Uso de um endpoint da VPC do AWS Secrets Manager - AWS Secrets Manager
Criar uma política de endpointSub-redes compartilhadas

Uso de um endpoint da VPC do AWS Secrets Manager

Sempre que possível, recomendamos que você execute o máximo da infraestrutura em redes privadas que não sejam acessíveis pela Internet pública. É possível estabelecer uma conexão privada entre a sua VPC e o Secrets Manager criando um interface VPC endpoint (Endpoint da VPC de interface). Os endpoints de interface são habilitados por AWS PrivateLink, uma tecnologia que permite acessar de forma privada as APIs diretas do Secrets Manager sem um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão do Direct Connect. As instâncias na VPC não precisam de endereços IP públicos para a comunicação com APIs do Secrets Manager. O tráfego entre sua VPC e o Secrets Manager não sai da rede da AWS. Para obter mais informações, consulte Endpoints da VPC da interface (AWS PrivateLink) no Manual do Usuário do Amazon VPC.

Quando o Secrets Manager alterna um segredo usando uma função de alternância do Lambda, por exemplo, um segredo que contém credenciais de banco de dados, a função do Lambda faz solicitações para o banco de dados e para o Secrets Manager. Quando você ativa a alternância automática usando o console, o Secrets Manager cria a função do Lambda na mesma VPC do banco de dados. Recomendamos que você crie um endpoint do Secrets Manager na mesma VPC para que as solicitações da função de alternância do Lambda para o Secrets Manager não saiam da rede da Amazon.

Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API para o Secrets Manager usando seu nome DNS padrão para a região, por exemplo, secretsmanager.us-east-1.amazonaws.com. Para mais informações, consulte Acessar um serviço por um endpoint de interface no Guia do usuário da Amazon VPC.

É possível verificar se as solicitações para o Secrets Manager vêm do acesso à VPC ao incluir uma condição nas políticas de permissões. Para obter mais informações, consulte Exemplo: Permissões e VPCs.

É possível usar os logs do AWS CloudTrail para auditar o uso de segredos por meio do endpoint da VPC.

Para criar um endpoint da VPC do Secrets Manager

  1. Consulte Criação de um endpoint de interface no Guia do usuário da Amazon VPC. Use um dos nomes de serviço a seguir:

    • com.amazonaws.region.secretsmanager

    • com.amazonaws.region.secretsmanager-fips

  2. Para controlar o acesso ao endpoint, consulte Controle o acesso aos endpoints da VPC usando políticas de endpoint.

  3. Para usar endereçamento IPv6 e de pilha dupla, consulte Acesso IPv4 e IPv6.

Criar uma política de endpoint para o endpoint de interface

Uma política de endpoint é um recurso do IAM que pode ser anexado ao endpoint de interface. A política de endpoint padrão permite acesso total ao Secrets Manager por meio de endpoints de interface. Para controlar o acesso permitido ao Secrets Manager pela VPC, anexe uma política de endpoint personalizada ao endpoint da interface.

Uma política de endpoint especifica as seguintes informações:

  • As entidades principais que podem realizar ações (Contas da AWS, usuários do IAM e perfis do IAM).

  • As ações que podem ser executadas.

  • Os recursos nos quais as ações podem ser executadas.

Para obter mais informações, consulte Controlar o acesso aos serviços usando políticas de endpoint no Guia do AWS PrivateLink.

Exemplo: política de endpoint da VPC para ações do Secrets Manager

Veja a seguir um exemplo de uma política de endpoint personalizado. Quando você vincula essa política ao endpoint da sua interface, ela concede acesso às ações do Secrets Manager listadas no segredo especificado.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow all users to use GetSecretValue and DescribeSecret on the specified secret.",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret"
      ],
      "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:secretName-AbCdEf"
    }
  ]
}

Sub-redes compartilhadas

Você não pode criar, descrever, modificar ou excluir endpoints da VPC em sub-redes que são compartilhadas com você. No entanto, é possível usar os endpoints da VPC em sub-redes que são compartilhadas com você. Para obter informações sobre o compartilhamento de VPC, consulte Compartilhar sua VPC com outras contas no Guia do usuário do Amazon Virtual Private Cloud.