使用 AWS Secrets Manager VPC 端點 - AWS Secrets Manager
共用子網路

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Secrets Manager VPC 端點

我們建議您在無法從公有網際網路存取的私有網路上儘可能執行基礎設施。您可以建立介面 VPC 端點,以在您的 VPC 與 Secrets Manager 之間建立私有連線。介面端點採用 AWS PrivateLink 技術,這項技術可讓您在沒有網際網路閘道、NAT 裝置、VPN 連接或 AWS Direct Connect 連接的情況下私密地存取 Secrets Manager API。VPC 中的執行個體不需要公有 IP 地址,即能與 Secrets Manager API 通訊。您的 VPC 與 Secrets Manager 之間的流量都會保持在 AWS 網路的範圍內。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的介面 VPC 端點 (AWS PrivateLink)

Secrets Manager 使用 Lambda 輪換函數輪換秘密時,例如包含資料庫憑證的秘密,Lambda 函數會同時向資料庫和 Secrets Manager 發出請求。在您使用主控台開啟自動輪換後,Secrets Manager 將在與資料庫相同的 VPC 中建立 Lambda 函數。我們建議您在相同的 VPC 中建立 Secrets Manager 端點,以便從 Lambda 輪換函數到 Secrets Manager 的請求保持在 Amazon 網路的範圍內。

如果您為該端點啟用私有 DNS,您可以使用其區域的預設 DNS 名稱 (例如 secretsmanager.us-east-1.amazonaws.com),向 Secrets Manager 發出 API 請求。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的透過介面端點存取服務

您可以透過在許可政策中包含條件,確保對 Secrets Manager 的請求都來自 VPC 存取。如需詳細資訊,請參閱 範例:許可和 VPC

您可以使用 AWS CloudTrail 日誌,藉此稽核透過 VPC 端點使用秘密的情況。

為 Secrets Manager 建立 VPC 端點

  1. 請參Amazon VPC 使用者指南中的建立介面端點。使用服務名稱:com.amazonaws.region.secretsmanager

  2. 若要控制對端點的存取,請參閱使用端點策略控制對 VPC 端點的存取。

共用子網路

無法在與您共用的子網路中建立、描述、修改或刪除 VPC 端點。不過,可以在與您共用的子網路中使用 VPC 端點。如需 VPC 共享的相關資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的與其他帳戶共享 VPC