在 Amazon CloudFormation 中创建 Amazon Secrets Manager 密钥 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon CloudFormation 中创建 Amazon Secrets Manager 密钥

您可以使用 CloudFormation 模板中的 AWS::SecretsManager::Secret 资源在 CloudFormation 堆栈中创建密钥,如 创建密钥 中所示。

要为 Amazon RDS 或 Aurora 创建管理员密钥,建议您使用 AWS::RDS::DBCluster 中的 ManageMasterUserPassword。然后,Amazon RDS 为您创建密钥并管理轮换。有关更多信息,请参阅托管轮换

对于 Amazon Redshift 和 Amazon DocumentDB 凭证,请首先使用 Secret Manager 生成的密码创建密钥,然后使用动态引用从该密钥中检索用户名和密码,以用作新数据库的凭证。接下来,使用 AWS::SecretsManager::SecretTargetAttachment 资源将有关数据库的详细信息添加到 Secrets Manager 需要轮换密钥的密钥。最后,要启用自动轮换,请使用 AWS::SecretsManager::RotationSchedule 资源并提供轮换函数计划。请参阅以下示例:

要将资源策略附加到您的秘密,请使用 AWS::SecretsManager::ResourcePolicy 资源。

有关使用 Amazon CloudFormation 创建资源的信息,请参阅《Amazon CloudFormation 用户指南》中的了解模板基础知识。您也可以使用 Amazon Cloud Development Kit (Amazon CDK)。有关更多信息,请参阅 Amazon Secrets Manager 构建库

Secrets Manager 如何使用 Amazon CloudFormation

当您使用控制台开启轮换功能时,Secrets Manager 会使用 Amazon CloudFormation 为创建要用于轮换的资源。如果您在此过程中创建了新的轮换函数,则 Amazon CloudFormation 会基于恰当的 轮换函数模板 创建一个 AWS::Serverless::Function。然后 Amazon CloudFormation 会设置 RotationSchedule,这将会设置密钥的轮换函数和轮换规则。开启自动轮换功能后,您可以选择横幅中的 View stack(查看堆栈)以查看 Amazon CloudFormation 堆栈。

有关启用自动轮换功能的信息,请参阅 轮换 Amazon Secrets Manager 密钥