Best practice Considerazioni Autorizzazioni Schema di riferimento Esempi

Ottieni un segreto o un valore segreto da Secrets Manager

Secrets Manager è un servizio che consente di archiviare e gestire in modo sicuro segreti come credenziali di database, password e chiavi API di terzi. Con Secrets Manager puoi archiviare e controllare centralmente l’accesso a questi segreti, in modo da poter sostituire le credenziali con codifica fissa nel codice (incluse le password), con una chiamata API a Secrets Manager per recuperare il segreto a livello di programmazione. Per ulteriori informazioni, consulta Che cos’è Gestione dei segreti AWS? nella Guida per l’utente di Gestione dei segreti AWS.

Per usare interi segreti o valori di segreto archiviati in Secrets Manager all’interno dei tuoi modelli CloudFormation, utilizza i riferimenti dinamici secretsmanager.

Best practice

Segui queste best practice quando utilizzi i riferimenti dinamici di Secrets Manager nei modelli CloudFormation:

Usa riferimenti senza versione per i tuoi modelli CloudFormation: archivia le credenziali in Secrets Manager e usa riferimenti dinamici senza specificare i parametri version-stage o version-id per supportare flussi di lavoro di rotazione segreti adeguati.
Sfrutta la rotazione automatica: utilizza la funzionalità di rotazione automatica di Secrets Manager con riferimenti dinamici senza versione per la gestione delle credenziali. Ciò garantisce che le credenziali vengano aggiornate regolarmente senza richiedere modifiche al modello. Per ulteriori informazioni, consulta Rotazione dei segreti Gestione dei segreti AWS.
Usa i riferimenti che presentano versioni con parsimonia: specifica solo i parametri version-stage o version-id espliciti per scenari specifici come situazioni di test o rollback.

Considerazioni

Quando si utilizzano riferimenti dinamici secretsmanager, è necessario tenere a mente alcune considerazioni importanti:

CloudFormation non tiene traccia della versione di un segreto utilizzata nelle implementazioni precedenti. Pianifica attentamente la tua strategia di gestione del segreto prima di implementare i riferimenti dinamici. Se possibile, utilizza riferimenti senza versione per sfruttare la rotazione automatica del segreto. Monitora e convalida gli aggiornamenti delle risorse quando apporti modifiche alle configurazioni dei riferimenti dinamici, ad esempio durante la transizione da riferimenti dinamici senza versioni a quelli con versioni e viceversa.
Aggiornare solo il valore segreto in Secrets Manager non fa sì che CloudFormation recuperi automaticamente il nuovo valore. CloudFormation recupera il valore segreto solo durante la creazione di risorse o gli aggiornamenti che modificano la risorsa contenente il riferimento dinamico.

Ad esempio, supponiamo che il modello includa una risorsa AWS::RDS::DBInstance in cui la proprietà MasterPassword è impostata su un riferimento dinamico di Secrets Manager. Dopo aver creato uno stack da questo modello, aggiorna il valore del segreto in Secrets Manager. Tuttavia, la proprietà MasterPassword mantiene il vecchio valore della password.

Per applicare il nuovo valore segreto, dovrai modificare la risorsa AWS::RDS::DBInstance nel tuo modello CloudFormation ed eseguire un aggiornamento dello stack.

Per evitare questo processo manuale in futuro, ti consigliamo di utilizzare Secrets Manager per ruotare in automatico il segreto.
I riferimenti dinamici per valori sicuri, come secretsmanager, non sono attualmente supportati nelle risorse personalizzate.
Il riferimento dinamico secretsmanager può essere utilizzato in tutte le proprietà di risorsa. L’utilizzo del riferimento dinamico secretsmanager indica che né Secrets Manager né CloudFormation devono registrare o conservare un valore di segreto risolto. Tuttavia, il valore di segreto può essere visualizzato nel servizio proprietario della risorsa in cui è utilizzato. Rivedi l’utilizzo per evitare perdite di dati segreti.

Autorizzazioni

Per specificare un segreto archiviato in Secrets Manager, devi disporre dell’autorizzazione alla chiamata per il segreto GetSecretValue.

