Хранилище параметров AWS SSM с CloudFormation

Из документации CFN я вижу, что могу создать AWS :: SSM :: Parameter. Я также вижу, как создать мастер KMS Ключ.

Однако параметр type в SSM:Parameter на странице документа не перечисляет тип secure string.

Есть ли способ сделать следующее в шаблоне облачной информации:

1) create KMS Key
2) use KMS key to encrypt a param
3) pull that param in User-Data for an EC2 instance

Я буду запускать шаблон CFN из задания Jenkins со значением параметра в параметре пароля jenkins. Я также могу установить "NoEcho": true в параметре шаблона, чтобы он не отображался в консоли CloudFormation.


jenkins amazon-web-services amazon-ec2 amazon-cloudformation aws-kms
person Sam Hammamy    schedule 02.08.2017    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Была добавлена ​​поддержка для этого, поэтому вам больше не нужно использовать настраиваемый ресурс. Вы должны использовать динамическую ссылку на защищенный параметр.

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html

Используя эту функцию, вы можете добавить {{resolve:ssm-secure:parameter-name:version}} к своим пользовательским данным в Fn::Join встроенной функции CF.

По состоянию на апрель 2019 г. защищенные строки недоступны в качестве типа параметра в шаблонах облачной информации, однако в документации указано, что CloudFormation will support the Parameter Store ‘SecureString’ type in a later release.

https://aws.amazon.com/blogs/mt/integrating-aws-cloudformation-with-aws-systems-manager-parameter-store/

person ekcrisp    schedule 05.04.2019

arrow_upward
0
arrow_downward

Кажется, есть способ использовать для этого настраиваемый ресурс. В сочетании с лямбда-функцией.

person Sam Hammamy    schedule 02.08.2017