Секреты CloudFormation

Question

Я хотел бы придерживаться политики «вся инфраструктура - это код». Тем не менее, я не могу найти способ сделать это для секретов с CloudFormation.

SecretsManager требует, чтобы вы указали SecretString в виде простого текста. Даже если вы внедрите дешифрованное значение откуда-то, строка текста отображается в консоли CF в представлении шаблона: /

Также невозможно использовать зашифрованные строки в SSM. В документах говорится: «AWS CloudFormation не поддерживает создание типа параметра SecureString.»

Неужели нет способа использовать CloudFormation для безопасного управления секретами в виде кода?

Answer 1

Вы можете использовать ресурс Secret в CloudFormation для создания секретов SecretsManager. Есть способ создать значение в SecretString (которое использует API GenerateRandomPassword ). Посмотрите на свойство GenerateSecretString .

Это должно помочь вам с генерацией пароля без его жесткого кодирования в шаблоне.

Существует также RotationSchedule ресурс, помогающий настроить автоматическое вращение c для вашего секрета.

Чтобы использовать секретные значения, хранящиеся в секрете SecretsManager или параметре хранилища параметров, используйте dynamici c reference . Динамические c ссылки гарантируют, что секретное значение не зарегистрировано в CFN или не отображается в консоли.

Невозможно создать / сгенерировать параметр SecureString в хранилище параметров / диспетчере систем в настоящее время.