Секрет менеджера AWS удален без обязательного срока хранения

Question

Я создал секрет, используя шаблон CloudFormation, который выглядел так:

  "DBSecretCredentials": {
     "Type": "AWS::SecretsManager::Secret",
     "Properties": {
        "Name": "MyAwesomeSecret",
        "Description": "Something,
        "GenerateSecretString": {
           "SecretStringTemplate": "{\"USER\":\"superman\"}",
           "GenerateStringKey": "PASSWORD",
           "PasswordLength": 30,
           "ExcludeCharacters": "\"@/\\"
        },
        "Tags": [
           {
              "Key": "AppName",
              "Value": "Something"
           },
           {
              "Key": "Environment",
              "Value": {
                 "Ref": "Environment"
              }
           }
        ]
     }
  }

Когда я удалил стек CloudFormation, я ожидал, что секрет будет находиться в состоянии «отложенное удаление» с 7-дневной политикой хранения, как это предусмотрено AWS.

Когда я посещал Консоль AWS, не было никакого секрета с ожидающим режимом удаления. (Да, я нажал на значок шестеренки и установил флажок «Показать секреты, запланированные для удаления».

Я запросил AWS Secrets Manager, используя CLI для перечисления всех секретов, но он не возвратил секрет, который был удален в результате удаления стека CFT.

Я что-то здесь упускаю?

Answer 1

При удалении стека CloudFormation диспетчер секретов вызывается с параметром «принудительное удаление без восстановления», и все секреты удаляются навсегда. Это позволяет CloudFormation иметь возможность удалять каждый указанный секретный файл, не оставляя артефактов в своей учетной записи.