シークレットの更新をサポートするネットワークの設定 - AWS Secrets Manager

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

シークレットの更新をサポートするネットワークの設定

シークレットを正常に変更するには、Lambda ローテーション関数が保護されたデータベースまたはサービス、および AWS Secrets Manager サービスの両方と通信できる必要があります。ローテーション関数は、新しい値でユーザーパスワードを更新するリクエストをデータベースまたは他のサービスに送信します。また、この関数は Secrets Manager API オペレーションを呼び出して、ローテーションプロセスに関係するシークレットを取得して更新します。ユーザーの Amazon RDS インスタンスまたは他のシークレットで保護されたサービスが Amazon VPC から提供されている Virtual Private Cloud (VPC) で実行されている場合、必要な接続を有効にするために以下のステップを実行する必要があります。

  • Lambda ローテーション関数を設定して、関数とデータベースインスタンス間の通信を有効にします。 Secrets Manager で完全にサポートされているデータベースサービスのいずれかを使用する場合、関数を作成する AWS CloudFormation テンプレートによって、データベースインスタンスのパブリックアクセシビリティが決まります。

    • 保護されたサービスが VPC で実行されており、パブリックにアクセス可能でない場合、AWS CloudFormation テンプレートは Lambda ローテーション関数が同じ VPC 内で実行されるように設定します。このシナリオでは、ローテーション関数は保護されたサービスと VPC 内で直接通信できます。

    • 保護されたサービスをパブリックにアクセス可能なリソースとして実行した場合、VPC 内にあるかどうかに関係なく、AWS CloudFormation テンプレートは Lambda ローテーション関数が同じ VPC 内で実行されないよう設定します。このシナリオでは、Lambda ローテーション関数は、保護されたサービスとパブリックにアクセス可能な接続ポイントを介して通信します。

    手動でローテーション関数を設定して VPC に追加する場合、関数の [詳細] ページで [ネットワーキング] セクションまでスクロールし、一覧から適切な VPC を選択します。

  • VPC 内で実行されている Lambda ローテーション関数と Secrets Manager サービスエンドポイント間で通信できるように VPC を設定します。 デフォルトでは、Secrets Manager エンドポイントはパブリックインターネット上にあります。Lambda ローテーション関数および、保護されたデータベースまたはサービスの両方を VPC で実行している場合、次のいずれかのステップを実行する必要があります。

    • NAT ゲートウェイをユーザーの VPC に追加することで、Lambda 関数はパブリック Secrets Manager エンドポイントにアクセスできるようになります。これにより、VPC を送信元とするトラフィックはパブリック Secrets Manager エンドポイントに到達できるようになります。これにより、VPC はある程度のリスクにさらされることになります。パブリックインターネットから攻撃可能なゲートウェイ用 IP アドレスがあるためです。

    • VPC 内で、Secrets Manager サービスエンドポイントを直接設定できます。これにより、VPC は、パブリックリージョンエンドポイントにアドレス指定されたすべてのリクエストをインターセプトし、VPC を VPC 内で実行されているプライベートサービスエンドポイントにリダイレクトするよう設定されます。詳細については、「VPC エンドポイント経由で Secrets Manager に接続する」を参照してください。