar una clave gestionada por el cliente. Para obtener más información, consulte Política de claves de KMS obligatoria para su uso con volúmenes de EBS cifrados en PCS AWS.
El secreto del clúster se almacena AWS Secrets Manager y cifra con la clave KMS gestionada por Secrets Manager. Para obtener más información, consulte Trabajar con secretos de clústeres en AWS PCS.
En un clúster de AWS PCS, los siguientes datos están en reposo:
-
Estado del planificador: incluye datos sobre las tareas en ejecución y los nodos aprovisionados en el clúster. Estos son los datos en los que Slurm persiste según lo definido en su.
StateSaveLocationslurm.confPara obtener más información, consulte la descripción de la documentación StateSaveLocationde Slurm. AWS El PCS elimina los datos del trabajo una vez finalizado un trabajo. -
Secreto de autenticación del programador: AWS PCS lo usa para autenticar todas las comunicaciones del programador en el clúster.
Para obtener información sobre el estado del programador, el AWS PCS cifra automáticamente los datos y los metadatos antes de escribirlos en el sistema de archivos. El sistema de archivos cifrados utiliza el algoritmo de cifrado AES-256 estándar del sector para los datos en reposo.
Cifrado en tránsito
Sus conexiones a la API de AWS PCS utilizan el cifrado TLS con el proceso de firma Signature versión 4, independientemente de si utiliza AWS Command Line Interface ()AWS CLI o. AWS SDKs Para obtener más información, consulte Firmar las solicitudes de la AWS API en la Guía del AWS Identity and Access Management usuario. AWS gestiona el control de acceso a través de la API con las políticas de IAM para las credenciales de seguridad que se utilizan para conectarse.
AWS PCS usa TLS para conectarse a otros AWS servicios.
Dentro de un clúster de Slurm, el programador se configura con el complemento de autenticación que proporciona la auth/slurm autenticación para todas las comunicaciones del programador. Slurm no proporciona cifrado a nivel de aplicación para sus comunicaciones, ya que todos los datos que fluyen entre las instancias del clúster permanecen locales en la EC2 VPC y, por lo tanto, están sujetos al cifrado de la VPC si esas instancias admiten el cifrado en tránsito. Para obtener más información, consulte Cifrado en tránsito en la Guía del usuario de Amazon Elastic Compute Cloud. La comunicación se cifra entre el controlador (aprovisionado en una cuenta de servicio) y los nodos del clúster de su cuenta.
Administración de claves
AWS PCS utiliza una clave AWS KMS propia para cifrar los datos. Para obtener más información, consulte Claves y AWS claves del cliente en la Guía para AWS KMS desarrolladores. También puede utilizar una clave gestionada por el cliente. Para obtener más información, consulte Política de claves de KMS obligatoria para su uso con volúmenes de EBS cifrados en PCS AWS.
El secreto del clúster se almacena AWS Secrets Manager y cifra con la clave KMS gestionada por Secrets Manager. Para obtener más información, consulte Trabajar con secretos de clústeres en AWS PCS.
Privacidad del tráfico entre redes
AWS Los recursos informáticos de PCS de un clúster residen en 1 VPC de la cuenta del cliente. Por lo tanto, todo el tráfico interno del servicio de AWS PCS dentro de un clúster permanece dentro de la AWS red y no viaja a través de Internet. La comunicación entre el usuario y los nodos AWS PCS puede viajar a través de Internet y recomendamos usar SSH o Systems Manager para conectarse a los nodos. Para obtener más información, consulte ¿Qué es? AWS Systems Manager en la Guía AWS Systems Manager del usuario.
También puede utilizar las siguientes ofertas para conectar su red local a AWS:
-
AWS Site-to-Site VPN. Para obtener más información, consulte ¿Qué es AWS Site-to-Site VPN? en la Guía AWS Site-to-Site VPN del usuario.
-
Un AWS Direct Connect. Para obtener más información, consulte ¿Qué es AWS Direct Connect? en la Guía AWS Direct Connect del usuario.
Se accede a la API de AWS PCS para realizar tareas administrativas para el servicio. Usted y sus usuarios acceden a los puertos de punto final de Slurm para interactuar directamente con el programador.
Cifrar el tráfico de la API
Para acceder a la API de AWS PCS, los clientes deben ser compatibles con Transport Layer Security (TLS) 1.2 o una versión posterior. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3. Los clientes también deben admitir conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Diffie-Hellman Ephemeral (ECDHE). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos. Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puede usar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar las solicitudes.
Cifrado del tráfico de datos
El cifrado de los datos en tránsito se habilita desde EC2 las instancias compatibles que acceden al punto final del programador y entre ComputeNodeGroup instancias desde dentro del Nube de AWS. Para obtener más información, consulte Cifrado en tránsito.
