好问题！咱们一步步拆解你的需求和可行方案：

核心结论：默认不行，但配置VPC端点后可以 #

默认情况下，AWS SQS和Secrets Manager都是公网端点服务，它们的DNS解析结果是公网IP。你的Site-to-Site VPN只打通了本地网络和AWS VPC的内网流量，本地服务器没有公网权限的话，没法直接通过VPN访问这些公网端点。

但如果给SQS和Secrets Manager配置VPC端点（VPC Endpoints），就能让本地服务器通过VPN走内网路径访问这两个服务——这是最推荐的方案，完全不需要公网权限。

可行解决方案 #

方案1：配置VPC端点（推荐，安全且高效） #

VPC端点是AWS PrivateLink的实现，能让VPC内（以及通过VPN连接到VPC的本地资源）通过内网访问AWS托管服务，不需要走公网。具体操作：

• 针对SQS创建接口型VPC端点，服务名称格式为com.amazonaws.<你的区域>.sqs
• 针对Secrets Manager创建接口型VPC端点，服务名称格式为com.amazonaws.<你的区域>.secretsmanager
• 配置关键细节：
  1. 确保Site-to-Site VPN的路由表包含VPC端点所在子网的CIDR段，让本地服务器的请求能通过VPN路由到这些端点
  2. 给VPC端点配置安全组，允许本地服务器的IP段访问443端口（SQS和Secrets Manager都用HTTPS通信）
  3. 确保本地服务器能正确解析VPC端点的私有DNS：可以让本地DNS服务器转发VPC私有DNS查询，或者直接在本地主机上配置域名与VPC端点私有IP的映射

方案2：通过VPC内的NAT网关/实例转发（适用于VPC有公网出口的场景） #

如果你的VPC已经配置了NAT网关或NAT实例（有公网访问能力），可以调整路由，让本地服务器的公网请求通过VPN路由到VPC的NAT资源，再由NAT转发到SQS和Secrets Manager的公网端点。不过这种方案依赖VPC的公网能力，安全性和效率不如VPC端点。

方案3：使用AWS Transit Gateway（复杂网络场景） #

如果你的本地网络和多个AWS VPC相连，或者有更复杂的网络架构，可以用Transit Gateway统一管理路由，配合VPC端点实现本地到AWS服务的内网访问——本质还是基于VPC端点的能力，只是路由管理更集中。

额外注意事项 #

• 网络打通后，还要确保本地服务器的IAM权限配置正确：比如允许访问指定的SQS队列、Secrets Manager密钥，权限是独立于网络访问的必要条件
• 确认你的AWS区域支持对应的VPC端点：目前绝大多数AWS区域都支持SQS和Secrets Manager的接口端点

内容的提问来源于stack exchange，提问作者Chester