AWS App Runner dejará de estar abierto a nuevos clientes a partir del 30 de abril de 2026. Si quieres usar App Runner, regístrate antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [Cambio en la disponibilidad de AWS App Runner](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html).
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en App Runner
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de los centros de datos y las arquitecturas de red diseñados para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre AWS usted y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de cumplimiento aplicables AWS App Runner, consulte [AWS Servicios incluidos en el ámbito de aplicación por programa de conformidad y AWS servicios incluidos](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
Esta documentación le ayuda a entender cómo aplicar el modelo de responsabilidad compartida al usar App Runner. En los temas siguientes, se muestra cómo configurar App Runner para cumplir con sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger los recursos de App Runner.
**Topics**
+ [Protección de datos en App Runner](security-data-protection.md)
+ [Administración de identidad y acceso para App Runner](security-iam.md)
+ [Registro y supervisión en App Runner](security-monitoring.md)
+ [Validación de conformidad para App Runner](security-compliance.md)
+ [Resiliencia en App Runner](security-resilience.md)
+ [Seguridad de la infraestructura en AWS App Runner](security-infrastructure.md)
+ [Uso de App Runner con puntos finales de VPC](security-vpce.md)
+ [Análisis de configuración y vulnerabilidad en App Runner](security-shared-responsibility.md)
+ [Mejores prácticas de seguridad para App Runner](security-best-practices.md)
# Protección de datos en App Runner
El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en AWS App Runner. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con App Runner u otro dispositivo Servicios de AWS mediante la consola, la API o. AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
Para ver otros temas de seguridad de App Runner, consulte[Seguridad en App Runner](security.md).
**Topics**
+ [Protección de datos mediante cifrado](security-data-protection-encryption.md)
+ [Privacidad del tráfico entre redes](security-data-protection-internetwork.md)
# Protección de datos mediante cifrado
AWS App Runner lee la fuente de la aplicación (imagen fuente o código fuente) del repositorio que especifique y la almacena para implementarla en su servicio. Para obtener más información, consulte [Arquitectura y conceptos de App Runner](architecture.md).
La protección de datos se refiere a la protección de los datos mientras están *en tránsito* (cuando viajan hacia y desde App Runner) y *en reposo* (mientras están almacenados en centros de AWS datos).
Para obtener más información sobre la protección de datos, consulte [Protección de datos en App Runner](security-data-protection.md).
Para ver otros temas de seguridad de App Runner, consulte[Seguridad en App Runner](security.md).
## Cifrado en tránsito
Puede proteger los datos en tránsito de dos maneras: cifrando la conexión mediante Transport Layer Security (TLS) o utilizando el cifrado del lado del cliente (en el que el objeto se cifra antes de enviarse). Ambos métodos son válidos para proteger los datos de la aplicación. Para proteger la conexión, hay que cifrarla mediante TLS siempre que la aplicación, sus desarrolladores y administradores y los usuarios finales envíen o reciban objetos. App Runner configura tu aplicación para recibir tráfico a través de TLS.
El cifrado del lado del cliente no es un método válido para proteger la imagen o el código fuente que se proporciona a App Runner para su implementación. App Runner necesita acceder a la fuente de la aplicación, por lo que no se puede cifrar. Por lo tanto, asegúrate de proteger la conexión entre tu entorno de desarrollo o despliegue y App Runner.
## Cifrado en reposo y administración de claves
Para proteger los datos inactivos de la aplicación, App Runner cifra todas las copias almacenadas de la imagen fuente o del paquete fuente de la aplicación. Al crear un servicio de App Runner, puede proporcionar un AWS KMS key. Si proporciona uno, App Runner utilizará la clave proporcionada para cifrar la fuente. Si no proporciona una, App Runner utilizará una Clave administrada de AWS en su lugar.
