本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 并行计算服务的安全最佳实践
<a name="security-best-practices"></a>

本节介绍特定于 AWS 并行计算服务 (AWS PCS) 的安全最佳实践。要详细了解中的安全最佳实践 AWS，[请参阅安全、身份和合规性最佳实](https://aws.amazon.com/architecture/security-identity-compliance)践。

## AMI-related 安全
<a name="security-best-practices_ami"></a>
+ 不要将 AWS PCS 示例 AMI 用于生产工作负载。不支持示例 AMI，仅用于测试。
+ 定期更新计算节点组的 AMI 中的操作系统和软件，以缓解漏洞。
+ 仅使用从官方 AWS 来源下载的经过身份验证的官方 AWS PCS 软件包。
+ 定期更新 AMI 中计算节点组的 AWS PCS 包，并更新计算节点以使用更新后的 AMI。考虑将此过程自动化，以最大限度地减少漏洞。

有关更多信息，请参阅 [适用于 AWS PCS 的自定义 Amazon 机器映像 (AMIs)](working-with_ami_custom.md)。

## Slurm 工作负载管理器安全
<a name="security-best-practices_slurm"></a>
+ 实施访问控制和网络限制以保护 Slurm 控制和计算节点。仅允许可信用户和系统提交作业和访问 Slurm 管理命令。
+ 使用 Slurm 的内置安全功能（例如 Slurm 身份验证）来确保提交的工作和通信经过身份验证。
+ 更新 Slurm 版本以保持流畅的操作和集群支持。
**重要**  
任何使用已达到*支持寿命 (EOSL) 的 Slurm 版本的集群都将立即停止*。使用用户指南页面顶部的链接订阅 AWS PCS 文档 RSS 提要，以便在 Slurm 版本接近 EOSL 时收到通知。

  有关更多信息，请参阅 [PCS 中的 Slurm 版本 AWS](slurm-versions.md)。
+ 定期轮换集群密钥，以维护安全合规性并修复潜在的安全漏洞。这是 HIPAA 和 FedRAMP 合规所必需的。

  有关更多信息，请参阅 [在 AWS PCS 中轮换集群密钥](cluster-secret-rotation.md)。

## 监控和日志记录
<a name="security-best-practices_monitoring"></a>
+ 使用 Amazon CloudWatch Logs and AWS CloudTrail 来监控和记录集群中的操作，以及 AWS 账户。使用这些数据进行故障排除和审计。

## 网络安全
<a name="security-best-practices_network"></a>
+ 将 AWS PCS 集群部署在单独的 VPC 中，将您的 HPC 环境与其他网络流量隔离开来。
+ 使用安全组和网络访问控制列表 (ACL) 来控制 AWS PCS 实例和子网的入站和出站流量。
+ 使用 AWS PrivateLink 我们的 VPC 终端节点将网络流量保持在您的集群和 AWS 网络内的其他 AWS 服务之间。有关更多信息，请参阅 [AWS 并行计算服务 使用接口端点进行访问 (AWS PrivateLink)](vpc-interface-endpoints.md)。