适用于 AWS Secrets Manager 的 VPC 终端节点
[英]VPC Endpoint for AWS Secrets Manager
问题描述
路由表(在私有子网中)不会通过添加 VPCE 作为 aws secrets manager 的目的地而改变。 也尝试使用新的 SG(不使用默认 SG)。 任何想法?
2 个解决方案
解决方案1
5 2021-01-23 07:05:11
根据评论。
Secrets Manager (SM) 使用VPC 接口端点。 与 S3 和 DynamoDB 的VPC 网关终端节点相比,这是新一代终端节点。 新一代不会修改路由表 (RT)。 相反,网关端点确实会修改创建这些端点时指定的 RT。
为了与接口端点无缝协作,VPC 必须启用enableDnsHostnames和enableDnsSupport以及用于端点的私有 DNS 。 此外,通常需要调整端点的安全组以允许在端口 443 上进行连接。
解决方案2
0 2021-07-10 21:09:55
最近我删除了所有最初允许我的私有子网连接到 Internet 的 NAT 网关(包括 Secrets Manager)。 我假设 NAT 网关是一个安全漏洞、昂贵的基础设施,私有实例不需要联系 AWS Secrets Manager。 我错了。 我的 ECS 任务失败,并指出无法访问 Secrets Manager 资源。
调试
我建议使用AWS VPC 可达性分析器来调试这些网络问题,它对我很有帮助。
- 在私有子网中启动 EC2 实例
- 将您的私有子网安全组分配给 EC2 实例
- 为您的私有子网创建 VPC 终端节点
- 使用 VPC 可达性分析器“创建和分析路径”
- 源类型:实例
- Select 您启动的新 EC2 实例
- 目标类型:VPC 终端节点
- Select 您创建的 VPC 终端节点
- 目的端口
- 对于 HTTPS 设置为 443
- 协议
- 设置为 TCP
- 源类型:实例
- 更改您的基础架构,并重新运行分析器以测试访问,直到成功。
这将使您能够验证您在私有子网中启动的 EC2 实例是否可以联系 VPC 端点(例如 Secrets Manager)。
清单
既然您有了快速验证可达性的方法,那么您可能需要采取以下步骤来确保您的私有子网可以联系 AWS 服务,例如 Secrets Manager。 请查阅 AWS 文档,因为我可能有过时的信息。
- 确保AWS::EC2::VPC
- EnableDnsSupport:真
- EnableDnsHostnames:真
- 创建AWS::EC2::VPCEndpoint (不是免费的,请参阅定价)
- PrivateDnsEnabled:真
- 服务名称:
- 将此用作模板
com.amazonaws.${AWS::Region}.secretsmanager并为 AWS 区域使用适当的值
- 将此用作模板
- 安全组 ID:
- 附加到 VPC 终端节点的安全组必须允许来自 VPC 私有子网的端口 443 上的传入连接
- 这将 VPC 终端节点与一个安全组相关联,该安全组用于允许从私有子网到 AWS API 的传入流量
- 子网 ID:
- 私有子网
- VpcEndpointType:接口
- VpcId:放置 VPC 端点的 VPC
从 Spring Boot REST 端点访问 AWS Secrets Manager
[英]Access AWS Secrets Manager from Spring Boot REST Endpoint
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.