我正在尝试加密 AutoScaling
组中的 EBS
根卷,但似乎无法在 CloudFormation
中找到执行此操作的方法.
以下是 CFT
的适用部分:
Resources:
LaunchConfiguration:
Type: 'AWS::AutoScaling::LaunchConfiguration'
Metadata: ...
Properties:
KeyName: <VALUE>
ImageId: <VALUE>
SecurityGroups: <VALUE>
InstanceType: <VALUE>
BlockDeviceMappings:
- DeviceName: /dev/sda1
Ebs:
VolumeSize: <VALUE>
VolumeType: <VALUE>
Encrypted: True
此CFT
工作并使用帐户中的默认KMS
key 加密附加的EBS
卷。但是,它不会加密 EC2
根卷 xvda
。我尝试将以下内容添加到 BlockDeviceMappings
:
- DeviceName: /dev/xvda
Ebs:
Encrypted: True
我收到 CloudFormation
错误,因此这似乎不起作用。我已检查了位于 here 的 AWS::AutoScaling::LaunchConfiguration
的 AWS
文档。 ,但我似乎找不到它在 AutoScaling
组中加密 EC2
根卷的位置。
鉴于我的环境配置,我无法为 EC2
启用默认卷加密,因此我正在寻找一种通过 CFT
实现此目的的方法。
如有任何建议,我将不胜感激。预先感谢您的帮助!
最佳答案
我能够弄清楚这一点。我没有被授权使用我的 KMS
CMK
的适当 IAM
角色。我所要做的就是为“CMK”授权 AWSServiceRoleForAutoScaling
角色,它就可以毫无问题地构建堆栈。根卷也已加密。
关于amazon-web-services - 使用 AWS::AutoScaling::LaunchConfiguration BlockDeviceMapping BlockDevice 中的 'Encrypted' 属性来加密 EBS 根卷,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60063811/