Per gli ambienti di produzione, consigliamo di utilizzare chiavi diverse per la configurazione
e la crittografia dei volumi. Per ridurre ulteriormente i rischi in caso di compromissione di una chiave, puoi anche creare chiavi diverse per ciascuno dei seguenti elementi:
Per una maggiore sicurezza, puoi creare un criterio per le chiavi AWS KMS che assegna solo
l'insieme minimo di autorizzazioni richieste. Per ulteriori informazioni, consulta la sezione Creare chiavi KMS con autorizzazioni specifiche.
Creazione di una chiave KMS AWS
Per creare una chiave, esegui il seguente comando:
KEY_DESC con una descrizione testuale della chiave
Per ogni chiave creata, salva il valore denominato KeyMetadata.Arn nell'output di questo comando per utilizzarlo in un secondo momento.
Creazione di chiavi KMS con autorizzazioni specifiche
Se crei chiavi separate per funzioni diverse, devi fornire un
criterio per le chiavi KMS
per ogni chiave che conceda le autorizzazioni appropriate. Se non specifichi un criterio per le chiavi quando ne crei una, AWS KMS ne creerà uno predefinito che concede a tutti gli enti nell'account proprietario l'accesso illimitato a tutte le operazioni per la chiave.
Quando crei un criterio per le chiavi, devi consentire a un criterio AWS IAM di accedere al criterio per le chiavi. Il criterio della chiave deve inoltre concedere al tuo account le autorizzazioni per utilizzare i criteri IAM. Senza l'autorizzazione del criterio della chiave, i criteri IAM che consentono le autorizzazioni non hanno alcun effetto. Per ulteriori informazioni, consulta
Criteri delle chiavi in AWS KMS.
La tabella seguente descrive le autorizzazioni per ciascuno dei
ruoli IAM di AWS utilizzati da GKE su AWS.
Ruolo dell'agente di servizio dell'API GKE Multi-Cloud
Ruolo del piano di controllo
Ruolo del node pool
Ruolo del servizio AWS per AutoScaling
Crittografia della configurazione del control plane del cluster
kms:Encrypt
kms:Decrypt
N/D
N/D
Crittografia del database del piano di controllo del cluster
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-07-22 UTC."],[],[],null,["# Create an AWS KMS key\n\nOverview\n--------\n\nGKE on AWS uses customer-managed\n[AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)\n(KMS) symmetric keys to encrypt:\n\n- Kubernetes state data in [etcd](https://kubernetes.io/docs/concepts/overview/components/#etcd)\n- EC2 instance [user data](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/user-data.html)\n- EBS volumes for [at-rest encryption](/kubernetes-engine/multi-cloud/docs/aws/concepts/security#at-rest_data_encryption) of control plane and node pool data\n\nFor production environments, we recommend using different keys for configuration\nand volume encryption. To further minimize risks if a key is compromised, you\ncan also create different keys for each of the following:\n\n- Cluster control plane [configuration](/sdk/gcloud/reference/container/aws/clusters/create#--config-encryption-kms-key-arn)\n- Cluster control plane [database](/sdk/gcloud/reference/container/aws/clusters/create#--database-encryption-kms-key-arn)\n- Cluster control plane [main volume](/sdk/gcloud/reference/container/aws/clusters/create#--main-volume-kms-key-arn)\n- Cluster control plane [root volume](/sdk/gcloud/reference/container/aws/clusters/create#--root-volume-kms-key-arn)\n- Node pool [configuration](/sdk/gcloud/reference/container/aws/node-pools/create#--config-encryption-kms-key-arn)\n- Node pool [root volume](/sdk/gcloud/reference/container/aws/node-pools/create#--root-volume-kms-key-arn)\n\nFor additional security, you can create an AWS KMS key policy that assigns only\nthe minimum required set of permissions. For more information, see\n[Creating KMS keys with specific permissions](/kubernetes-engine/multi-cloud/docs/aws/how-to/create-aws-kms-key#specific-permissions).\n\nCreate an AWS KMS key\n---------------------\n\nTo create a key, run the following command: \n\n aws --region \u003cvar translate=\"no\"\u003e\u003cspan class=\"devsite-syntax-n\"\u003eAWS_REGION\u003c/span\u003e\u003c/var\u003e kms create-key \\\n --description \"\u003cvar translate=\"no\"\u003eKEY_DESC\u003c/var\u003e\"\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003eAWS_REGION\u003c/var\u003e with the name of your AWS region\n- \u003cvar translate=\"no\"\u003eKEY_DESC\u003c/var\u003e with a text description of your key\n\nFor each key you create, save the value named `KeyMetadata.Arn` in the output of\nthis command for later use.\n\nCreating KMS keys with specific permissions\n-------------------------------------------\n\nIf you create separate keys for different functions, you need to provide a\n[KMS key policy](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)\nfor each key that grants appropriate permissions on that key. If you don't\nspecify a key policy when you create a key, AWS KMS will create a default key\npolicy that gives all\n[principals](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html#intro-structure-principal)\nin the owning account unlimited access to all operations for the key.\n\nWhen you create a key policy, you must allow an AWS IAM policy access to the key\npolicy. The key policy must also give your account permissions to use IAM\npolicies. Without permission from the key policy, IAM policies that allow\npermissions have no effect. For more information, see\n[Key policies in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html).\n\nThe following table describes the permissions for each of the\n[AWS IAM roles](/kubernetes-engine/multi-cloud/docs/aws/concepts/aws-iam-roles) GKE on AWS\nuses.\n\nWhat's next\n-----------\n\n- [Create an SSH key pair](/kubernetes-engine/multi-cloud/docs/aws/how-to/create-ssh-keypair)."]]
