AWS Secrets Manager VPC エンドポイントの使用 - AWS Secrets Manager
共有サブネット

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Secrets Manager VPC エンドポイントの使用

パブリックインターネットからアクセスできないプライベートネットワーク上で、できるだけ多くのインフラストラクチャを実行することをお勧めします。VPC と Secrets Manager とのプライベート接続は、インターフェイス VPC エンドポイントを作成すると、確立できます。インターフェイスエンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、AWS Direct Connect 接続のいずれも必要とせずに Secrets Manager にプライベートにアクセスできるテクノロジーである、AWS PrivateLink を利用します。VPC にあるインスタンスは、Secrets Manager API と通信するときに、パブリック IP アドレスを必要としません。VPC と Secrets Manager 間のトラフィックは、AWS ネットワークから離れません。詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイント (AWS PrivateLink)」を参照してください。

シークレットマネージャーが Lambda ローテーション関数を使用して、例えばデータベース認証情報を含むシークレットをローテーションすると、Lambda 関数は、データベースと Secrets Manager の両方にリクエストを送信します。コンソールを使用して自動ローテーションをオンにすると、Secrets Manager はデータベースと同じ VPC に Lambda 関数を作成します。Lambda ローテーション関数から Secrets Manager へのリクエストが Amazon ネットワークから出ないように、同じ VPC に Secrets Manager エンドポイントを作成することをお勧めします。

エンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (secretsmanager.us-east-1.amazonaws.com など) を使って Secrets Manager への API リクエストを実行できます。詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントを介したサービスへのアクセス」を参照してください。

アクセス許可ポリシーに条件を含めることで、Secrets Manager へのリクエストが VPC アクセスから来るようにすることができます。詳細については、「例: アクセス許可と VPC」を参照してください。

VPC エンドポイントを介したシークレットの使用を監査するときは、AWS CloudTrail ログを使用できます。

Secrets Manager の VPC エンドポイントを作成するには

  1. 「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントの作成」を参照してください。 サービス名を使用します: com.amazonaws.region.secretsmanager

  2. エンドポイントへのアクセスを制御するには、「エンドポイントポリシー を使用して VPC エンドポイントへのアクセスを制御する」を参照してください。

共有サブネット

自分と共有されているサブネットで VPC エンドポイントを作成、説明、変更、または削除することはできません。ただし、VPC エンドポイントを使用することはできます。VPC 共有の詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「VPC を他のアカウントと共有する」を参照してください。