Obtenção de um segredo do AWS Secrets Manager em um recurso do CloudFormation - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Obtenção de um segredo do AWS Secrets Manager em um recurso do CloudFormation

Com o CloudFormation, é possível recuperar um segredo para usar em outro recurso do CloudFormation. Um cenário comum é primeiro criar um segredo com uma senha gerada pelo Secrets Manager e, em seguida, recuperar o nome de usuário e a senha do segredo para usar como credenciais para um novo banco de dados. Para obter informações sobre a criação de segredos com o CloudFormation, consulte Criação de segredos do AWS Secrets Manager no AWS CloudFormation.

Para recuperar um segredo em um modelo do CloudFormation, você usa uma referência dinâmica. Quando a pilha é criada, a referência dinâmica insere o valor do segredo no recurso do CloudFormation para que você não precise codificar as informações secretas. Em vez disso, é necessário fazer referência ao segredo pelo nome ou ARN. É possível usar uma referência dinâmica para um segredo em qualquer propriedade do recurso. Você não pode usar uma referência dinâmica para um segredo em metadados do recurso, por exemplo, AWS::CloudFormation::Init, pois isso tornaria o valor do segredo visível no console.

Uma referência dinâmica para um segredo tem o seguinte padrão:

{{resolve:secretsmanager:secret-id:SecretString:json-key:version-stage:version-id}}
secret-id

O nome ou ARN completo do segredo. Para acessar um segredo na sua conta da AWS, você pode usar o nome do segredo. Para acessar um segredo em uma conta diferente da AWS, use o ARN do segredo.

json-key (opcional)

O nome da chave do par de chave-valor cujo valor você deseja recuperar. Se você não especificar um json-key, o CloudFormation recuperará todo o texto do segredo. Esse segmento não pode incluir o caractere de dois pontos ( :).

version-stage (opcional)

A versão do segredo a ser usado. O Secrets Manager usa rótulos de preparação para acompanhar diferentes versões durante o processo de alternância. Se você usar version-stage, não especifique version-id. Se você não especificar version-stage ou version-id, o padrão é a versão AWSCURRENT. Esse segmento não pode incluir o caractere de dois pontos ( :).

version-id (opcional)

O identificador exclusivo da versão do segredo a usar. Se você especificar version-id, não especifique version-stage. Se você não especificar version-stage ou version-id, o padrão é a versão AWSCURRENT. Esse segmento não pode incluir o caractere de dois pontos ( :).

Para obter mais informações, consulte Uso de referências dinâmicas para especificar segredos do Secrets Manager.

nota

Não crie uma referência dinâmica usando uma barra invertida (\) como valor final. O CloudFormation não pode resolver essas referências, o que resulta em uma falha no recurso.