AWS CloudFormation에서 AWS Secrets Manager 보안 암호 생성

보안 암호 생성에 나와 있는 것처럼 CloudFormation 템플릿의 AWS::SecretsManager::Secret 리소스를 사용하여 CloudFormation 스택에 보안 암호를 생성할 수 있습니다.

Amazon RDS 또는 Aurora에 대한 관리자 암호를 생성하려면 AWS::RDS::DBCluster에서 ManageMasterUserPassword를 사용하는 것이 좋습니다 . 그러면 Amazon RDS가 암호를 생성하고 자동으로 교체를 관리합니다. 자세한 내용은 관리형 교체 섹션을 참조하세요.

Amazon Redshift 및 Amazon DocumentDB 자격 증명에 대해서는 먼저 Secrets Manager에서 생성한 암호로 보안 암호를 생성한 다음 동적 참조를 사용하여 새 데이터베이스의 자격 증명으로 사용할 보안 암호에서 사용자 이름과 암호를 검색합니다. 다음으로 AWS::SecretsManager::SecretTargetAttachment 리소스를 사용하여 Secrets Manager가 보안 암호를 교체하는 데 필요한 보안 암호에 데이터베이스에 관한 세부 정보를 추가합니다. 마지막으로 자동 교체를 켜려면 AWS::SecretsManager::RotationSchedule 리소스를 사용하고 교체 함수와 일정을 제공합니다. 다음 예를 참조하세요.

보안 암호에 리소스 정책을 연결하려면 AWS::SecretsManager::ResourcePolicy 리소스를 사용합니다.

AWS CloudFormation을 사용한 리소스 생성에 대한 자세한 내용은 AWS CloudFormation 사용 설명서의 템플릿 기본 사항 알아보기를 참조하세요. AWS Cloud Development Kit (AWS CDK)도 사용할 수 있습니다. 자세한 내용은 AWS Secrets Manager 라이브러리 구성을 참조하세요.

Secrets Manager의 AWS CloudFormation 사용 방식

콘솔을 사용하여 교체를 활성화하면 Secrets Manager는 AWS CloudFormation을 사용하여 교체를 위한 리소스를 생성합니다. 그 과정에서 새 교체 함수를 생성하면 AWS CloudFormation은 적절한 교체 함수 템플릿을 기반으로 AWS::Serverless::Function을 생성합니다. 그런 다음 AWS CloudFormation은 보안 암호에 대한 교체 함수 및 교체 규칙을 설정하는 RotationSchedule을 설정합니다. 자동 교체를 활성화한 후 배너에서 스택 보기(View stack)를 선택하여 AWS CloudFormation 스택을 볼 수 있습니다.

자동 교체 활성화에 대한 정보는 로테이션 AWS Secrets Manager 시크릿를 참조하세요.