Para obtener más información sobre los parámetros de creación de servicios de App Runner, consulte [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html). Para obtener información sobre AWS Key Management Service (AWS KMS), consulte la [Guía para AWS Key Management Service desarrolladores](https://docs.aws.amazon.com/kms/latest/developerguide/).
# Privacidad del tráfico entre redes
App Runner usa Amazon Virtual Private Cloud (Amazon VPC) para crear límites entre los recursos de la aplicación App Runner y controlar el tráfico entre ellos, la red local e Internet. Para obtener más información sobre la seguridad de Amazon VPC, consulte Privacidad del [tráfico entre redes en Amazon VPC en la Guía del usuario de *Amazon* VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html).
Para obtener información sobre cómo asociar la aplicación App Runner a una Amazon VPC personalizada, consulte. [Habilitar el acceso a la VPC para el tráfico saliente](network-vpc.md)
Para obtener información sobre cómo proteger las solicitudes a App Runner mediante un punto de enlace de VPC, consulte. [Uso de App Runner con puntos finales de VPC](security-vpce.md)
Para obtener más información sobre la protección de datos, consulte [Protección de datos en App Runner](security-data-protection.md).
Para ver otros temas de seguridad de App Runner, consulte[Seguridad en App Runner](security.md).
# Administración de identidad y acceso para App Runner
AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede *autenticarse* (iniciar sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos de App Runner. Puedes usar IAM sin coste adicional. Servicio de AWS
Para ver otros temas de seguridad de App Runner, consulte[Seguridad en App Runner](security.md).
**Topics**
+ [Público](#security-iam.audience)
+ [Autenticación con identidades](#security-iam.authentication)
+ [Administración del acceso con políticas](#security-iam.access-manage)
+ [Cómo funciona App Runner con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en la identidad de App Runner](security_iam_id-based-policy-examples.md)
+ [Uso de funciones vinculadas a servicios para App Runner](security-iam-slr.md)
+ [AWS políticas gestionadas para AWS App Runner](security-iam-awsmanpol.md)
+ [Solución de problemas de identidad y acceso a App Runner](security_iam_troubleshoot.md)
## Público
La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de identidad y acceso a App Runner](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona App Runner con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en la identidad de App Runner](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del *usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración del acceso con políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidades
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué responsables (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos otorgados por los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
# Cómo funciona App Runner con IAM
Antes de usar IAM para administrar el acceso AWS App Runner, debes entender qué funciones de IAM están disponibles para usar con App Runner. *Para obtener una visión general de cómo funcionan App Runner y otros AWS servicios con IAM, consulte [AWS Servicios que funcionan con IAM en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
Para ver otros temas de seguridad de App Runner, consulte. [Seguridad en App Runner](security.md)
**Topics**
+ [Políticas de App Runner basadas en la identidad](#security_iam_service-with-iam-id-based-policies)
+ [Políticas de App Runner basadas en recursos](#security_iam_service-with-iam-resource-based-policies)
+ [Autorización basada en las etiquetas de App Runner](#security_iam_service-with-iam-tags)
+ [Permisos de usuario de App Runner](#security_iam_service-with-iam-users)
+ [Funciones de IAM de App Runner](#security_iam_service-with-iam-roles)
## Políticas de App Runner basadas en la identidad
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. App Runner admite acciones, recursos y claves de condición específicos. Para obtener información sobre todos los elementos que utiliza en una política JSON, consulte [Referencia de los elementos de las políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las acciones políticas en App Runner usan el siguiente prefijo antes de la acción:`apprunner:`. Por ejemplo, para conceder a alguien permiso para ejecutar una instancia de Amazon EC2 con la operación `RunInstances` de la API de Amazon EC2, debe incluir la acción `ec2:RunInstances` en la política. Las instrucciones de la política deben incluir un elemento `Action` o un elemento `NotAction`. App Runner define su propio conjunto de acciones que describen las tareas que puede realizar con este servicio.
Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:
```
"Action": [
"apprunner:CreateService",
"apprunner:CreateConnection"
]
```
Puede utilizar caracteres comodín para especificar varias acciones (\$1). Por ejemplo, para especificar todas las acciones que comiencen con la palabra `Describe`, incluya la siguiente acción:
```
"Action": "apprunner:Describe*"
```
Para ver una lista de las acciones de App Runner, consulte [las acciones definidas AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions) en la *Referencia de autorización del servicio*.
### Recursos
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.
```
"Resource": "*"
```
Los recursos de App Runner tienen la siguiente estructura de ARN:
```
arn:aws:apprunner:region:account-id:resource-type/resource-name[/resource-id]
```
Para obtener más información sobre el formato de ARNs, consulte [Nombres de recursos de Amazon (ARNs) y espacios de nombres de AWS servicios](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) en. *Referencia general de AWS*
Por ejemplo, para especificar el `my-service` servicio en la declaración, utilice el siguiente ARN:
```
"Resource": "arn:aws:apprunner:us-east-1:123456789012:service/my-service"
```
Para especificar todos los servicios que pertenecen a una cuenta específica, utilice el comodín (\$1):
```
"Resource": "arn:aws:apprunner:us-east-1:123456789012:service/*"
```
Algunas acciones de App Runner, como las de creación de recursos, no se pueden realizar en un recurso específico. En dichos casos, debe utilizar el carácter comodín (\$1).
```
"Resource": "*"
```
Para ver una lista de los tipos de recursos de App Runner y sus tipos ARNs, consulte [los recursos definidos AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-resources-for-iam-policies) en la *Referencia de autorización de servicios*. Para obtener información sobre las acciones con las que puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions).
### Claves de condición
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
App Runner admite el uso de algunas claves de condición globales. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.
App Runner define un conjunto de claves de condición específicas del servicio. Además, App Runner admite el control de acceso basado en etiquetas, que se implementa mediante claves de condición. Para obtener más información, consulte [Autorización basada en las etiquetas de App Runner](#security_iam_service-with-iam-tags).
Para ver una lista de las claves de condición de App Runner, consulta [las claves de condición AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-policy-keys) en la *Referencia de autorización del servicio*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions).
### Ejemplos
Para ver ejemplos de políticas basadas en la identidad de App Runner, consulte. [Ejemplos de políticas basadas en la identidad de App Runner](security_iam_id-based-policy-examples.md)
## Políticas de App Runner basadas en recursos
App Runner no admite políticas basadas en recursos.
## Autorización basada en las etiquetas de App Runner
Puede adjuntar etiquetas a los recursos de App Runner o pasarlas en una solicitud a App Runner. Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `apprunner:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Para obtener más información sobre cómo etiquetar los recursos de App Runner, consulte[Configuración de un servicio de App Runner](manage-configure.md).
Para consultar un ejemplo de política basada en la identidad para limitar el acceso a un recurso en función de las etiquetas de ese recurso, consulte [Controlar el acceso a los servicios de App Runner en función de las etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags).
## Permisos de usuario de App Runner
Para usar App Runner, los usuarios de IAM necesitan permisos para las acciones de App Runner. Una forma habitual de conceder permisos a los usuarios es adjuntar una política a los usuarios o grupos de IAM. Para obtener más información sobre la administración de los permisos de los usuarios, consulte [Cambiar los permisos de un usuario de IAM en la Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) de *IAM*.
App Runner proporciona dos políticas administradas que puede adjuntar a sus usuarios.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerReadOnlyAccess.html)— Otorga permisos para enumerar y ver detalles sobre los recursos de App Runner.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerFullAccess.html)— Otorga permisos a todas las acciones de App Runner.
Para un control más detallado de los permisos de los usuarios, puedes crear una política personalizada y adjuntarla a tus usuarios. Para obtener más información, consulte [Creación de políticas de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la Guía del *usuario de IAM*.
