Utilizzo di un AWS Secrets Manager endpoint VPC - AWS Secrets Manager
Creazione di una policy dell'endpointSottoreti condivise

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di un AWS Secrets Manager endpoint VPC

Consigliamo di eseguire la maggior parte delle infrastrutture su reti private non accessibili da Internet pubblico. È possibile stabilire una connessione privata tra il VPC e Secrets Manager creando un endpoint VPC dell'interfaccia. Gli endpoint di interfaccia sono alimentati da AWS PrivateLink, una tecnologia che consente di accedere in modo privato a Secrets Manager APIs senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect Le istanze nel tuo VPC non necessitano di indirizzi IP pubblici per comunicare con Secrets Manager. APIs Il traffico tra il tuo VPC e Secrets Manager non esce dalla AWS rete. Per ulteriori informazioni, consultare Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida per l'utente di Amazon VPC.

Quando Secrets Manager effettua una rotazione del segreto utilizzando una funzione di rotazione Lambda, ad esempio un segreto che contiene credenziali del database, la funzione Lambda effettua richieste sia al database che a Secrets Manager. Quando si attiva la rotazione automatica utilizzando la console, Secrets Manager crea la funzione Lambda nello stesso VPC del database. Suggeriamo di creare un endpoint di Secrets Manager nello stesso VPC in modo che le richieste dalla funzione di rotazione Lambda a Secrets Manager non escano dalla rete Amazon.

Se si abilita il DNS privato per l'endpoint, è possibile effettuare richieste API verso Secrets Manager utilizzando il nome DNS predefinito per la regione, ad esempio secretsmanager.us-east-1.amazonaws.com. Per ulteriori informazioni, consulta Accesso a un servizio tramite un endpoint dell'interfaccia in Guida per l'utente di Amazon VPC.

È possibile assicurarsi che le richieste a Secrets Manager provengano dall’accesso VPC includendo una condizione nelle policy di autorizzazione. Per ulteriori informazioni, consulta Esempio: autorizzazioni e VPCs.

Puoi utilizzare AWS CloudTrail i log per verificare l'utilizzo dei segreti tramite l'endpoint VPC.

Creare un endpoint VPC privato di Secrets Manager

  1. Consulta Creazione di un endpoint di interfaccia nella Amazon VPC User Guide. Usa uno dei seguenti nomi di servizio:

    • com.amazonaws.region.secretsmanager

    • com.amazonaws.region.secretsmanager-fips

  2. Per controllare l'accesso all'endpoint, consulta Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint.

  3. Per utilizzare l'indirizzamento IPv6 dual-stack, vedere. IPv4 e IPv6 accesso

Creazione di una policy dell' endpoint per l'endpoint dell'interfaccia

Una policy dell'endpoint è una risorsa IAM che è possibile allegare all'endpoint dell'interfaccia. La policy predefinita per gli endpoint consente l'accesso completo a Secrets Manager tramite l'endpoint dell'interfaccia. Per controllare l'accesso consentito a Secrets Manager dal tuo VPC, collega una policy personalizzata per gli endpoint all'endpoint dell'interfaccia.

Una policy di endpoint specifica le informazioni riportate di seguito:

  • I principali che possono eseguire azioni (Account AWS, utenti IAM e ruoli IAM).

  • Le azioni che possono essere eseguite.

  • Le risorse in cui è possibile eseguire le operazioni.

Per ulteriori informazioni, consulta la sezione Controllo dell'accesso ai servizi con policy di endpoint nella Guida di AWS PrivateLink .

Esempio: policy degli endpoint VPC per le azioni di Secrets Manager

Di seguito è riportato l'esempio di una policy dell'endpoint personalizzata. Quando alleghi questa policy all'endpoint dell'interfaccia, concede l'accesso alle azioni di Secrets Manager elencate sul segreto specificato.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow all users to use GetSecretValue and DescribeSecret on the specified secret.",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret"
      ],
      "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretName-AbCdEf"
    }
  ]
}

Sottoreti condivise

Non puoi creare, descrivere, modificare o eliminare gli endpoint VPC nelle sottoreti condivise con te. Tuttavia, puoi utilizzare gli endpoint VPC in sottoreti condivise con te. Per informazioni sulla condivisione VPC, consulta Condivisione del VPC con altri account nella Guida per l'utente di Amazon Virtual Private Cloud.