Использование свойства «Зашифровано» в AWS :: AutoScaling :: LaunchConfiguration BlockDeviceMapping BlockDevice для шифрования томов EBS root

Question

Я пытаюсь зашифровать том EBS root в группе AutoScaling, но не могу найти способ сделать это в CloudFormation.

Вот соответствующий раздел CFT:

Resources:
  LaunchConfiguration:
    Type: 'AWS::AutoScaling::LaunchConfiguration'
    Metadata: ...
    Properties:
       KeyName: <VALUE>
       ImageId: <VALUE>
       SecurityGroups: <VALUE>
       InstanceType: <VALUE>
       BlockDeviceMappings:
          - DeviceName: /dev/sda1
            Ebs:
              VolumeSize: <VALUE>
              VolumeType: <VALUE>
              Encrypted: True

Этот CFT работает и шифрует подключенный том EBS с помощью ключа KMS по умолчанию в учетной записи. Однако он не шифрует том EC2 root xvda. Я попытался добавить следующее к BlockDeviceMappings:

- DeviceName: /dev/xvda
  Ebs:
    Encrypted: True

Я получаю ошибку CloudFormation, так что, похоже, это не работает. Я проверил документацию AWS для AWS::AutoScaling::LaunchConfiguration, расположенную здесь , но не могу найти адрес, где она используется для шифрования тома EC2 root в группе AutoScaling.

Учитывая конфигурацию моей среды, я не могу включить шифрование тома по умолчанию для EC2, поэтому я ищу способ выполнить sh через CFT.

Буду признателен какие-либо предложения. Заранее благодарю за помощь!

Answer 1

Я смог понять это. У меня не было соответствующей IAM роли, разрешенной для использования моего KMS CMK. Все, что мне нужно было сделать - это авторизовать роль AWSServiceRoleForAutoScaling для CMK, и он без проблем построил стек. Том root также зашифрован.