Para ver ejemplos de políticas de usuario, consulte. [Políticas de usuario](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-users)
## Funciones de IAM de App Runner
Un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) es una entidad dentro de usted Cuenta de AWS que tiene permisos específicos.
### Roles vinculados a servicios
Los [roles vinculados a un servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permiten a AWS los servicios acceder a los recursos de otros servicios para completar una acción en tu nombre. Los roles vinculados a servicios aparecen en la cuenta de IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
App Runner admite funciones vinculadas a un servicio. Para obtener información sobre la creación o administración de funciones vinculadas a servicios de App Runner, consulte. [Uso de funciones vinculadas a servicios para App Runner](security-iam-slr.md)
### Roles de servicio
Esta característica permite que un servicio asuma un [rol de servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en su nombre. Este rol permite que el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un usuario de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
App Runner admite algunas funciones de servicio.
#### Rol de acceso
La función de acceso es una función que App Runner utiliza para acceder a las imágenes de Amazon Elastic Container Registry (Amazon ECR) de su cuenta. Es obligatorio para acceder a una imagen en Amazon ECR y no en Amazon ECR Public.
Antes de crear un servicio basado en una imagen en Amazon ECR, utilice IAM para crear un rol de servicio. Utilice la política gestionada [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerServicePolicyForECRAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerServicePolicyForECRAccess.html)en su función de servicio. A continuación, puede transferir esta función a App Runner cuando llame a la [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html)API del [AuthenticationConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_AuthenticationConfiguration.html)miembro del [SourceConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_SourceConfiguration.html)parámetro o cuando utilice la consola de App Runner para crear un servicio.
**nota**
Si creas tu propia política personalizada para tu función de acceso, asegúrate `"Resource": "*"` de especificar la `ecr:GetAuthorizationToken` acción. Los tokens se pueden usar para acceder a cualquier registro de Amazon ECR al que tenga acceso.
Cuando cree su función de acceso, asegúrese de añadir una política de confianza que declare al responsable del servicio de App Runner `build.apprunner.amazonaws.com` como una entidad de confianza.
##### Política de confianza para un rol de acceso
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "build.apprunner.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Si utilizas la consola de App Runner para crear un servicio, la consola puede crear automáticamente un rol de acceso para ti y elegirlo para el nuevo servicio. La consola también muestra otras funciones de tu cuenta y, si lo deseas, puedes seleccionar una función diferente.
#### Rol de instancia
El rol de instancia es un rol opcional que App Runner usa para proporcionar permisos a las acciones de AWS servicio que necesitan las instancias informáticas de tu servicio. Debes proporcionar un rol de instancia a App Runner si el código de tu aplicación llama a AWS actions (APIs). Incorpora los permisos necesarios en tu rol de instancia o crea tu propia política personalizada y úsala en el rol de instancia. No tenemos forma de anticipar qué llamadas utilizará tu código. Por lo tanto, no ofrecemos una política gestionada para este fin.
Antes de crear un servicio de App Runner, usa IAM para crear un rol de servicio con las políticas personalizadas o integradas necesarias. A continuación, puedes transferir esta función a App Runner como función de instancia cuando llames a la [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html)API del `InstanceRoleArn` miembro del [InstanceConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_InstanceConfiguration.html)parámetro o cuando utilices la consola de App Runner para crear un servicio.
Al crear el rol de instancia, asegúrate de agregar una política de confianza que declare al principal del servicio de App Runner `tasks.apprunner.amazonaws.com` como una entidad de confianza.
##### Política de confianza para un rol de instancia
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "tasks.apprunner.aws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Si utilizas la consola de App Runner para crear un servicio, la consola mostrará una lista de las funciones de tu cuenta y podrás seleccionar la función que creaste para ello.
Para obtener información sobre la creación de un servicio, consulte[Creación de un servicio App Runner](manage-create.md).
