使用自定义 KMS 密钥对磁盘加密 - Amazon ParallelCluster
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用自定义 KMS 密钥对磁盘加密

Amazon ParallelCluster 支持配置选项 ebs_kms_key_idfsx_kms_key_id。这些选项允许您为 Amazon EBS 磁盘加密或适用于 Lustre 的 FSx 提供自定义 Amazon KMS。要使用这些选项,请指定一个 ec2_iam_role

为了创建集群,Amazon KMS 密钥需要知道集群的角色的名称。这可防止您使用在创建集群时创建的角色,而需要自定义的 ec2_iam_role

先决条件

创建角色

首先,创建一个策略:

  1. 转到 IAM 控制台:https://console.aws.amazon.com/iam/home

  2. 策略下的创建策略中,单击 JSON 选项卡。

  3. 作为策略的正文,粘贴实例策略。请务必替换 <Amazon ACCOUNT ID><REGION> 的所有匹配项。

  4. 将策略命名为 ParallelClusterInstancePolicy,然后单击创建策略

接下来,创建角色:

  1. 角色下,创建一个角色。

  2. 单击 EC2 作为可信实体。

  3. 权限下,搜索您刚创建的 ParallelClusterInstancePolicy 角色并附加此角色。

  4. 将角色命名为 ParallelClusterInstanceRole,然后单击创建角色

授予您的密钥权限

在 Amazon KMS 控制台 > 客户托管密钥中,单击密钥的别名密钥 ID

单击密钥策略选项卡下方密钥用户框中的添加按钮,然后搜索您刚创建的 ParallelClusterInstanceRole。附加此角色。

创建集群

现在创建集群。以下是具有加密的 Raid 0 驱动器的集群示例:

[cluster default] ... raid_settings = rs ec2_iam_role = ParallelClusterInstanceRole [raid rs] shared_dir = raid raid_type = 0 num_of_raid_volumes = 2 volume_size = 100 encrypted = true ebs_kms_key_id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

以下是适用于 Lustre 的 FSx 文件系统的示例:

[cluster default] ... fsx_settings = fs ec2_iam_role = ParallelClusterInstanceRole [fsx fs] shared_dir = /fsx storage_capacity = 3600 imported_file_chunk_size = 1024 export_path = s3://bucket/folder import_path = s3://bucket weekly_maintenance_start_time = 1:00:00 fsx_kms_key_id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

类似的配置适用于基于 Amazon EBS 和 Amazon FSx 的文件系统。