Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración del cifrado de almacenamiento compartido con una clave AWS KMS
Aprenda a configurar una clave AWS KMS administrada por el cliente para cifrar y proteger sus datos en los sistemas de almacenamiento de archivos en clúster configurados para AWS ParallelCluster.
Al utilizar la interfaz de línea de comandos (CLI) o API de AWS ParallelCluster, solo paga por los recursos de AWS que se crean al crear o actualizar imágenes y clústeres de AWS ParallelCluster. Para obtener más información, consulte Servicios de AWS utilizados por AWS ParallelCluster.
La interfaz de usuario de AWS ParallelCluster se basa en una arquitectura sin servidor y, en la mayoría de los casos, se puede utilizar en la categoría de nivel AWS gratuito. Para obtener más información, consulte Costes de la interfaz de usuario de AWS ParallelCluster.
AWS ParallelCluster admite las siguientes opciones de configuración de almacenamiento compartido:
Puede utilizar estas opciones para proporcionar una clave AWS KMS gestionada por el cliente para el cifrado del sistema de almacenamiento compartido Amazon EBS, Amazon EFS y FSx for Lustre. Para usarlos, debe crear y configurar una política de IAM para lo siguiente:
Requisitos previos
-
AWS ParallelCluster está instalado.
-
AWS CLI está instalado y configurado.
-
Tiene un par de claves EC2.
-
Tiene un rol de IAM con los permisos necesarios para ejecutar el CLI pcluster.
Cree la política de .
Cree una política.
-
Vaya a la consola de IAM: https://console.aws.amazon.com/iam/home
. -
Elija Policies (Políticas).
-
Elija Create Policy (Crear política).
-
Elija la pestaña JSON y pegue la siguiente política: Asegúrese de sustituir todas las apariciones de
123456789012{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ReEncrypt*", "kms:CreateGrant", "kms:Decrypt" ], "Resource": [ "arn:aws:kms:region-id:123456789012:key/abcd1234-ef56-gh78-ij90-abcd1234efgh5678" ] } ] } -
para este tutorial, escriba un nombre para la política
ParallelClusterKmsPolicyy elija Crear política. -
Tome nota de la política del ARN. La necesita para configurar el clúster.
Configuración y creación del clúster
El siguiente es un ejemplo de configuración de clúster que incluye un sistema de archivos compartidos de Amazon Elastic Block Store con cifrado.
Region:eu-west-1Image: Os: alinux2 HeadNode: InstanceType: t2.micro Networking: SubnetId: subnet-abcdef01234567890Ssh: KeyName:my-ssh-keyIam: AdditionalIamPolicies: - Policy: arn:aws:iam::123456789012:policy/ParallelClusterKmsPolicy Scheduling: Scheduler: slurm SlurmQueues: - Name:q1ComputeResources: - Name: t2micro InstanceType: t2.micro MinCount: 0 MaxCount: 10 Networking: SubnetIds: - subnet-abcdef01234567890Iam: AdditionalIamPolicies: - Policy: arn:aws:iam::123456789012:policy/ParallelClusterKmsPolicy SharedStorage: - MountDir: /shared/ebs1Name:shared-ebs1StorageType: Ebs EbsSettings: Encrypted: True KmsKeyId:abcd1234-ef56-gh78-ij90-abcd1234efgh5678
Sustituya los elementos en rojo por sus propios valores. A continuación, cree un clúster que utilice su clave AWS KMS para cifrar los datos en Amazon EBS.
La configuración es parecida al de los sistemas de archivos de Amazon FSx para Lustre.
La configuración SharedStorage de Amazon EFS es la siguiente.
... SharedStorage: - MountDir: /shared/efs1Name:shared-efs1StorageType: Efs EfsSettings: Encrypted: True KmsKeyId:abcd1234-ef56-gh78-ij90-abcd1234efgh5678
La configuración SharedStorage de FSx for Lustre es la siguiente.
... SharedStorage: - MountDir: /shared/fsx1Name:shared-fsx1StorageType: FsxLustre FsxLustreSettings: StorageCapacity:1200DeploymentType:PERSISTENT_1PerUnitStorageThroughput:200KmsKeyId:abcd1234-ef56-gh78-ij90-abcd1234efgh5678
