使用 Amazon Secrets Manager VPC 终端节点 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用 Amazon Secrets Manager VPC 终端节点

我们建议您在无法从私有网络访问的专用网络上运行尽可能多的基础设施。您可以通过创建接口 VPC 终端节点在 VPC 与 Secrets Manager 之间建立私有连接。接口端点由 Amazon PrivateLink 提供支持,该技术支持您通过私有连接访问 Secrets Manager API,而无需采用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。您的 VPC 中的实例不需要公有 IP 地址即可与 Secrets Manager API 进行通信。您的 VPC 与 Secrets Manager 之间的流量不会离开 Amazon 网络。

每个接口端点均由子网中的一个或多个弹性网络接口表示。

有关更多信息,请参阅 Amazon VPC 用户指南中的接口 VPC 终端节点 (Amazon PrivateLink)

Secrets Manager VPC 终端节点的注意事项

在为 Secrets Manager 设置接口 VPC 终端节点之前,请确保查看《Amazon VPC 用户指南》中的接口终端节点属性和限制

自动秘密轮换使用 Lamba 函数,Lambda 函数将同时向数据库和 Secrets Manager 发出请求。在启用自动轮换后,Secrets Manager 将在与您的数据库相同的 VPC 中创建 Lambda 函数。我们建议您在同一 VPC 中创建 Secrets Manager 端点,以便从 Lambda 轮换函数向 Secrets Manager 发出的请求不会传出 Amazon 网络。

Secrets Manager 支持从您的 VPC 调用其所有 API 操作。

您还可以使用 Amazon CloudTrail 日志来审计您通过 VPC 终端节点使用秘密的情况。

有关拒绝访问不是源自指定 VPC 或 VPC 终端节点的请求的信息,请参阅 示例:权限和 VPC

为 Secrets Manager 创建接口 VPC 终端节点

您可以使用 Amazon VPC 控制台或 Amazon Command Line Interface (Amazon CLI) 为 Secrets Manager 服务创建 VPC 终端节点。有关更多信息,请参阅 Amazon VPC 用户指南.中的创建接口端点

使用以下服务名称为 Secrets Manager 创建 VPC 终端节点:

  • com.amazonaws.region.secretsmanager

如果为端点启用私有 DNS,则可以使用其原定设置的 DNS 名称用作区域名,向 Secrets Manager 发送 API 请求,例如 secretsmanager.us-east-1.amazonaws.com

有关更多信息,请参阅 Amazon VPC 用户指南中的通过接口端点访问服务

为 Secrets Manager 创建 VPC 终端节点策略

您可以为您的 VPC 终端节点附加控制对 Secrets Manager 的访问的端点策略。该策略指定以下信息:

  • 可执行操作的委托人。

  • 可执行的操作。

  • 可对其执行操作的资源。

有关更多信息,请参阅 Amazon VPC 用户指南中的使用 VPC 端点控制对服务的访问

例 为特定账户启用对 Secrets Manager 端点的访问

以下示例向账户 123456789012 中的所有用户和角色授予访问权限。

{ "Statement": [ { "Sid": "AccessSpecificAccount", "Principal": {"AWS": "123456789012"}, "Action": "secretsmanager:*", "Effect": "Allow", "Resource": "*" } ] }

例 启用对 Secrets Manager 端点上的单个秘密的访问

以下示例仅限制对指定密钥的访问。

{ "Statement": [ { "Principal": "*", "Action": "secretsmanager:*", "Effect": "Allow", "Resource": [ "arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-a1b2c3" ] } ] }