Uso de um endpoint da VPC do AWS Secrets Manager

Sempre que possível, recomendamos que você execute o máximo da infraestrutura em redes privadas que não sejam acessíveis pela Internet pública. É possível estabelecer uma conexão privada entre a sua VPC e o Secrets Manager criando um interface VPC endpoint (Endpoint da VPC de interface). Os endpoints de interface são habilitados por AWS PrivateLink, uma tecnologia que permite acessar de forma privada as APIs diretas do Secrets Manager sem um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão do AWS Direct Connect. As instâncias na VPC não precisam de endereços IP públicos para a comunicação com APIs do Secrets Manager. O tráfego entre sua VPC e o Secrets Manager não sai da rede da AWS. Para obter mais informações, consulte Endpoints da VPC da interface (AWS PrivateLink) no Manual do Usuário do Amazon VPC.

Quando o Secrets Manager alterna um segredo usando uma função de alternância do Lambda, por exemplo, um segredo que contém credenciais de banco de dados, a função do Lambda faz solicitações para o banco de dados e para o Secrets Manager. Quando você ativa a alternância automática usando o console, o Secrets Manager cria a função do Lambda na mesma VPC do banco de dados. Recomendamos que você crie um endpoint do Secrets Manager na mesma VPC para que as solicitações da função de alternância do Lambda para o Secrets Manager não saiam da rede da Amazon.

Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API para o Secrets Manager usando seu nome DNS padrão para a região, por exemplo, secretsmanager.us-east-1.amazonaws.com. Para obter mais informações, consulte Acessar um serviço por um endpoint de interface no Guia do usuário da Amazon VPC.

Você pode verificar se as solicitações para o Secrets Manager vêm do acesso à VPC ao incluir uma condição nas políticas de permissões. Para ter mais informações, consulte Exemplo: Permissões e VPCs.

Você pode usar os logs do AWS CloudTrail para auditar o uso de segredos por meio do endpoint da VPC.

Para criar um endpoint da VPC do Secrets Manager

Consulte Criação de um endpoint de interface no Guia do usuário da Amazon VPC. Use o nome do serviço: com.amazonaws.region.secretsmanager
Para controlar o acesso ao endpoint, consulte Controle o acesso aos endpoints da VPC usando políticas de endpoint.

Sub-redes compartilhadas

Você não pode criar, descrever, modificar ou excluir endpoints da VPC em sub-redes que são compartilhadas com você. No entanto, você pode usar os endpoints da VPC em sub-redes que são compartilhadas com você. Para obter informações sobre o compartilhamento de VPC, consulte Compartilhar sua VPC com outras contas no Guia do usuário do Amazon Virtual Private Cloud.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Segredos gerenciados por outros serviços

AWS CloudFormation