本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用自訂 KMS 金鑰進行磁碟加密
<a name="tutorials_04_encrypted_kms_fs"></a>

AWS ParallelCluster 支援組態選項 `ebs_kms_key_id` 和 `fsx_kms_key_id`。這些選項可讓您為 Amazon EBS 磁碟加密或 FSx for Lustre 提供自訂 AWS KMS 金鑰。若要使用它們，請指定 `ec2_iam_role`。

為了建立叢集， AWS KMS 金鑰必須知道叢集角色的名稱。這會防止您使用建立叢集時所建立的角色，因此需要自訂 `ec2_iam_role`。

**先決條件**
+ AWS ParallelCluster [已安裝](install.md) 。
+  AWS CLI [已安裝並設定 。](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)
+ 您有 [EC2 金鑰對](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html)。
+ 您有一個 IAM 角色，具有執行 CLI [`pcluster`](pcluster.md) 所需的[許可](iam.md#example-parallelcluser-policies)。

## 建立 角色
<a name="creating-the-role"></a>

首先建立政策：

1. 前往 IAM 主控台：https：//[https://console.aws.amazon.com/iam/home](https://console.aws.amazon.com/iam/home)。

1. 在 **Policies (政策)** > **Create policy (建立政策)** 下，按一下 **JSON** 標籤。

1. 做為政策的內文，貼入 [執行個體政策](iam.md)中。務必取代所有出現的 `<AWS ACCOUNT ID>` 和 `<REGION>`。

1. 將政策命名為 `ParallelClusterInstancePolicy`，然後按一下 **Create Policy (建立政策)**。

接著，建立角色：

1. 在 **Roles (角色)** 下，建立角色。

1. 按一下 `EC2` 做為信任的實體。

1. 在 **Permissions (許可)** 下，搜尋您剛建立的 `ParallelClusterInstancePolicy` 角色並連接它。

1. 將角色命名為 `ParallelClusterInstanceRole`，然後按一下 **Create Role (建立角色)**。

## 授予您的金鑰許可
<a name="give-your-key-permissions"></a>

在 AWS KMS 主控台 > **客戶受管金鑰** > 按一下金鑰的**別名**或**金鑰 ID**。

按一下**金鑰政策索引標籤下方金鑰使用者**方塊中的**新增**按鈕，並搜尋您剛建立的 *ParallelClusterInstanceRole*。 ****連接它。

## 建立叢集
<a name="creating-the-cluster"></a>

現在建立叢集。以下是叢集的範例，其中具有加密的 `Raid 0` 磁碟機：

```
[cluster default]
...
raid_settings = rs
ec2_iam_role = ParallelClusterInstanceRole

[raid rs]
shared_dir = raid
raid_type = 0
num_of_raid_volumes = 2
volume_size = 100
encrypted = true
ebs_kms_key_id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
```

以下是 FSx for Lustre 檔案系統的範例：

```
[cluster default]
...
fsx_settings = fs
ec2_iam_role = ParallelClusterInstanceRole

[fsx fs]
shared_dir = /fsx
storage_capacity = 3600
imported_file_chunk_size = 1024
export_path = s3://bucket/folder
import_path = s3://bucket
weekly_maintenance_start_time = 1:00:00
fsx_kms_key_id = xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
```

類似的組態適用於 Amazon EBS 和 Amazon FSx 型檔案系統。