使用 AWS Secrets Manager VPC终端节点 - AWS Secrets Manager
共享子网

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS Secrets Manager VPC终端节点

我们建议您在无法从私有网络访问的专用网络上运行尽可能多的基础设施。你可以通过创建接口VPC端点在你VPC和 Secrets Manager 之间建立私有连接。接口端点由一项技术提供支持 AWS PrivateLink,该技术使您APIs无需互联网网关、NAT设备、VPN连接或 AWS Direct Connect 连接即可私密访问 Secrets Manager。你中的实例VPC不需要公有 IP 地址即可与 Secrets Manager 通信APIs。你VPC和 Secrets Manager 之间的流量不会离开 AWS 网络。有关更多信息,请参阅 Amazon VPC 用户指南中的接口VPC终端节点 (AWS PrivateLink)

当 Secrets Manager 使用 Lambda 轮换函数轮换密钥(例如包含数据库凭证的密钥)时,Lambda 函数将同时向数据库和 Secrets Manager 发出请求。当您使用控制台开启自动轮换功能时,Secrets Manager 会在与您的数据库VPC相同的位置创建 Lambda 函数。我们建议您使用相同的方式创建 Secrets Manager 终端节点,VPC这样从 Lambda 轮换函数发送到 Secrets Manager 的请求就不会离开亚马逊网络。

如果您DNS为终端节点启用私有功能,则可以使用该区域的默认DNS名称向 Secrets Manager API 发出请求,例如secretsmanager.us-east-1.amazonaws.com。有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口终端节点访问服务

您可以通过在权限策略中加入条件来确保对 Secrets Manager 的请求来自VPC访问权限。有关更多信息,请参阅 示例:权限和 VPC

您可以使用 AWS CloudTrail 日志来审核您通过VPC终端节点对密钥的使用情况。

为 Secrets Manager 创建VPC终端节点

  1. 请参阅《Amazon VPC 用户指南》中的创建接口终端节点。使用服务名称:com.amazonaws。 region.secretsManag

  2. 要控制对终端节点的访问,请参阅使用终端节点策略控制对VPC端点的访问

  3. 要使用IPv6和双栈寻址,请参阅IPv4和IPv6访问权限

共享子网

您无法在与您共享的子网中创建、描述、修改或删除VPC终端节点。但是,您可以在与您共享的子网中使用VPC终端节点。有关VPC共享的信息,请参阅 Amazon Virtual Private Cloud 用户指南中的VPC与其他账户共享您的账户。