我正在开发一个AWS CloudFormation模板,该模板包含一个带有敏感环境变量的Lambda函数。我想设置一个KMS密钥并用它加密它们,这很容易在控制台中完成,但在CloudFormation中很难做到。
任何人都可以为Lambda发布一个基本的CloudFormation JSON对象,其中至少有一个使用KMS密钥加密的环境变量,以及用于创建该密钥的JSON吗?
答案 0 :(得分:3)
在AWS'serverless-application-model项目中看起来目前有一项功能请求:https://github.com/awslabs/serverless-application-model/issues/48
但是,目前无法通过CloudFormation加密单个环境变量。至于使用CloudFormation设置KMS密钥本身,请参阅以下内容:http://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html
创建KMS密钥资源后,您可以通过在函数属性中指定KmsKeyArn属性在Lambda函数中使用它。