# Ejemplos de políticas basadas en la identidad de App Runner
De forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear o modificar recursos. AWS App Runner Tampoco pueden realizar tareas con la AWS API Consola de administración de AWS AWS CLI, o. Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. El administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
Para obtener información acerca de cómo crear una política basada en identidades de IAM con estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *Guía del usuario de IAM*.
Para ver otros temas de seguridad de App Runner, consulte[Seguridad en App Runner](security.md).
**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Políticas de usuario](#security_iam_id-based-policy-examples-users)
+ [Controlar el acceso a los servicios de App Runner en función de las etiquetas](#security_iam_id-based-policy-examples-view-widget-tags)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en la identidad determinan si alguien puede crear, acceder o eliminar los recursos de App Runner de su cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Políticas de usuario
Para acceder a la consola de App Runner, los usuarios de IAM deben tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los recursos de App Runner que tiene en su Cuenta de AWS cuenta. Si creas una política basada en la identidad que sea más restrictiva que los permisos mínimos requeridos, la consola no funcionará según lo previsto para los usuarios con esa política.
App Runner proporciona dos políticas administradas que puedes adjuntar a tus usuarios.
+ `AWSAppRunnerReadOnlyAccess`— Otorga permisos para enumerar y ver detalles sobre los recursos de App Runner.
+ `AWSAppRunnerFullAccess`— Otorga permisos a todas las acciones de App Runner.
Para garantizar que los usuarios puedan usar la consola de App Runner, adjunta, como mínimo, la política `AWSAppRunnerReadOnlyAccess` administrada a los usuarios. En su lugar, puede adjuntar la política `AWSAppRunnerFullAccess` administrada o agregar permisos adicionales específicos para permitir a los usuarios crear, modificar y eliminar recursos. Para obtener más información, consulte [Adición de permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*.
No es necesario que concedas permisos mínimos de consola a los usuarios que solo realizan llamadas a la API AWS CLI o a la AWS API. En su lugar, permite el acceso únicamente a las acciones que coincidan con la operación de la API que deseas que realicen los usuarios.
Los siguientes ejemplos muestran las políticas de usuario personalizadas. Puede utilizarlos como puntos de partida para definir sus propias políticas de usuario personalizadas. Copie el ejemplo o elimine las acciones, reduzca los recursos y añada condiciones.
### Ejemplo: política de usuario de administración de consolas y conexiones
Este ejemplo de política permite el acceso a la consola y permite la creación y administración de conexiones. No permite la creación ni la administración del servicio App Runner. Se puede adjuntar a un usuario cuya función sea administrar el acceso del servicio App Runner a los activos de código fuente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"apprunner:List*",
"apprunner:Describe*",
"apprunner:CreateConnection",
"apprunner:DeleteConnection"
],
"Resource": "*"
}
]
}
```
------
### Ejemplo: políticas de usuario que usan claves de condición
Los ejemplos de esta sección muestran los permisos condicionales que dependen de algunas propiedades de los recursos o parámetros de acción.
