本文档中介绍的产品 GKE on AWS 现已进入维护模式，并将于 2027 年 3 月 17 日关停。

创建 AWS KMS 密钥

概览

GKE on AWS 使用客户管理的 AWS Key Management Service (KMS) 对称密钥进行加密：

在生产环境中，我们建议为配置和卷加密使用不同的密钥。为了进一步降低密钥泄露的风险，您还可以为以下每个项目创建不同的密钥：

为了提高安全性，您可以创建 AWS KMS 密钥政策，并仅分配最小权限集。如需了解详情，请参阅创建具有特定权限的 KMS 密钥。

如需创建密钥，请运行以下命令：

aws --region AWS_REGION kms create-key \
    --description "KEY_DESC"

替换以下内容：

对于您创建的每个密钥，请保存此命令的输出中名为 KeyMetadata.Arn 的值，以备稍后使用。

如果您为不同的功能创建单独的密钥，则需要为每个密钥提供 KMS 密钥政策，以授予对该密钥的适当权限。如果您在创建密钥时未指定密钥政策，则 AWS KMS 会创建默认密钥政策，该政策会提供所属账号中的所有主账号对该密钥的所有操作的无限制使用权限。

创建密钥政策时，您必须允许 AWS IAM 政策访问密钥政策。密钥政策还必须向您的账号授予使用 IAM 政策的权限。如果没有密钥政策的权限，允许权限的 IAM 政策将无效。如需了解详情，请参阅 AWS KMS 中的密钥政策。

下表列出了 GKE on AWS 使用的每个 AWS IAM 角色的权限。

	GKE Multi-Cloud API 服务代理角色	控制平面角色	节点池角色	自动扩缩的 AWS Service 角色
集群控制平面配置加密	kms:Encrypt	kms:Decrypt	不适用	不适用
集群控制平面数据库加密	不适用	kms:Encrypt kms:Decrypt	不适用	不适用
集群控制平面主卷加密	kms:GenerateDataKeyWithoutPlaintext	kms:CreateGrant	不适用	不适用
集群控制平面根卷加密	不适用	不适用	不适用	请参阅允许访问客户管理的密钥的密钥政策部分
节点池配置加密	kms:Encrypt	不适用	kms:Decrypt	不适用
节点池根卷加密	不适用	不适用	不适用	请参阅允许访问客户管理的密钥的密钥政策部分
其他要求	kms:DescribeKey	不适用	不适用	不适用