自动轮换 AppSync API 密钥

Tho*_*ith 2 aws-cloudformation aws-appsync

CloudFormation 提供了AWS::AppSync::ApiKey资源类型,用于在 CloudFormation 堆栈中创建 AppSync API 密钥。API 密钥将过期。是否有一种简单的方法可以在 CloudFormation 中定义轮换计划?我什么也没看到,但它似乎是一个如此明显的用例,我不确定没有它的 AWS::AppSync::ApiKey 资源类型有什么好处。

目前我有一个 lambda,它按计划运行以生成新密钥并将其存储在 SecretsManager 中。这有效,但这是一个额外的步骤,我必须在第一次手动运行 lambda。我对替代品持开放态度。

Joe*_*ick 5

您不想创建AWS::AppSync::ApiKey. 而是做一个AWS::SecretsManager::Secret和一个AWS::SecretsManager::RotationSchedule。RotationSchedule 将让您使用 lambda 来自动旋转 ApiKey 并将其存储在 Secret 中。

最终,AWS::AppSync::ApiKey对您来说几乎没有实际用途,因为您需要处理到期。