AWS Secrets Manager VPC エンドポイントの使用 - AWS Secrets Manager
エンドポイントポリシーを作成する共有サブネット

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Secrets Manager VPC エンドポイントの使用

パブリックインターネットからアクセスできないプライベートネットワーク上で、できるだけ多くのインフラストラクチャを実行することをお勧めします。VPC と Secrets Manager とのプライベート接続は、インターフェイス VPC エンドポイントを作成すると、確立できます。インターフェイスエンドポイントは、インターネットゲートウェイAWS PrivateLink、NAT デバイス、VPN 接続、または Direct Connect 接続なしで Secrets Manager APIs にプライベートにアクセスできるテクノロジーである を利用しています。VPC にあるインスタンスは、Secrets Manager API と通信するときに、パブリック IP アドレスを必要としません。VPC と Secrets Manager 間のトラフィックは、 AWS ネットワークを離れません。詳細については、「Amazon VPC ユーザーガイド」の「インターフェイス VPC エンドポイント (AWS PrivateLink)」を参照してください。

シークレットマネージャーが Lambda ローテーション関数を使用して、例えばデータベース認証情報を含むシークレットをローテーションすると、Lambda 関数は、データベースと Secrets Manager の両方にリクエストを送信します。コンソールを使用して自動ローテーションをオンにすると、Secrets Manager はデータベースと同じ VPC に Lambda 関数を作成します。Lambda ローテーション関数から Secrets Manager へのリクエストが Amazon ネットワークから出ないように、同じ VPC に Secrets Manager エンドポイントを作成することをお勧めします。

エンドポイントのプライベート DNS を有効にすると、リージョンのデフォルト DNS 名 (secretsmanager.us-east-1.amazonaws.com など) を使って Secrets Manager への API リクエストを実行できます。詳細については、「Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントを介したサービスへのアクセス」を参照してください。

アクセス許可ポリシーに条件を含めることで、Secrets Manager へのリクエストが VPC アクセスから来るようにすることができます。詳細については、「例: アクセス許可と VPC」を参照してください。

AWS CloudTrail ログを使用して、VPC エンドポイントを介したシークレットの使用を監査できます。

Secrets Manager の VPC エンドポイントを作成するには

  1. Amazon VPC ユーザーガイド」の「インターフェイスエンドポイントの作成」を参照してください。次のいずれかのサービス名を使用します。

    • com.amazonaws.region.secretsmanager

    • com.amazonaws.region.secretsmanager-fips

  2. エンドポイントへのアクセスを制御するには、「エンドポイントポリシーを使用した VPC エンドポイントへのアクセス制御」を参照してください。

  3. IPv6 とデュアルスタックのアドレス指定を使用するには、「」を参照してくださいIPv4 および IPv6 アクセス

インターフェイスエンドポイントのエンドポイントポリシーを作成する

エンドポイントポリシーは、インターフェイスエンドポイントにアタッチできる IAM リソースです。デフォルトのエンドポイントポリシーでは、インターフェイスエンドポイントを介して Secrets Manager へのフルアクセスを許可します。VPC から Secrets Manager に許可されるアクセスを制御するには、カスタムエンドポイントポリシーをインターフェイスエンドポイントにアタッチします。

エンドポイントポリシーは以下の情報を指定します。

  • アクションを実行できるプリンシパル (AWS アカウント、IAM ユーザー、IAM ロール)。

  • 実行可能なアクション。

  • このアクションを実行できるリソース。

詳細については、AWS PrivateLink ガイドControl access to services using endpoint policies (エンドポイントポリシーを使用してサービスへのアクセスをコントロールする)を参照してください。

例: Secrets Manager アクションの VPC エンドポイントポリシー

以下は、カスタムエンドポイントポリシーの例です。このポリシーをインターフェイスエンドポイントにアタッチすると、指定されたシークレットでリストされている Secrets Manager アクションへのアクセスが許可されます。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow all users to use GetSecretValue and DescribeSecret on the specified secret.",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret"
      ],
      "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretName-AbCdEf"
    }
  ]
}

共有サブネット

自分と共有されているサブネットで VPC エンドポイントを作成、説明、変更、または削除することはできません。ただし、VPC エンドポイントを使用することはできます。VPC 共有の詳細については、「Amazon Virtual Private Cloud ユーザーガイド」の「VPC を他のアカウントと共有する」を参照してください。