Meines Wissens unterstützt Grub2 LUKS2 teilweise. Du musst aufpassen, dass du für die PBKDF kein Argon, sondern pbkdf2 nimmst (habe ich nicht getestet und müsste entsprechend recherchiert werden).
Alternativ kannst du auch die /boot separat mit LUKS1 verschlüsseln und den Rest des Systems in einen LUKS2-Container legen. Das initramfs müsste mit LUKS2 umgehen können.
Ob heikle Daten in /boot liegen, hängt unter anderem davon ab, was ins initramfs gepackt wird. Ich verwende LUKS1 und mein initramfs hat einen LUKS-Schlüssel drin, damit ich nur für Grub2 die Passphrase eingeben muss und mein initramfs später den LUKS1-Container selber entschlüsseln kann.
Aus Neugier: Welchen praktischen Vorteil versprichst du dir von LUKS2?
Und noch ein Tipp: Grub2 unterstützt nur das amerikanische Tastaturlayout. Falls deine Passphrase unterschiedliche Werte beim eingeben mit deinem gewohnten Tastaturlayout und dem amerikanischen liefert, kannst du zwei Keyslots verwenden: eine mit dem gewohnten und einem mit dem amerikanischen Layout.
Eine unverschlüsselte /boot kann man machen, aber würde ich nicht empfehlen, da Arch Linux von Haus aus keine "Secure Boot"-fähige Installation liefert (anders sieht es bei "Secure Boot"-fähigen Distributionen wie Fedora aus). Man kann zwar technisch "Secure Boot" nachrüsten, aber das endet dann eher in einem "Signed Boot" und nicht wirklich "Secure Boot", falls Angreifer in der Lage sind, ihre Binärdateien mit deinen Schlüsseln zu signieren. Auch das Aufsetzen von PK und KEK müsste gut durchdacht sein (ansonsten sperrst du eventuell auch die Möglichkeit, dein UEFI zu aktualisieren oder Dual Boot zu nutzen).