Este ejemplo de política permite crear un servicio de App Runner, pero deniega el uso de una conexión denominada`prod`.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement":
[ { "Sid": "AllowCreateAppRunnerServiceWithNonProdConnections",
"Effect": "Allow",
"Action": "apprunner:CreateService",
"Resource": "*",
"Condition":
{ "ArnNotLike":
{"apprunner:ConnectionArn":"arn:aws:apprunner:*:*:connection/prod/*"}
}
}
]
}
```
------
Esta política de ejemplo permite actualizar un servicio de App Runner nombrado `preprod` únicamente con una configuración de autoescalado denominada`preprod`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUpdatePreProdAppRunnerServiceWithPreProdASConfig",
"Effect": "Allow",
"Action": "apprunner:UpdateService",
"Resource": "arn:aws:apprunner:*:*:service/preprod/*",
"Condition": {
"ArnLike": {
"apprunner:AutoScalingConfigurationArn": "arn:aws:apprunner:us-east-1:*:autoscalingconfiguration/preprod/*"
}
}
}
]
}
```
------
## Controlar el acceso a los servicios de App Runner en función de las etiquetas
Puedes usar las condiciones de tu política basada en la identidad para controlar el acceso a los recursos de App Runner en función de las etiquetas. En este ejemplo, se muestra cómo se puede crear una política que permita eliminar un servicio de App Runner. Sin embargo, los permisos solo se conceden si la etiqueta de servicio `Owner` tiene el valor del nombre de usuario de dicho usuario. Esta política también proporciona los permisos necesarios para llevar a cabo esta acción en la consola.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListServicesInConsole",
"Effect": "Allow",
"Action": "apprunner:ListServices",
"Resource": "*"
},
{
"Sid": "DeleteServiceIfOwner",
"Effect": "Allow",
"Action": "apprunner:DeleteService",
"Resource": "arn:aws:apprunner:us-east-1:*:service/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
También puede asociar esta política al usuario de IAM en su cuenta. Si un usuario llamado `richard-roe` intenta eliminar un servicio de App Runner, el servicio debe estar etiquetado `Owner=richard-roe` o`owner=richard-roe`. De lo contrario, se le deniega el acceso. La clave de la etiqueta de condición `Owner` coincide con los nombres de las claves de condición `Owner` y `owner` porque no distinguen entre mayúsculas y minúsculas. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
# Uso de funciones vinculadas a servicios para App Runner
AWS App Runner [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a App Runner. App Runner predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.
**Topics**
+ [Uso de roles para la administración](using-service-linked-roles-management.md)
+ [Uso de roles para la creación de redes](using-service-linked-roles-networking.md)
# Uso de roles para la administración
AWS App Runner [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a App Runner. App Runner predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.
Un rol vinculado a un servicio facilita la configuración de App Runner, ya que no es necesario añadir manualmente los permisos necesarios. App Runner define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo App Runner puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege tus recursos de App Runner, ya que no puedes eliminar inadvertidamente el permiso de acceso a los recursos.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de rol vinculados al servicio para App Runner
App Runner usa el rol vinculado al servicio denominado. **AWSServiceRoleForAppRunner**
El rol permite a App Runner realizar las siguientes tareas:
+ Envía los registros a los grupos de CloudWatch registros de Amazon Logs.
+ Crea reglas de Amazon CloudWatch Events para suscribirte a los envíos de imágenes del Amazon Elastic Container Registry (Amazon ECR).
+ Envíe la información de rastreo a. AWS X-Ray
El rol AWSService RoleForAppRunner vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `apprunner.amazonaws.com`
Las políticas de permisos del rol AWSService RoleForAppRunner vinculado al servicio contienen todos los permisos que App Runner necesita para realizar acciones en tu nombre:
+ Política gestionada [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerServiceRolePolicy.html)
+ Política de rastreo de rayos X: consulte el siguiente contenido de la política.
### Política de rastreo por rayos X
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para App Runner
No necesita crear manualmente un rol vinculado a servicios. Al crear un servicio de App Runner en la Consola de administración de AWS, la o la AWS API AWS CLI, App Runner crea automáticamente la función vinculada al servicio.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando creas un servicio de App Runner, App Runner vuelve a crear el rol vinculado al servicio para ti.
## Edición de un rol vinculado a un servicio para App Runner
App Runner no permite editar el rol vinculado al AWSService RoleForAppRunner servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para App Runner
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
### Limpiar un rol vinculado a servicios
Antes de que pueda utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los recursos que utiliza el rol.
En App Runner, esto significa eliminar todos los servicios de App Runner de tu cuenta. Para obtener información sobre cómo eliminar los servicios de App Runner, consulte[Eliminar un servicio de App Runner](manage-delete.md).
