本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # AWS Lambda 輪換函數的網路存取 對於 [由 Lambda 函式輪換](rotate-secrets_lambda.md),當 Secrets Manager 使用 Lambda 函數來輪換秘密時,Lambda 輪換函數必須能夠存取秘密。如果您的秘密包含憑證,則 Lambda 函數也必須能夠存取這些憑證的來源,例如資料庫或服務。 **存取秘密** 您的 Lambda 輪換函數必須能夠存取 Secrets Manager 服務端點。如果您的 Lambda 函數可以存取網際網路,那麼您可以使用公有端點。若要尋找端點,請參閱 [AWS Secrets Manager 端點](asm_access.md#endpoints)。 如果 Lambda 函數在無法存取網際網路的 VPC 中執行,建議您在 VPC 中設定 Secrets Manager 服務私有端點。然後,您的 VPC 可以攔截發送到公有區域端點的請求,並將其重新導向到私有端點。如需詳細資訊,請參閱[VPC 端點 (AWS PrivateLink)](vpc-endpoint-overview.md)。 或者,您可以啟用 Lambda 函數來存取 Secrets Manager 公有端點,方法是將 [NAT 閘道](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)或[網際網路閘道](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html)新增至您的 VPC,以便來自 VPC 的流量到達公有端點。這將使 VPC 暴露在較高的風險下,因為 IP 地址 (用於閘道) 可能會遭到來自公有網際網路的攻擊。 **(選用) 存取資料庫或服務** 對於 API 金鑰等秘密,沒有需要與秘密一起更新的來源資料庫或服務。 如果資料庫或服務正在 VPC 中的 Amazon EC2 執行個體上執行,建議您將 Lambda 函數設定為在相同的 VPC 中執行。然後輪換函數就能直接與您的服務進行通訊。如需詳細資訊,請參閱[設定 VPC 存取 ](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring)。 若要允許 Lambda 函數存取資料庫或服務,您必須確定附加至 Lambda 輪換函數的安全群組允許連至資料庫或服務的傳出連線。此外,您必須確定附加至資料庫或服務的安全群組允許來自 Lambda 輪換函數的傳入連線。