AWS CloudFormation で AWS Secrets Manager シークレットを作成する

シークレットを作成する に示すように、CloudFormation テンプレートで AWS::SecretsManager::Secret リソースを使用して、CloudFormation スタックでシークレットを作成できます。

Amazon RDS または Aurora の管理者シークレットを作成するには、AWS::RDS::DBCluster で ManageMasterUserPassword を使用することをお勧めします。次に、Amazon RDS がシークレットを作成し、ローテーションを管理します。詳細については、「マネージドローテーション」を参照してください。

Amazon Redshift および Amazon DocumentDB の認証情報については、最初に Secrets Manager によって生成されたパスワードでシークレットを作成し、動的参照を使用してシークレットからユーザー名とパスワードを取得し、新しいデータベースの認証情報として使用します。次に、 AWS::SecretsManager::SecretTargetAttachment リソースを使用して、Secrets Manager がシークレットをローテーションするために必要なシークレットに、データベースに関する詳細を追加します。最後に、自動ローテーションを有効にするには、 AWS::SecretsManager::RotationSchedule リソースを使用して、ローテーション関数 と スケジュール を提供します。以下の例を参照してください。

• Amazon Redshift 認証情報を使用してシークレットを作成する

• Amazon DocumentDB 認証情報を使用してシークレットを作成する

シークレットにリソースポリシーをアタッチするには、 AWS::SecretsManager::ResourcePolicy リソースを使用します。

AWS CloudFormation を使用したリソースの作成の詳細については、「AWS CloudFormation ユーザーガイド」の「テンプレートの基礎についての学習」を参照してください。また、AWS Cloud Development Kit (AWS CDK) を使用することもできます 詳細については、AWS Secrets Manager Construct ライブラリを参照してください。

Secrets Manager が AWS CloudFormation を使用する方法

コンソールを使用してローテーションをオンにすると、Secrets Manager は AWS CloudFormation を使用して、ローテーション用のリソースを作成します。そのプロセスで新しいローテーション関数を作成すると、AWS CloudFormation は適切な ローテーション関数のテンプレート に基づいて AWS::Serverless::Function を作成します。次に AWS CloudFormation は RotationSchedule を設定し、シークレットのローテーション関数とローテーションルールを設定します。自動ローテーションをオンにした後、バナーで [View stack] (スタックの表示) を選択すると、AWS CloudFormation スタックを表示できます。

自動ローテーションを有効にする方法については、AWS Secrets Manager シークレットのローテーション を参照してください。