本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# CloudWatch 管道擴充功能
<a name="pipeline-extensions"></a>

CloudWatch 管道延伸為管道提供額外的功能。您可以使用 AWS Secrets Manager 整合進行憑證管理。

## AWS Secrets Manager 延伸模組
<a name="aws-secrets-manager-extension"></a>

設定 AWS Secrets Manager 的存取權，以擷取登入資料和敏感組態值。只有需要身分驗證憑證的第三方來源才支援此擴充功能。

**Configuration**  
使用下列參數設定 AWS Secrets Manager 擴充功能：

```
extension:
  aws:
    secrets:
      <secret-name>:
        secret_id: "<secret arn>"
        region: "<secret region>"
        sts_role_arn: "arn:aws:iam::123456789012:role/Example-Role"
        refresh_interval: PT1H
        disable_refresh: false
```Parameters

`aws.secrets.<secret-name>.secret_id` (必要)  
包含憑證之 AWS Secrets Manager 秘密的 ARN。

`aws.secrets.<secret-name>.region` (必要)  
存放秘密 AWS 的區域。

`aws.secrets.<secret-name>.sts_role_arn` (必要)  
存取 Secrets Manager 秘密時要擔任之 IAM 角色的 AWS ARN。

`aws.secrets.<secret-name>.refresh_interval` (選用)  
從 AWS Secrets Manager 重新整理秘密的頻率。使用 ISO 8601 持續時間格式。預設為 PT1H (1 小時）。

`aws.secrets.<secret-name>.disable_refresh` (選用)  
是否停用自動秘密重新整理。預設為 false。

### 秘密參考語法
<a name="secret-reference-syntax"></a>

使用下列語法參考管道組態中的秘密：

```
${{aws_secrets:<secret-name>:<key>}}
```

例如，若要參考用戶端 ID 和秘密：

```
source:
  microsoft_office365:
    authentication:
      oauth2:
        client_id: "${{aws_secrets:office365-creds:client_id}}"
        client_secret: "${{aws_secrets:office365-creds:client_secret}}"
```

### 要求與限制
<a name="secret-requirements"></a>

秘密格式  
秘密必須儲存為 Secrets Manager 中的 AWS JSON 鍵/值對。

跨區域存取  
您可以從任何可使用 Secrets Manager 的區域 AWS 存取秘密。

重新整理間隔限制  
最短重新整理間隔為 5 分鐘 (PT5M)。上限為 24 小時 (PT24H)。

最大秘密  
管道最多可參考 10 個不同的秘密。

**重要**  
使用秘密時，請考慮下列事項：  
確保 IAM 角色具有存取秘密的適當許可
使用 AWS CloudTrail 監控秘密存取
針對不同的環境 （開發、生產） 使用個別的秘密