Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Habilitación de un punto final privado para el tráfico entrante
De forma predeterminada, al crear un AWS App Runner servicio, se puede acceder al servicio a través de Internet. Sin embargo, también puede hacer que su servicio App Runner sea privado y solo sea accesible desde una Amazon Virtual Private Cloud (Amazon VPC).
Con tu servicio App Runner privado, tienes un control total sobre el tráfico entrante, lo que añade un nivel de seguridad adicional. Esto resulta útil en una variedad de casos de uso, como la ejecución de API internas, aplicaciones web corporativas o aplicaciones que aún están en desarrollo y que requieren un mayor nivel de privacidad y seguridad, o que necesitan cumplir requisitos de conformidad específicos.
nota
Si su aplicación App Runner requiere reglas de control del tráfico entrante IP/CIDR de origen, debe usar reglas de grupos de seguridad para los puntos finales privados en lugar de las ACL web de los WAF. Esto se debe a que actualmente no admitimos el reenvío de los datos IP de la fuente de la solicitud a los servicios privados de App Runner asociados al WAF. Como resultado, las reglas de IP de origen de los servicios privados de App Runner que están asociadas a las ACL web del WAF no cumplen con las reglas basadas en IP.
Para obtener más información sobre la seguridad de la infraestructura y los grupos de seguridad, incluidas las prácticas recomendadas, consulte los siguientes temas de la Guía del usuario de Amazon VPC: Controle el tráfico de red y Controle el tráfico a sus recursos de AWS mediante grupos de seguridad.
Cuando su servicio App Runner es privado, puede acceder a él desde una Amazon VPC. No se requiere una puerta de enlace a Internet, un dispositivo NAT o una conexión VPN.
nota
Actualmente, App Runner admite direcciones de doble pila (IPv4 e IPv6) solo para el tráfico entrante público. Para el tráfico saliente y el tráfico entrante privado, solo se admite IPv4.
Consideraciones
-
Antes de configurar un punto final de interfaz de VPC para App Runner, consulte las consideraciones de la AWS PrivateLink guía.
-
Las políticas de puntos de conexión de VPC no son compatibles con App Runner. De forma predeterminada, se permite el acceso total a App Runner a través del punto final de la interfaz de VPC. Como alternativa, puede asociar un grupo de seguridad a las interfaces de red de puntos finales para controlar el tráfico a App Runner a través del punto final de la interfaz de VPC.
-
Si tu aplicación App Runner requiere reglas de control de tráfico entrante IP/CIDR de origen, debes usar reglas de grupos de seguridad para los puntos finales privados en lugar de las ACL web de WAF. Esto se debe a que actualmente no admitimos el reenvío de los datos IP de la fuente de la solicitud a los servicios privados de App Runner asociados al WAF. Como resultado, las reglas de IP de origen de los servicios privados de App Runner que están asociadas a las ACL web del WAF no cumplen con las reglas basadas en IP.
-
Después de habilitar un punto de conexión privado, solo se puede acceder al servicio desde la VPC y no se puede acceder a él desde Internet.
-
Para una mayor disponibilidad, se recomienda seleccionar al menos dos subredes en la zona de disponibilidad diferentes para el punto final de la interfaz de VPC. No recomendamos usar solo una subred.
-
Puede usar el mismo punto final de la interfaz de VPC para acceder a varios servicios de App Runner en una VPC.
Para obtener información sobre los términos utilizados en esta sección, consulte Terminología.
Permisos
La siguiente es la lista de permisos necesarios para habilitar el punto final privado:
-
ec2: CreateTags
-
ec2: CreateVpcEndpoint
-
ec2: ModifyVpcEndpoint
-
ec2: DeleteVpcEndpoints
-
ec2: DescribeSubnets
-
ec2: DescribeVpcEndpoints
-
ec2: DescribeVpcs
Punto final de la interfaz VPC
Un punto final de interfaz de VPC es un AWS PrivateLinkrecurso que conecta una Amazon VPC a un servicio de punto final. Puede especificar en qué Amazon VPC desea que se pueda acceder a su servicio App Runner pasando por un punto final de la interfaz de VPC. Para crear un punto final de interfaz de VPC, especifique lo siguiente:
-
La Amazon VPC para habilitar la conectividad.
