Usando um AWS Secrets Manager VPC endpoint - AWS Secrets Manager
Sub-redes compartilhadas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando um AWS Secrets Manager VPC endpoint

Sempre que possível, recomendamos que você execute o máximo da infraestrutura em redes privadas que não sejam acessíveis pela Internet pública. Você pode estabelecer uma conexão privada entre você VPC e o Secrets Manager criando um VPCendpoint de interface. Os endpoints de interface são alimentados por AWS PrivateLink, uma tecnologia que permite acessar o Secrets Manager de forma privada APIs sem um gateway de internet, NAT dispositivo, VPN conexão ou AWS Direct Connect conexão. As instâncias na sua VPC não precisam de endereços IP públicos para se comunicar com o Secrets ManagerAPIs. O tráfego entre você VPC e o Secrets Manager não sai da AWS rede. Para obter mais informações, consulte VPCEndpoints de interface (AWS PrivateLink) no Guia do VPC usuário da Amazon.

Quando o Secrets Manager alterna um segredo usando uma função de alternância do Lambda, por exemplo, um segredo que contém credenciais de banco de dados, a função do Lambda faz solicitações para o banco de dados e para o Secrets Manager. Quando você ativa a rotação automática usando o console, o Secrets Manager cria a função Lambda da VPC mesma forma que seu banco de dados. Recomendamos que você crie um endpoint do Secrets Manager no mesmo VPC para que as solicitações da função de rotação do Lambda para o Secrets Manager não saiam da rede Amazon.

Se você habilitar privado DNS para o endpoint, poderá fazer API solicitações ao Secrets Manager usando seu DNS nome padrão para a região, por exemplo,secretsmanager.us-east-1.amazonaws.com. Para obter mais informações, consulte Acessando um serviço por meio de um endpoint de interface no Guia do VPC usuário da Amazon.

Você pode garantir que as solicitações ao Secrets Manager venham do VPC acesso incluindo uma condição em suas políticas de permissões. Para obter mais informações, consulte Exemplo: Permissões e VPCs.

Você pode usar AWS CloudTrail registros para auditar o uso de segredos por meio do VPC endpoint.

Para criar um VPC endpoint para o Secrets Manager

  1. Consulte Criação de um endpoint de interface no Guia do VPC usuário da Amazon. Use o nome do serviço: com.amazonaws. region.gerente de segredos

  2. Para controlar o acesso ao endpoint, consulte Controlar o acesso aos VPC endpoints usando políticas de endpoint.

  3. Para usar IPv6 um endereçamento de pilha dupla, consulte. IPv4e IPv6 acesso

Sub-redes compartilhadas

Você não pode criar, descrever, modificar ou excluir VPC endpoints em sub-redes compartilhadas com você. No entanto, você pode usar os VPC endpoints em sub-redes que são compartilhadas com você. Para obter informações sobre VPC compartilhamento, consulte Compartilhe suas VPC com outras contas no Guia do usuário da Amazon Virtual Private Cloud.