Utilizzo di un endpoint VPC AWS Secrets Manager - AWS Secrets Manager
Sottoreti condivise

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di un endpoint VPC AWS Secrets Manager

Consigliamo di eseguire la maggior parte delle infrastrutture su reti private non accessibili da Internet pubblico. È possibile stabilire una connessione privata tra il VPC e Secrets Manager creando un endpoint VPC dell'interfaccia. Gli endpoint dell'interfaccia sono basati su AWS PrivateLink, una tecnologia che consente di accedere privatamente alle API di Secrets Manager senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione AWS Direct Connect. Le istanze presenti nel VPC non richiedono indirizzi IP pubblici per comunicare con le API di Secrets Manager. Il traffico tra il VPC e Secrets Manager non esce dalla rete AWS. Per ulteriori informazioni, consultare Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC.

Quando Secrets Manager effettua una rotazione del segreto utilizzando una funzione di rotazione Lambda, ad esempio un segreto che contiene credenziali del database, la funzione Lambda effettua richieste sia al database che a Secrets Manager. Quando si attiva la rotazione automatica utilizzando la console, Secrets Manager crea la funzione Lambda nello stesso VPC del database. Suggeriamo di creare un endpoint di Secrets Manager nello stesso VPC in modo che le richieste dalla funzione di rotazione Lambda a Secrets Manager non escano dalla rete Amazon.

Se si abilita il DNS privato per l'endpoint, è possibile effettuare richieste API verso Secrets Manager utilizzando il nome DNS predefinito per la regione, ad esempio secretsmanager.us-east-1.amazonaws.com. Per ulteriori informazioni, consulta Accesso a un servizio tramite un endpoint dell'interfaccia in Guida per l'utente di Amazon VPC.

È possibile assicurarsi che le richieste a Secrets Manager provengano dall’accesso VPC includendo una condizione nelle policy di autorizzazione. Per ulteriori informazioni, consulta Esempio: autorizzazioni e VPC.

È possibile utilizzare i log AWS CloudTrail di audit per l'utilizzo dei segreti tramite l'endpoint VPC.

Creare un endpoint VPC privato di Secrets Manager

  1. Consulta Creazione di un endpoint di interfaccia nella Amazon VPC User Guide. Usa il nome di servizio: com.amazonaws.region.secretsmanager

  2. Per controllare l'accesso all'endpoint, consulta Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint.

Sottoreti condivise

Non puoi creare, descrivere, modificare o eliminare gli endpoint VPC nelle sottoreti condivise con te. Tuttavia, puoi utilizzare gli endpoint VPC in sottoreti condivise con te. Per informazioni sulla condivisione VPC, consulta Condivisione del VPC con altri account nella Guida per l'utente di Amazon Virtual Private Cloud.