Best practice Considerazioni Permissions Schema di riferimento Esempi

Ottieni un segreto o un valore segreto da Secrets Manager

Secrets Manager è un servizio che consente di archiviare e gestire in modo sicuro segreti come credenziali di database, password e chiavi API di terzi. Con Secrets Manager puoi archiviare e controllare centralmente l’accesso a questi segreti, in modo da poter sostituire le credenziali con codifica fissa nel codice (incluse le password), con una chiamata API a Secrets Manager per recuperare il segreto a livello di programmazione. Per ulteriori informazioni, consulta Cos'è Gestione dei segreti AWS? nella Guida Gestione dei segreti AWS per l'utente.

Per utilizzare interi segreti o valori segreti archiviati in Secrets Manager all'interno dei CloudFormation modelli, si utilizzano riferimenti secretsmanager dinamici.

Best practice

Segui queste best practice quando utilizzi i riferimenti dinamici di Secrets Manager nei tuoi CloudFormation modelli:

Usa riferimenti senza versione per i tuoi CloudFormation modelli: archivia le credenziali in Secrets Manager e usa riferimenti dinamici senza specificare version-id parametri per supportare flussi di version-stage lavoro di rotazione segreti adeguati.
Sfrutta la rotazione automatica: utilizza la funzionalità di rotazione automatica di Secrets Manager con riferimenti dinamici senza versione per la gestione delle credenziali. Ciò garantisce che le credenziali vengano aggiornate regolarmente senza richiedere modifiche al modello. Per ulteriori informazioni, consulta Rotazione dei segreti Gestione dei segreti AWS.
Usa i riferimenti che presentano versioni con parsimonia: specifica solo i parametri version-stage o version-id espliciti per scenari specifici come situazioni di test o rollback.

Considerazioni

Quando si utilizzano riferimenti dinamici secretsmanager, è necessario tenere a mente alcune considerazioni importanti:

CloudFormation non tiene traccia della versione di un segreto utilizzata nelle distribuzioni precedenti. Pianifica attentamente la tua strategia di gestione del segreto prima di implementare i riferimenti dinamici. Se possibile, utilizza riferimenti senza versione per sfruttare la rotazione automatica del segreto. Monitora e convalida gli aggiornamenti delle risorse quando apporti modifiche alle configurazioni dei riferimenti dinamici, ad esempio durante la transizione da riferimenti dinamici senza versioni a quelli con versioni e viceversa.
L'aggiornamento del solo valore segreto in Secrets Manager non comporta automaticamente CloudFormation il recupero del nuovo valore. CloudFormation recupera il valore segreto solo durante la creazione di risorse o gli aggiornamenti che modificano la risorsa contenente il riferimento dinamico.

Ad esempio, supponiamo che il modello includa una risorsa AWS::RDS::DBInstance in cui la proprietà MasterPassword è impostata su un riferimento dinamico di Secrets Manager. Dopo aver creato uno stack da questo modello, aggiorna il valore del segreto in Secrets Manager. Tuttavia, la proprietà MasterPassword mantiene il vecchio valore della password.

Per applicare il nuovo valore segreto, è necessario modificare la AWS::RDS::DBInstance risorsa nel CloudFormation modello ed eseguire un aggiornamento dello stack.

Per evitare questo processo manuale in futuro, ti consigliamo di utilizzare Secrets Manager per ruotare in automatico il segreto.
I riferimenti dinamici per valori sicuri, ad esempiosecretsmanager, non sono attualmente supportati nelle risorse personalizzate.
Il riferimento dinamico secretsmanager può essere utilizzato in tutte le proprietà di risorsa. L'utilizzo del riferimento secretsmanager dinamico indica che né Secrets Manager né CloudFormation i log devono rendere persistente alcun valore segreto risolto. Tuttavia, il valore di segreto può essere visualizzato nel servizio proprietario della risorsa in cui è utilizzato. Rivedi l’utilizzo per evitare perdite di dati segreti.

Permissions

Per specificare un segreto archiviato in Secrets Manager, devi disporre dell’autorizzazione alla chiamata per il segreto GetSecretValue.

