Uso de um endpoint da VPC do AWS Secrets Manager - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Uso de um endpoint da VPC do AWS Secrets Manager

Sempre que possível, recomendamos que você execute o máximo da infraestrutura em redes privadas que não sejam acessíveis pela Internet pública. É possível estabelecer uma conexão privada entre a sua VPC e o Secrets Manager criando um interface VPC endpoint (Endpoint da VPC de interface). Os endpoints de interface são habilitados por AWS PrivateLink, uma tecnologia que permite acessar de forma privada as APIs diretas do Secrets Manager sem um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão do AWS Direct Connect. As instâncias na VPC não precisam de endereços IP públicos para a comunicação com APIs do Secrets Manager. O tráfego entre sua VPC e o Secrets Manager não sai da rede da AWS. Para obter mais informações, consulte Endpoints da VPC da interface (AWS PrivateLink) no Manual do Usuário do Amazon VPC.

Quando o Secrets Manager alterna um segredo usando uma função de alternância do Lambda, por exemplo, um segredo que contém credenciais de banco de dados, a função do Lambda faz solicitações para o banco de dados e para o Secrets Manager. Quando você ativa a alternância automática usando o console, o Secrets Manager cria a função do Lambda na mesma VPC do banco de dados. Recomendamos que você crie um endpoint do Secrets Manager na mesma VPC para que as solicitações da função de alternância do Lambda para o Secrets Manager não saiam da rede da Amazon.

Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API para o Secrets Manager usando seu nome DNS padrão para a região, por exemplo, secretsmanager.us-east-1.amazonaws.com. Para mais informações, consulte Acessar um serviço por um endpoint de interface no Guia do usuário da Amazon VPC.

Você pode verificar se as solicitações para o Secrets Manager vêm do acesso à VPC ao incluir uma condição nas políticas de permissões. Para ter mais informações, consulte Exemplo: Permissões e VPCs.

Você pode usar os logs do AWS CloudTrail para auditar o uso de segredos por meio do endpoint da VPC.

Para criar um endpoint da VPC do Secrets Manager
  1. Consulte Criação de um endpoint de interface no Guia do usuário da Amazon VPC. Use o nome do serviço: com.amazonaws.region.secretsmanager

  2. Para controlar o acesso ao endpoint, consulte Controle o acesso aos endpoints da VPC usando políticas de endpoint.

Sub-redes compartilhadas

Você não pode criar, descrever, modificar ou excluir endpoints da VPC em sub-redes que são compartilhadas com você. No entanto, você pode usar os endpoints da VPC em sub-redes que são compartilhadas com você. Para obter informações sobre o compartilhamento de VPC, consulte Compartilhar sua VPC com outras contas no Guia do usuário do Amazon Virtual Private Cloud.