Lambda 旋轉函數的網路存取

對於由 Lambda 函數旋轉，當 Secrets Manager 使用 Lambda 函數輪換密碼時，Lambda 旋轉函數必須能夠存取密碼。如果您的秘密包含憑證，則 Lambda 函數也必須能夠存取這些憑證的來源，例如資料庫或服務。

存取秘密

您的 Lambda 輪換函數必須能夠存取 Secrets Manager 服務端點。如果您的 Lambda 函數可以存取網際網路，那麼您可以使用公有端點。若要尋找端點，請參閱 AWS Secrets Manager 端點。

如果 Lambda 函數在無法存取網際網路的 VPC 中執行，建議您在 VPC 中設定 Secrets Manager 服務私有端點。然後，您的 VPC 可以攔截發送到公有區域端點的請求，並將其重新導向到私有端點。如需詳細資訊，請參閱 VPC 端點。

或者，您可以啟用 Lambda 函數來存取 Secrets Manager 公有端點，方法是將 NAT 閘道或網際網路閘道新增至您的 VPC，以便來自 VPC 的流量到達公有端點。這將使 VPC 暴露在較高的風險下，因為 IP 地址 (用於閘道) 可能會遭到來自公有網際網路的攻擊。

(選用) 存取資料庫或服務

對於 API 金鑰等秘密，沒有需要與秘密一起更新的來源資料庫或服務。

如果資料庫或服務正在 VPC 中的 Amazon EC2 執行個體上執行，建議您將 Lambda 函數設定為在相同的 VPC 中執行。然後輪換函數就能直接與您的服務進行通訊。如需詳細資訊，請參閱設定 VPC 存取 。

若要允許 Lambda 函數存取資料庫或服務，您必須確定附加至 Lambda 輪換函數的安全群組允許連至資料庫或服務的傳出連線。此外，您必須確定附加至資料庫或服務的安全群組允許來自 Lambda 輪換函數的傳入連線。