**Aidez à améliorer cette page**
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien **Modifier cette page sur** qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Activation du chiffrement des volumes EBS avec des clés KMS gérées par le client pour le mode automatique EKS
Vous pouvez chiffrer le volume racine éphémère des instances gérées par le mode automatique EKS à l’aide d’une clé KMS gérée par le client.
Le mode automatique Amazon EKS utilise des rôles liés à des services pour déléguer des autorisations à d'autres AWS services lors de la gestion de volumes EBS chiffrés pour vos clusters Kubernetes. Cette rubrique explique comment configurer la stratégie de clé requise lorsque vous spécifiez une clé gérée par le client pour le chiffrement Amazon EBS avec le mode automatique EKS.
Considérations :
+ Le mode automatique EKS n'a pas besoin d'autorisation supplémentaire pour utiliser la clé AWS gérée par défaut afin de protéger les volumes chiffrés de votre compte.
+ Cette rubrique traite du chiffrement des volumes éphémères, les volumes racines pour les instances. EC2 Pour plus d’informations sur le chiffrement des volumes de données utilisés pour les charges de travail, consultez [Création d’une classe de stockage](create-storage-class.md).
## Présentation de
Les clés AWS KMS suivantes peuvent être utilisées pour le chiffrement du volume racine Amazon EBS lorsque le mode automatique EKS lance des instances :
+ **Clé gérée par AWS ** : clé de chiffrement créée, détenue et gérée par Amazon EBS dans votre compte. Il s'agit de la clé de chiffrement par défaut d'un nouveau compte.
+ **Clé gérée par le client** : clé de chiffrement personnalisée que vous créez, détenez et gérez vous-même.
**Note**
La clé doit être symétrique. Amazon EBS ne prend pas en charge les clés asymétriques gérées par le client.
## Étape 1 : configurer la stratégie de clé
Vos clés KMS doivent inclure une stratégie de clé permettant au mode automatique EKS de lancer des instances avec des volumes Amazon EBS chiffrés à l’aide d’une clé gérée par le client.
Configurez votre stratégie de clé selon la structure suivante :
**Note**
Cette stratégie inclut uniquement les autorisations nécessaires au mode automatique EKS. La stratégie de clé peut nécessiter des autorisations supplémentaires si d’autres identités ont besoin d’utiliser la clé ou de gérer des autorisations.
```
{
"Version":"2012-10-17",
"Id": "MyKeyPolicy",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:role/ClusterServiceRole"
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
},
{
"Sid": "Allow attachment of persistent resources",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:role/ClusterServiceRole"
]
},
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"
],
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
]
}
```
Assurez-vous de le remplacer `` par votre numéro de AWS compte actuel.
Lors de la configuration de la stratégie de clé :
+ Le `ClusterServiceRole` doit disposer des autorisations IAM nécessaires pour utiliser la clé KMS lors des opérations de chiffrement
+ Cette `kms:GrantIsForAWSResource` condition garantit que les subventions ne peuvent être créées que pour AWS des services
## Étape 2 : Configuration à l' NodeClass aide de votre clé gérée par le client
Après avoir configuré la politique des clés, référencez la clé KMS dans votre NodeClass configuration du mode automatique EKS :
```
apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
name: my-node-class
spec:
# Insert existing configuration
ephemeralStorage:
size: "80Gi" # Range: 1-59000Gi or 1-64000G or 1-58Ti or 1-64T
iops: 3000 # Range: 3000-16000
throughput: 125 # Range: 125-1000
# KMS key for encryption
kmsKeyID: "arn:aws: kms:::key/"
```
Remplacez les valeurs d’exemple par vos valeurs réelles :
+ ``avec votre AWS région
+ ``avec votre identifiant AWS de compte
+ `` par l’ID de votre clé KMS
Vous pouvez spécifier la clé KMS selon l’un des formats suivants :
+ ID de clé KMS : `1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d`
+ ARN de clé KMS : ` arn:aws: kms:us-west-2:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d`
+ Nom d’alias de clé : `alias/eks-auto-mode-key`
+ ARN d’alias de clé : ` arn:aws: kms:us-west-2:111122223333:alias/eks-auto-mode-key`
Appliquez la NodeClass configuration à l'aide de kubectl :
```
kubectl apply -f nodeclass.yaml
```
## Ressources connexes
+ [Création d’une classe de nœuds pour Amazon EKS](create-node-class.md)
+ Pour plus d'informations, consultez le guide du développeur du service de gestion des AWS clés
+ [Autorisations pour les AWS services dans les politiques clés](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-services.html)
+ [Modification d’une stratégie de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html)
+ [Subventions dans AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)