Uso de um endpoint da VPC do AWS Secrets Manager - AWS Secrets Manager

Uso de um endpoint da VPC do AWS Secrets Manager

Sempre que possível, recomendamos que você execute o máximo da infraestrutura em redes privadas que não sejam acessíveis pela Internet pública. É possível estabelecer uma conexão privada entre a sua VPC e o Secrets Manager criando um interface VPC endpoint (Endpoint da VPC de interface). Os endpoints de interface são habilitados por AWS PrivateLink, uma tecnologia que permite acessar de forma privada as APIs diretas do Secrets Manager sem um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão do AWS Direct Connect. As instâncias na VPC não precisam de endereços IP públicos para a comunicação com APIs do Secrets Manager. O tráfego entre sua VPC e o Secrets Manager não sai da rede da AWS.

Cada endpoint de interface é representado por uma ou mais interfaces de rede elástica nas sub-redes.

Para obter mais informações, consulte Endpoints da interface da VPC(AWS PrivateLink) no Manual do usuário do Amazon VPC.

Considerações sobre os endpoints da VPC do Secrets Manager

Antes de configurar um endpoint da VPC de interface para o Secrets Manager, certifique-se de revisar as propriedades e limitações do endpoint de interface no Guia do usuário da Amazon VPC.

A alternância automática de segredos usa uma função Lamba, e a função Lambda faz solicitações para o banco de dados e o Secrets Manager. Quando você ativa a alternância automática, o Secrets Manager cria a função do Lambda na mesma VPC do banco de dados. Recomendamos que você crie um endpoint do Secrets Manager na mesma VPC para que as solicitações da função de alternância do Lambda para o Secrets Manager não saiam da rede da Amazon.

O Secrets Manager oferece suporte a chamadas para todas as ações de API da sua VPC.

Você pode usar os logs do AWS CloudTrail para auditar o uso de segredos por meio do endpoint da VPC.

Para obter informações sobre como negar acesso a solicitações que não se originem de um endpoint da VPC ou VPC especificada, consulte Exemplo: Permissões e VPCs.

Criação de um endpoint da VPC de interface para o Secrets Manager

É possível criar um endpoint da VPC para o serviço do Secrets Manager usando o console do Amazon VPC ou a AWS Command Line Interface (AWS CLI). Para obter mais informações, consulte Criar um endpoint de interface no Guia do usuário da Amazon VPC.

Crie um endpoint da VPC para o Secrets Manager usando o seguinte nome de serviço:

  • com.amazonaws.region.secretsmanager

Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API para o Secrets Manager usando seu nome DNS padrão para a região, por exemplo, secretsmanager.us-east-1.amazonaws.com.

Para obter mais informações, consulte Acessar um serviço por um endpoint de interface no Guia do usuário da Amazon VPC.

Criar uma política de endpoint da VPC do Secrets Manager

É possível anexar uma política de endpoint ao endpoint da VPC que controla o acesso ao Secrets Manager. Essa política especifica as seguintes informações:

  • A entidade principal que pode executar ações.

  • As ações que podem ser executadas.

  • Os recursos sobre os quais as ações podem ser realizadas.

Para obter mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Guia do usuário da Amazon VPC.

exemplo Habilite o acesso ao endpoint do Secrets Manager para uma conta específica

O exemplo a seguir concede acesso a todos os usuários e as funções na conta 123456789012.

{ "Statement": [ { "Sid": "AccessSpecificAccount", "Principal": {"AWS": "123456789012"}, "Action": "secretsmanager:*", "Effect": "Allow", "Resource": "*" } ] }

exemplo Habilite o acesso a um único segredo no endpoint do Secrets Manager

O exemplo a seguir restringe o acesso somente ao segredo especificado.

{ "Statement": [ { "Principal": "*", "Action": "secretsmanager:*", "Effect": "Allow", "Resource": [ "arn:aws:secretsmanager:us-east-2:111122223333:secret:SecretName-a1b2c3" ] } ] }