**Bantu tingkatkan halaman ini** 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Aktifkan Enkripsi Volume EBS dengan Kunci KMS yang Dikelola Pelanggan untuk Mode Otomatis EKS
<a name="auto-kms"></a>

Anda dapat mengenkripsi volume root sementara untuk instans Mode Otomatis EKS dengan kunci KMS yang dikelola pelanggan.

Amazon EKS Auto Mode menggunakan peran terkait layanan untuk mendelegasikan izin ke AWS layanan lain saat mengelola volume EBS terenkripsi untuk klaster Kubernetes Anda. Topik ini menjelaskan cara menyiapkan kebijakan kunci yang Anda perlukan saat menentukan kunci terkelola pelanggan untuk enkripsi Amazon EBS dengan Mode Otomatis EKS.

Pertimbangan:
+ Mode Otomatis EKS tidak memerlukan otorisasi tambahan untuk menggunakan kunci AWS terkelola default untuk melindungi volume terenkripsi di akun Anda.
+ Topik ini mencakup mengenkripsi volume fana, volume root untuk instance. EC2 Untuk informasi selengkapnya tentang mengenkripsi volume data yang digunakan untuk beban kerja, lihat. [Buat kelas penyimpanan](create-storage-class.md)

## Gambaran umum
<a name="_overview"></a>

Kunci AWS KMS berikut dapat digunakan untuk enkripsi volume root Amazon EBS saat Mode Otomatis EKS meluncurkan instance:
+  ** AWS kunci terkelola** — Kunci enkripsi di akun Anda yang dibuat, dimiliki, dan dikelola Amazon EBS. Ini adalah kunci enkripsi default untuk akun baru.
+  **Kunci terkelola pelanggan** — Kunci enkripsi khusus yang Anda buat, miliki, dan kelola.

**catatan**  
Kuncinya harus simetris. Amazon EBS tidak mendukung kunci yang dikelola pelanggan asimetris.

## Langkah 1: Konfigurasikan kebijakan kunci
<a name="_step_1_configure_the_key_policy"></a>

Kunci KMS Anda harus memiliki kebijakan kunci yang memungkinkan Mode Otomatis EKS meluncurkan instans dengan volume Amazon EBS yang dienkripsi dengan kunci yang dikelola pelanggan.

Konfigurasikan kebijakan kunci Anda dengan struktur berikut:

**catatan**  
Kebijakan ini hanya mencakup izin untuk Mode Otomatis EKS. Kebijakan kunci mungkin memerlukan izin tambahan jika identitas lain perlu menggunakan kunci atau mengelola hibah.

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "MyKeyPolicy",
    "Statement": [
        {
            "Sid": "Allow use of the key",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:role/ClusterServiceRole"
                ]
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow attachment of persistent resources",
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::123456789012:role/ClusterServiceRole"
                ]
            },
            "Action": [
                "kms:CreateGrant",
                "kms:ListGrants",
                "kms:RevokeGrant"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        }
    ]
}
```

Pastikan untuk mengganti `<account-id>` dengan ID AWS akun Anda yang sebenarnya.

Saat mengonfigurasi kebijakan kunci:
+ `ClusterServiceRole`Harus memiliki izin IAM yang diperlukan untuk menggunakan kunci KMS untuk operasi enkripsi
+ `kms:GrantIsForAWSResource`Kondisi ini memastikan bahwa hibah hanya dapat dibuat untuk layanan AWS 

## Langkah 2: Konfigurasikan NodeClass dengan kunci yang dikelola pelanggan Anda
<a name="_step_2_configure_nodeclass_with_your_customer_managed_key"></a>

Setelah mengonfigurasi kebijakan kunci, rujuk kunci KMS dalam konfigurasi Mode NodeClass Otomatis EKS Anda:

```
apiVersion: eks.amazonaws.com/v1
kind: NodeClass
metadata:
  name: my-node-class
spec:
  # Insert existing configuration

  ephemeralStorage:
    size: "80Gi"  # Range: 1-59000Gi or 1-64000G or 1-58Ti or 1-64T
    iops: 3000    # Range: 3000-16000
    throughput: 125  # Range: 125-1000

    # KMS key for encryption
    kmsKeyID: "arn:aws: kms:<region>:<account-id>:key/<key-id>"
```

Ganti nilai placeholder dengan nilai aktual Anda:
+  `<region>`dengan AWS wilayah Anda
+  `<account-id>`dengan ID AWS akun Anda
+  `<key-id>`dengan ID kunci KMS Anda

Anda dapat menentukan kunci KMS menggunakan salah satu format berikut:
+ ID Kunci KMS: `1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d` 
+ ARN Kunci KMS: ` arn:aws: kms:us-west-2:111122223333:key/1a2b3c4d-5e6f-1a2b-3c4d-5e6f1a2b3c4d` 
+ Nama Alias Kunci: `alias/eks-auto-mode-key` 
+ Kunci Alias ARN: ` arn:aws: kms:us-west-2:111122223333:alias/eks-auto-mode-key` 

Terapkan NodeClass konfigurasi menggunakan kubectl:

```
kubectl apply -f nodeclass.yaml
```

## Sumber Daya Terkait
<a name="_related_resources"></a>
+  [Buat Kelas Node untuk Amazon EKS](create-node-class.md) 
+ Lihat informasi selengkapnya di Panduan Pengembang Layanan Manajemen AWS Utama
  +  [Izin untuk AWS layanan dalam kebijakan utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-services.html) 
  +  [Mengubah kebijakan utama](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) 
  +  [Hibah di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)