Utilisation d'un point de AWS Secrets Manager terminaison VPC - AWS Secrets Manager
Création d’une politique de point de terminaisonSous-réseaux partagés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'un point de AWS Secrets Manager terminaison VPC

Nous recommandons d'exécuter la majeure partie de votre infrastructure sur des réseaux privés non accessibles à partir de l'Internet public. Vous pouvez établir une connexion privée entre votre VPC et Secrets Manager en créant un point de terminaison d'un VPC d'interface. Les points de terminaison de l'interface sont alimentés par AWS PrivateLinkune technologie qui vous permet d'accéder en privé à Secrets Manager APIs sans passerelle Internet, périphérique NAT, connexion VPN ou AWS Direct Connect connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec Secrets Manager. APIs Le trafic entre votre VPC et Secrets Manager ne quitte pas le AWS réseau. Pour de plus amples informations, consultez Points de terminaison VPC (AWS PrivateLink) dans le Guide de l'utilisateur Amazon VPC.

Lorsque Secrets Manager effectue une rotation d'un secret à l'aide d'une fonction de rotation Lambda,par exemple un secret contenant des informations d’identification de base de données, la fonction Lambda envoie des requêtes à la fois à la base de données et à Secrets Manager. Lorsque vous activez la rotation automatique en utilisant la console, Secrets Manager crée la fonction Lambda dans le même VPC que votre base de données. Nous vous recommandons de créer un point de terminaison Secrets Manager dans le même VPC afin que les demandes de la fonction de rotation Lambda vers Secrets Manager ne quittent pas le réseau Amazon.

Si vous activez le DNS privé pour le point de terminaison, vous pouvez faire des demandes d'API à Secrets Manager en utilisant son nom DNS par défaut pour la Région, par exemple secretsmanager.us-east-1.amazonaws.com. Pour plus d'informations, consultez Accès à un service via un point de terminaison d'interface dans le Guide de l'utilisateur Amazon VPC.

Vous pouvez vérifier que les demandes adressées à Secrets Manager proviennent du VPC en incluant une condition dans vos stratégies d'autorisations. Pour de plus amples informations, veuillez consulter Exemple : autorisations et VPCs.

Vous pouvez utiliser AWS CloudTrail les journaux pour vérifier l'utilisation que vous faites des secrets via le point de terminaison VPC.

Création d'un point de terminaison d’un VPC Secrets Manager

  1. Consultez la section Création d'un point de terminaison d'interface dans le guide de l'utilisateur Amazon VPC. Utilisez l'un des noms de service suivants :

    • com.amazonaws.region.secretsmanager

    • com.amazonaws.region.secretsmanager-fips

  2. Pour contrôler l'accès au point de terminaison, consultez la section Contrôler l'accès aux points de terminaison VPC à l'aide de politiques de point de terminaison.

  3. Pour utiliser un IPv6 adressage à double pile, voirIPv4 et IPv6 accès.

Création d’une politique de point de terminaison pour votre point de terminaison d’interface

Une politique de point de terminaison est une ressource IAM que vous pouvez attacher à votre point de terminaison d’interface. La politique de point de terminaison par défaut autorise un accès complet à Secrets Manager via le point de terminaison de l'interface. Pour contrôler l'accès autorisé à Secrets Manager depuis votre VPC, associez une politique de point de terminaison personnalisée au point de terminaison de l'interface.

Une politique de point de terminaison spécifie les informations suivantes :

  • Les principaux qui peuvent effectuer des actions (Comptes AWS, utilisateurs IAM et rôles IAM).

  • Les actions qui peuvent être effectuées.

  • La ressource sur laquelle les actions peuvent être effectuées.

Pour plus d’informations, consultez Contrôle de l’accès aux services à l’aide de politiques de point de terminaison dans le Guide AWS PrivateLink .

Exemple : politique de point de terminaison VPC pour les actions de Secrets Manager

Voici un exemple de politique de point de terminaison personnalisée. Lorsque vous attachez cette politique au point de terminaison de votre interface, elle autorise l'accès aux actions répertoriées dans le Gestionnaire de Secrets Manager sur le secret spécifié.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow all users to use GetSecretValue and DescribeSecret on the specified secret.",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret"
      ],
      "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretName-AbCdEf"
    }
  ]
}

Sous-réseaux partagés

Vous ne pouvez pas créer, décrire, modifier ou supprimer des points de terminaison d'un VPC dans des sous-réseaux qui sont partagés avec vous. Toutefois, vous pouvez utiliser les points de terminaison d'un VPC dans les sous-réseaux qui sont partagés avec vous. Pour plus d'informations sur le partage de VPC, consultez la section Partager votre VPC avec d'autres comptes du Guide de l'utilisateur d'Amazon Virtual Private Cloud.