Schema di riferimento

Per fare riferimento ai segreti di Secrets Manager nel tuo modello CloudFormation, utilizza il seguente modello di riferimento secretsmanager.


{{resolve:secretsmanager:secret-id:secret-string:json-key:version-stage:version-id}}

secret-id

Il nome o l’ARN del segreto.

Per accedere a un segreto nel tuo Account AWS, devi solo specificare il nome del segreto. Per accedere a un segreto in un Account AWS diverso, specifica l’ARN completo del segreto.

Obbligatorio.

secret-string

L’unico valore supportato è SecretString. Il valore predefinito è SecretString.

json-key

Il nome della chiave della coppia chiave-valore di cui intendi recuperare il valore. Se non si specifica json-key, CloudFormation recupera tutto il testo del segreto.

Questo segmento può non includere il carattere di due punti ( :).

version-stage

L’etichetta temporanea della versione del segreto da utilizzare. Secrets Manager utilizza le etichette temporanee per tenere traccia delle differenti versioni durante il processo di rotazione. Se utilizzi version-stage, non specificare version-id. Se non specifichi né version-stage né version-id, la versione di default sarà la AWSCURRENT.

Questo segmento può non includere il carattere di due punti ( :).

version-id

L’identificatore univoco della versione del segreto da utilizzare. Se specifichi version-id, non è necessario specificare anche version-stage. Se non specifichi né version-stage né version-id, la versione di default sarà la AWSCURRENT.

Questo segmento può non includere il carattere di due punti ( :).

Esempi

Argomenti

Recupero dei valori nome utente e password da un segreto
Recupero dell’intero SecretString
Recupero di un valore da una versione specifica di un segreto
Recupero di segreti da un altro Account AWS

Recupero dei valori nome utente e password da un segreto

L’esempio AWS::RDS::DBInstance seguente recupera i valori nome utente e password archiviati nel segreto MySecret. Questo esempio mostra lo schema consigliato per i riferimenti dinamici senza versione, che utilizza automaticamente la versione AWSCURRENT e supporta i flussi di lavoro di rotazione di Secrets Manager senza richiedere modifiche al modello.

JSON


{
    "MyRDSInstance": {
        "Type": "AWS::RDS::DBInstance",
        "Properties": {
            "DBName": "MyRDSInstance",
            "AllocatedStorage": "20",
            "DBInstanceClass": "db.t2.micro",
            "Engine": "mysql",
            "MasterUsername": "{{resolve:secretsmanager:MySecret:SecretString:username}}",
            "MasterUserPassword": "{{resolve:secretsmanager:MySecret:SecretString:password}}"
        }
    }
}

YAML


  MyRDSInstance:
    Type: AWS::RDS::DBInstance
    Properties:
      DBName: MyRDSInstance
      AllocatedStorage: '20'
      DBInstanceClass: db.t2.micro
      Engine: mysql
      MasterUsername: '{{resolve:secretsmanager:MySecret:SecretString:username}}'
      MasterUserPassword: '{{resolve:secretsmanager:MySecret:SecretString:password}}'

Recupero dell’intero SecretString

Il riferimento dinamico seguente recupera SecretString per MySecret.


{{resolve:secretsmanager:MySecret}}

In alternativa:


{{resolve:secretsmanager:MySecret::::}}

Recupero di un valore da una versione specifica di un segreto

Il riferimento dinamico seguente recupera il valore password per la versione AWSPREVIOUS di MySecret.


{{resolve:secretsmanager:MySecret:SecretString:password:AWSPREVIOUS}}

Recupero di segreti da un altro Account AWS

Il riferimento dinamico seguente recupera SecretString per MySecret che si trova in un altro Account AWS. Devi specificare l’ARN di segreto completo per accedere ai segreti in un altro Account AWS.


{{resolve:secretsmanager:arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret}}

Il riferimento dinamico seguente recupera il valore password per MySecret che si trova in un altro Account AWS. Devi specificare l’ARN di segreto completo per accedere ai segreti in un altro Account AWS.


{{resolve:secretsmanager:arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret:SecretString:password}}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Ottenimento di una stringa sicura di Systems Manager

Ottieni valori AWS