AWS Parallel Computing Service でのデータ保護 - AWS PCS
保管中の暗号化転送中の暗号化キー管理ネットワーク間トラフィックのプライバシーAPI トラフィックの暗号化データトラフィックの暗号化

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Parallel Computing Service でのデータ保護

責任 AWS 共有モデル、 AWS Parallel Computing Service でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、データプライバシーに関するよくある質問を参照してください。欧州でのデータ保護の詳細については、AWS セキュリティブログに投稿された AWS 責任共有モデルおよび GDPR のブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM Identity Center または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

  • 各アカウントで多要素認証 (MFA) を使用します。

  • SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 が必須で、TLS 1.3 をお勧めします。

  • で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 AWS CloudTrail ユーザーガイド」のCloudTrail 証跡の使用」を参照してください。

  • AWS 暗号化ソリューションと、その中のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。

  • Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。

  • コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「連邦情報処理規格 (FIPS) 140-3」を参照してください。

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または [名前] フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、API、または SDK AWS を使用して PCS AWS CLIまたは他の AWS のサービス を使用する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。

保管中の暗号化

、、AWS PCS AWS API AWS Management Console AWS CLI、または SDK を使用して AWS Parallel Computing Service (PCS) クラスターを作成すると、保管中のデータに対して暗号化がデフォルトで有効になります。 AWS SDKs AWS PCS は、 AWS 所有の KMS キーを使用して保管中のデータを暗号化します。詳細については、「 AWS KMS デベロッパーガイド」の「カスタマーキーと AWS キー」を参照してください。カスタマーマネージドキーを使用することもできます。詳細については、「PCS の暗号化された EBS ボリュームで使用するために必要な KMS AWS キーポリシー」を参照してください。

クラスターシークレットは に保存 AWS Secrets Manager され、Secrets Manager マネージド KMS キーで暗号化されます。詳細については、「AWS PCS でのクラスターシークレットの使用」を参照してください。

AWS PCS クラスターでは、次のデータは保管中です

  • ケジューラの状態 – クラスターで実行中のジョブとプロビジョニングされたノードに関するデータが含まれます。これは、 でStateSaveLocation定義された に Slurm が保持するデータですslurm.conf。詳細については、Slurm ドキュメントの StateSaveLocation の説明を参照してください。 AWS PCS は、ジョブの完了後にジョブデータを削除します。

  • スケジューラ認証シークレット – AWS PCS はそれを使用してクラスター内のすべてのスケジューラ通信を認証します。

スケジューラの状態情報の場合、 AWS PCS はデータとメタデータをファイルシステムに書き込む前に自動的に暗号化します。暗号化されたファイルシステムは、保管中のデータに業界標準の AES-256 暗号化アルゴリズムを使用します。

転送中の暗号化

AWS PCS API への接続では、 AWS Command Line Interface (AWS CLI) と AWS SDKs。詳細については、「 ユーザーガイド」の AWS 「API リクエストの署名」を参照してください。 は、接続に使用するセキュリティ認証情報の IAM ポリシーを使用して API を介したアクセスコントロール AWS を管理します。 AWS Identity and Access Management

AWS PCS は TLS を使用して他の AWS サービスに接続します。

Slurm クラスター内では、スケジューラはすべてのスケジューラ通信にauth/slurm認証を提供する認証プラグインで設定されます。Slurm は通信のためにアプリケーションレベルで暗号化を提供しません。クラスターインスタンスをまたいで流れるすべてのデータは EC2 VPC のローカルに留まるため、それらのインスタンスが転送中の暗号化をサポートしている場合は VPC 暗号化の対象となります。詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」の「転送中の暗号化」を参照してください。通信は、アカウントのクラスターノードのコントローラー (サービスアカウントでプロビジョニング) 間で暗号化されます。

キー管理

AWS PCS は、 AWS 所有の KMS キーを使用してデータを暗号化します。詳細については、「 AWS KMS デベロッパーガイド」の「カスタマーキーと AWS キー」を参照してください。カスタマーマネージドキーを使用することもできます。詳細については、「PCS の暗号化された EBS ボリュームで使用するために必要な KMS AWS キーポリシー」を参照してください。

クラスターシークレットは に保存 AWS Secrets Manager され、Secrets Manager マネージド KMS キーで暗号化されます。詳細については、「AWS PCS でのクラスターシークレットの使用」を参照してください。

ネットワーク間トラフィックのプライバシー

AWS クラスターの PCS コンピューティングリソースは、お客様のアカウントの 1 VPC 内に存在します。したがって、クラスター内のすべての内部 AWS PCS サービストラフィックは AWS ネットワーク内にとどまり、インターネットを経由しません。ユーザーノードと AWS PCS ノード間の通信はインターネットを通過する可能性があるため、SSH または Systems Manager を使用してノードに接続することをお勧めします。詳細については、「 AWS Systems Manager ユーザーガイド」の「What is AWS Systems Manager?」を参照してください。

以下のサービスを使用して、オンプレミスネットワークを に接続することもできます AWS。

  • AWS Site-to-Site VPN。 詳細については、「 AWS Site-to-Site VPN ユーザーガイド」の「What is AWS Site-to-Site VPN?」を参照してください。

  • AWS Direct Connect。詳細については、「 AWS Direct Connect ユーザーガイド」の「What is AWS Direct Connect?」を参照してください。

PCS API AWS にアクセスして、サービスの管理タスクを実行します。ユーザーとユーザーは Slurm エンドポイントポートにアクセスして、スケジューラと直接やり取りします。

API トラフィックの暗号化

AWS PCS API にアクセスするには、クライアントが Transport Layer Security (TLS) 1.2 以降をサポートしている必要があります。TLS 1.2 が必須で、TLS 1.3 をお勧めします。クライアントは、Ephemeral Diffie-Hellman (DHE) や Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) などの Perfect Forward Secrecy (PFS) を備えた暗号スイートもサポートする必要があります。モードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。また、リクエストにはアクセスキー ID と、IAM プリンシパルに関連付けられているシークレットアクセスキーを使用して署名する必要があります。 AWS Security Token Service (AWS STS) を使用して一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

データトラフィックの暗号化

転送中のデータの暗号化は、スケジューラエンドポイントにアクセスするサポートされている EC2 インスタンスから、および 内から ComputeNodeGroup インスタンス間で有効になります AWS クラウド。詳細については、「転送中の暗号化」を参照してください。