Uso de un punto de conexión de VPC de AWS Secrets Manager - AWS Secrets Manager
Creación de una política de punto de conexiónSubredes compartidas

Uso de un punto de conexión de VPC de AWS Secrets Manager

Recomendamos que ejecute tanto como pueda de su infraestructura en redes privadas que no sean accesibles desde la internet pública. Puede establecer una conexión privada entre su VPC y Secrets Manager mediante la creación de un punto de conexión de VPC de la interfaz. Los puntos de conexión de la interfaz cuentan con AWS PrivateLink, una tecnología que permite acceder de forma privada a las API de Secrets Manager sin necesidad de contar con una puerta de enlace de Internet, un dispositivo NAT, una conexión VPN o una conexión de Direct Connect. Las instancias de la VPC no necesitan direcciones IP públicas para comunicarse con las API de Secrets Manager. El tráfico entre su VPC y Secrets Manager no sale de la red de AWS. Para obtener más información, consulte Puntos de conexión de VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

Cuando Secrets Manager rota un secreto mediante una función de rotación de Lambda, por ejemplo, un secreto que contiene credenciales de base de datos, la función Lambda realiza solicitudes a la base de datos y a Secrets Manager. Cuando activa la rotación automática al utilizar la consola, Secrets Manager crea la función de Lambda en la misma VPC que la base de datos. Se recomienda que cree un punto de conexión de Secrets Manager en la misma VPC para que las solicitudes de la función de rotación de Lambda a Secrets Manager no salgan de la red de Amazon.

Si habilita un DNS privado para el punto de conexión, puede realizar solicitudes de API a Secrets Manager mediante su nombre de DNS predeterminado para la región, por ejemplo, secretsmanager.us-east-1.amazonaws.com. Para más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Puede asegurarse de que las solicitudes a Secrets Manager provengan del acceso de la VPC mediante la inclusión de una condición en las políticas de permisos. Para obtener más información, consulte Ejemplo: permisos y VPC.

También puede utilizar registros de AWS CloudTrail para auditar el uso de secretos a través del punto de conexión de VPC.

Para crear un punto de conexión de VPC de Secrets Manager

  1. Consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC. Utilice uno de los siguientes nombres de servicio:

    • com.amazonaws.region.secretsmanager

    • com.amazonaws.region.secretsmanager-fips

  2. Para controlar el acceso al punto de conexión, consulte Controlar el acceso a puntos de conexión de VPC con políticas de punto de conexión.

  3. Para usar IPv6 y direccionamiento de doble pila, consulte Acceso IPv4 e IPv6.

Creación de una política de puntos de conexión para el punto de conexión de interfaz

Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de puntos de conexión predeterminada permite acceso completo a Secrets Manager mediante el punto de conexión de interfaz. Para controlar el acceso permitido a Secrets Manager desde la VPC, adjunte una política de puntos de conexión personalizada al punto de conexión de interfaz.

Una política de punto de conexión especifica la siguiente información:

  • Las entidades principales que pueden llevar a cabo acciones (Cuentas de AWS, usuarios de IAM y roles de IAM).

  • Las acciones que se pueden realizar.

  • El recurso en el que se pueden realizar las acciones.

Para obtener más información, consulte Control del acceso a los servicios con políticas de punto de conexión en la Guía del usuario de AWS PrivateLink.

Ejemplo: política de punto de conexión de VPC para acciones de Secrets Manager

El siguiente es un ejemplo de una política de un punto de conexión personalizado. Al asociar esta política al punto de conexión, esta política concede acceso a las acciones de Secrets Manager enumeradas para el secreto especificado.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow all users to use GetSecretValue and DescribeSecret on the specified secret.",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret"
      ],
      "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretName-AbCdEf"
    }
  ]
}

Subredes compartidas

No puede crear, describir, modificar ni eliminar puntos de conexión de VPC en subredes que se compartan con usted. No obstante, puede usar los puntos de conexión de VPC en las subredes que se compartan con usted. Para obtener información sobre el uso compartido de VPC, consulte Compartir su VPC con otras cuentas en la Guía del usuario de Amazon Virtual Private Cloud.