本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用自定义 KMS 密钥对磁盘加密
Amazon ParallelCluster 支持配置选项 ebs_kms_key_id 和 fsx_kms_key_id。这些选项允许您为 Amazon EBS 磁盘加密或适用于 Lustre 的 FSx 提供自定义 Amazon KMS。要使用这些选项,请指定一个 ec2_iam_role。
为了创建集群,Amazon KMS 密钥需要知道集群的角色的名称。这可防止您使用在创建集群时创建的角色,而需要自定义的 ec2_iam_role。
先决条件
-
Amazon ParallelCluster已安装 正在安装 Amazon ParallelCluster。
-
您拥有 EC2 密钥对。
创建角色
首先,创建一个策略:
-
转到 IAM 控制台:https://console.aws.amazon.com/iam/home
。 -
在策略下的创建策略中,单击 JSON 选项卡。
-
作为策略的正文,粘贴实例策略。请务必替换
<Amazon ACCOUNT ID><REGION> -
将策略命名为
ParallelClusterInstancePolicy,然后单击创建策略。
接下来,创建角色:
-
在角色下,创建一个角色。
-
单击
EC2作为可信实体。 -
在权限下,搜索您刚创建的
ParallelClusterInstancePolicy角色并附加此角色。 -
将角色命名为
ParallelClusterInstanceRole,然后单击创建角色。
授予您的密钥权限
在 Amazon KMS 控制台 > 客户托管密钥中,单击密钥的别名或密钥 ID。
单击密钥策略选项卡下方密钥用户框中的添加按钮,然后搜索您刚创建的 ParallelClusterInstanceRole。附加此角色。
创建集群
现在创建集群。以下是具有加密的 Raid 0 驱动器的集群示例:
[cluster default] ... raid_settings = rs ec2_iam_role = ParallelClusterInstanceRole [raid rs] shared_dir = raid raid_type = 0 num_of_raid_volumes = 2 volume_size = 100 encrypted = true ebs_kms_key_id =xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
以下是适用于 Lustre 的 FSx 文件系统的示例:
[cluster default] ... fsx_settings = fs ec2_iam_role = ParallelClusterInstanceRole [fsx fs] shared_dir = /fsx storage_capacity = 3600 imported_file_chunk_size = 1024 export_path = s3://bucket/folder import_path = s3://bucket weekly_maintenance_start_time = 1:00:00 fsx_kms_key_id =xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
类似的配置适用于基于 Amazon EBS 和 Amazon FSx 的文件系统。