Recuperação de um segredo do AWS Secrets Manager em um recurso do AWS CloudFormation - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Recuperação de um segredo do AWS Secrets Manager em um recurso do AWS CloudFormation

Com o AWS CloudFormation, é possível recuperar um segredo para usar em outro recurso do AWS CloudFormation. Um cenário comum é primeiro criar um segredo com uma senha gerada pelo Secrets Manager e, em seguida, recuperar o nome de usuário e a senha do segredo para usar como credenciais para um novo banco de dados. Para obter informações sobre a criação de segredos com o AWS CloudFormation, consulte Criação de segredos do AWS Secrets Manager no AWS CloudFormation.

Para recuperar um segredo em um modelo AWS CloudFormation, você usa uma referência dinâmica. Quando a pilha é criada, a referência dinâmica insere o valor do segredo no recurso do AWS CloudFormation para que você não precise codificar as informações secretas. Em vez disso, é necessário fazer referência ao segredo pelo nome ou ARN. Você pode usar uma referência dinâmica para um segredo em qualquer propriedade do recurso. Você não pode usar uma referência dinâmica para um segredo em metadados do recurso, por exemplo, AWS::CloudFormation::Init, pois isso tornaria o valor secreto visível no console.

Uma referência dinâmica para um segredo tem o seguinte padrão:

{{resolve:secretsmanager:secret-id:SecretString:json-key:version-stage:version-id}}
secret-id

O nome ou ARN completo do segredo. Para acessar um segredo na sua conta da AWS, você pode usar o nome do segredo. Para acessar um segredo em uma conta diferente da AWS, use o ARN do segredo.

json-key (opcional)

O nome da chave do par de chave-valor cujo valor você deseja recuperar. Se você não especificar um json-key, o AWS CloudFormation recuperará todo o texto do segredo. Esse segmento não pode incluir o caractere de dois pontos (:).

version-stage (opcional)

A versão do segredo a ser usado. O Secrets Manager usa rótulos de preparação para acompanhar diferentes versões durante o processo de alternância. Se você usar version-stage, não especifique version-id. Se você não especificar version-stage ou version-id, o padrão é a versão AWSCURRENT. Esse segmento não pode incluir o caractere de dois pontos (:).

version-id (opcional)

O identificador exclusivo da versão do segredo a usar. Se você especificar version-id, não especifique version-stage. Se você não especificar version-stage ou version-id, o padrão é a versão AWSCURRENT. Esse segmento não pode incluir o caractere de dois pontos (:).

Para obter mais informações, consulte Uso de referências dinâmicas para especificar segredos do Secrets Manager.

nota

Não crie uma referência dinâmica usando uma barra invertida (\) como valor final. O AWS CloudFormation não pode resolver essas referências, o que resulta em uma falha no recurso.