Utilisation d'un point de terminaison d'un VPC AWS Secrets Manager - AWS Secrets Manager
Sous-réseaux partagés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'un point de terminaison d'un VPC AWS Secrets Manager

Nous recommandons d'exécuter la majeure partie de votre infrastructure sur des réseaux privés non accessibles à partir de l'Internet public. Vous pouvez établir une connexion privée entre votre VPC et Secrets Manager en créant un point de terminaison d'un VPC d'interface. Les points de terminaison d'interface à technologie AWS PrivateLink, ce qui vous permet d'accéder en privé à vos API Secrets Manager sans passerelle Internet, périphérique NAT, connexion VPN ou connexion AWS Direct Connect. Les instances de votre VPC ne requièrent pas d'adresses IP publiques pour communiquer avec les API Secrets Manager. Le trafic entre votre VPC et Secrets Manager ne quitte pas le réseau AWS. Pour de plus amples informations, consultez Points de terminaison VPC (AWS PrivateLink) dans le Guide de l'utilisateur Amazon VPC.

Lorsque Secrets Manager effectue une rotation d'un secret à l'aide d'une fonction de rotation Lambda,par exemple un secret contenant des informations d’identification de base de données, la fonction Lambda envoie des requêtes à la fois à la base de données et à Secrets Manager. Lorsque vous activez la rotation automatique en utilisant la console, Secrets Manager crée la fonction Lambda dans le même VPC que votre base de données. Nous vous recommandons de créer un point de terminaison Secrets Manager dans le même VPC afin que les demandes de la fonction de rotation Lambda vers Secrets Manager ne quittent pas le réseau Amazon.

Si vous activez le DNS privé pour le point de terminaison, vous pouvez faire des demandes d'API à Secrets Manager en utilisant son nom DNS par défaut pour la Région, par exemple secretsmanager.us-east-1.amazonaws.com. Pour plus d'informations, consultez Accès à un service via un point de terminaison d'interface dans le Guide de l'utilisateur Amazon VPC.

Vous pouvez vérifier que les demandes adressées à Secrets Manager proviennent du VPC en incluant une condition dans vos stratégies d'autorisations. Pour plus d’informations, consultez Exemple : Autorisations et VPC.

Vous pouvez également utiliser les journaux AWS CloudTrail pour auditer votre utilisation des secrets via le point de terminaison d'un VPC.

Création d'un point de terminaison d’un VPC Secrets Manager

  1. Consultez la section Création d'un point de terminaison d'interface dans le guide de l'utilisateur Amazon VPC. Utilisez le nom du service : com.amazonaws. région.secretsmanager

  2. Pour contrôler l'accès au point de terminaison, consultez la section Contrôler l'accès aux points de terminaison VPC à l'aide de politiques de point de terminaison.

Sous-réseaux partagés

Vous ne pouvez pas créer, décrire, modifier ou supprimer des points de terminaison d'un VPC dans des sous-réseaux qui sont partagés avec vous. Toutefois, vous pouvez utiliser les points de terminaison d'un VPC dans les sous-réseaux qui sont partagés avec vous. Pour plus d'informations sur le partage de VPC, consultez la section Partager votre VPC avec d'autres comptes du Guide de l'utilisateur d'Amazon Virtual Private Cloud.