[英]VPC Endpoint for AWS Secrets Manager
路由表(在私有子网中)不会通过添加 VPCE 作为 aws secrets manager 的目的地而改变。 也尝试使用新的 SG(不使用默认 SG)。 任何想法?
根据评论。
Secrets Manager (SM) 使用VPC 接口端点。 与 S3 和 DynamoDB 的VPC 网关终端节点相比,这是新一代终端节点。 新一代不会修改路由表 (RT)。 相反,网关端点确实会修改创建这些端点时指定的 RT。
为了与接口端点无缝协作,VPC 必须启用enableDnsHostnames
和enableDnsSupport
以及用于端点的私有 DNS 。 此外,通常需要调整端点的安全组以允许在端口 443 上进行连接。
最近我删除了所有最初允许我的私有子网连接到 Internet 的 NAT 网关(包括 Secrets Manager)。 我假设 NAT 网关是一个安全漏洞、昂贵的基础设施,私有实例不需要联系 AWS Secrets Manager。 我错了。 我的 ECS 任务失败,并指出无法访问 Secrets Manager 资源。
我建议使用AWS VPC 可达性分析器来调试这些网络问题,它对我很有帮助。
这将使您能够验证您在私有子网中启动的 EC2 实例是否可以联系 VPC 端点(例如 Secrets Manager)。
既然您有了快速验证可达性的方法,那么您可能需要采取以下步骤来确保您的私有子网可以联系 AWS 服务,例如 Secrets Manager。 请查阅 AWS 文档,因为我可能有过时的信息。
com.amazonaws.${AWS::Region}.secretsmanager
并为 AWS 区域使用适当的值
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.