Trouver un AWS Secrets Manager secret dans une AWS CloudFormation ressource - AWS Secrets Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Trouver un AWS Secrets Manager secret dans une AWS CloudFormation ressource

Avec AWS CloudFormation, vous pouvez récupérer un secret à utiliser dans une autre AWS CloudFormation ressource. Un scénario habituel consiste à créer d'abord un secret avec un mot de passe généré par Secrets Manager, à récupérer le nom d'utilisateur et le mot de passe du secret pour les utiliser comme des informations d'identification dans une nouvelle base de données. Pour plus d'informations sur la création de secrets avec AWS CloudFormation, consultezCréer un secret AWS Secrets Manager dans AWS CloudFormation.

Pour récupérer un secret dans un AWS CloudFormation modèle, vous devez utiliser une référence dynamique. Lorsque vous créez la pile, la référence dynamique introduit la valeur secrète dans la AWS CloudFormation ressource, de sorte que vous n'avez pas à coder en dur les informations secrètes. Au lieu de cela, vous vous référez au secret par son nom ou son ARN. Vous pouvez utiliser une référence dynamique pour un secret dans n'importe quelle propriété de ressource. Vous ne pouvez pas utiliser de référence dynamique pour un secret dans les métadonnées des ressources, à l'instar de AWS::CloudFormation::Init, car cela rendrait la valeur secrète visible dans la console.

Une référence dynamique pour un secret présente le modèle suivant :

{{resolve:secretsmanager:secret-id:SecretString:json-key:version-stage:version-id}}
secret-id

Nom ou ARN du secret. Pour accéder à un secret de votre AWS compte, vous pouvez utiliser le nom du secret. Pour accéder à un secret d'un autre AWS compte, utilisez l'ARN du secret.

json-key (Facultatif)

Le nom de clé de la paire clé-valeur dont vous voulez récupérer la valeur. Si vous ne spécifiez pas dejson-key, AWS CloudFormation récupère l'intégralité du texte secret. Ce segment peut ne pas inclure le caractère deux-points (: ).

version-stage (Facultatif)

La version du secret à utiliser. Secrets Manager utilise des étiquettes intermédiaires pour assurer le suivi des différentes versions pendant le processus de rotation. Si vous utilisez version-stage, ne spécifiez pas version-id. Si vous ne spécifiez ni version-stage ni version-id, alors la version par défaut est la version AWSCURRENT. Ce segment peut ne pas inclure le caractère deux-points (: ).

version-id (Facultatif)

L'identifiant unique de la version du secret à utiliser. Si vous spécifiez version-id, ne spécifiez pas version-stage. Si vous ne spécifiez ni version-stage ni version-id, alors la version par défaut est la version AWSCURRENT. Ce segment peut ne pas inclure le caractère deux-points (: ).

Pour de plus amples informations, veuillez consulter Utilisation de références dynamiques pour spécifier les secrets Secrets Manager.

Note

Ne créez pas de référence dynamique en utilisant une barre oblique inversée (\) comme valeur finale. AWS CloudFormation ne peut pas résoudre ces références, ce qui entraîne une défaillance des ressources.