Ottieni un AWS Secrets Manager segreto in una AWS CloudFormation risorsa - AWS Secrets Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ottieni un AWS Secrets Manager segreto in una AWS CloudFormation risorsa

Con AWS CloudFormation, puoi recuperare un segreto da utilizzare in un'altra AWS CloudFormation risorsa. Uno scenario comune consiste nel creare prima un segreto con una password generata da Secrets Manager e quindi recuperare il nome utente e la password dal segreto da utilizzare come credenziali per un nuovo database. Per informazioni sulla creazione di segreti con AWS CloudFormation, consultaCrea AWS Secrets Manager segreti in AWS CloudFormation.

Per recuperare un segreto in un AWS CloudFormation modello, si utilizza un riferimento dinamico. Quando create lo stack, il riferimento dinamico inserisce il valore segreto nella AWS CloudFormation risorsa, quindi non è necessario codificare le informazioni segrete. Invece, riferisciti al segreto per nome o tramite l'ARN. È possibile utilizzare un riferimento dinamico per un segreto in qualsiasi proprietà della risorsa. Non è possibile utilizzare un riferimento dinamico per un segreto nei metadati delle risorse, ad esempio AWS::CloudFormation::Init, perché ciò renderebbe visibile il valore del segreto nella console.

Un riferimento dinamico per un segreto ha il seguente modello:

{{resolve:secretsmanager:secret-id:SecretString:json-key:version-stage:version-id}}
secret-id

Il nome o l'ARN del segreto. Per accedere a un segreto nel tuo AWS account, puoi usare il nome segreto. Per accedere a un segreto in un altro AWS account, usa l'ARN del segreto.

json-key (Facoltativo)

Il nome della chiave della coppia chiave-valore di cui intendi recuperare il valore. Se non specifichi ajson-key, AWS CloudFormation recupera l'intero testo segreto. Questo segmento può non includere il carattere di due punti (:).

version-stage (Facoltativo)

La versione del segreto da utilizzare. Secrets Manager utilizza le etichette temporanee per tenere traccia delle differenti versioni durante il processo di rotazione. Se utilizzi version-stage, non specificare version-id. Se non specifichi né version-stageversion-id, la versione di default sarà la AWSCURRENT. Questo segmento può non includere il carattere di due punti (:).

version-id (Facoltativo)

L'identificatore univoco della versione del segreto da utilizzare. Se specifichi version-id, non è necessario specificare anche version-stage. Se non specifichi né version-stageversion-id, la versione di default sarà la AWSCURRENT. Questo segmento può non includere il carattere di due punti (:).

Per ulteriori informazioni, consulta Utilizzo di riferimenti dinamici per specificare i segreti di Secrets Manager.

Nota

Non create un riferimento dinamico utilizzando una barra rovesciata (\) come valore finale. AWS CloudFormation non è in grado di risolvere tali riferimenti, il che causa un errore di risorse.