-
Agregue grupos de seguridad. De forma predeterminada, se asigna un grupo de seguridad al punto final de la interfaz de VPC. Puede optar por asociar un grupo de seguridad personalizado para controlar aún más el tráfico de red entrante.
-
Agregue subredes. Para garantizar una mayor disponibilidad, se recomienda seleccionar al menos dos subredes para cada zona de disponibilidad desde la que accederás al servicio App Runner. Se crea un punto final de la interfaz de red en cada subred que se habilita para el punto final de la interfaz de VPC. Se trata de interfaces de red administradas por el solicitante que sirven como punto de entrada para el tráfico destinado a App Runner. Una interfaz de red administrada por el solicitante es una interfaz de red creada por un servicio de AWS en su VPC en su nombre.
-
Si usa la API, agregue el punto final de la interfaz de VPC de App Runner.
ServicenamePor ejemplo:com.amazonaws.region.apprunner.requests
Puede crear un punto final de interfaz de VPC mediante uno de los siguientes servicios: AWS
-
Consola de App Runner. Para obtener más información, consulte Administrar un punto final privado.
-
Consola o API de Amazon VPC y AWS Command Line Interface ()AWS CLI. Para obtener más información, consulte Acceso Servicios de AWS directo AWS PrivateLink en la AWS PrivateLink guía.
nota
Se le cobrará por cada punto final de la interfaz de VPC que utilice en AWS PrivateLink
función del precio.
Conexión de ingreso de VPC
Una conexión de entrada de VPC es un recurso de App Runner que especifica un punto final de App Runner para el tráfico entrante. App Runner asigna el recurso de conexión de entrada de VPC entre bastidores cuando eliges un punto final privado en la consola de App Runner para el tráfico entrante. Elija esta opción para permitir que solo el tráfico de una VPC de Amazon acceda a su servicio App Runner. El recurso de conexión de entrada de VPC conecta el servicio App Runner con el punto final de la interfaz de VPC de Amazon VPC. Puede crear un recurso de conexión de entrada de VPC solo si utiliza las operaciones de la API para configurar los ajustes de red para el tráfico entrante. Para obtener más información sobre cómo crear un recurso de conexión de entrada de VPC, consulte la referencia de CreateVpcIngressConnectionla AWS App Runner API.
nota
Un recurso de conexión de entrada de VPC de App Runner puede conectarse a un punto final de la interfaz de VPC de Amazon VPC. Además, solo puede crear un recurso de conexión de entrada de VPC para cada servicio de App Runner.
Punto final privado
El punto de conexión privado es una opción de consola de App Runner que puedes elegir si solo quieres recibir tráfico entrante de una VPC de Amazon. Al elegir la opción de punto de enlace privado en la consola de App Runner, tiene la opción de conectar el servicio a una VPC mediante la configuración de su punto de enlace de interfaz de VPC. Entre bastidores, App Runner asigna un recurso de conexión de entrada de VPC al punto final de la interfaz de VPC que usted configure.
nota
El punto de conexión privado solo admite el tráfico de red IPv4.
Resumen
Haga que su servicio sea privado permitiendo que solo el tráfico de una VPC de Amazon acceda a su servicio de App Runner. Para ello, debe crear un punto final de interfaz de VPC para la Amazon VPC seleccionada mediante App Runner o Amazon VPC. En la consola de App Runner, se crea un punto de enlace de la interfaz de VPC al habilitar el punto de enlace privado para el tráfico entrante. A continuación, App Runner crea automáticamente un recurso de conexión de entrada de VPC y se conecta al punto final de la interfaz de VPC y a su servicio de App Runner. Esto crea una conexión de servicio privada que garantiza que solo el tráfico de la VPC seleccionada pueda acceder al servicio de App Runner.
