本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的数据保护Amazon ParallelCluster
Amazon责任共担模式
出于数据保护目的,我们建议您保护 Amazon Web Services 账户 凭证并使用 Amazon Identity and Access Management (IAM) 设置单独的用户账户。这仅向每个用户授予履行其工作职责所需的权限。我们还建议您通过以下方式保护您的数据:
-
对每个账户使用 Multi-Factor Authentication (MFA)。
-
使用 SSL/TLS 与 Amazon 资源进行通信。建议使用 TLS 1.2 或更高版本。
-
使用 Amazon CloudTrail 设置 API 和用户活动日志记录。
-
使用 Amazon 加密解决方案以及 Amazon 服务中的所有默认安全控制。
-
使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Simple Storage Service(Amazon S3)中的个人数据。
-
如果在通过命令行界面或 API 访问 Amazon 时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准 (FIPS) 第 140-2 版》
。
我们强烈建议您切勿将机密信息或敏感信息(例如您客户的电子邮件地址)放入标签或自由格式字段(例如名称字段)。这包括使用控制台、API、Amazon ParallelCluster 或 Amazon SDK 处理 Amazon CLI 或其它 Amazon 服务时。您在用于名称的标签或自由格式字段中输入的任何数据都可能会用于计费或诊断日志。如果向外部服务器提供 URL,强烈建议您不要在 URL 中包含凭证信息来验证您对该服务器的请求。
数据加密
所有安全服务均具有一项重要功能,即信息在未处于活动使用状态时都会加密。
静态加密
Amazon ParallelCluster除了与Amazon代表用户提供服务。
对于群集中节点上的数据,数据可以进行静态加密。
对于 Amazon EBS 卷,加密使用EbsSettings/Encrypted和EbsSettings/KmsKeyId中的设置EbsSettings部分 (encrypted和ebs_kms_key_id中的设置[ebs]部分为了Amazon ParallelCluster版本 2.x。) 有关更多信息,请参阅 。Amazon EBS 加密在适用于 Linux 实例的 Amazon EC2 用户指南中。
对于 Amazon EFS 卷,加密使用EfsSettings/Encrypted和EfsSettings/KmsKeyId中的设置EfsSettings(encrypted和efs_kms_key_id中的设置[efs]部分在Amazon ParallelCluster版本 2.x)。有关更多信息,请参阅 。静态加密的工作原理中的Amazon Elastic File System 用户指南。
对于 Lustre 文件系统的 FSx,在创建 Amazon FSx 文件系统时自动启用静态数据加密。有关更多信息,请参阅 。加密静态数据中的Amazon FSx for Lustre 用户指南.
对于具有 NVMe 卷的实例类型,NVMe 实例存储卷上的数据是使用在实例上的硬件模块中实施的 XTS-AES-256 密码加密的。加密密钥是使用硬件模块生成的,并且对每台 NVMe 实例存储设备都是唯一的。当实例停止或终止并且无法恢复时,将销毁所有加密密钥。无法禁用此加密,并且无法提供自己的加密密钥。有关更多信息,请参阅 。静态加密中的适用于 Linux 实例的 Amazon EC2 用户指南.
如果您使用Amazon ParallelCluster调用Amazon服务,此服务将客户数据传输到本地计算机进行存储,则请参阅该服务的《用户指南》中的 “安全性与合规性” 章节,了解如何存储、保护和加密数据的相关信息。
传输中加密
默认情况下,从客户端计算机上传输的所有数据Amazon ParallelCluster和Amazon服务终端节点通过使用 HTTPS/TLS 连接发送所有内容来加密。群集中节点之间的流量可以自动加密,具体取决于所选的实例类型。有关更多信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的传输中加密。