配置网络以支持轮换密钥 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置网络以支持轮换密钥

要成功轮换密钥,Lambda 轮换函数必须能够与受保护的数据库或服务以及 AWS Secrets Manager 服务通信。轮换函数将请求发送到数据库或其他服务,以使用新的值更新用户密码。该函数还会调用 Secrets Manager API 操作,以检索和更新在轮换过程中涉及的密钥。如果 Amazon RDS 实例或其他受密钥保护的服务在 Amazon VPC 提供的 Virtual Private Cloud (VPC) 中运行,您必须执行以下简要步骤以启用所需的连接。

  • 配置您的 Lambda 轮换函数来启用函数与数据库实例之间的通信。 如果使用 Secrets Manager 完全支持的数据库服务之一,创建函数的 AWS CloudFormation 模板将确定数据库实例的公开可访问性。

    • 如果受保护服务在 VPC 中运行并且无法 公开访问,则 AWS CloudFormation 模板将 Lambda 轮换函数配置为在同一 VPC 中运行。在这种情况下,轮换函数可以直接与 VPC 中的受保护服务通信。

    • 如果您将受保护的服务作为可公开访问的资源运行,无论是否在 VPC 中,则 AWS CloudFormation 模板将 Lambda 轮换函数配置为 在 VPC 中运行。在这种情况下,Lambda 轮换函数与受保护服务通过可公开访问的连接点通信。

    如果您手动配置轮换函数,并且要将其添加到 VPC 中,请在函数 Details (详细信息) 页面中向下滚动到 Networking (网络) 部分,然后从列表中选择相应的 VPC

  • 配置 VPC,以允许运行在 VPC 中的 Lambda 轮换函数与 Secrets Manager 服务终端节点通信。 默认情况下,Secrets Manager 终端节点在公有 Internet 上运行。如果在 VPC 中运行 Lambda 轮换函数和受保护数据库或服务,则必须执行以下步骤之一:

    • 您可以通过将 NAT 网关添加到 VPC,以允许 Lambda 函数访问公共 Secrets Manager 终端节点。这使得源自您 VPC 中的通信可以访问公共 Secrets Manager 终端节点。这会使 VPC 面临一定的风险,因为网关的 IP 地址可能会受到来自公有 Internet 的攻击。

    • 您可以直接在 VPC 中配置 Secrets Manager 服务终端节点。这会将 VPC 配置为拦截发送到公有区域终端节点的任何请求,并将 VPC 重定向到在 VPC 中运行的私有服务终端节点。有关更多详细信息,请参阅通过 VPC 终端节点连接到 Secrets Manager