ALIYUN::KMS::Secret による KMS シークレットライフサイクルの自動化 - ROS

ALIYUN::KMS::Secret は、シークレットを作成し、シークレットの初期バージョンを保存するために使用されます。

構文

{
  "Type": "ALIYUN::KMS::Secret",
  "Properties": {
    "VersionId": String,
    "SecretName": String,
    "Description": String,
    "SecretDataType": String,
    "SecretData": String,
    "VersionStages": List,
    "EncryptionKeyId": String,
    "RecoveryWindowInDays": Integer,
    "ForceDeleteWithoutRecovery": Boolean,
    "SecretType": String,
    "EnableAutomaticRotation": Boolean,
    "RotationInterval": String,
    "ExtendedConfig": Map,
    "DKMSInstanceId": String,
    "Policy": Map,
    "Tags": List
  }
}

プロパティ

プロパティ名	タイプ	必須	更新の許可	説明	制約
VersionId	String	はい	はい	初期バージョン番号。	バージョン番号は各シークレット内で一意です。
SecretName	String	はい	いいえ	シークレットの名前。	なし。
Description	String	いいえ	はい	認証情報の説明。	なし。
SecretDataType	String	いいえ	いいえ	シークレット値のタイプ。	有効な値： text binary
SecretData	String	はい	はい	作成するシークレットの値。Secrets Manager はシークレット値を暗号化し、暗号化された値を初期バージョンに保存します。	なし。
VersionStages	List	いいえ	はい	バージョンのステータスを示すラベル。	デフォルト値：ACSCurrent。最大 7 つのラベルを指定できます。
EncryptionKeyId	String	いいえ	いいえ	シークレット値の暗号化に使用するカスタマーマスターキー（CMK）の ID。	このプロパティを空のままにすると、Secrets Manager は Key Management Service（KMS）によって作成された CMK を使用してシークレット値を暗号化および保護します。説明 CMK は対称鍵である必要があります。
RecoveryWindowInDays	Integer	いいえ	はい	シークレットの削除をスケジュールし、リカバリー期間を指定できます。	デフォルト値：30。単位：日。
ForceDeleteWithoutRecovery	Boolean	いいえ	はい	シークレットを強制的に削除するかどうかを指定します。強制的に削除されたシークレットは復元できません。	有効な値： true：シークレットを強制的に削除します。シークレットは回復できません。 false (デフォルト)：シークレットは完全に削除されず、回復できます。
SecretType	String	いいえ	いいえ	シークレットのタイプ。	有効な値： Generic：汎用シークレット Rds：マネージド ApsaraDB RDS シークレット RAMCredentials：マネージド Resource Access Management（RAM）シークレット ECS：マネージド ECS シークレット
EnableAutomaticRotation	Boolean	いいえ	いいえ	自動キーローテーションを有効にするかどうかを指定します。	有効な値： true：キーの自動ローテーションを有効にします。 false (デフォルト)：キーの自動ローテーションを無効にします。
RotationInterval	String	いいえ	いいえ	自動キーローテーションの間隔。	フォーマットは `integer[unit]` です。ここで、`integer` は時間の長さを、`unit` は時間の単位を表します。`unit` の値は s (秒) である必要があります。例えば、7 日間のローテーション期間の場合、値は 604800s です。説明このプロパティは、自動キーローテーションが有効になっている場合に返されます。
ExtendedConfig	Map	いいえ	いいえ	高度なシークレット設定。	なし。
Policy	Map	いいえ	いいえ	キーポリシー。	値は JSON 形式で、最大長は 32,768 バイトである必要があります。キーポリシーの詳細については、「キーポリシーの概要」をご参照ください。このパラメーターを指定しない場合、デフォルトのシークレットポリシーが使用されます。キーポリシーには次の部分が含まれます： Version：キーポリシーのバージョン。バージョン 1 のみがサポートされます。 Statement：キーポリシーのステートメント。各キーポリシーには 1 つ以上のステートメントが含まれます。キーポリシーのフォーマットは次のとおりです： `{ "Version": "1", "Statement": [ { "Sid": "Enable RAM User Permissions", "Effect": "Allow", "Principal": { "RAM": "acs:ram::112890462***:root" } "Action": [ "kms:" ], "Resource": [ "*" ] } ] }`
Tags	List	いいえ	はい	タグ。	タグの最大数は 20 です。詳細については、「Tags プロパティ」セクションをご参照ください。
DKMSInstanceId	String	いいえ	いいえ	専用 KMS インスタンスの ID。	なし。

Tags 構文

"Tags": [
  {
    "Key": String,
    "Value": String
  }
]

Tags プロパティ

プロパティ名	タイプ	必須	更新の許可	説明	制約
Key	String	はい	いいえ	タグキー。	タグキーの長さは 1～128 文字である必要があります。`aliyun` または `acs:` で始めることはできず、`http://` または `https://` を含めることはできません。
Value	String	いいえ	いいえ	タグ値。	タグ値の長さは 0～128 文字です。`aliyun` または `acs:` で始めることはできず、`http://` または `https://` を含めることはできません。

戻り値

Fn::GetAtt

SecretName：シークレットの名前。
Arn：シークレットの Alibaba Cloud Resource Name（ARN）。

例

YAML

ROSTemplateFormatVersion: '2015-09-01'
Parameters: {}
Resources:
  Secret:
    Type: ALIYUN::KMS::Secret
    Properties:
      VersionId: v1
      SecretName: TestSecret
      SecretData: DemoSecretData
      ForceDeleteWithoutRecovery: false
Outputs: {}

JSON

{
  "ROSTemplateFormatVersion": "2015-09-01",
  "Parameters": {
  },
  "Resources": {
    "Secret": {
      "Type": "ALIYUN::KMS::Secret",
      "Properties": {
        "VersionId": "v1",
        "SecretName": "TestSecret",
        "SecretData": "DemoSecretData",
        "ForceDeleteWithoutRecovery": false
      }
    }
  },
  "Outputs": {
  }
}