Как я могу (безопасно )загрузить частный ресурс S3 в новый инстанс EC2 с помощью cloudinit?

Я использую CloudFormation для управления стеком веб-сервера Tomcat, но устал от необработанного управления AMI для новых версий приложений. Я хотел бы двигаться в направлении Chef, но сейчас нет времени. Вместо этого я пытаюсь решить простую проблему создания экземпляра веб-сервера :Как я могу загрузить «текущий» WAR, когда новые машины раскручиваются -?

Я думал использовать частную корзину S3 и cloudinit, но я немного озадачен тем, что делать с учетными данными IAM. Я мог бы поместить их в пользовательские данные шаблона, но мне не хочется этого делать, особенно потому, что я контролирую версию этого файла. Единственная альтернатива, о которой я могу думать, - это использовать переменные среды в самом AMI. Они должны быть открытым текстом, но... Эх, если бы вы могли проникнуть в мой экземпляр, вы могли бы заархивировать и загрузить весь мой веб-сервер. Пока пользователь IAM не используется повторно ни для чего другого и регулярно ротируется, это кажется разумным способом решения проблемы. Я что-то упустил? Как я могу безопасно загрузить частный актив S3 с помощью cloudinit?