Amazon cloudformation 从CloudFormation AccessKey创建中安全地获取访问密钥/机密
我已经创建了一个CloudFormation模板,它成功地创建了一个IAM用户和一个AccessKey,并将该AccessKey分配给IAM用户。现在,我通过在CloudFormation模板的Amazon cloudformation 从CloudFormation AccessKey创建中安全地获取访问密钥/机密,amazon-cloudformation,boto3,aws-secrets-manager,Amazon Cloudformation,Boto3,Aws Secrets Manager,我已经创建了一个CloudFormation模板,它成功地创建了一个IAM用户和一个AccessKey,并将该AccessKey分配给IAM用户。现在,我通过在CloudFormation模板的Outputs部分输出AccessKey的秘密来获取它 我想知道是否有一种更安全的方法来创建AccessKey并获取其相应的机密,而不必在输出部分以纯文本形式将其吐出 我对此感到有点困惑,因为AWS并没有太多关于这方面的信息,它的小文档直接相互矛盾。AWS建议执行我上面描述的“检索密钥的一种方法是将其放入
Outputs输出{
"Description": "My CloudFormation Template",
"Outputs": {
"UserAccessKeyId": {
"Description": "The value for the User's access key id.",
"Value": {
"Ref": "UserAccessKey"
}
},
"UserSecretKey": {
"Description": "The value for the User's secret key.",
"Value": {
"Fn::GetAtt": [
"UserAccessKey",
"SecretAccessKey"
]
}
}
},
"Resources": {
"User": {
"Properties": {
"UserName": "myNewUser"
},
"Type": "AWS::IAM::User"
},
"PrimaryUserAccessKey": {
"DependsOn": "User",
"Properties": {
"Status": "Active",
"UserName": "myNewUser"
},
"Type": "AWS::IAM::AccessKey"
}
}
}
我建议把它放在一个盒子里。您可以让CloudFormation将值写入堆栈中的Secrets Manager,然后通过代码访问它。这让你有一个秘密,没有人必须看到或触摸才能使用它 我认为类似的方法应该有效(注意:我实际上还没有尝试过)
访问密钥:
类型:AWS::IAM::AccessKey
特性:
序列号:1
状态:活动
用户名:“乔”
访问密钥保密:
类型:AWS::SecretsManager::Secret
特性:
姓名:JoeAccessKey
描述:Joes访问密钥
秘密字符串:!子“{”AccessKeyId:“${AccessKey}”,“SecretAccessKey:“${AccessKey.SecretAccessKey}”}”
访问密钥:
类型:AWS::IAM::AccessKey
特性:
序列号:1
状态:活动
用户名:“乔”
访问密钥保密:
类型:AWS::SecretsManager::Secret
特性:
姓名:JoeAccessKey
描述:Joes访问密钥
秘密字符串:!子“{”AccessKeyId:“${AccessKey}”,“SecretAccessKey:“${AccessKey.SecretAccessKey}”}”