amazon-web-services - 通过 CloudFormation 向 IAM 角色授予默认 KMS key 的使用权

Question

我们有许多通过 bash 脚本自动化创建的 SecureString SSM 参数存储值。它们使用通过 CloudFormation 创建的特定于环境的 KMS key + 别名进行加密。

模板中还有我们的 EC2 实例的 IAM 角色，它需要允许检索和解密 SSM 参数。为此，我们在创建 KMS key 时通过引用这些 IAM 角色的角色 ARN 作为原则来授予对这些 IAM 角色的访问权限。

但是，我们的 AWS 账户上有一些非环境特定的 SSM 变量，这些变量在我们的环境 CloudFormation 堆栈之外持续存在，并由所有环境使用。

我们最近调整了这些参数，以便使用默认 KMS key - alias/aws/ssm 进行加密。

这种方法会导致自动化方面的问题，因为我们需要向 CloudFormation 中的 IAM 角色授予默认 KMS key 的使用权。我已阅读 AWS 文档，但无法找到执行此操作的方法。

有人设法实现自动化吗？

Answer 1

默认 KMS key alias/aws/ssm 是 AWS 托管的 CMK。我们无法为 AWS Managed CMK 建立 IAM 策略或 KMS key 策略。

摘自AWS KMS FAQ ,

AWS will manage the policies associated with AWS managed CMKs on your behalf. You can track AWS managed keys in your account and all usage is logged in AWS CloudTrail, but you have no direct control over the keys themselves.

您不必担心定义用于访问 alias/aws/ssm key 的 IAM 角色，能够访问所需的 SSM 参数就足够了。