CloudFormation：對 SecretManager 值的動態引用不適用於資源的標記屬性

Question

我想在 AWS 機密管理器中存儲機密並在 CloudFormation 模板中檢索它。 為了測試它，我只是把它放在一個標簽的值中——

  MainRouteTable:
    Properties:
      Tags:
        - Key: Environment
          Value: LIVE
        - Key: Name
          Value: '{{resolve:secretsmanager:tvs:SecretString:testname}}'
      VpcId: !Ref 'VPC'
    Type: AWS::EC2::RouteTable

在我使用模板運行 CloudFormation 並且環境啟動后，標簽“Name”的值是“{{resolve:secretsmanager:tvs:SecretString:testname}}”，而不是存儲在 testname 中的實際秘密。

我環顧四周，無法弄清楚出了什么問題。 根據 AWS 文檔，我做得很好。

我可以從 CLI 中檢索到秘密罰款 -

aws secretsmanager --region us-east-1 get-secret-value --secret-id arn:aws:secretsmanager:us-east-1:xxxxxx:secret:tvs-ZVTiDO --query SecretString --output text | jq -r .testname

有什么建議么？

我按照此處的說明操作 - https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html#dynamic-references-secretsmanager

Answer 1

SecretString只能在少數資源和選定屬性中使用。 不支持標簽。 支持的列表是：

AWS::DirectoryService::MicrosoftAD Password

AWS::DirectoryService::SimpleAD Password

AWS::ElastiCache::ReplicationGroup AuthToken

AWS::IAM::User LoginProfile Password

AWS::KinesisFirehose::DeliveryStream 

RedshiftDestinationConfiguration Password

AWS::OpsWorks::App Source Password

AWS::OpsWorks::Stack CustomCookbooksSource Password

AWS::OpsWorks::Stack RdsDbInstances DbPassword

AWS::RDS::DBCluster MasterUserPassword 

AWS::RDS::DBInstance MasterUserPassword

AWS::Redshift::Cluster MasterUserPassword

Answer 2

作為一般規則，機密永遠不會顯示在 AWS 控制台中，例如，您不能使用 im CloudFormation 導出、標簽等。