У нас есть несколько значений хранилища параметров SecureString SSM, созданных с помощью наших сценариев автоматизации bash. Они зашифрованы с помощью ключа KMS + псевдонима для конкретной среды, созданного с помощью CloudFormation.
Также в шаблонах есть роли IAM для наших экземпляров EC2, которые должны разрешать получение и дешифрование параметров SSM. Для этого мы предоставили доступ к этим ролям IAM при создании ключа KMS, сославшись на их ролевые ARN как на принципы.
Однако у нас есть некоторые переменные SSM, не зависящие от среды, в нашей учетной записи AWS, которые сохраняются за пределами стеков CloudFormation нашей среды и используются во всех средах.
Недавно мы адаптировали эти параметры для шифрования с помощью ключа KMS по умолчанию - alias/aws/ssm
.
Этот подход вызывает проблемы с автоматизацией, поскольку нам необходимо предоставить использование ключа KMS по умолчанию нашим ролям IAM в CloudFormation. Я прочитал документацию AWS и не могу понять, как это сделать.
Кому-нибудь удалось это автоматизировать?
SecureString SSM Parameter Store values created via CloudFormation
. КАК?? - person franklinsijo   schedule 23.03.2020alias/aws/ssm
? - person franklinsijo   schedule 23.03.2020alias/aws/ssm
по умолчанию, вместо специально созданного ключа. - person x3nr0s   schedule 23.03.2020