在 AWS CloudFormation 中建立 AWS Secrets Manager 秘密 - AWS Secrets Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 AWS CloudFormation 中建立 AWS Secrets Manager 秘密

您可以使用 CloudFormation 範本中的 AWS::SecretsManager::Secret 資源,在 CloudFormation 堆疊中建立秘密,如 建立秘密 中所示。

若要為 Amazon RDS 或 Aurora 建立管理員密碼,建議您在 AWS::RDS::DBCluster 中使用 ManageMasterUserPassword。Amazon RDS 接著會為您建立秘密並管理輪換。如需更多詳細資訊,請參閱 受管輪換

針對 Amazon Redshift 和 Amazon DocumentDB 憑證,首先使用 Secrets Manager 產生的密碼建立秘密,然後使用動態參考從秘密中擷取使用者名稱和密碼,當作新資料庫的憑證。接下來,使用 AWS::SecretsManager::SecretTargetAttachment 資源,將資料庫相關詳細資訊,新增至 Secrets Manager 必須輪換秘密的秘密。最後,若要開啟自動輪換,請使用 AWS::SecretsManager::RotationSchedule 資源並提供輪換函數排程。請參閱以下範例:

使用 AWS::SecretsManager::ResourcePolicy 資源將資源政策連接至秘密。

如需使用 AWS CloudFormation 建立資源的資訊,請參閱《AWS CloudFormation 使用者指南》中的瞭解範本的基本知識。您也可以使用 AWS Cloud Development Kit (AWS CDK)。如需詳細資訊,請參閱 AWS Secrets Manager 建構程式庫

Secrets Manager 使用 AWS CloudFormation 的方式

當您使用主控台開啟輪換功能,Secrets Manager 會使用 AWS CloudFormation 建立輪換所需的資源。如果您在該過程中建立新的輪換函數,AWS CloudFormation 會根據適當的 輪換函數範本 建立 AWS::Serverless::Function。接著,AWS CloudFormation 會設定 RotationSchedule,這會設定秘密的輪換函數和輪換規則。開啟自動輪換後,您可以在橫幅中選擇 View stack (檢視堆疊),檢視 AWS CloudFormation 堆疊。

如需瞭解開啟自動輪換功能的相關資訊,請參閱Rotate AWS Secrets Manager 秘密