本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用自定义 KMS 密钥对磁盘加密
AWS ParallelCluster 支持配置选项 `ebs_kms_key_id` 和 `fsx_kms_key_id`。这些选项允许您为 Amazon EBS 磁盘加密或 FSx Lustre 提供自定义密 AWS KMS 钥。要使用这些选项,请指定一个 `ec2_iam_role`。
要创建集群, AWS KMS 密钥必须知道集群角色的名称。这可防止您使用在创建集群时创建的角色,而需要自定义的 `ec2_iam_role`。
**先决条件**
+ AWS ParallelCluster [已安装](install.md)。
+ AWS CLI [已安装并配置。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
+ 你有一个 [EC2 key pair](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html)。
+ 您拥有具有运行 [`pcluster`](pcluster.md) CLI 所需的[权限](iam.md#example-parallelcluser-policies)的 IAM 角色。
## 创建角色
首先,创建一个策略:
1. 前往 IAM 控制台:[https://console.aws.amazon.com/iam/主页](https://console.aws.amazon.com/iam/home)。
1. 在**策略**下的**创建策略**中,单击 **JSON** 选项卡。
1. 作为策略的正文,粘贴[实例策略](iam.md)。请务必替换 `` 和 `` 的所有匹配项。
1. 将策略命名为 `ParallelClusterInstancePolicy`,然后单击**创建策略**。
接下来,创建角色:
1. 在**角色**下,创建一个角色。
1. 单击 `EC2` 作为可信实体。
1. 在**权限**下,搜索您刚创建的 `ParallelClusterInstancePolicy` 角色并附加此角色。
1. 将角色命名为 `ParallelClusterInstanceRole`,然后单击**创建角色**。
## 授予您的密钥权限
在 AWS KMS 控制台 > **客户托管密钥** > 中,单击密钥的**别名**或**密钥 ID**。
单击 “密钥**策略” 选项卡下方的 “密钥****用户**” 框中的 “**添加**” 按钮,然后搜索*ParallelClusterInstanceRole*您刚刚创建的。附加此角色。
## 创建 集群
现在创建集群。以下是具有加密的 `Raid 0` 驱动器的集群示例:
```
[cluster default]
...
raid_settings = rs
ec2_iam_role = ParallelClusterInstanceRole
[raid rs]
shared_dir = raid
raid_type = 0
num_of_raid_volumes = 2
volume_size = 100
encrypted = true
ebs_kms_key_id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
```
以下是 Lustre 文件系统的示例: FSx
```
[cluster default]
...
fsx_settings = fs
ec2_iam_role = ParallelClusterInstanceRole
[fsx fs]
shared_dir = /fsx
storage_capacity = 3600
imported_file_chunk_size = 1024
export_path = s3://bucket/folder
import_path = s3://bucket
weekly_maintenance_start_time = 1:00:00
fsx_kms_key_id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
```
类似的配置也适用于 FSx 基于 Amazon EBS 和亚马逊的文件系统。