想了解是否有人将 AWS Secret Manager CloudFormation 文件提交到私有存储库?
如果不是,团队应如何管理变更并对配置进行版本控制?
在 CloudFormation 模板中存储机密并不是一个好的做法。您应该始终将配置与代码分开。
您可以使用:
最好的方法是将大部分配置放在
Parameter storeParameter store with Secure String typeSecrets manager对于版本控制,您可以使用 Secrets Manager 版本控制 并为每个密钥保存最多 100 个版本。
您还可以使用纯文本 JSON 格式集中每个环境的秘密。尽管您必须非常小心地使用这种方法,因为有权访问集中式机密的资源将有权访问您的所有机密。这将是 Cloudformation 在不同构造上填充秘密的一个很好的用例。