Obtén un AWS Secrets Manager secreto en un AWS CloudFormation recurso - AWS Secrets Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Obtén un AWS Secrets Manager secreto en un AWS CloudFormation recurso

Con AWS CloudFormation, puedes recuperar un secreto para usarlo en otro AWS CloudFormation recurso. Un escenario común consiste en crear primero un secreto con una contraseña generada por Secrets Manager y, a continuación, recuperar el nombre de usuario y la contraseña del secreto y utilizarlos como credenciales para una base de datos nueva. Para obtener información sobre cómo crear secretos con AWS CloudFormation, consulteCreación de secretos de AWS Secrets Manager en AWS CloudFormation.

Para recuperar un secreto de una AWS CloudFormation plantilla, utilice una referencia dinámica. Al crear la pila, la referencia dinámica introduce el valor secreto en el AWS CloudFormation recurso, por lo que no es necesario codificar la información secreta. En su lugar, se hace referencia al secreto por su nombre o ARN. Se puede utilizar una referencia dinámica para un secreto en cualquier propiedad de un recurso. No se puede utilizar una referencia dinámica para un secreto en metadatos de un recurso tales como AWS::CloudFormation::Init, ya que eso provocaría que el valor de secreto fuera visible en la consola.

Una referencia dinámica de un secreto tiene el siguiente patrón:

{{resolve:secretsmanager:secret-id:SecretString:json-key:version-stage:version-id}}
id-secreto

El nombre o el ARN del secreto. Para acceder a un secreto de tu AWS cuenta, puedes usar el nombre secreto. Para acceder a un secreto de otra AWS cuenta, usa el ARN del secreto.

clave-json (Opcional)

El nombre de la clave del par clave-valor cuyo valor desea recuperar. Si no especificas unjson-key, AWS CloudFormation recupera todo el texto secreto. Este segmento no puede incluir el signo de dos puntos (:).

fase-versión (Opcional)

La version del secreto que se debe utilizar. Secrets Manager utiliza etiquetas provisionales para realizar un seguimiento de las diferentes versiones durante el proceso de rotación. Si usa version-stage, no especifique version-id. Si no especifica version-stage ni version-id, la versión predeterminada es la AWSCURRENT. Este segmento no puede incluir el signo de dos puntos (:).

id-versión (Opcional)

El identificador único de la versión del secreto a utilizar. Si especifica version-id, no especifique version-stage. Si no especifica version-stage ni version-id, la versión predeterminada es la AWSCURRENT. Este segmento no puede incluir el signo de dos puntos (:).

Para obtener más información, consulte Uso de referencias dinámicas para especificar secretos en Secrets Manager.

nota

No cree una referencia dinámica con una barra invertida (\) como valor final. AWS CloudFormation no puede resolver esas referencias, lo que provoca una falla en el recurso.