1. 创建一个KMS密钥。首先，在KMS控制台中创建一个新的密钥。您可以使用一个现有的密钥，但是这不是一个好的最佳实践。

2. 将密钥策略更新为只允许RDS实例操作。您应该限制哪些AWS服务可以访问您的KMS密钥。本例中，只允许RDS实例进行操作。

aws kms create-key --origin EXTERNAL --region us-west-2

aws kms create-alias --alias-name alias/rds-kms --target-key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --region us-west-2

aws kms put-key-policy --policy-name default --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --policy '
{
  "Id": "key-consolepolicy-3",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "allow all rds resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::xxx:root",
        "Service": "rds.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
      ],
      "Resource": "*"
    }
  ]
}'

3. 在RDS实例上启用加密。在RDS实例上启用加密，以便它可以使用KMS密钥来加密和解密数据。

aws rds create-db-instance --db-instance-identifier mydb --engine mysql --allocated-storage 100 --db-instance-class db.t2.micro --master-username user --master-user-password password --publicly-accessible --region us-west-2 --storage-encrypted --kms-key-id alias/rds-kms