在 Amazon CloudFormation 中创建 Amazon Secrets Manager 密钥

您可以通过使用 CloudFormation 模板中的 AWS::SecretsManager::Secret 资源，在 CloudFormation 堆栈中创建秘密。

常见场景是首先使用 Secret Manager 生成的密码创建秘密，然后使用动态引用从该秘密中检索用户名和密码，以用作新数据库的凭证。请参见以下示例。

要将资源策略附加到您的秘密，请使用 AWS::SecretsManager::ResourcePolicy 资源。

如果秘密包含 Amazon RDS、Amazon Redshift 或 Amazon DocumentDB 凭证，要为秘密启用自动轮换，请使用 AWS::SecretsManager::SecretTargetAttachment 资源，将关于数据库的详细信息添加到 Secret Manager 轮换所需的秘密。然后使用 AWS::SecretsManager::RotationSchedule 资源启用自动轮换。您可以在此资源中同时指定 Lambda 轮换函数和轮换计划。对于包含 Amazon RDS、Amazon Redshift 或 Amazon DocumentDB 凭证的秘密，请使用提供的 轮换函数模板 之一。

对于其他类型的秘密，您可以创建自己的轮换函数，然后使用 AWS::SecretsManager::RotationSchedule 资源启用自动轮换。Secrets Manager 提供了多个可用作起始点的 其他密钥类型。

有关使用 Amazon CloudFormation 创建资源的信息，请参阅《Amazon CloudFormation 用户指南》中的了解模板基础知识。您也可以使用 Amazon Cloud Development Kit (Amazon CDK)。有关更多信息，请参阅 Amazon Secrets Manager 构建库。