SAS令牌作为SecureString，不使用Azure PowerShell进行ARM模板部署

我有一堆嵌套的ARM模板，意味着要使用Azure PS进行部署。

唯一的方法是在Azure blob container中托管这些模板，然后生成SAS token并在main ARM template中发送这两个参数（指向嵌套的参数）。

这是我的PS生成SAS令牌：

$SasToken = ConvertTo-SecureString -AsPlainText -Force (New-AzureStorageContainerSASToken -Container $StorageContainerName -Context $StorageAccount.Context -Permission r -ExpiryTime (Get-Date).AddHours(4))

以下是我的部署脚本的两部分，它将令牌传递给主ARM模板：

$Parameters['_artifactsLocationSasToken'] = $SasToken

和

New-AzureRmResourceGroupDeployment -Name ((Get-ChildItem $TemplateFile).BaseName + '-' + ((Get-Date).ToUniversalTime()).ToString('MMdd-HHmm')) `
    -ResourceGroupName $ResourceGroupName `
    -TemplateFile $TemplateFile `
    -TemplateParameterObject $Parameters `
    -Force -Verbose `
    -ErrorVariable ErrorMessages

以下是主ARM模板的接收参数声明：

"_artifactsLocationSasToken": {
      "type": "securestring"
    }

以下是同一主ARM模板中的嵌套资源模板（恰好是cosmos db）：

{
      "apiVersion": "2017-05-10",
      "dependsOn": [
        "[concat('Microsoft.Resources/deployments/', variables('vnetConfig').Name)]"
      ],
      "name": "[variables('cosmosDbConfig').Name]",
      "properties": {
        "mode": "Incremental",
        "templateLink": {
          "uri": "[concat(parameters('_artifactsLocation'), '/', variables('nestedTemplatesFolder'), '/cosmosdb.json', parameters('_artifactsLocationSasToken'))]"
        },
        "parameters": {
          "cosmosDbConfig": {
            "value": "[variables('cosmosDbConfig')]"
          }
        }
      },
      "type": "Microsoft.Resources/deployments"
    }

当我运行这些时，我收到此错误：

错误：Code = InvalidTemplate; Message =部署模板验证失败：'第16行和第39列'的模板参数'_artifactsLocationSasToken'提供的值无效。

如果我在嵌套模板资源（在主模板中）硬编码SAS token并将类型从securestring更改为string，它就可以了！我错过了什么？