2

所以我发现您不能使用 CloudFormation 将需要使用 KMS 密钥保护的参数插入到安全参数存储中。显然,您可以使用 cli,但是在管道中执行多个插入安全参数时有很大的缺点,因为如果一个在中间失败,其他的将恢复,就像通过 CDK 和 Cloudformation 完成一样.

所以问题是,其他人如何将这种类型的功能整合到 CI/CD 管道中?手动转到每个环境并将其放入 Secure Parameter Store?

4

2 回答 2

0

我在 CDK https://github.com/HarshRohila/cdk-secure-parameter-store中创建了一个 npm 包来执行此操作

这使用Lambda 支持的自定义资源

这是如何运作的?

cloudformation 没有创建安全参数存储的 API,但 AWS SDK 有。所以这个想法是使用 CloudFormation 自定义资源,我们可以附加一个 lambda,每当创建/更新/删除 CustomResource 时都会调用该 lambda,并且 lambda 可以使用 AWS SDK 创建和删除参数存储

更多关于这个问题的讨论在这里

于 2021-11-07T04:26:09.313 回答
0

这是一个限制。CDK 文档建议使用 AWS SecretsManager 作为替代方案。如果您仅限于使用 SSM,那么我认为您将不得不使用 SDK 或 CLI。

相关链接:

https://docs.aws.amazon.com/cdk/latest/guide/get_ssm_value.html https://docs.aws.amazon.com/cdk/api/v2/docs/aws-cdk-lib.aws_ssm-readme .html

于 2021-03-10T17:11:30.590 回答