概要
VPC内からVPCの外のリソースに接続するには、以下の2通りがある
- VPCエンドポイント
- NATGateway
SecretsManagerへのアクセスはVPCエンドポイントが良いだろうと思いつつ、手動ですぐに試す方法としてすでにNATGatewayにアクセスできるセキュリティグループがあったのでそれを、Lambda関数に割り当てたが、うまくいかなかったので調べた話。あまりないケースかもしれないが、メモとして残しておく。
結論
別リソースですでにsecretsMangaerのサービスのVPCエンドポイントが作成されていた。
ネットワークの解決としては、まずVPCエンドポイントがあれば、それが利用される。(NatGatewayの経路は利用されない)VPCエンドポイントのセキュリティグループにはLambdaにセットしたセキュリティグループを許可していないため、通信できない状態になっていた。。
↑の経路になっていると勘違いしていため、少し確認に時間がかかってしまった。
Lambdaをテスト実行して、SecretsManagerにアクセスする際のIPがVPCのIPになっていてようやく気がつくという・・
以上です。