【发布时间】:2018-09-15 23:23:06
【问题描述】:
有没有办法通过 CloudFormation 模板在与您用于运行模板的相应 AWS 用户账户中指定的区域不同的区域中生成自定义 KMS 密钥?
谢天谢地
【问题讨论】:
标签: amazon-cloudformation aws-kms
【发布时间】:2018-09-15 23:23:06
【问题描述】:
简答:
不,不直接。
长答案:
实际上可以通过以下两种方式之一来完成。首先,使用StackSets,您可以创建一个模板,该模板将部署在选定的账户(本次为1)和区域中。
实现目标的第二种方法是使用Custom Resource 在其他区域创建您的 KMS 密钥。此自定义资源将调用 Lambda 函数来处理您的 KMS 密钥的生命周期。在此 Lambda 中,您必须调用适当的 API 来创建/更新/删除所需区域中的 KMS 密钥。
【讨论】:
-
谢谢,我怕会是这样。但是,我根本无法使用我的管理员帐户在不同区域生成 kms 密钥。这如何通过 AWSCLI 实现?没有 --region 选项。