使用 AWS Secrets Manager VPC 终端节点
我们建议您在无法从私有网络访问的专用网络上运行尽可能多的基础设施。您可以通过创建接口 VPC 终端节点在 VPC 与 Secrets Manager 之间建立私有连接。接口端点由 AWS PrivateLink
当 Secrets Manager 使用 Lambda 轮换函数轮换密钥(例如包含数据库凭证的密钥)时,Lambda 函数将同时向数据库和 Secrets Manager 发出请求。在使用控制台启用自动轮换后,Secrets Manager 将在与您的数据库相同的 VPC 中创建 Lambda 函数。建议您在同一 VPC 中创建 Secrets Manager 端点,以便从 Lambda 轮换函数向 Secrets Manager 发出的请求不会传出 Amazon 网络。
如果为端点启用私有 DNS,则可以使用其原定设置的 DNS 名称用作区域名,向 Secrets Manager 发送 API 请求,例如 secretsmanager.us-east-1.amazonaws.com
。有关更多信息,请参阅《Amazon VPC 用户指南》中的通过接口端点访问服务。
您可以通过在权限策略中包含条件来确保对 Secrets Manager 的请求来自 VPC 访问。有关更多信息,请参阅 示例:权限和 VPC。
您还可以使用 AWS CloudTrail 日志来审计您通过 VPC 终端节点使用秘密的情况。
为 Secrets Manager 创建 VPC 端点
-
请参阅《Amazon VPC 用户指南》中的 Creating an interface endpoint。使用服务名称:com.amazonaws.
region
.secretsmanager -
要控制对端点的访问,请参阅 Control access to VPC endpoints using endpoint policies。
共享子网
您无法在与您共享的子网中创建、描述、修改或删除 VPC 端点。但是,您可以在与您共享的子网中使用 VPC 端点。有关 VPC 共享的信息,请参阅《Amazon Virtual Private Cloud 用户指南》中的与其他账户共享 VPC。