AWS CloudFormation 리소스에서 AWS Secrets Manager 비밀 가져오기

AWS CloudFormation를 사용하면 암호를 검색하여 다른 AWS CloudFormation 리소스에서 사용할 수 있습니다. 일반적인 시나리오는 먼저 Secrets Manager에서 생성한 암호로 보안 암호를 생성한 새 데이터베이스의 자격 증명으로 사용할 보안 암호에서 사용자 이름과 암호를 검색합니다. 를 사용하여 암호를 만드는 방법에 대한 자세한 내용은 AWS CloudFormation을 참조하십시오AWS CloudFormation에서 AWS Secrets Manager 보안 암호 생성.

AWS CloudFormation 템플릿에서 비밀을 검색하려면 동적 참조를 사용합니다. 스택을 생성하면 동적 참조가 비밀 값을 AWS CloudFormation 리소스로 가져오므로 비밀 정보를 하드코딩하지 않아도 됩니다. 대신, 이름이나 ARN을 사용하여 보안 암호를 참조합니다. 모든 리소스 속성의 보안 암호에 동적 참조를 사용할 수 있습니다. AWS::CloudFormation::Init와(과) 같은 리소스 메타데이터의 보안 암호에 동적 참조를 사용할 수 없습니다. 이렇게 하면 콘솔에 보안 암호 값이 표시되기 때문입니다.

보안 암호에 대한 동적 참조 패턴은 다음과 같습니다.

{{resolve:secretsmanager:secret-id:SecretString:json-key:version-stage:version-id}}

secret-id

보안 암호의 이름 또는 ARN입니다. AWS 계정의 비밀에 접근하려면 시크릿 이름을 사용하면 됩니다. 다른 AWS 계정의 비밀에 액세스하려면 해당 비밀의 ARN을 사용하십시오.

json-key(선택)

검색하고자 하는 값을 보유한 키-값 페어의 키 이름입니다. json-keya를 지정하지 않으면 전체 비밀 AWS CloudFormation 텍스트를 검색합니다. 이 세그먼트에는 콜론 문자(:)가 포함되지 않을 수 있습니다.

version-stage(선택)

사용하려는 보안 암호의 버전입니다. Secrets Manager는 교체 프로세스 도중 다른 버전을 추적하는 데 스테이징 레이블을 사용합니다. version-stage을 사용하는 경우 version-id를 지정하지 마세요. version-stage 또는 version-id를 지정하지 않은 경우 기본값은 AWSCURRENT 버전입니다. 이 세그먼트에는 콜론 문자(:)가 포함되지 않을 수 있습니다.

version-id(선택)

사용하고자 하는 보안 암호의 버전에 대한 고유 식별자입니다. version-id을 지정할 경우 version-stage을 지정하지 마세요. version-stage 또는 version-id를 지정하지 않은 경우 기본값은 AWSCURRENT 버전입니다. 이 세그먼트에는 콜론 문자(:)가 포함되지 않을 수 있습니다.

자세한 내용은 동적 참조를 사용하여 Secrets Manager 보안 암호 지정 섹션을 참조하세요.

참고

백슬래시를 최종 (\) 값으로 사용하여 동적 참조를 만들지 마십시오. AWS CloudFormation 이러한 참조를 해결할 수 없어 리소스 장애가 발생합니다.