Предоставить использование ключей KMS по умолчанию для ролей IAM с CloudFormation

Question

У нас есть несколько значений хранилища параметров SecureString SSM, созданных с помощью нашей bash автоматизации сценариев. Они зашифрованы с помощью специфицированного окружения c ключ KMS + псевдоним, созданный с помощью CloudFormation.

Также в шаблонах есть роли IAM для наших экземпляров EC2, которые должны разрешать поиск и расшифровку параметров SSM. Чтобы разрешить это, мы предоставили доступ к этим ролям IAM при создании ключа KMS, сославшись на их роли ARN как принципы.

Однако у нас есть некоторые не зависящие от среды переменные c SSM в нашей учетной записи AWS, которые сохраняются вне нашей среды стеки CloudFormation и используются всеми средами.

Недавно мы адаптировали эти параметры для шифрования с помощью ключа KMS по умолчанию - alias/aws/ssm.

Этот подход вызывает проблему в отношении автоматизации, поскольку мы необходимо разрешить использование ключа KMS по умолчанию для наших ролей IAM в CloudFormation. Я прочитал документацию AWS и не могу найти способ сделать это.

Кому-нибудь удалось автоматизировать это?

Answer 1

Ключ KMS по умолчанию alias/aws/ssm - это управляемый CMK AWS. Мы не можем установить sh политики IAM или политики ключей KMS для AWS управляемых CMK.

Выдержка из AWS KMS FAQ ,

AWS будет управлять политиками, связанными с AWS управляемыми CMK, от вашего имени. Вы можете отслеживать AWS управляемых ключей в своей учетной записи, и все случаи использования регистрируются в AWS CloudTrail, но у вас нет прямого контроля над самими ключами.

Вам не нужно беспокоиться об определении Роли IAM для доступа к ключу alias/aws/ssm, для которого достаточно доступа к обязательному параметру SSM.