3

路由表(在私有子网中)不会通过添加 VPCE 作为 aws secrets manager 的目的地而改变。也尝试使用新的 SG(不使用默认 SG)。任何想法 ?

4

2 回答 2

5

根据评论。

Secrets Manager (SM) 使用VPC 接口端点。与S3 和 DynamoDB的VPC 网关终端节点相比,这是新一代终端节点。新一代不会修改路由表 (RT)。相反,网关端点确实会修改创建这些端点时指定的 RT。

为了与接口终端节点无缝协作,VPC 必须拥有enableDnsHostnamesenableDnsSupport 启用以及终端节点的私有 DNS 。此外,通常需要调整端点的安全组以允许在端口 443 上进行连接。

于 2021-01-23T07:05:11.703 回答
0

最近我删除了所有最初允许我的私有子网连接到 Internet 的 NAT 网关(包括 Secrets Manager)。我假设 NAT 网关是一个安全漏洞、昂贵的基础设施,私有实例不需要联系 AWS Secrets Manager。我错了。我的 ECS 任务失败,并指出无法访问 Secrets Manager 资源。


调试

我建议使用AWS VPC 可达性分析器来调试这些网络问题,它帮助了我。

  1. 在私有子网中启动 EC2 实例
  2. 将您的私有子网安全组分配给 EC2 实例
  3. 为您的私有子网创建 VPC 终端节点
  4. 使用 VPC 可达性分析器“创建和分析路径”
    • 源类型:实例
      • 选择您启动的新 EC2 实例
    • 目标类型:VPC 终端节点
      • 选择您创建的 VPC 终端节点
    • 目的端口
      • 为 HTTPS 设置为 443
    • 协议
      • 设置为 TCP
  5. 更改您的基础架构,并重新运行分析器以测试访问,直到成功。

这将使您能够验证您在私有子网中启动的 EC2 实例是否可以联系 VPC 端点(例如 Secrets Manager)。


清单

既然您有了快速验证可达性的方法,那么您可能需要采取以下步骤来确保您的私有子网可以联系 AWS 服务,例如 Secrets Manager。请查阅 AWS 文档,因为我可能有过时的信息。

  • 确保AWS::EC2::VPC
    • EnableDnsSupport:
    • EnableDnsHostnames:
  • 创建AWS::EC2::VPCEndpoint(不是免费的,请参阅定价
于 2021-07-10T21:09:55.090 回答