4

从 CFN 文档中,我可以看到我可以创建一个AWS::SSM::Parameter。我还了解了如何创建KMS Master Key

但是文档页面中的type参数SSM:Parameter没有列出secure string类型。

有没有办法可以在 cloudformation 模板中执行以下操作:

1) create KMS Key
2) use KMS key to encrypt a param
3) pull that param in User-Data for an EC2 instance

我将使用 jenkins 密码参数中的参数值从 Jenkins 作业运行 CFN 模板。我还可以设置"NoEcho": true模板的参数,这样它就不会在 CloudFormation 控制台中回显。

4

2 回答 2

1

添加了对此的支持,因此您不再需要使用自定义资源。您必须使用对安全参数的动态引用。

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html

使用此功能,您可以在CF 内在函数中使用添加{{resolve:ssm-secure:parameter-name:version}}到您的用户数据。Fn::Join

截至 2019 年 4 月,安全字符串不能作为 cloudformation 模板中的参数类型使用,但文档指出CloudFormation will support the Parameter Store ‘SecureString’ type in a later release.

https://aws.amazon.com/blogs/mt/integrating-aws-cloudformation-with-aws-systems-manager-parameter-store/

于 2019-04-05T15:34:16.077 回答
0

似乎有一种方法可以使用自定义资源来执行此操作。与 lambda 函数结合使用。

于 2017-08-02T16:49:23.230 回答