Netzwerkzugriff für die Lambda-Rotationsfunktion - AWS Secrets Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Netzwerkzugriff für die Lambda-Rotationsfunktion

Denn wenn Secrets Manager eine Lambda-Funktion verwendetRotation durch Lambda-Funktion, um ein Geheimnis zu rotieren, muss die Lambda-Rotationsfunktion auf das Geheimnis zugreifen können. Wenn Ihr Secret Anmeldeinformationen enthält, muss die Lambda-Funktion auch auf die Quelle dieser Anmeldeinformationen zugreifen können, z. B. auf eine Datenbank oder einen Service.

Greifen Sie wie folgt auf ein Secret zu:

Die Lambda-Drehungsfunktion muss auf einen Secrets-Manager-Endpunkt zugreifen können. Wenn Ihre Lambda-Funktion auf das Internet zugreifen kann, können Sie einen öffentlichen Endpunkt verwenden. Informationen zum Suchen nach einem Endpunkt finden Sie unter AWS Secrets Manager Endpunkte.

Wenn Ihre Lambda-Funktion auf einem Gerät ausgeführt wirdVPC, das keinen Internetzugang hat, empfehlen wir Ihnen, private Endpunkte des Secrets Manager Manager-Service in Ihrem zu konfigurieren. VPC Sie VPC können dann Anfragen abfangen, die an den öffentlichen regionalen Endpunkt gerichtet sind, und sie an den privaten Endpunkt weiterleiten. Weitere Informationen finden Sie unter VPCEndpunkt.

Alternativ können Sie Ihre Lambda-Funktion für den Zugriff auf einen öffentlichen Secrets Manager Manager-Endpunkt aktivieren, indem Sie Ihrem ein NATGateway oder ein Internet-Gateway hinzufügenVPC, sodass der Datenverkehr von Ihnen den öffentlichen Endpunkt erreichen kann. VPC Dadurch sind Sie einem VPC höheren Risiko ausgesetzt, da eine IP-Adresse für das Gateway vom öffentlichen Internet aus angegriffen werden kann.

(Optional) Greifen Sie auf die Datenbank oder den Service wie folgt zu:

Bei Geheimnissen wie API Schlüsseln gibt es keine Quelldatenbank oder keinen Quelldienst, den Sie zusammen mit dem geheimen Schlüssel aktualisieren müssen.

Wenn Ihre Datenbank oder Ihr Service auf einer EC2 Amazon-Instance in a ausgeführt wirdVPC, empfehlen wir Ihnen, Ihre Lambda-Funktion so zu konfigurieren, dass sie in derselben VPC ausgeführt wird. Dann kann die Drehungsfunktion direkt mit Ihrem Service kommunizieren. Weitere Informationen finden Sie unter VPCZugriff konfigurieren.

Um der Lambda-Funktion den Zugriff auf die Datenbank oder den Service zu ermöglichen, müssen Sie sicherstellen, dass die Sicherheitsgruppen, die an Ihre Lambda-Drehungsfunktion angeschlossen sind, ausgehende Verbindungen zur Datenbank oder zum Service zulassen. Sie müssen darüber hinaus sicherstellen, dass die Sicherheitsgruppen, die an Ihre Datenbank oder Ihren Service angefügt sind, eingehende Verbindungen von der Lambda-Drehungsfunktion zulassen.