在 Amazon CloudFormation 中创建秘密 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

在 Amazon CloudFormation 中创建秘密

您可以通过使用 CloudFormation 模板中的 AWS::SecretsManager::Secret 资源,在 CloudFormation 堆栈中创建秘密。

常见场景是首先使用 Secret Manager 生成的密码创建秘密,然后使用动态引用从该秘密中检索用户名和密码,以用作新数据库的凭证。请参见以下示例。

要将资源策略附加到您的秘密,请使用 AWS::SecretsManager::ResourcePolicy 资源。

如果秘密包含 Amazon RDS、Amazon Redshift 或 Amazon DocumentDB 凭证,要为秘密启用自动轮换,请使用 AWS::SecretsManager::SecretTargetAttachment 资源,将关于数据库的详细信息添加到 Secret Manager 轮换所需的秘密。然后使用 AWS::SecretsManager::RotationSchedule 资源启用自动轮换。您可以在此资源中同时指定 Lambda 轮换函数和轮换计划。对于包含 Amazon RDS、Amazon Redshift 或 Amazon DocumentDB 凭证的秘密,请使用提供的 轮换函数模板 之一。

对于其他类型的秘密,您可以创建自己的轮换函数,然后使用 AWS::SecretsManager::RotationSchedule 资源启用自动轮换。Secrets Manager 提供了多个可用作起始点的 其他密钥类型

有关使用 Amazon CloudFormation 创建资源的信息,请参阅《Amazon CloudFormation 用户指南》中的了解模板基础知识。您也可以使用 Amazon Cloud Development Kit (Amazon CDK)。有关更多信息,请参阅 Amazon Secrets Manager 构建库