本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS Lambda 轮换功能的网络接入 对于 [通过 Lambda 函数进行轮换](rotate-secrets_lambda.md),当 Secrets Manager 使用 Lambda 函数轮换密钥时,Lambda 轮换函数必须能够访问该密钥。如果您的密钥包含凭证,则 Lambda 函数还必须能够访问这些凭证的来源,例如数据库或服务。 **访问密钥** Lambda 轮换功能必须能够访问 Secrets Manager 端点。如果您的 Lambda 函数可以访问互联网,则可以使用公共端点。若要查找端点,请参阅 [AWS Secrets Manager 端点](asm_access.md#endpoints)。 如果您的 Lambda 函数在不具备互联网访问权限的 VPC 中运行,我们建议您在 VPC 内配置 Secrets Manager 服务私有端点。然后,您的 VPC 可以拦截发往公共区域端点的请求并将其重定向到私有端点。有关更多信息,请参阅 [VPC 端点(AWS PrivateLink)](vpc-endpoint-overview.md)。 或者,您可以通过向 VPC 添加 [NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)或[互联网网关](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)(这将允许来自您 VPC 的流量访问公有端点),允许 Lambda 函数访问 Secrets Manager 公有端点。这会使 VPC 面临一定的风险,因为网关的 IP 地址可能会受到来自公有 Internet 的攻击。 **(可选)访问数据库或服务** 对于诸如 API 密钥之类的密钥,无需随密钥更新源数据库或服务。 如果您的数据库或服务在 VPC 中的 Amazon EC2 实例上运行,我们建议您将您的 Lambda 函数配置为在同一 VPC 中运行。然后轮换功能可以直接与您的服务通信。有关更多信息,请参阅[配置 VPC 访问](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring)。 要允许 Lambda 函数访问数据库或服务,您必须确保附加到 Lambda 轮换函数的安全组允许与数据库或服务的出站连接。您还必须确保附加到数据库或服务的安全组允许来自 Lambda 轮换函数进行入站连接。