Accesso alla rete per la funzione di rotazione Lambda

La funzione di rotazione Lambda deve essere in grado di accedere a un endpoint di Secrets Manager. Se la funzione Lambda può accedere a Internet, è possibile utilizzare un endpoint pubblico. Per trovare un endpoint, consulta AWS Secrets Manager endpoint.

Se la tua funzione Lambda viene eseguita in un ambiente VPC che non dispone di accesso a Internet, ti consigliamo di configurare gli endpoint privati del servizio Secrets Manager all'interno del tuo. VPC VPCÈ quindi possibile intercettare le richieste indirizzate all'endpoint pubblico regionale e reindirizzarle all'endpoint privato. Per ulteriori informazioni, consulta VPCendpoint.

In alternativa, puoi abilitare la funzione Lambda per accedere a un endpoint pubblico di Secrets Manager aggiungendo un NATgateway o un gateway Internet al tuoVPC, che consente al traffico proveniente dal tuo di VPC raggiungere l'endpoint pubblico. Ciò espone VPC a maggiori rischi, in quanto l'indirizzo IP del gateway può essere attaccato dalla rete Internet pubblica.

Per i segreti, ad esempio API le chiavi, non è necessario aggiornare alcun database o servizio di origine insieme al segreto.

Se il tuo database o servizio è in esecuzione su un'EC2istanza Amazon in aVPC, ti consigliamo di configurare la funzione Lambda per l'esecuzione nella stessa. VPC Quindi la funzione di rotazione può comunicare direttamente con il servizio. Per ulteriori informazioni, consulta Configurazione dell'accesso VPC.

Per consentire alla funzione Lambda di accedere al database o al servizio, è necessario assicurarsi che i gruppi di sicurezza collegati alla funzione di rotazione Lambda consentano connessioni in uscita al database o al servizio. Inoltre, è necessario accertarsi che i gruppi di sicurezza collegati al database o al servizio consentano le connessioni in entrata dalla funzione di rotazione Lambda.