Как хранить динамические переменные стека CloudFormation?

В настоящее время я использую AutoScalingGroups для управления жизненным циклом узлов в стеке. Во время создания стека сценарии создают ключ ssh, который затем используется всеми узлами кластера, чтобы пользователь-администратор мог использовать ssh между узлами внутри стека. Это требование развертываемого программного обеспечения для доступа по паролю ssh без пароля. Также требуется, чтобы каждый стек имел свой собственный ключ ssh и не использовал общий.

К сожалению, когда ASG заменяет неисправный узел, ключ ssh недоступен в новом узле. Файл /home/adminuser/.ssh/authorized_keys не содержит ключ ssh, который я создал при создании стека. Я ищу способ сохранить ключ ssh, чтобы его можно было добавить в новый узел, созданный ASG.

Я нашел SSM, у которого есть возможность поставить и получить параметры: http://docs.aws.amazon.com/cli/latest/reference/ssm/put-parameter.html http://docs.aws.amazon.com/cli/latest/reference/ssm/get-parameter.html

Это может сработать. Я мог бы хранить здесь все ssh-ключи Stack, и тогда каждый Stack мог просто запросить хранилище для секретного ключа. К сожалению, это не сработает, потому что значения видны всем узлам всех стеков в моей учетной записи. Я хочу, чтобы параметры были доступны только для узлов в стеке.

Один стек может быть для тестирования, а другой - для производства под той же учетной записью. Я не хочу, чтобы тестовые пользователи имели возможность запрашивать параметры, связанные с производственным стеком.

Есть ли способ поместить переменные / параметры для стека, который доступен только для стека? Есть ли другой способ сделать это?