Perlindungan data dalam Layanan Komputasi AWS Paralel - AWS PCS
Enkripsi diamEnkripsi bergerakManajemen kunciPrivasi lalu lintas antar jaringanMengenkripsi lalu lintas APIMengenkripsi lalu lintas data

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data dalam Layanan Komputasi AWS Paralel

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data di Layanan Komputasi AWS Paralel. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam Pertanyaan Umum Privasi Data. Lihat informasi tentang perlindungan data di Eropa di pos blog Model Tanggung Jawab Bersama dan GDPR AWS di Blog Keamanan AWS .

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

  • Gunakan autentikasi multi-faktor (MFA) pada setiap akun.

  • Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.

  • Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat Bekerja dengan CloudTrail jejak di AWS CloudTrail Panduan Pengguna.

  • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.

  • Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.

  • Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di Standar Pemrosesan Informasi Federal (FIPS) 140-3.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk ketika Anda bekerja dengan AWS PCS atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

Enkripsi diam

Enkripsi diaktifkan secara default untuk data saat istirahat saat Anda membuat cluster AWS Parallel Computing Service (AWS PCS) dengan AWS Management Console, AWS CLI, AWS PCS API, atau AWS SDKs. AWS PCS menggunakan kunci KMS yang AWS dimiliki untuk mengenkripsi data saat istirahat. Untuk informasi selengkapnya, lihat Kunci dan AWS kunci pelanggan di Panduan AWS KMS Pengembang. Anda juga dapat menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Kebijakan kunci KMS yang diperlukan untuk digunakan dengan volume EBS terenkripsi di PCS AWS.

Rahasia cluster disimpan AWS Secrets Manager dan dienkripsi dengan kunci KMS yang dikelola Secrets Manager. Untuk informasi selengkapnya, lihat Bekerja dengan rahasia cluster di AWS PCS.

Dalam cluster AWS PCS, data berikut diam:

  • Status penjadwal - Ini mencakup data tentang pekerjaan yang sedang berjalan dan node yang disediakan di cluster. Ini adalah data yang Slurm bertahan dalam yang StateSaveLocation ditentukan dalam Anda. slurm.conf Untuk informasi lebih lanjut, lihat deskripsi StateSaveLocationdalam dokumentasi Slurm. AWS PCS menghapus data pekerjaan setelah pekerjaan selesai.

  • Rahasia autentikasi penjadwal — AWS PCS menggunakannya untuk mengautentikasi semua komunikasi penjadwal di cluster.

Untuk informasi status scheduler, AWS PCS secara otomatis mengenkripsi data dan metadata sebelum menuliskannya ke sistem file. Sistem file terenkripsi menggunakan algoritma enkripsi AES-256 standar industri untuk data saat istirahat.

Enkripsi bergerak

Koneksi Anda ke AWS PCS API menggunakan enkripsi TLS dengan proses penandatanganan Signature Version 4, terlepas dari apakah Anda menggunakan AWS Command Line Interface (AWS CLI) atau AWS SDKs. Untuk selengkapnya, lihat Menandatangani permintaan AWS API di Panduan AWS Identity and Access Management Pengguna. AWS mengelola kontrol akses melalui API dengan kebijakan IAM untuk kredenal keamanan yang Anda gunakan untuk terhubung.

AWS PCS menggunakan TLS untuk terhubung ke AWS layanan lain.

Dalam cluster Slurm, scheduler dikonfigurasi dengan plug-in otentikasi yang menyediakan auth/slurm otentikasi untuk semua komunikasi scheduler. Slurm tidak menyediakan enkripsi pada tingkat aplikasi untuk komunikasinya, semua data yang mengalir di seluruh instance cluster tetap lokal ke VPC dan oleh karena itu tunduk pada enkripsi EC2 VPC jika instance tersebut mendukung enkripsi dalam perjalanan. Untuk informasi selengkapnya, lihat Enkripsi dalam perjalanan di Panduan Pengguna Amazon Elastic Compute Cloud. Komunikasi dienkripsi antara pengontrol (disediakan dalam akun layanan) node cluster di akun Anda.

Manajemen kunci

AWS PCS menggunakan kunci KMS yang AWS dimiliki untuk mengenkripsi data. Untuk informasi selengkapnya, lihat Kunci dan AWS kunci pelanggan di Panduan AWS KMS Pengembang. Anda juga dapat menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Kebijakan kunci KMS yang diperlukan untuk digunakan dengan volume EBS terenkripsi di PCS AWS.

Rahasia cluster disimpan AWS Secrets Manager dan dienkripsi dengan kunci KMS yang dikelola Secrets Manager. Untuk informasi selengkapnya, lihat Bekerja dengan rahasia cluster di AWS PCS.

Privasi lalu lintas antar jaringan

AWS PCS menghitung sumber daya untuk klaster berada dalam 1 VPC di akun pelanggan. Oleh karena itu, semua lalu lintas layanan AWS PCS internal dalam sebuah cluster tetap berada dalam AWS jaringan dan tidak melakukan perjalanan melalui internet. Komunikasi antara pengguna dan node AWS PCS dapat melakukan perjalanan di internet dan kami sarankan menggunakan SSH atau Systems Manager untuk terhubung ke node. Untuk informasi lebih lanjut, lihat Apa itu AWS Systems Manager? dalam AWS Systems Manager User Guide.

Anda juga dapat menggunakan penawaran berikut untuk menghubungkan jaringan lokal Anda ke: AWS

Anda mengakses AWS PCS API untuk melakukan tugas administratif untuk layanan. Anda dan pengguna Anda mengakses port endpoint Slurm untuk berinteraksi dengan penjadwal secara langsung.

Mengenkripsi lalu lintas API

Untuk mengakses AWS PCS API, klien harus mendukung Transport Layer Security (TLS) 1.2 atau yang lebih baru. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3. Klien juga harus mendukung suite cipher dengan perfect forward secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini. Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan prinsipal IAM. Anda juga dapat menggunakan AWS Security Token Service (AWS STS) untuk menghasilkan kredensyal keamanan sementara untuk menandatangani permintaan.

Mengenkripsi lalu lintas data

Enkripsi data dalam perjalanan diaktifkan dari EC2 instance yang didukung yang mengakses titik akhir penjadwal dan antar ComputeNodeGroup instance dari dalam. AWS Cloud Untuk informasi selengkapnya, lihat Enkripsi bergerak.