Uso de un punto de conexión de VPC de AWS Secrets Manager - AWS Secrets Manager
Subredes compartidas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de un punto de conexión de VPC de AWS Secrets Manager

Recomendamos que ejecute tanto como pueda de su infraestructura en redes privadas que no sean accesibles desde la internet pública. Puede establecer una conexión privada entre su VPC y Secrets Manager mediante la creación de un punto de conexión de VPC de la interfaz. Los puntos de conexión de la interfaz cuentan con AWS PrivateLink, una tecnología que permite acceder de forma privada a las API de Secrets Manager sin necesidad de contar con una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión de AWS Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con las API de Secrets Manager. El tráfico entre su VPC y Secrets Manager no sale de la red de AWS. Para obtener más información, consulte Puntos de conexión de VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

Cuando Secrets Manager rota un secreto mediante una función de rotación de Lambda, por ejemplo, un secreto que contiene credenciales de base de datos, la función Lambda realiza solicitudes a la base de datos y a Secrets Manager. Cuando activa la rotación automática al utilizar la consola, Secrets Manager crea la función de Lambda en la misma VPC que la base de datos. Se recomienda que cree un punto de conexión de Secrets Manager en la misma VPC para que las solicitudes de la función de rotación de Lambda a Secrets Manager no salgan de la red de Amazon.

Si habilita un DNS privado para el punto de conexión, puede realizar solicitudes de API a Secrets Manager mediante su nombre de DNS predeterminado para la región, por ejemplo, secretsmanager.us-east-1.amazonaws.com. Para obtener más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Puede asegurarse de que las solicitudes a Secrets Manager provengan del acceso de la VPC mediante la inclusión de una condición en las políticas de permisos. Para obtener más información, consulte Ejemplo: permisos y VPC.

También puede utilizar registros de AWS CloudTrail para auditar el uso de secretos a través del punto de conexión de VPC.

Para crear un punto de conexión de VPC de Secrets Manager

  1. Consulte Creación de un punto final de interfaz en la Guía del usuario de Amazon VPC. Utilice el nombre del servicio: com.amazonaws.region.secretsmanager

  2. Para controlar el acceso al punto final, consulte Controlar el acceso a los puntos finales de la VPC mediante políticas de punto final.

Subredes compartidas

No puede crear, describir, modificar ni eliminar puntos de conexión de VPC en subredes que se compartan con usted. No obstante, puede usar los puntos de conexión de VPC en las subredes que se compartan con usted. Para obtener información sobre el uso compartido de VPC, consulte Compartir su VPC con otras cuentas en la Guía del usuario de Amazon Virtual Private Cloud.