本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在中创建 Amazon Secrets Manager 密钥 Amazon CloudFormation
您可以使用 CloudFormation 模板中的
AWS::SecretsManager::Secret资源在 CloudFormation 堆栈中创建密钥,如所示创建密钥。
要为 Amazon RDS 或 Aurora 创建管理员密钥,建议您使用 AWS::RDS::DBCluster 中的 ManageMasterUserPassword。然后,Amazon RDS 为您创建密钥并管理轮换。有关更多信息,请参阅 托管轮换。
对于 Amazon Redshift 和 Amazon DocumentDB 凭证,请首先使用 Secret Manager 生成的密码创建密钥,然后使用动态引用从该密钥中检索用户名和密码,以用作新数据库的凭证。接下来,使用
AWS::SecretsManager::SecretTargetAttachment 资源将有关数据库的详细信息添加到 Secrets Manager 需要轮换密钥的密钥。最后,要启用自动轮换,请使用
AWS::SecretsManager::RotationSchedule 资源并提供轮换函数和计划。请参阅以下示例:
要将资源策略附加到您的秘密,请使用
AWS::SecretsManager::ResourcePolicy 资源。
有关使用创建资源的信息 Amazon CloudFormation,请参阅《 Amazon CloudFormation 用户指南》中的 “学习模板基础知识”。您也可以使用 Amazon Cloud Development Kit (Amazon CDK)。有关更多信息,请参阅 Amazon Secrets Manager 构建库。
Secrets Manager 的使用方式 Amazon CloudFormation
当你使用控制台开启轮换时,Secrets Manager 会使用 Amazon CloudFormation 创建轮换资源。如果在该过程中创建了新的旋转函数,则会AWS::Serverless::Function根据相应的函数 Amazon CloudFormation 创建一个轮换函数模板。然后 Amazon CloudFormation 设置 RotationSchedule,它为密钥设置轮换函数和轮换规则。开启自动旋转后, Amazon CloudFormation 您可以通过在横幅中选择 “查看堆栈” 来查看堆栈。
有关启用自动轮换功能的信息,请参阅 轮换 Amazon Secrets Manager 秘密。