本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Lambda 旋轉函數的網路存取
對於由 Lambda 函數旋轉,當 Secrets Manager 使用 Lambda 函數輪換密碼時,Lambda 旋轉函數必須能夠存取密碼。如果您的秘密包含憑證,則 Lambda 函數也必須能夠存取這些憑證的來源,例如資料庫或服務。
- 存取秘密
-
您的 Lambda 輪換函數必須能夠存取 Secrets Manager 服務端點。如果您的 Lambda 函數可以存取網際網路,那麼您可以使用公有端點。若要尋找端點,請參閱 AWS Secrets Manager 端點。
如果您的 Lambda 函數VPC在無法存取網際網路的情況 Secrets Manager 執行,建議您在VPC. 然後,您VPC可以攔截發給公共區域端點的請求,並將其重定向到私有端點。如需詳細資訊,請參閱VPC 端點。
或者,您也可以將NAT閘道或網際網路閘道新增至您的網際網路閘道,以啟用 Lambda 函數存取 Secrets Manager 公用端點VPC,這樣就可以讓來自您的流量VPC到達公用端點。這會VPC使您面臨更大的風險,因為閘道的 IP 位址可能會從公用網際網路遭到攻擊。
- (選用) 存取資料庫或服務
-
對於API金鑰之類的密碼,您不需要與密碼一起更新來源資料庫或服務。
如果您的資料庫或服務在中的 Amazon 執行個EC2體上執行VPC,建議您將 Lambda 函數設定為在相同的執行個體中執行VPC。然後輪換函數就能直接與您的服務進行通訊。如需詳細資訊,請參閱設定VPC存取權。
若要允許 Lambda 函數存取資料庫或服務,您必須確定附加至 Lambda 輪換函數的安全群組允許連至資料庫或服務的傳出連線。此外,您必須確定附加至資料庫或服務的安全群組允許來自 Lambda 輪換函數的傳入連線。
