使用 AWS Secrets Manager VPC端點 - AWS Secrets Manager
共用子網路

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Secrets Manager VPC端點

我們建議您在無法從公有網際網路存取的私有網路上儘可能執行基礎設施。您可以建立介面VPC端點,在 VPC和 Secrets Manager 之間建立私有連線。介面端點採用 AWS PrivateLink,這項技術可讓您在沒有網際網路閘道、NAT裝置、VPN連線或 AWS Direct Connect 連線APIs的情況下私下存取 Secrets Manager。您 中的執行個體VPC不需要公有 IP 地址,即可與 Secrets Manager 通訊APIs。您的 VPC和 Secrets Manager 之間的流量不會離開 AWS 網路。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的界面VPC端點 (AWS PrivateLink)

Secrets Manager 使用 Lambda 輪換函數輪換秘密時,例如包含資料庫憑證的秘密,Lambda 函數會同時向資料庫和 Secrets Manager 發出請求。當您使用主控台開啟自動輪換時,Secrets Manager 會在VPC與資料庫相同的 中建立 Lambda 函數。我們建議您在相同的 中建立 Secrets Manager 端點,VPC以便從 Lambda 輪換函數到 Secrets Manager 的請求不會離開 Amazon 網路。

如果您DNS為端點啟用私有,您可以使用區域的預設DNS名稱向 Secrets Manager 提出API請求,例如 secretsmanager.us-east-1.amazonaws.com。如需詳細資訊,請參閱《Amazon VPC使用者指南》中的透過介面端點存取服務

您可以在許可政策中包含 條件,以確保對 Secrets Manager 的請求來自VPC存取。如需詳細資訊,請參閱範例:許可和 VPCs

您可以使用 AWS CloudTrail 日誌來稽核透過VPC端點使用秘密的情況。

為 Secrets Manager 建立VPC端點

  1. 請參閱《Amazon VPC使用者指南》中的建立介面端點。使用服務名稱:com.amazonaws.region.secretsmanager

  2. 若要控制對端點的存取,請參閱使用VPC端點政策控制對端點的存取

  3. 若要使用 IPv6和雙堆疊定址,請參閱 IPv4 和 IPv6 存取

共用子網路

您無法在與您共用的子網路中建立、描述、修改或刪除VPC端點。不過,您可以在與您共用的子網路中使用VPC端點。如需VPC共用的詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的VPC與其他帳戶共用您的Amazon Virtual Private Cloud