在 Amazon CloudFormation 中创建 Amazon Secrets Manager 密钥
您可以通过使用 CloudFormation 模板中的
AWS::SecretsManager::Secret
资源,在 CloudFormation 堆栈中创建秘密。
常见场景是首先使用 Secret Manager 生成的密码创建秘密,然后使用动态引用从该秘密中检索用户名和密码,以用作新数据库的凭证。请参见以下示例。
要将资源策略附加到您的秘密,请使用
AWS::SecretsManager::ResourcePolicy
资源。
如果秘密包含 Amazon RDS、Amazon Redshift 或 Amazon DocumentDB 凭证,要为秘密启用自动轮换,请使用
AWS::SecretsManager::SecretTargetAttachment
资源,将关于数据库的详细信息添加到 Secret Manager 轮换所需的秘密。然后使用
AWS::SecretsManager::RotationSchedule
资源启用自动轮换。您可以在此资源中同时指定 Lambda 轮换函数和轮换计划。对于包含 Amazon RDS、Amazon Redshift 或 Amazon DocumentDB 凭证的秘密,请使用提供的 轮换函数模板 之一。
对于其他类型的秘密,您可以创建自己的轮换函数,然后使用
AWS::SecretsManager::RotationSchedule
资源启用自动轮换。Secrets Manager 提供了多个可用作起始点的 其他密钥类型。
有关使用 Amazon CloudFormation 创建资源的信息,请参阅《Amazon CloudFormation 用户指南》中的了解模板基础知识。您也可以使用 Amazon Cloud Development Kit (Amazon CDK)。有关更多信息,请参阅 Amazon Secrets Manager 构建库。
示例