使用自定义 KMS 密钥进行磁盘加密

AWS ParallelCluster 支持配置选项 ebs_kms_key_id 和 fsx_kms_key_id。这些选项允许您为 Amazon EBS 磁盘加密或 FsX for Lustre 提供自定义密AWS KMS钥。要使用这些选项，请指定一个 ec2_iam_role。

为了创建集群，AWS KMS 密钥需要知道集群的角色的名称。这可防止您使用在创建集群时创建的角色，而需要自定义的 ec2_iam_role。

先决条件

• AWS ParallelCluster已安装。

• AWS CLI已安装并配置。

• 您有一个 EC2 key pair。

• 您拥有一个 IAM 角色，拥有运行pcluster CLI 所需的权限。

创建 角色

首先，创建一个策略：

1. 前往 IAM 控制台：https://console.aws.amazon.com/iam/home。

2. 在策略下的创建策略中，单击 JSON 选项卡。

3. 作为策略的正文，粘贴实例策略。请务必替换 <AWS ACCOUNT ID> 和 <REGION> 的所有匹配项。

4. 将策略命名为 ParallelClusterInstancePolicy，然后单击创建策略。

接下来，创建角色：

1. 在角色下，创建一个角色。

2. 单击 EC2 作为可信实体。

3. 在权限下，搜索您刚创建的 ParallelClusterInstancePolicy 角色并附加此角色。

4. 将角色命名为 ParallelClusterInstanceRole，然后单击创建角色。

授予您的密钥权限

在AWS KMS控制台 > 客户管理的密钥中，单击密钥的别名或密钥 ID。

单击 “密钥用户” 框中的 “密钥策略” 选项卡下的 “添加” 按钮，然后搜索ParallelClusterInstanceRole您刚刚创建的。附加此角色。

创建集群

现在创建集群。以下是具有加密的 Raid 0 驱动器的集群示例：

[cluster default]
...
raid_settings = rs
ec2_iam_role = ParallelClusterInstanceRole

[raid rs]
shared_dir = raid
raid_type = 0
num_of_raid_volumes = 2
volume_size = 100
encrypted = true
ebs_kms_key_id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

以下是FSx for Lustre 文件系统的示例：

[cluster default]
...
fsx_settings = fs
ec2_iam_role = ParallelClusterInstanceRole

[fsx fs]
shared_dir = /fsx
storage_capacity = 3600
imported_file_chunk_size = 1024
export_path = s3://bucket/folder
import_path = s3://bucket
weekly_maintenance_start_time = 1:00:00
fsx_kms_key_id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

类似的配置适用于基于亚马逊 EBS 和亚马逊 FSx 的文件系统。