기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 공동 책임 모델
데이터 보호를 위해 자격 증명을 보호하고 AWS 계정 AWS IAM Identity Center 또는 AWS Identity and Access Management (IAM)를 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
-
각 계정에 다중 인증(MFA)을 사용하세요.
-
SSL/TLS를 사용하여 AWS 리소스와 통신합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
-
를 사용하여 API 및 사용자 활동 로깅을 설정합니다 AWS CloudTrail. CloudTrail 추적을 사용하여 AWS 활동을 캡처하는 방법에 대한 자세한 내용은 AWS CloudTrail 사용 설명서의 CloudTrail 추적 작업을 참조하세요.
-
AWS 암호화 솔루션과 내부의 모든 기본 보안 제어를 사용합니다 AWS 서비스.
-
Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용하세요.
-
명령줄 인터페이스 또는 API를 AWS 통해에 액세스할 때 FIPS 140-3 검증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 Federal Information Processing Standard(FIPS) 140-3
을 참조하세요.
고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 이름 필드와 같은 자유 형식 텍스트 필드에 입력하지 않는 것이 좋습니다. 여기에는 콘솔, API 또는 AWS SDKs를 사용하여 AWS PCS AWS CLI또는 기타 AWS 서비스 로 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 보안 인증 정보를 URL에 포함시켜서는 안 됩니다.
저장된 데이터 암호화
암호화는,AWS ,PCS API 또는 AWS SDKs를 사용하여 AWS 병렬 컴퓨팅 서비스( AWS Management Console AWS CLI AWS PCS) 클러스터를 생성할 때 기본적으로 저장 데이터에 대해 활성화됩니다. AWS PCS는 AWS 소유 KMS 키를 사용하여 저장 데이터를 암호화합니다. 자세한 내용은 AWS KMS 개발자 안내서의 고객 키 및 AWS 키를 참조하세요. 고객 관리형 키를 사용할 수도 있습니다. 자세한 내용은 AWS PCS에서 암호화된 EBS 볼륨과 함께 사용하는 데 필요한 KMS 키 정책 단원을 참조하십시오.
클러스터 보안 암호는에 저장 AWS Secrets Manager 되고 Secrets Manager 관리형 KMS 키로 암호화됩니다. 자세한 내용은 AWS PCS에서 클러스터 보안 암호 작업 단원을 참조하십시오.
AWS PCS 클러스터에서 다음 데이터는 유휴 상태입니다.
-
스케줄러 상태 - 클러스터에서 실행 중인 작업 및 프로비저닝된 노드에 대한 데이터가 포함됩니다. 이는 Slurm이에
StateSaveLocation정의된에 유지하는 데이터입니다slurm.conf. 자세한 내용은 Slurm 설명서의 StateSaveLocation에 대한 설명을 참조하세요. AWS PCS는 작업이 완료된 후 작업 데이터를 삭제합니다. -
스케줄러 인증 보안 암호 - AWS PCS는 이를 사용하여 클러스터의 모든 스케줄러 통신을 인증합니다.
스케줄러 상태 정보의 경우 AWS PCS는 데이터 및 메타데이터를 파일 시스템에 쓰기 전에 자동으로 암호화합니다. 암호화된 파일 시스템은 저장 데이터에 업계 표준 AES-256 암호화 알고리즘을 사용합니다.
전송 중 암호화
AWS PCS API에 대한 연결은 AWS Command Line Interface (AWS CLI) 또는 AWS SDKs. 자세한 내용은 AWS Identity and Access Management 사용 설명서의 AWS API 요청 서명을 참조하세요. 연결하는 데 사용하는 보안 자격 증명에 대한 IAM 정책을 사용하여 API를 통한 액세스 제어를 AWS 관리합니다.
AWS PCS는 TLS를 사용하여 다른 AWS 서비스에 연결합니다.
Slurm 클러스터 내에서 스케줄러는 모든 스케줄러 통신에 대한 auth/slurm 인증을 제공하는 인증 플러그인으로 구성됩니다. Slurm은 통신을 위해 애플리케이션 수준에서 암호화를 제공하지 않습니다. 클러스터 인스턴스를 통해 흐르는 모든 데이터는 EC2 VPC에 로컬로 유지되므로 해당 인스턴스가 전송 중 암호화를 지원하는 경우 VPC 암호화가 적용됩니다. 자세한 내용은 Amazon Elastic Compute Cloud 사용 설명서의 전송 중 암호화를 참조하세요. 통신은 계정의 클러스터 노드에 있는 컨트롤러(서비스 계정에 프로비저닝됨) 간에 암호화됩니다.
키 관리
AWS PCS는 AWS 소유 KMS 키를 사용하여 데이터를 암호화합니다. 자세한 내용은 AWS KMS 개발자 안내서의 고객 키 및 AWS 키를 참조하세요. 고객 관리형 키를 사용할 수도 있습니다. 자세한 내용은 AWS PCS에서 암호화된 EBS 볼륨과 함께 사용하는 데 필요한 KMS 키 정책 단원을 참조하십시오.
클러스터 보안 암호는에 저장 AWS Secrets Manager 되고 Secrets Manager 관리형 KMS 키로 암호화됩니다. 자세한 내용은 AWS PCS에서 클러스터 보안 암호 작업 단원을 참조하십시오.
인터네트워크 트래픽 개인 정보 보호
AWS 클러스터의 PCS 컴퓨팅 리소스는 고객 계정의 VPC 1개 내에 있습니다. 따라서 클러스터 내의 모든 내부 AWS PCS 서비스 트래픽은 AWS 네트워크 내에 유지되며 인터넷을 통해 이동하지 않습니다. 사용자 노드와 AWS PCS 노드 간의 통신은 인터넷을 통해 이동할 수 있으므로 SSH 또는 Systems Manager를 사용하여 노드에 연결하는 것이 좋습니다. 자세한 내용은 AWS Systems Manager 사용 설명서의 란 무엇입니까 AWS Systems Manager?를 참조하세요.
다음 상품을 사용하여 온프레미스 네트워크를에 연결할 수도 있습니다 AWS.
-
AWS Site-to-Site VPN. 자세한 내용은 AWS Site-to-Site VPN 사용 설명서의 What is AWS Site-to-Site VPN?를 참조하세요.
-
AWS Direct Connect. 자세한 내용은 AWS Direct Connect 사용 설명서의 What is AWS Direct Connect?를 참조하세요.
AWS PCS API에 액세스하여 서비스에 대한 관리 작업을 수행합니다. 사용자와 사용자는 Slurm 엔드포인트 포트에 액세스하여 스케줄러와 직접 상호 작용합니다.
API 트래픽 암호화
AWS PCS API에 액세스하려면 클라이언트가 전송 계층 보안(TLS) 1.2 이상을 지원해야 합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다. 클라이언트는 DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Diffie-Hellman Ephemeral)와 같은 PFS(전달 완전 보안)가 포함된 암호 제품군도 지원해야 합니다. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다. 또한 요청은 액세스 키 ID 및 IAM 위탁자와 관련된 보안 암호 액세스 키를 사용하여 서명해야 합니다. AWS Security Token Service (AWS STS)를 사용하여 요청에 서명하기 위한 임시 보안 자격 증명을 생성할 수도 있습니다.
데이터 트래픽 암호화
전송 중 데이터 암호화는 스케줄러 엔드포인트에 액세스하는 지원되는 EC2 인스턴스에서 활성화되고 내에서 ComputeNodeGroup 인스턴스 간에 활성화됩니다 AWS 클라우드. 자세한 내용은 전송 중 암호화 단원을 참조하십시오.
