Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accès au réseau pour la fonction de rotation Lambda
En Rotation par fonction Lambda effet, lorsque Secrets Manager utilise une fonction Lambda pour faire pivoter un secret, la fonction de rotation Lambda doit pouvoir accéder au secret. Si votre secret contient des informations d'identification, la fonction Lambda doit également être en mesure d'accéder à la source de ces informations d'identification, telle qu'une base de données ou un service.
- Pour accéder à un secret
-
Votre fonction de rotation Lambda doit être en mesure d'accéder à un point de terminaison Secrets Manager. Si votre fonction Lambda peut accéder à Internet, vous pouvez utiliser un point de terminaison public. Pour trouver un point de terminaison, consultez AWS Secrets Manager points de terminaison.
Si votre fonction Lambda s'exécute dans un environnement VPC qui n'a pas accès à Internet, nous vous recommandons de configurer les points de terminaison privés du service Secrets Manager au sein de votre. VPC VPCVous pouvez ensuite intercepter les demandes adressées au point de terminaison régional public et les rediriger vers le point de terminaison privé. Pour de plus amples informations, veuillez consulter VPCpoint final.
Vous pouvez également activer votre fonction Lambda pour accéder à un point de terminaison public de Secrets Manager en ajoutant une NATpasserelle ou une passerelle Internet à votre point de terminaisonVPC, ce qui permet au trafic en provenance de vous d'VPCatteindre le point de terminaison public. Cela vous expose VPC à davantage de risques, car l'adresse IP de la passerelle peut être attaquée depuis l'Internet public.
- (Facultatif) Pour accéder à la base de données ou au service
-
Pour les secrets tels que API les clés, il n'existe aucune base de données ou service source que vous devez mettre à jour en même temps que le secret.
Si votre base de données ou votre service s'exécute sur une EC2 instance Amazon dans unVPC, nous vous recommandons de configurer votre fonction Lambda pour qu'elle s'exécute dans cette instance. VPC La fonction de rotation peut alors communiquer directement avec votre service. Pour plus d'informations, consultez la section Configuration de VPC l'accès.
Pour permettre à la fonction Lambda d'accéder à la base de données ou au service, vous devez vous assurer que les groupes de sécurité attachés à votre fonction de rotation Lambda autorisent les connexions sortantes vers la base de données ou le service. Vous devez également vous assurer que les groupes de sécurité attachés à votre base de données ou service autorisent les connexions entrantes depuis la fonction de rotation Lambda.
