Criar segredos no AWS CloudFormation - AWS Secrets Manager

Criar segredos no AWS CloudFormation

Você pode criar segredos em uma pilha do CloudFormation usando o recurso AWS::SecretsManager::Secret em um modelo do CloudFormation.

Um cenário comum é primeiro criar um segredo com uma senha gerada pelo Secrets Manager e, em seguida, usar uma referência dinâmica para recuperar o nome de usuário e a senha do segredo para usar como credenciais para um novo banco de dados. Veja os exemplos abaixo.

Para anexar uma política de recursos ao seu segredo, use o recurso AWS::SecretsManager::ResourcePolicy.

Se o segredo contiver credenciais do Amazon RDS, Amazon Redshift ou Amazon DocumentDB, para ativar a alternância automática de um segredo, use o recurso AWS::SecretsManager::SecretTargetAttachment para adicionar detalhes sobre o banco de dados ao segredo que o Secrets Manager precisa para alternar o segredo. Em seguida, use o recurso AWS::SecretsManager::RotationSchedule para ativar a alternância automática. Você especifica a função de alternância do Lambda e a programação de alternância neste recurso. Para obter um segredo que contenha credenciais do Amazon RDS, Amazon Redshift ou Amazon DocumentDB, use um dos Modelos de função de alternância fornecidos.

Para outros tipos de segredos, você cria sua própria função de alternância e usa o recurso AWS::SecretsManager::RotationSchedule para ativar a alternância automática. O Secrets Manager fornece um Outros tipos de segredo que você pode usar como ponto de partida.

Para obter informações sobre como criar recursos com o AWS CloudFormation, consulte Saiba mais sobre noções básicas de modelo no Guia do usuário do AWS CloudFormation. Você também pode usar o AWS Cloud Development Kit (AWS CDK) Para obter mais informações, consulte Biblioteca de construções do AWS Secrets Manager.