本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用自定义 KMS 密钥对磁盘加密
Amazon ParallelCluster
支持配置选项 ebs_kms_key_id 和 fsx_kms_key_id。这些选项允许您为 Amazon EBS 磁盘加密或 FSx Lustre 提供自定义密 Amazon KMS 钥。要使用这些选项,请指定一个 ec2_iam_role。
要创建集群, Amazon KMS 密钥必须知道集群角色的名称。这可防止您使用在创建集群时创建的角色,而需要自定义的 ec2_iam_role。
先决条件
-
Amazon ParallelCluster 已安装。
-
Amazon CLI 已安装并配置。
-
你有一个 EC2 key pair。
创建角色
首先,创建一个策略:
-
前往 IAM 控制台:https://console.aws.amazon.com/iam/主页
。 -
在策略下的创建策略中,单击 JSON 选项卡。
-
作为策略的正文,粘贴实例策略。请务必替换
<Amazon ACCOUNT ID><REGION> -
将策略命名为
ParallelClusterInstancePolicy,然后单击创建策略。
接下来,创建角色:
-
在角色下,创建一个角色。
-
单击
EC2作为可信实体。 -
在权限下,搜索您刚创建的
ParallelClusterInstancePolicy角色并附加此角色。 -
将角色命名为
ParallelClusterInstanceRole,然后单击创建角色。
授予您的密钥权限
在 Amazon KMS 控制台 > 客户托管密钥 > 中,单击密钥的别名或密钥 ID。
单击 “密钥策略” 选项卡下方的 “密钥用户” 框中的 “添加” 按钮,然后搜索ParallelClusterInstanceRole您刚刚创建的。附加此角色。
创建 集群
现在创建集群。以下是具有加密的 Raid 0 驱动器的集群示例:
[cluster default] ... raid_settings = rs ec2_iam_role = ParallelClusterInstanceRole [raid rs] shared_dir = raid raid_type = 0 num_of_raid_volumes = 2 volume_size = 100 encrypted = true ebs_kms_key_id =xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
以下是 Lustre 文件系统的示例: FSx
[cluster default] ... fsx_settings = fs ec2_iam_role = ParallelClusterInstanceRole [fsx fs] shared_dir = /fsx storage_capacity = 3600 imported_file_chunk_size = 1024 export_path = s3://bucket/folder import_path = s3://bucket weekly_maintenance_start_time = 1:00:00 fsx_kms_key_id =xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
类似的配置也适用于 FSx 基于 Amazon EBS 和亚马逊的文件系统。