本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Amazon Secrets Manager VPC 终端节点
<a name="vpc-endpoint-overview"></a>

我们建议您在无法从私有网络访问的专用网络上运行尽可能多的基础设施。您可以通过创建*接口 VPC 端点*在 VPC 与 Secrets Manager 之间建立私有连接。接口端点由一项技术提供支持 [Amazon PrivateLink](https://www.amazonaws.cn/privatelink)，该技术使您 APIs无需互联网网关、NAT 设备、VPN 连接或 Amazon Direct Connect 连接即可私密访问 Secrets Manager。您的 VPC 中的实例不需要公有 IP 地址即可与 Secrets Manager 通信 APIs。您的 VPC 和 Secrets Manager 之间的流量不会离开 Amazon 网络。有关更多信息，请参阅《Amazon VPC 用户指南》**中的[接口 VPC 端点 (Amazon PrivateLink)](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html)。

当 Secrets Manager [使用 Lambda 轮换函数轮换密钥](rotating-secrets.md)（例如包含数据库凭证的密钥）时，Lambda 函数将同时向数据库和 Secrets Manager 发出请求。在[使用控制台启用自动轮换](rotate-secrets_turn-on-for-db.md)后，Secrets Manager 将在与您的数据库相同的 VPC 中创建 Lambda 函数。建议您在同一 VPC 中创建 Secrets Manager 端点，以便从 Lambda 轮换函数向 Secrets Manager 发出的请求不会传出 Amazon 网络。

如果为端点启用私有 DNS，则可以使用其原定设置的 DNS 名称用作区域名，向 Secrets Manager 发送 API 请求，例如 `secretsmanager.us-east-1.amazonaws.com`。有关更多信息，请参阅《Amazon VPC 用户指南》**中的[通过接口端点访问服务](https://docs.amazonaws.cn/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。

您可以通过在权限策略中包含条件来确保对 Secrets Manager 的请求来自 VPC 访问。有关更多信息，请参阅 [示例：权限和 VPCs](auth-and-access_resource-policies.md#auth-and-access_examples_vpc)。

您可以通过 VPC 终端节点使用 Amazon CloudTrail 日志来审核您对密钥的使用情况。

**为 Secrets Manager 创建 VPC 端点**

1. 请参阅《*Amazon VPC 用户指南*》中的 [Creating an interface endpoint](https://docs.amazonaws.cn/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。使用以下服务名称之一：
   + `com.amazonaws.region.secretsmanager`
   + `com.amazonaws.region.secretsmanager-fips`

1. 要控制对端点的访问，请参阅 [Control access to VPC endpoints using endpoint policies](https://docs.amazonaws.cn/vpc/latest/privatelink/vpc-endpoints-access.html)。

1. 要使用 IPv6 和双栈寻址，请参阅[IPv4 和 IPv6 访问权限](ip-access.md)。

## 为接口端点创建端点策略
<a name="vpc-endpoint-policy"></a>

端点策略是一种 IAM 资源，您可以将其附加到接口端点。默认端点策略允许通过接口端点完全访问 Secrets Manager。要控制允许从 VPC 访问 Secrets Manager 的权限，请将自定义端点策略附加到接口端点。

端点策略指定以下信息：
+ 可执行操作的主体（Amazon Web Services 账户、IAM 用户和 IAM 角色）。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅《Amazon PrivateLink 指南》**中的[使用端点策略控制对服务的访问权限](https://docs.amazonaws.cn/vpc/latest/privatelink/vpc-endpoints-access.html)。

**示例：Secrets Manager 操作的 VPC 端点策略**  
以下是自定义端点策略的示例。当附加到接口端点时，此策略会授权指定密钥上所列出 Secrets Manager 操作的访问权限。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow all users to use GetSecretValue and DescribeSecret on the specified secret.",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret"
      ],
      "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretName-AbCdEf"
    }
  ]
}
```

------

## 共享子网
<a name="shared-subnets"></a>

您无法在与您共享的子网中创建、描述、修改或删除 VPC 端点。但是，您可以在与您共享的子网中使用 VPC 端点。有关 VPC 共享的信息，请参阅《Amazon Virtual Private Cloud 用户指南》**中的[与其他账户共享 VPC](https://docs.amazonaws.cn/vpc/latest/userguide/vpc-sharing.html)。