使用 Amazon KMS 密钥配置共享存储加密

了解如何设置客户托管 Amazon KMS 密钥以加密和保护为 Amazon ParallelCluster 配置的集群文件存储系统中的数据。

使用 Amazon ParallelCluster 命令行界面 (CLI) 或 API 时，您只需为创建或更新 Amazon ParallelCluster 映像和集群时创建的 Amazon 资源付费。有关更多信息，请参阅 Amazon ParallelCluster 使用的 Amazon 服务。

Amazon ParallelCluster UI 基于无服务器的架构而构建，在大多数情况下，可以在 Amazon Free Tier 类别中使用。有关更多信息，请参阅 Amazon ParallelCluster UI 成本。

Amazon ParallelCluster 支持以下共享存储配置选项：

SharedStorage / EbsSettings / KmsKeyId
SharedStorage / EfsSettings / KmsKeyId
SharedStorage / FsxLustreSettings / KmsKeyId

您可以使用这些选项为 Amazon EBS、Amazon EFS 和适用于 Lustre 的 FSx 共享存储系统加密提供客户托管 Amazon KMS 密钥。要使用这些选项，您必须为以下各项创建并配置 IAM 策略：

HeadNode / Iam / AdditionalIamPolicies / Policy
Scheduler / SlurmQueues / Iam / AdditionalIamPolicies / Policy

先决条件

Amazon ParallelCluster已安装安装 Amazon ParallelCluster 命令行界面 (CLI)。
已安装并配置 Amazon CLI。
您拥有 EC2 密钥对。
您拥有具有运行 pcluster CLI 所需的权限的 IAM 角色。

创建策略

创建策略。

转到 IAM 控制台：https://console.aws.amazon.com/iam/home。
选择策略。
选择创建策略。

选择 JSON 选项卡，然后粘贴以下策略。确保将出现的所有 123456789012 替换为您的 Amazon Web Services 账户 ID，并将密钥 Amazon 资源名称 (ARN) 以及 Amazon Web Services 区域替换为您自己的值。



{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ReEncrypt*",
                "kms:CreateGrant",
                "kms:Decrypt"
            ],
            "Resource": [
                "arn:aws:kms:region-id:123456789012:key/abcd1234-ef56-gh78-ij90-abcd1234efgh5678"
            ]
        }
    ]
}

对于本教程，将策略命名为 ParallelClusterKmsPolicy，然后选择创建策略。
记下策略 ARN。您需要用它来配置您的集群。

配置和创建集群

下面是一个示例集群配置，其中包括带加密功能的 Amazon Elastic Block Store 共享文件系统。



Region: eu-west-1
Image:
  Os: alinux2
HeadNode:
  InstanceType: t2.micro
  Networking:
    SubnetId: subnet-abcdef01234567890
  Ssh:
    KeyName: my-ssh-key
  Iam:
    AdditionalIamPolicies:
      - Policy: arn:aws:iam::123456789012:policy/ParallelClusterKmsPolicy
Scheduling:
  Scheduler: slurm
  SlurmQueues:
    - Name: q1
      ComputeResources:
        - Name: t2micro
          InstanceType: t2.micro
          MinCount: 0
          MaxCount: 10
      Networking:
        SubnetIds:
          - subnet-abcdef01234567890
      Iam:
        AdditionalIamPolicies:
          - Policy: arn:aws:iam::123456789012:policy/ParallelClusterKmsPolicy
SharedStorage:
  - MountDir: /shared/ebs1
    Name: shared-ebs1
    StorageType: Ebs
    EbsSettings:
      Encrypted: True
      KmsKeyId: abcd1234-ef56-gh78-ij90-abcd1234efgh5678

将红色文本项目替换为您自己的值。然后，创建一个使用您的 Amazon KMS 密钥对 Amazon EBS 中的数据进行加密的集群。

Amazon EFS 和适用于 Lustre 的 FSx 文件系统的配置与此类似。

Amazon EFS SharedStorage 配置如下。


...
SharedStorage:
  - MountDir: /shared/efs1
    Name: shared-efs1
    StorageType: Efs
    EfsSettings:
      Encrypted: True
      KmsKeyId: abcd1234-ef56-gh78-ij90-abcd1234efgh5678

适用于 Lustre 的 FSx SharedStorage 配置如下。


...
SharedStorage:
  - MountDir: /shared/fsx1
    Name: shared-fsx1
    StorageType: FsxLustre
    FsxLustreSettings:
      StorageCapacity: 1200
      DeploymentType: PERSISTENT_1
      PerUnitStorageThroughput: 200
      KmsKeyId: abcd1234-ef56-gh78-ij90-abcd1234efgh5678

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

集成 Active Directory

在多队列模式集群中运行作业