使用 Amazon Secrets Manager VPC 终端节点 - Amazon Secrets Manager
共享子网
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Secrets Manager VPC 终端节点

我们建议您在无法从私有网络访问的专用网络上运行尽可能多的基础设施。您可以通过创建接口 VPC 终端节点在 VPC 与 Secrets Manager 之间建立私有连接。接口端点由 Amazon PrivateLink 提供支持,该技术支持您通过私有连接访问 Secrets Manager API,而无需采用互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接。您的 VPC 中的实例不需要公有 IP 地址即可与 Secrets Manager API 进行通信。您的 VPC 与 Secrets Manager 之间的流量不会离开 Amazon 网络。有关更多信息,请参阅《Amazon VPC 用户指南》中的接口 VPC 端点 (Amazon PrivateLink)

当 Secrets Manager 使用 Lambda 轮换函数轮换密钥(例如包含数据库凭证的密钥)时,Lambda 函数将同时向数据库和 Secrets Manager 发出请求。在使用控制台启用自动轮换后,Secrets Manager 将在与您的数据库相同的 VPC 中创建 Lambda 函数。建议您在同一 VPC 中创建 Secrets Manager 端点,以便从 Lambda 轮换函数向 Secrets Manager 发出的请求不会传出 Amazon 网络。

如果为端点启用私有 DNS,则可以使用其原定设置的 DNS 名称用作区域名,向 Secrets Manager 发送 API 请求,例如 secretsmanager.us-east-1.amazonaws.com。有关更多信息,请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务

您可以通过在权限策略中包含条件来确保对 Secrets Manager 的请求来自 VPC 访问。有关更多信息,请参阅 示例:权限和 VPC

您还可以使用 Amazon CloudTrail 日志来审计您通过 VPC 终端节点使用秘密的情况。

为 Secrets Manager 创建 VPC 端点

  1. 请参阅 Amazon VPC 用户指南中的创建接口终端节点。使用服务名称:com.amazonaws.region.secretsmanager

  2. 要控制对终端节点的访问,请参阅使用终端节点策略控制 VPC 终端节点的访问权限。

共享子网

您无法在与您共享的子网中创建、描述、修改或删除 VPC 端点。但是,您可以在与您共享的子网中使用 VPC 端点。有关 VPC 共享的信息,请参阅《Amazon Virtual Private Cloud 用户指南》中的与其他账户共享 VPC