要在AWS EC2实例中加密用户数据，可以使用以下步骤：

1. 创建一个AWS密钥管理服务（AWS KMS）密钥，并记录其密钥ID。

2. 创建一个IAM角色，该角色具有加密和解密使用该密钥的权限。

3. 在启动EC2实例时，将用户数据作为明文传递给实例。

4. 在实例启动时，使用AWS SDK或AWS CLI调用AWS KMS API来加密用户数据。

下面是一个使用Python和Boto3库的代码示例：

import boto3

def encrypt_user_data(user_data, kms_key_id):
    kms_client = boto3.client('kms')
    
    response = kms_client.encrypt(
        KeyId=kms_key_id,
        Plaintext=user_data.encode()
    )
    
    return response['CiphertextBlob']

# 用户数据明文
user_data = 'This is some user data'

# AWS KMS密钥ID
kms_key_id = 'your_kms_key_id'

# 加密用户数据
encrypted_user_data = encrypt_user_data(user_data, kms_key_id)

# 将加密后的用户数据传递给EC2实例启动
ec2_client = boto3.client('ec2')
response = ec2_client.run_instances(
    ImageId='your_ami_id',
    InstanceType='your_instance_type',
    UserData=encrypted_user_data
)

这个例子使用了Boto3库来调用AWS KMS API进行加密，并使用了EC2的run_instances方法来启动实例，并将加密后的用户数据作为参数传递给实例。

确保替换示例代码中的your_kms_key_id为您自己的AWS KMS密钥ID，并根据需要修改其他参数（例如AMI ID和实例类型）。

这样做可以确保在EC2实例中存储的用户数据是加密的，并且只有具有解密权限的角色才能解密它。