Schema di riferimento

Per fare riferimento ai segreti di Secrets Manager nel tuo CloudFormation modello, usa il seguente schema secretsmanager di riferimento.


{{resolve:secretsmanager:secret-id:secret-string:json-key:version-stage:version-id}}

secret-id

Il nome o l’ARN del segreto.

Per accedere a un segreto nel tuo Account AWS, devi solo specificare il nome del segreto. Per accedere a un segreto in un altro Account AWS, specifica l'ARN completo del segreto.

Obbligatorio.

secret-string

L’unico valore supportato è SecretString. Il valore predefinito è SecretString.

json-key

Il nome della chiave della coppia chiave-valore di cui intendi recuperare il valore. Se non specifichi ajson-key, CloudFormation recupera l'intero testo segreto.

Questo segmento può non includere il carattere di due punti (:).

version-stage

L’etichetta temporanea della versione del segreto da utilizzare. Secrets Manager utilizza le etichette temporanee per tenere traccia delle differenti versioni durante il processo di rotazione. Se utilizzi version-stage, non specificare version-id. Se non specifichi né version-stage né version-id, la versione di default sarà la AWSCURRENT.

Questo segmento può non includere il carattere di due punti (:).

version-id

L’identificatore univoco della versione del segreto da utilizzare. Se specifichi version-id, non è necessario specificare anche version-stage. Se non specifichi né version-stage né version-id, la versione di default sarà la AWSCURRENT.

Questo segmento può non includere il carattere di due punti (:).

Esempi

Argomenti

Recupero dei valori nome utente e password da un segreto
Recupero dell’intero SecretString
Recupero di un valore da una versione specifica di un segreto
Recuperare segreti da un altro Account AWS

Recupero dei valori nome utente e password da un segreto

L’esempio AWS::RDS::DBInstance seguente recupera i valori nome utente e password archiviati nel segreto MySecret. Questo esempio mostra lo schema consigliato per i riferimenti dinamici senza versione, che utilizza automaticamente la versione AWSCURRENT e supporta i flussi di lavoro di rotazione di Secrets Manager senza richiedere modifiche al modello.

JSON


{
    "MyRDSInstance": {
        "Type": "AWS::RDS::DBInstance",
        "Properties": {
            "DBName": "MyRDSInstance",
            "AllocatedStorage": "20",
            "DBInstanceClass": "db.t2.micro",
            "Engine": "mysql",
            "MasterUsername": "{{resolve:secretsmanager:MySecret:SecretString:username}}",
            "MasterUserPassword": "{{resolve:secretsmanager:MySecret:SecretString:password}}"
        }
    }
}

YAML


  MyRDSInstance:
    Type: AWS::RDS::DBInstance
    Properties:
      DBName: MyRDSInstance
      AllocatedStorage: '20'
      DBInstanceClass: db.t2.micro
      Engine: mysql
      MasterUsername: '{{resolve:secretsmanager:MySecret:SecretString:username}}'
      MasterUserPassword: '{{resolve:secretsmanager:MySecret:SecretString:password}}'

Recupero dell’intero SecretString

Il riferimento dinamico seguente recupera SecretString per MySecret.


{{resolve:secretsmanager:MySecret}}

In alternativa:


{{resolve:secretsmanager:MySecret::::}}

Recupero di un valore da una versione specifica di un segreto

Il riferimento dinamico seguente recupera il valore password per la versione AWSPREVIOUS di MySecret.


{{resolve:secretsmanager:MySecret:SecretString:password:AWSPREVIOUS}}

Recuperare segreti da un altro Account AWS

Il riferimento dinamico seguente recupera SecretString per MySecret che si trova in un altro Account AWS. È necessario specificare l'ARN segreto completo per accedere ai segreti in un altro. Account AWS


{{resolve:secretsmanager:arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret}}

Il riferimento dinamico seguente recupera il valore password per MySecret che si trova in un altro Account AWS. È necessario specificare l'ARN segreto completo per accedere ai segreti in un altro. Account AWS


{{resolve:secretsmanager:arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret:SecretString:password}}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Ottenimento di una stringa sicura di Systems Manager

Ottieni valori AWS