本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用自訂 KMS 金鑰進行磁碟加密
AWS ParallelCluster
支援組態選項 ebs_kms_key_id 和 fsx_kms_key_id。這些選項可讓您為 Amazon EBS 磁碟加密或 FSx for Lustre 提供自訂 AWS KMS 金鑰。若要使用它們,請指定 ec2_iam_role。
為了建立叢集, AWS KMS 金鑰必須知道叢集角色的名稱。這會防止您使用建立叢集時所建立的角色,因此需要自訂 ec2_iam_role。
建立 角色
首先建立政策:
-
前往 IAM 主控台:https://https://console.aws.amazon.com/iam/home
。 -
在 Policies (政策) > Create policy (建立政策) 下,按一下 JSON 標籤。
-
做為政策的內文,貼入 執行個體政策中。務必取代所有出現的
<AWS ACCOUNT ID><REGION> -
將政策命名為
ParallelClusterInstancePolicy,然後按一下 Create Policy (建立政策)。
接著,建立角色:
-
在 Roles (角色) 下,建立角色。
-
按一下
EC2做為信任的實體。 -
在 Permissions (許可) 下,搜尋您剛建立的
ParallelClusterInstancePolicy角色並連接它。 -
將角色命名為
ParallelClusterInstanceRole,然後按一下 Create Role (建立角色)。
授予您的金鑰許可
在 AWS KMS 主控台 > 客戶受管金鑰 > 按一下金鑰的別名或金鑰 ID。
按一下金鑰政策索引標籤下方金鑰使用者方塊中的新增按鈕,並搜尋您剛建立的 ParallelClusterInstanceRole。 連接它。
建立叢集
現在建立叢集。以下是叢集的範例,其中具有加密的 Raid 0 磁碟機:
[cluster default] ... raid_settings = rs ec2_iam_role = ParallelClusterInstanceRole [raid rs] shared_dir = raid raid_type = 0 num_of_raid_volumes = 2 volume_size = 100 encrypted = true ebs_kms_key_id =xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
以下是 FSx for Lustre 檔案系統的範例:
[cluster default] ... fsx_settings = fs ec2_iam_role = ParallelClusterInstanceRole [fsx fs] shared_dir = /fsx storage_capacity = 3600 imported_file_chunk_size = 1024 export_path = s3://bucket/folder import_path = s3://bucket weekly_maintenance_start_time = 1:00:00 fsx_kms_key_id =xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
類似的組態適用於 Amazon EBS 和 Amazon FSx 型檔案系統。
