Всем привет, есть следующий вопрос по CF. Есть у меня темплейт а  в нем 2 ресурса:
AWS::SSM::Parameter
и базы AWS::RDS::DBCluster
в  описании  пароля для кластера я использую ссылу на параметр вида !Join ['', ['{{resolve:ssm:', !Ref AuroraSecret, ':1}}' ]]
я верно понимаю, что так как параметр задан динамически AWS при запуске темплейта, даже во второй и последующие разы будет ходить в AWS::SSM::Parameter и обновлять параметр  кластера?

нет, не будет, так как в resolve:ssm синтаксисе вы указываете конкретный  версию параметра, а она не меняется. если вам хочется чтоб CF ходил и обновлял то можете сослаться на SSM внутри CF Parameter

Народ, есть у кого инструкция как читать секреты vault с IAM авторизацией для EC2 ?

ну Hashicorp Vault

В текущем CF ssm создается на месте , а DBCluster от него зависит.

да, но вы ссылаетесь на версию :1  которая никогда не изменится после первого создания

ясно,
1 - можно ли убедить его  ходить за последней версией?
2 - у меня aurora (MySQL) даже после изменения MasterUserPassword на иной референс из параметров, не обновила пароль к базе, хотя в events при перезапуске темплейта DBCluster проходит 2 статуса (UPDATE_IN_PROGRESS + UPDATE_COMPLETE), нет ли каких-то особенностей связанных с обновлением пароля именно для  aurora (MySQL) такого типа DBCluster'а?

про aurora не знаю.

про 1: можно через Fn::GetAtt попробововать:

!GetAtt AuroraSecret.Value

Благодарю, должно помочь как раскопаю от чего игнорирует обновленный пароль)

а дока говорит, что пароль обновляемый?

да "MasterUserPassword :Update requires: No interruption"

инструкции нет, есть плейбук ансибловый :)

Ансибл имеет модуль свой и скорее всего вы авторизуете свой хост отдельно

да "MasterUserPassword :Update requires: No interruption"