翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Parallel Computing Service でのデータ保護

責任 AWS 共有モデル、 AWS Parallel Computing Service でのデータ保護に適用されます。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、「データプライバシーFAQ」を参照してください。欧州におけるデータ保護の詳細については、 AWS セキュリティブログのAWS 「 責任共有モデル」とGDPRブログ記事を参照してください。

データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM Identity Center または AWS Identity and Access Management () を使用して個々のユーザーを設定することをお勧めしますIAM。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:

お客様の E メールアドレスなどの極秘または機密情報を、タグ、または [名前] フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール、 AWS PCS、または を使用して または他の AWS のサービス を操作する場合も同様ですAPI AWS CLI AWS SDKs。タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。URL を外部サーバーに提供する場合は、そのサーバーへのリクエストを検証URLするために認証情報を に含めないことを強くお勧めします。

保管中の暗号化

AWS Management Console、、APIまたは を使用して AWS Parallel Computing Service (AWS PCS) クラスターを作成すると AWS CLI、 AWS PCS保管中のデータの暗号化がデフォルトで有効になります AWS SDKs。 AWS PCSは AWS 所有KMSキーを使用して保管中のデータを暗号化します。詳細については、「 AWS KMS デベロッパーガイド」の「カスタマーキーと AWS キー」を参照してください。カスタマーマネージドキーを使用することもできます。詳細については、「の暗号化されたEBSボリュームで使用するために必要なKMSキーポリシー AWS PCS」を参照してください。

クラスターシークレットは に保存 AWS Secrets Manager され、Secrets Manager マネージドKMSキーで暗号化されます。詳細については、「でのクラスターシークレットの使用 AWS PCS」を参照してください。

クラスターでは AWS PCS、次のデータは保管中です。

スケジューラの状態情報については、 AWS PCS はデータとメタデータをファイルシステムに書き込む前に自動的に暗号化します。暗号化されたファイルシステムは、保管中のデータに業界標準の AES-256 暗号化アルゴリズムを使用します。

転送中の暗号化

への接続APIでは、 AWS PCS AWS Command Line Interface （AWS CLI) と のどちらを使用するかにかかわらず、署名バージョン 4 の署名プロセスでTLS暗号化が使用されます AWS SDKs。詳細については、AWS API「 ユーザーガイド」の「リクエストの署名」を参照してください。 は、接続に使用するセキュリティ認証情報のIAMポリシーAPIを使用して、 を通じてアクセスコントロール AWS を管理します。 AWS Identity and Access Management

AWS PCS は TLS を使用して他の AWS サービスに接続します。

Slurm クラスター内では、スケジューラはすべてのスケジューラ通信にauth/slurm認証を提供する認証プラグインを使用して設定されます。Slurm は通信のためにアプリケーションレベルで暗号化を提供しません。クラスターインスタンス間で流れるすべてのデータは にローカルなままであるためEC2VPC、それらのインスタンスが転送中のVPC暗号化をサポートしている場合は暗号化の対象となります。詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」の「転送中の暗号化」を参照してください。通信は、アカウントのクラスターノード (サービスアカウントでプロビジョニングされる) コントローラー間で暗号化されます。

キー管理

AWS PCS は、 AWS 所有KMSキーを使用してデータを暗号化します。詳細については、「 AWS KMS デベロッパーガイド」の「カスタマーキーと AWS キー」を参照してください。カスタマーマネージドキーを使用することもできます。詳細については、「の暗号化されたEBSボリュームで使用するために必要なKMSキーポリシー AWS PCS」を参照してください。

クラスターシークレットは に保存 AWS Secrets Manager され、Secrets Manager マネージドKMSキーで暗号化されます。詳細については、「でのクラスターシークレットの使用 AWS PCS」を参照してください。

ネットワーク間トラフィックのプライバシー

AWS PCS クラスターの コンピューティングリソースは、お客様のアカウントVPCの 1 内にあります。したがって、クラスター内のすべての内部 AWS PCSサービストラフィックは AWS ネットワーク内にとどまり、インターネットを経由しません。ユーザーと AWS PCSノード間の通信はインターネットを経由できるため、 SSHまたは Systems Manager を使用してノードに接続することをお勧めします。詳細については、「 AWS Systems Manager ユーザーガイド」の「 AWS Systems Managerとは」を参照してください。

以下のサービスを使用して、オンプレミスネットワークを に接続することもできます AWS。

にアクセスしてAPI、 AWS PCSサービスの管理タスクを実行します。ユーザーとユーザーは Slurm エンドポイントポートにアクセスして、スケジューラと直接やり取りします。

API トラフィックの暗号化

にアクセスするには AWS PCSAPI、クライアントが Transport Layer Security (TLS) 1.2 以降をサポートしている必要があります。1TLS.2 が必要で、1.3 TLS をお勧めします。クライアントは、エフェメラル Diffie-Hellman (PFS) や楕円曲線 Diffie-Hellman Ephemeral () など、Perfect Forward Secrecy (DHE) を使用する暗号スイートもサポートする必要がありますECDHE。これらのモードは、Java 7 以降など、ほとんどの最新システムでサポートされています。また、リクエストは、アクセスキー ID と、IAM プリンシパルに関連付けられているシークレットのアクセスキーを使用して署名する必要があります。 AWS Security Token Service （AWS STS) を使用して一時的なセキュリティ認証情報を生成し、リクエストに署名することもできます。

データトラフィックの暗号化

転送中のデータの暗号化は、スケジューラエンドポイントにアクセスするサポートされているEC2インスタンスから、および 内から ComputeNodeGroup インスタンス間で有効になります AWS クラウド。詳細については、「転送中の暗号化」を参照してください。