使用 AWS Secrets Manager 跟踪数据库密码或第三方 API 密钥
我们建议使用 AWS Secrets Manager,以便在数据库凭证、API 密钥和其他密钥的整个生命周期中,对其进行轮换、管理和检索。Secrets Manager 使您可以将代码中的硬编码凭证(包括密码)替换为对 Secrets Manager 的 API 调用,以便以编程方式检索密钥。有关更多信息,请参阅 AWS Secrets Manager 用户指南 中的什么是 AWS Secrets Manager?。
对于在 AWS CloudFormation 模板中传递密钥(例如 OAuth 凭证)参数的管道,应该在您的模板中包含动态引用,以访问存储在 Secrets Manager 中的密钥。有关引用 ID 模式和示例,请参阅 AWS CloudFormation 用户指南 中的 Secrets Manager 密钥。有关管道中 GitHub Webhook 的模板代码段中使用动态引用的示例,请参阅 Webhook 资源配置。
另请参阅
下列相关资源可以帮助您管理密钥。
-
Secrets Manager 可以自动轮换数据库凭证,例如用于轮换 Amazon RDS 密钥。有关更多信息,请参阅 AWS 用户指南 中的轮换 AWS Secrets Manager 密钥。
-
要查看有关向 AWS CloudFormation 模板添加 Secrets Manager 动态引用的说明,请参阅 https://aws.amazon.com/blogs/security/how-to-create-and-retrieve-secrets-managed-in-aws-secrets-manager-using-aws-cloudformation-template/
。
