本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 KMS 的資料加密 ROSA 使用 AWS KMS 安全地管理加密資料的金鑰。根據預設,控制平面、基礎設施和工作者節點磁碟區會使用 KMS key 提供的 AWS 受管 進行加密 Amazon EBS。這 KMS key 具有別名 `aws/ebs`。使用預設 gp3 儲存類別的持久性磁碟區也會預設使用此項目加密 KMS key。 新建立的 ROSA 叢集設定為使用預設 gp3 儲存類別來加密持久性磁碟區。只有在儲存類別設定為加密時,才能使用任何其他儲存類別建立的持久性磁碟區才會加密。如需 ROSA 預先建置儲存類別的詳細資訊,請參閱 Red Hat 文件中的[設定持久性儲存](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/configuring-persistent-storage#persistent-storage-aws)。 在叢集建立期間,您可以選擇使用預設 Amazon EBS提供的金鑰來加密叢集中的持久性磁碟區,或指定您自己的客戶受管對稱 KMS key。如需建立金鑰的詳細資訊,請參閱《 * AWS KMS 開發人員指南*》中的[建立對稱加密 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)。 您也可以透過定義 來加密叢集內個別容器的持久性磁碟區 KMS key。當您在部署到 時有明確的合規和安全指導方針時,這很有用 AWS。如需詳細資訊,請參閱 Red Hat 文件中的[AWS 使用 在 上加密容器持久性磁碟區 KMS key](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/configuring-persistent-storage#aws-container-persistent-volumes-encrypt_persistent-storage-aws)。 使用您自己的 加密持久性磁碟區時,應考慮下列事項 KMS keys: + 當您搭配自己的 KMS 加密時 KMS key,金鑰必須與 AWS 區域 叢集位於相同的 中。 + 建立和使用您自己的 會產生相關費用 KMS keys。如需詳細資訊,請參閱 [AWS Key Management Service 定價](https://aws.amazon.com/kms/pricing/)。