Chiffrement au repos Chiffrement en transit Gestion des clés Confidentialité du trafic inter-réseaux Chiffrer le trafic des API Chiffrement du trafic de données

Protection des données dans le service de calcul AWS parallèle

Le modèle de responsabilité AWS partagée s'applique à la protection des données dans le service de calcul AWS parallèle. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez Questions fréquentes (FAQ) sur la confidentialité des données. Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée AWS et RGPD (Règlement général sur la protection des données) sur le Blog de sécuritéAWS .

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section Utilisation des CloudTrail sentiers dans le guide de AWS CloudTrail l'utilisateur.
Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez Norme FIPS (Federal Information Processing Standard) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Nom. Cela inclut lorsque vous travaillez avec AWS PCS ou autre Services AWS à l'aide de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.

Chiffrement au repos

Le chiffrement est activé par défaut pour les données au repos lorsque vous créez un cluster AWS Parallel Computing Service (AWS PCS) à l' AWS Management Console aide de l'API AWS PCS ou AWS SDKs. AWS CLI AWS PCS utilise une clé KMS AWS détenue pour chiffrer les données au repos. Pour plus d'informations, consultez la section Clés client et AWS clés dans le guide du AWS KMS développeur. Vous pouvez également utiliser une clé gérée par le client. Pour de plus amples informations, veuillez consulter Politique de clé KMS requise pour une utilisation avec des volumes EBS chiffrés sur PCS AWS.

Le secret du cluster est stocké AWS Secrets Manager et chiffré avec la clé KMS gérée par Secrets Manager. Pour de plus amples informations, veuillez consulter Utilisation des secrets de cluster dans AWS PCS.

Dans un cluster AWS PCS, les données suivantes sont inactives :

État du planificateur : il inclut des données sur les tâches en cours d'exécution et les nœuds provisionnés dans le cluster. Il s'agit des données que Slurm conserve telles que StateSaveLocation définies dans votre. slurm.conf Pour plus d'informations, consultez la description StateSaveLocationdans la documentation de Slurm. AWS PCS supprime les données des tâches une fois celles-ci terminées.
Secret d'authentification du planificateur : AWS PCS l'utilise pour authentifier toutes les communications du planificateur dans le cluster.

Pour les informations sur l'état du planificateur, le AWS PCS chiffre automatiquement les données et les métadonnées avant de les écrire dans le système de fichiers. Le système de fichiers chiffré utilise l'algorithme de cryptage standard AES-256 pour les données au repos.

Chiffrement en transit

Vos connexions à l'API AWS PCS utilisent le cryptage TLS avec le processus de signature Signature Version 4, que vous utilisiez le AWS Command Line Interface (AWS CLI) ou AWS SDKs. Pour plus d'informations, consultez la section Signature des demandes d' AWS API dans le guide de AWS Identity and Access Management l'utilisateur. AWS gère le contrôle d'accès via l'API avec les politiques IAM relatives aux informations d'identification de sécurité que vous utilisez pour vous connecter.

AWS PCS utilise le protocole TLS pour se connecter à d'autres AWS services.

Au sein d'un cluster Slurm, le planificateur est configuré avec le plug-in auth/slurm d'authentification qui fournit une authentification pour toutes les communications du planificateur. Slurm ne fournit pas de chiffrement au niveau de l'application pour ses communications, toutes les données circulant entre les instances de cluster restent locales au VPC et sont donc soumises au chiffrement EC2 VPC si ces instances prennent en charge le chiffrement en transit. Pour plus d'informations, consultez la section Chiffrement en transit dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud. La communication est cryptée entre le contrôleur (fourni dans un compte de service) et les nœuds du cluster de votre compte.

Gestion des clés

AWS PCS utilise une clé KMS AWS détenue pour chiffrer les données. Pour plus d'informations, consultez la section Clés client et AWS clés dans le guide du AWS KMS développeur. Vous pouvez également utiliser une clé gérée par le client. Pour de plus amples informations, veuillez consulter Politique de clé KMS requise pour une utilisation avec des volumes EBS chiffrés sur PCS AWS.

Confidentialité du trafic inter-réseaux

AWS Les ressources de calcul PCS d'un cluster se trouvent dans 1 VPC sur le compte du client. Par conséquent, tout le trafic interne du service AWS PCS au sein d'un cluster reste sur le AWS réseau et ne circule pas sur Internet. La communication entre l'utilisateur et les nœuds AWS PCS peut se faire via Internet et nous vous recommandons d'utiliser SSH ou Systems Manager pour vous connecter aux nœuds. Pour plus d'informations, voir Qu'est-ce que c'est AWS Systems Manager ? dans le guide de AWS Systems Manager l'utilisateur.

Vous pouvez également utiliser les offres suivantes pour connecter votre réseau local à AWS :

AWS Site-to-Site VPN. Pour plus d'informations, voir Qu'est-ce que c'est AWS Site-to-Site VPN ? dans le guide de AWS Site-to-Site VPN l'utilisateur.
Un AWS Direct Connect. Pour plus d'informations, voir Qu'est-ce que c'est AWS Direct Connect ? dans le guide de AWS Direct Connect l'utilisateur.

Vous accédez à l'API AWS PCS pour effectuer des tâches administratives pour le service. Vous et vos utilisateurs accédez aux ports du point de terminaison Slurm pour interagir directement avec le planificateur.

Chiffrer le trafic des API

Pour accéder à l'API AWS PCS, les clients doivent prendre en charge le protocole TLS (Transport Layer Security) 1.2 ou version ultérieure. Nous exigeons TLS 1.2 et recommandons TLS 1.3. Les clients doivent également prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes. En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser AWS Security Token Service (AWS STS) pour générer des informations de sécurité temporaires afin de signer les demandes.

Chiffrement du trafic de données

Le chiffrement des données en transit est activé à partir des EC2 instances prises en charge accédant au point de terminaison du planificateur et entre les ComputeNodeGroup instances depuis le. AWS Cloud Pour de plus amples informations, veuillez consulter Chiffrement en transit.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Sécurité

Politique relative aux clés KMS pour les volumes EBS chiffrés