本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在中创建 Amazon Secrets Manager 密钥 Amazon CloudFormation
<a name="cloudformation"></a>

您可以使用 CloudFormation 模板中的`[ AWS::SecretsManager::Secret](https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/aws-resource-secretsmanager-secret.html)`资源在 CloudFormation 堆栈中创建密钥，如所示[创建密钥](cfn-example_secret.md)。

要为 Amazon RDS 或 Aurora 创建管理员密钥，建议您使用 [https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/aws-resource-rds-dbcluster.html](https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/aws-resource-rds-dbcluster.html) 中的 `ManageMasterUserPassword`。然后，Amazon RDS 为您创建密钥并管理轮换。有关更多信息，请参阅 [托管轮换](rotate-secrets_managed.md)。

对于 Amazon Redshift 和 Amazon DocumentDB 凭证，请首先使用 Secret Manager 生成的密码创建密钥，然后使用[动态引用](cfn-example_reference-secret.md)从该密钥中检索用户名和密码，以用作新数据库的凭证。接下来，使用 `[ AWS::SecretsManager::SecretTargetAttachment](https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/aws-resource-secretsmanager-secrettargetattachment.html)` 资源将有关数据库的详细信息添加到 Secrets Manager 需要轮换密钥的密钥。最后，要启用自动轮换，请使用 `[ AWS::SecretsManager::RotationSchedule](https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/aws-resource-secretsmanager-rotationschedule.html)` 资源并提供[轮换函数](reference_available-rotation-templates.md)和[计划](rotate-secrets_schedule.md)。请参阅以下示例：
+ [使用 Amazon Redshift 凭证创建密钥](cfn-example_Redshift-secret.md)
+ [使用 Amazon DocumentDB 凭证创建密钥](cfn-example_DocDB-secret.md)

要将资源策略附加到您的秘密，请使用 `[ AWS::SecretsManager::ResourcePolicy](https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/aws-resource-secretsmanager-resourcepolicy.html)` 资源。



有关使用创建资源的信息 Amazon CloudFormation，请参阅《 Amazon CloudFormation 用户指南》中的 “[学习模板基础知识](https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/gettingstarted.templatebasics.html)”。您也可以使用 Amazon Cloud Development Kit (Amazon CDK)。有关更多信息，请参阅 [Amazon Secrets Manager 构建库](https://docs.amazonaws.cn/cdk/api/latest/docs/aws-secretsmanager-readme.html)。

## Secrets Manager 的使用方式 Amazon CloudFormation
<a name="how-asm-uses-cfn"></a>

当你使用控制台开启轮换时，Secrets Manager 会使用 Amazon CloudFormation 创建轮换资源。如果在该过程中创建了新的旋转函数，则会[https://docs.amazonaws.cn/serverless-application-model/latest/developerguide/sam-resource-function.html](https://docs.amazonaws.cn/serverless-application-model/latest/developerguide/sam-resource-function.html)根据相应的函数 Amazon CloudFormation 创建一个[轮换函数模板](reference_available-rotation-templates.md)。然后 Amazon CloudFormation 设置 [https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/aws-resource-secretsmanager-rotationschedule.html](https://docs.amazonaws.cn/AWSCloudFormation/latest/UserGuide/aws-resource-secretsmanager-rotationschedule.html)，它为密钥设置轮换函数和轮换规则。开启自动旋转后， Amazon CloudFormation 您可以通过在横幅中选择 “**查看堆栈**” 来查看堆栈。

有关启用自动轮换功能的信息，请参阅 [轮换 Amazon Secrets Manager 秘密](rotating-secrets.md)。