Obtener un secreto de AWS Secrets Manager en un recurso de CloudFormation - AWS Secrets Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Obtener un secreto de AWS Secrets Manager en un recurso de CloudFormation

Con CloudFormation, puede recuperar un secreto para utilizarlo en otro recurso de CloudFormation. Un escenario común consiste en crear primero un secreto con una contraseña generada por Secrets Manager y, a continuación, recuperar el nombre de usuario y la contraseña del secreto y utilizarlos como credenciales para una base de datos nueva. Para obtener más información sobre cómo crear secretos con CloudFormation, consulte Creación de secretos de AWS Secrets Manager en AWS CloudFormation.

Para recuperar un secreto en una plantilla de CloudFormation, utilice una referencia dinámica. Al crear la pila, la referencia dinámica extrae el valor secreto del recurso CloudFormation, por lo que no tiene que codificar la información secreta. En su lugar, se hace referencia al secreto por su nombre o ARN. Se puede utilizar una referencia dinámica para un secreto en cualquier propiedad de un recurso. No se puede utilizar una referencia dinámica para un secreto en metadatos de un recurso tales como AWS::CloudFormation::Init, ya que eso provocaría que el valor de secreto fuera visible en la consola.

Una referencia dinámica de un secreto tiene el siguiente patrón:

{{resolve:secretsmanager:secret-id:SecretString:json-key:version-stage:version-id}}
id-secreto

El nombre o el ARN del secreto. Para obtener acceso a un secreto en su cuenta de AWS, puede utilizar el nombre del secreto. Para acceder a un secreto en una cuenta de AWS diferente, utilice el ARN del secreto.

clave-json (Opcional)

El nombre de la clave del par clave-valor cuyo valor desea recuperar. Si no se especifica una json-key, CloudFormation recupera todo el texto secreto. Este segmento no puede incluir el signo de dos puntos ( :).

fase-versión (Opcional)

La version del secreto que se debe utilizar. Secrets Manager utiliza etiquetas provisionales para realizar un seguimiento de las diferentes versiones durante el proceso de rotación. Si usa version-stage, no especifique version-id. Si no especifica version-stage ni version-id, la versión predeterminada es la AWSCURRENT. Este segmento no puede incluir el signo de dos puntos ( :).

id-versión (Opcional)

El identificador único de la versión del secreto a utilizar. Si especifica version-id, no especifique version-stage. Si no especifica version-stage ni version-id, la versión predeterminada es la AWSCURRENT. Este segmento no puede incluir el signo de dos puntos ( :).

Para obtener más información, consulte Uso de referencias dinámicas para especificar secretos en Secrets Manager.

nota

No cree una referencia dinámica utilizando una barra invertida (\) como valor final. CloudFormation no puede resolver esas referencias, lo que provoca un error en los recursos.