aws_db_instance我正在尝试找到一个解决方案,用于从预先存在的机密(当前位于现有的 Secrets Manager 资源中)设置主用户密码。
如果我使用password = data.aws_secretsmanager_secret_version.our_secret.secret_string,那么密码就会存储在状态文件中,这是我不想要的(因为这个状态文件不安全,要么被推送到 git,要么存储在某个 S3 或其他地方..)。
如果我使用manage_master_user_password = true,那么我就无法指定我预先存在的密钥:在这种情况下,是 AWS 生成密码,而不是我。另一个问题是 AWS 将为密钥创建一个新资源,而我也不想要。
依赖 tfvars 也不是一种选择,因为我们需要一个密码的单一真实来源(而不是分散的 tfvars 文件),并且它也是安全的(而不是纯文本文件)。
知道如何实现这一点吗?有没有办法以某种方式从安全的单一真实来源容器中获取密码,同时又将其保留在状态文件之外?