GlobalXperts – Amazon SSM

To use AWS Systems Manager (SSM) with AWS Key Management Service (KMS), you will need a symmetric KMS customer master key (CMK) with a key usage of “ENCRYPT_DECRYPT”. [1]

When you create SSM documents, parameters, or associations, SSM will encrypt the data it stores using the specified KMS CMK. This ensures the confidentiality of your SSM data.

Some key points about using KMS with SSM: [2]

• The KMS key should be of type “SYMMETRIC” and have a key spec of “SYMMETRIC_DEFAULT”.
• The key usage policy should allow “ENCRYPT_DECRYPT” operations on the key.
• You can use an AWS managed CMK for SSM, or create a custom CMK in your account.
• Make sure the IAM role used by SSM has permissions to encrypt/decrypt using the CMK.
• For cross-account access, the key policy should grant decrypt permissions to the necessary other accounts.

Let me know if you need help setting this up! You can create the KMS key through the KMS console, CLI or CloudFormation. 

SSM will then automatically use that key when encrypting/decrypting your SSM data. [3]