У нас есть несколько значений хранилища параметров SecureString SSM, созданных с помощью нашей bash автоматизации сценариев. Они зашифрованы с помощью специфицированного окружения c ключ KMS + псевдоним, созданный с помощью CloudFormation.
Также в шаблонах есть роли IAM для наших экземпляров EC2, которые должны разрешать поиск и расшифровку параметров SSM. Чтобы разрешить это, мы предоставили доступ к этим ролям IAM при создании ключа KMS, сославшись на их роли ARN как принципы.
Однако у нас есть некоторые не зависящие от среды переменные c SSM в нашей учетной записи AWS, которые сохраняются вне нашей среды стеки CloudFormation и используются всеми средами.
Недавно мы адаптировали эти параметры для шифрования с помощью ключа KMS по умолчанию - alias/aws/ssm
.
Этот подход вызывает проблему в отношении автоматизации, поскольку мы необходимо разрешить использование ключа KMS по умолчанию для наших ролей IAM в CloudFormation. Я прочитал документацию AWS и не могу найти способ сделать это.
Кому-нибудь удалось автоматизировать это?