Verwenden eines AWS Secrets Manager-VPC-Endpunkts - AWS Secrets Manager
Gemeinsam genutzte Subnetze

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden eines AWS Secrets Manager-VPC-Endpunkts

Wir empfehlen, einen Großteil der Infrastruktur in privaten Netzwerken auszuführen, die vom öffentlichen Internet aus nicht zugänglich sind, sofern dies möglich ist. Sie können eine private Verbindung zwischen Ihrer VPC und Secrets Manager herstellen, indem Sie einen Schnittstellen-VPC-Endpunkt erstellen. Schnittstellen-Endpunkte werden mit AWS PrivateLink bereitgestellt, einer Technologie, die es Ihnen ermöglicht, ohne Internet-Gateway, NAT-Gerät, VPN-Verbindung oder AWS Direct Connect-Verbindung privat auf Secrets-Manager-APIs zuzugreifen. Die Instances in Ihrer VPC benötigen für die Kommunikation mit Secrets-Manager-APIs keine öffentlichen IP-Adressen. Der Datenverkehr zwischen Ihrer VPC und Secrets Manager verlässt das AWS-Netzwerk nicht. Weitere Informationen finden Sie unter Schnittstellen-VPC-Endpunkte (AWS PrivateLink) im Amazon-VPC-Benutzerhandbuch.

Wenn Secrets Manager ein Secret mithilfe einer Lambda-Rotationsfunktion rotiert, beispielsweise ein Secret, das Datenbankanmeldeinformationen enthält, stellt die Lambda-Funktion Anfragen sowohl an die Datenbank als auch an Secrets Manager. Wenn Sie die automatische Rotation in der Konsole aktivieren, erstellt Secrets Manager die Lambda-Funktion in derselben VPC wie Ihre Datenbank. Wir empfehlen Ihnen, einen Secrets-Manager-Endpunkt in derselben VPC zu erstellen, damit Anfragen von der Lambda-Rotationsfunktion an Secrets Manager das Amazon-Netzwerk nicht verlassen.

Wenn Sie einen privaten DNS für den Endpunkt aktivieren, können Sie mittels seines standardmäßigen DNS-Namen für die Region, beispielsweise secretsmanager.us-east-1.amazonaws.com, API-Anforderungen an Secrets Manager senden. Weitere Informationen finden Sie unter Zugriff auf einen Service über einen Schnittstellenendpunkt im Benutzerhandbuch für Amazon VPC.

Sie können sicherstellen, dass Anforderungen an Secrets Manager von der VPC stammen, indem Sie eine Bedingung in Ihre Berechtigungsrichtlinien aufnehmen. Weitere Informationen finden Sie unter Beispiel: Berechtigungen und VPCs.

Sie können anhand von AWS CloudTrail-Protokollen Ihre Verwendung von Geheimnissen durch den VPC-Endpunkt überwachen.

So erstellen Sie einen privaten Secrets-Manager-VPC-Endpunkt

  1. Weitere Informationen finden Sie unter Erstellen eines Schnittstellenendpunkts im Amazon-VPC-Benutzerhandbuch. Verwenden Sie den Servicenamen: com.amazonaws.region.secretsmanager

  2. Informationen zum Steuern des Zugriffs auf den Endpunkt finden Sie unter Steuern des Zugriffs auf VPC-Endpunkte mithilfe von Endpunktrichtlinien.

Gemeinsam genutzte Subnetze

Sie können VPC-Endpunkte in Subnetzen, die mit Ihnen geteilt werden, nicht erstellen, beschreiben, ändern oder löschen. Sie können die VPC-Endpunkte jedoch in Subnetzen verwenden, die mit Ihnen geteilt werden. Informationen zur VPC-Freigabe finden Sie unter Freigeben Ihrer VPC für andere Konten im Benutzerhandbuch für Amazon Virtual Private Cloud.