我看到它現在可以創建SSM協會(S)自舉EC2實例:CloudFormation LaunchConfiguration SSM協會
http://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ssm-document.html
,但我沒有看到暴露在啓動配置類似的屬性...
http://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-as-launchconfig.html
然而這是不可能的,還是有越來越SSM協會的方式自動添加到通過一個啓動配置推出EC2實例?
一種解決方案是在每個實例啓動時直接調用CreateAssociation API。您可以使用Auto Scaling Event來調用Lambda函數,或者(可能更簡單)將shell腳本行添加到啓動配置的UserData中,該行通過AWS CLI(aws ssm create-association)調用API,通過instance metadata檢索當前正在運行的實例ID:
aws ssm create-association \
--name mySSMDocumentName \
--instance-id $(curl http://169.254.169.254/latest/meta-data/instance-id)
您需要提供啓動配置與IAM實例配置文件「SSM:CreateAssociation」的權限,並且還提供了AWS CLI與當前區域(無論是出口到AWS_DEFAULT_REGION環境變量,或者以顯式--region參數。)
是的,但我希望有東西內置 – Jeff
具體而言,對於我來說這是一個答案,我需要能夠提供EC2實例可以將其自身關聯到哪些特定的SSM文檔。如果SSM文檔本身是在與實例配置文件,角色和啓動配置相同的模板中創建的,則會變成雞或蛋類遊戲。基本上,我需要一種方法來說明,在這個LaunchConfiguration中的EC2實例可以自己執行SSM關聯......但僅限於作爲堆棧一部分的這一個SSM文檔。此外,我不能讓堆棧的啓動器擁有創建新策略的全部權利。 – Jeff
要將權限限制爲單個SSM文檔,請在實例配置文件的實例配置文件策略定義中的「Resource」元素的值中將'*'替換爲'arn:aws:ssm:region:account-id:document/document_name', ssm:CreateAssociation'行動。如果您不想讓堆棧啓動器創建新的IAM策略權限,則可以在單獨的堆棧中或通過AWS控制檯創建策略,然後輸入實例配置文件的ARN('arn:aws:iam :: account:instance -profile/instance-profile-name')直接在你的LaunchConfiguration中。 – wjordan