CloudFormation提供了一种AWS::AppSync::ApiKey资源类型,用于在CloudFormation堆栈中创建AppSync API密钥。 API密钥将过期。有没有一种简单的方法可以在CloudFormation中定义轮换时间表?我什么也没看到,但似乎是一个显而易见的用例,我不确定AWS :: AppSync :: ApiKey资源类型没有它有什么好处。
当前,我有一个lambda,可以按计划运行以生成新密钥并将其存储在SecretsManager中。这行得通,但这是一个额外的步骤,我必须在第一次手动运行lambda。我愿意接受其他选择。
答案 0 :(得分:2)
您不想创建AWS::AppSync::ApiKey。而是制作一个AWS::SecretsManager::Secret和一个AWS::SecretsManager::RotationSchedule。 RotationSchedule将允许您使用lambda自动旋转ApiKey并将其存储在Secret中。
最终,AWS::AppSync::ApiKey对您几乎没有实际用处,因为您将需要处理到期时间。