翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Lambda ローテーション関数のネットワークアクセス
の場合Lambda 関数によるローテーション、Secrets Manager が Lambda 関数を使用してシークレットをローテーションするとき、Lambda ローテーション関数はシークレットにアクセスできる必要があります。シークレットに認証情報が含まれている場合、Lambda 関数はそれらの認証情報のソース (データベースやサービスなど) にもアクセスできる必要があります。
- シークレットにアクセスするには
-
ローテーション用の Lambda 関数は、Secrets Manager のエンドポイントにアクセスできる必要があります。Lambda 関数がインターネットにアクセスできる場合は、パブリックなエンドポイントを使用できます。エンドポイントを見つけるには、「AWS Secrets Manager エンドポイント」を参照してください。
Lambda 関数VPCがインターネットにアクセスできない で実行されている場合は、 内で Secrets Manager サービスのプライベートエンドポイントを設定することをお勧めしますVPC。その後、 VPCは、パブリックリージョンエンドポイント宛てのリクエストをインターセプトし、プライベートエンドポイントにリダイレクトできます。詳細については、「VPC エンドポイント」を参照してください。
または、 にNATゲートウェイまたはインターネットゲートウェイを追加することで、Lambda 関数が Secrets Manager パブリックエンドポイントにアクセスできるようにすることもできます。これによりVPC、 からのトラフィックがパブリックエンドポイントVPCに到達できるようになります。これによりVPC、ゲートウェイの IP アドレスがパブリックインターネットから攻撃される可能性があるため、 のリスクが高まります。
- (オプション) データベースまたはサービスにアクセスするには
-
API キーなどのシークレットの場合、シークレットとともに更新する必要があるソースデータベースやサービスはありません。
データベースまたはサービスが の Amazon EC2インスタンスで実行されている場合はVPC、同じ で実行するように Lambda 関数を設定することをお勧めしますVPC。こうすることで、ローテーション関数はサービスと直接通信できるようになります。詳細については、VPC「アクセスの設定」を参照してください。
Lambda 関数からデータベースまたはサービスへのアクセスを可能にするには、ローテーション用の Lambda 関数にアタッチされたセキュリティグループによって、そのデータベースまたはサービスに対するアウトバウンド接続が許可されている必要があります。同時に、データベースまたはサービスにアタッチされているセキュリティグループでは、ローテーション用 Lambda 関数からのインバウンド接続を許可する必要もあります。