Uso de un punto final AWS Secrets Manager de VPC - AWS Secrets Manager
Creación de una política de punto de conexiónSubredes compartidas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de un punto final AWS Secrets Manager de VPC

Recomendamos que ejecute tanto como pueda de su infraestructura en redes privadas que no sean accesibles desde la internet pública. Puede establecer una conexión privada entre su VPC y Secrets Manager mediante la creación de un punto de conexión de VPC de la interfaz. Los puntos finales de la interfaz funcionan con una tecnología que le permite acceder de forma privada a Secrets Manager APIs sin una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una AWS Direct Connect conexión. AWS PrivateLink Las instancias de su VPC no necesitan direcciones IP públicas para comunicarse con Secrets Manager. APIs El tráfico entre la VPC y Secrets Manager no sale de la AWS red. Para obtener más información, consulte Puntos de conexión de VPC de interfaz (AWS PrivateLink) en la Guía del usuario de Amazon VPC.

Cuando Secrets Manager rota un secreto mediante una función de rotación de Lambda, por ejemplo, un secreto que contiene credenciales de base de datos, la función Lambda realiza solicitudes a la base de datos y a Secrets Manager. Cuando activa la rotación automática al utilizar la consola, Secrets Manager crea la función de Lambda en la misma VPC que la base de datos. Se recomienda que cree un punto de conexión de Secrets Manager en la misma VPC para que las solicitudes de la función de rotación de Lambda a Secrets Manager no salgan de la red de Amazon.

Si habilita un DNS privado para el punto de conexión, puede realizar solicitudes de API a Secrets Manager mediante su nombre de DNS predeterminado para la región, por ejemplo, secretsmanager.us-east-1.amazonaws.com. Para más información, consulte Acceso a un servicio a través de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC.

Puede asegurarse de que las solicitudes a Secrets Manager provengan del acceso de la VPC mediante la inclusión de una condición en las políticas de permisos. Para obtener más información, consulte Ejemplo: permisos y VPCs.

Puede usar AWS CloudTrail los registros para auditar el uso de los secretos a través del punto final de la VPC.

Para crear un punto de conexión de VPC de Secrets Manager

  1. Consulte Creación de un punto de conexión de interfaz en la Guía del usuario de Amazon VPC. Usa uno de los siguientes nombres de servicio:

    • com.amazonaws.region.secretsmanager

    • com.amazonaws.region.secretsmanager-fips

  2. Para controlar el acceso al punto de conexión, consulte Controlar el acceso a puntos de conexión de VPC con políticas de punto de conexión.

  3. Para utilizar IPv6 un direccionamiento de doble pila, consulteIPv4 y IPv6 acceso.

Creación de una política de puntos de conexión para el punto de conexión de interfaz

Una política de punto de conexión es un recurso de IAM que puede adjuntar al punto de conexión de su interfaz. La política de puntos finales predeterminada permite el acceso total a Secrets Manager a través del punto final de la interfaz. Para controlar el acceso permitido a Secrets Manager desde su VPC, adjunte una política de punto final personalizada al punto final de la interfaz.

Una política de punto de conexión especifica la siguiente información:

  • Las entidades principales que pueden llevar a cabo acciones (Cuentas de AWS, usuarios de IAM y roles de IAM).

  • Las acciones que se pueden realizar.

  • El recurso en el que se pueden realizar las acciones.

Para obtener más información, consulte Control del acceso a los servicios con políticas de punto de conexión en la Guía del usuario de AWS PrivateLink .

Ejemplo: política de puntos finales de VPC para las acciones de Secrets Manager

El siguiente es un ejemplo de una política de un punto de conexión personalizado. Al adjuntar esta política al punto final de la interfaz, otorga acceso a las acciones de Secrets Manager enumeradas en el secreto especificado.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow all users to use GetSecretValue and DescribeSecret on the specified secret.",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret"
      ],
      "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretName-AbCdEf"
    }
  ]
}

Subredes compartidas

No puede crear, describir, modificar ni eliminar puntos de conexión de VPC en subredes que se compartan con usted. No obstante, puede usar los puntos de conexión de VPC en las subredes que se compartan con usted. Para obtener información sobre el uso compartido de VPC, consulte Compartir su VPC con otras cuentas en la Guía del usuario de Amazon Virtual Private Cloud.