本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AWS Secrets Manager VPC 端點
<a name="vpc-endpoint-overview"></a>

我們建議您在無法從公有網際網路存取的私有網路上儘可能執行基礎設施。您可以建立*介面 VPC 端點*，以在您的 VPC 與 Secrets Manager 之間建立私有連線。介面端點採用 [AWS PrivateLink](https://aws.amazon.com/privatelink)技術，可讓您在沒有網際網路閘道、NAT 裝置、VPN 連接或 Direct Connect 連線的情況下私密存取 Secrets Manager APIs。VPC 中的執行個體不需要公有 IP 地址，即能與 Secrets Manager API 通訊。VPC 和 Secrets Manager 之間的流量不會離開 AWS 網路。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[介面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)。

Secrets Manager [使用 Lambda 輪換函數輪換秘密](rotating-secrets.md)時，例如包含資料庫憑證的秘密，Lambda 函數會同時向資料庫和 Secrets Manager 發出請求。在您[使用主控台開啟自動輪換](rotate-secrets_turn-on-for-db.md)後，Secrets Manager 將在與資料庫相同的 VPC 中建立 Lambda 函數。我們建議您在相同的 VPC 中建立 Secrets Manager 端點，以便從 Lambda 輪換函數到 Secrets Manager 的請求保持在 Amazon 網路的範圍內。

如果您為該端點啟用私有 DNS，您可以使用其區域的預設 DNS 名稱 (例如 `secretsmanager.us-east-1.amazonaws.com`)，向 Secrets Manager 發出 API 請求。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的[透過介面端點存取服務](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint)。

您可以透過在許可政策中包含條件，確保對 Secrets Manager 的請求都來自 VPC 存取。如需詳細資訊，請參閱[範例：許可和 VPC](auth-and-access_resource-policies.md#auth-and-access_examples_vpc)。

您可以使用 AWS CloudTrail 日誌，透過 VPC 端點稽核秘密的使用。

**為 Secrets Manager 建立 VPC 端點**

1. 請參閱《*Amazon VPC 使用者指南*》中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。使用下列其中一個服務名稱：
   + `com.amazonaws.{{region}}.secretsmanager`
   + `com.amazonaws.{{region}}.secretsmanager-fips`

1. 若要控制對端點的存取，請參閱[使用端點政策控制對 VPC 端點的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

1. 若要使用 IPv6 和雙堆疊定址，請參閱 [IPv4 和 IPv6 存取](ip-access.md)。

## 為您的介面端點建立端點政策
<a name="vpc-endpoint-policy"></a>

端點政策為 IAM 資源，您可將其連接至介面端點。預設端點政策允許透過介面端點完整存取 Secrets Manager。若要控制允許從 VPC 存取 Secrets Manager，請將自訂端點政策連接至介面端點。

端點政策會指定以下資訊：
+ 可執行動作 (AWS 帳戶、IAM 使用者和 IAM 角色) 的主體。
+ 可執行的動作。
+ 可供執行動作的資源。

如需詳細資訊，請參閱《*AWS PrivateLink 指南*》中的「[使用端點政策控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)」。

**範例：Secrets Manager 動作的 VPC 端點政策**  
以下是自訂端點政策的範例。當您將此政策連接到介面端點時，它會授予對指定秘密上列出的 Secrets Manager 動作的存取權。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow all users to use GetSecretValue and DescribeSecret on the specified secret.",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "secretsmanager:GetSecretValue",
        "secretsmanager:DescribeSecret"
      ],
      "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:{{secretName-AbCdEf}}"
    }
  ]
}
```

------

## 共用子網路
<a name="shared-subnets"></a>

無法在與您共用的子網路中建立、描述、修改或刪除 VPC 端點。不過，可以在與您共用的子網路中使用 VPC 端點。如需 VPC 共享的相關資訊，請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的[與其他帳戶共享 VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)。