**nota**
Si el servicio App Runner utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
### Eliminar manualmente el rol vinculado al servicio
Usa la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSService RoleForAppRunner servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con las funciones vinculadas al servicio de App Runner
App Runner admite el uso de roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de AWS App Runner](https://docs.aws.amazon.com/general/latest/gr/apprunner.html) en la *Referencia general de AWS*.
# Uso de roles para la creación de redes
AWS App Runner [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a App Runner. App Runner predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.
Un rol vinculado a un servicio facilita la configuración de App Runner, ya que no es necesario añadir manualmente los permisos necesarios. App Runner define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo App Runner puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege tus recursos de App Runner, ya que no puedes eliminar inadvertidamente el permiso de acceso a los recursos.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
## Permisos de rol vinculados al servicio para App Runner
App Runner usa el rol vinculado al servicio denominado. **AWSServiceRoleForAppRunnerNetworking**
El rol permite a App Runner realizar las siguientes tareas:
+ Adjunta una VPC a tu servicio de App Runner y administra las interfaces de red.
El rol AWSService RoleForAppRunnerNetworking vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `networking.apprunner.amazonaws.com`
La política de permisos de roles denominada [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerNetworkingServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerNetworkingServiceRolePolicy.html)contiene todos los permisos que App Runner necesita para completar acciones en tu nombre.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
## Crear un rol vinculado a un servicio para App Runner
No necesita crear manualmente un rol vinculado a servicios. Al crear un conector de VPC en la Consola de administración de AWS, la o la AWS API AWS CLI, App Runner crea automáticamente la función vinculada al servicio.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un conector de VPC, App Runner vuelve a crear el rol vinculado al servicio para usted.
## Edición de un rol vinculado a un servicio para App Runner
App Runner no permite editar el rol vinculado al AWSService RoleForAppRunnerNetworking servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para App Runner
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.
### Limpiar un rol vinculado a un servicio
Antes de que pueda utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los recursos que utiliza el rol.
En App Runner, esto significa desasociar los conectores de VPC de todos los servicios de App Runner de su cuenta y eliminar los conectores de VPC. Para obtener más información, consulte [Habilitar el acceso a la VPC para el tráfico saliente](network-vpc.md).
**nota**
Si el servicio App Runner utiliza el rol cuando intentas eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
### Eliminar manualmente la función vinculada al servicio
Usa la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al AWSService RoleForAppRunnerNetworking servicio. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con las funciones vinculadas al servicio de App Runner
App Runner admite el uso de roles vinculados al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de AWS App Runner](https://docs.aws.amazon.com/general/latest/gr/apprunner.html) en la *Referencia general de AWS*.
# AWS políticas gestionadas para AWS App Runner
Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte [Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
## App Runner actualiza las políticas AWS administradas
Consulta los detalles sobre las actualizaciones de las políticas AWS administradas de App Runner desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial de documentos de App Runner.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| [AWSAppRunnerReadOnlyAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-users): política nueva | App Runner agregó una nueva política que permite a los usuarios enumerar y ver detalles sobre los recursos de App Runner. | 24 de febrero de 2022 |
| [AWSAppRunnerFullAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-users): actualización de una política actual | App Runner actualizó la lista de recursos de la `iam:CreateServiceLinkedRole` acción para permitir la creación de un rol `AWSServiceRoleForAppRunnerNetworking` vinculado al servicio. | 8 de febrero de 2022 |
| [AppRunnerNetworkingServiceRolePolicy](using-service-linked-roles-networking.md): política nueva | App Runner agregó una nueva política que permite a App Runner realizar llamadas a Amazon Virtual Private Cloud para conectar una VPC a su servicio de App Runner y administrar las interfaces de red en nombre de los servicios de App Runner. La política se usa en la función vinculada al `AWSServiceRoleForAppRunnerNetworking` servicio. | 8 de febrero de 2022 |
| [AWSAppRunnerFullAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-users): política nueva | App Runner agregó una nueva política que permite a los usuarios realizar todas las acciones de App Runner. | 10 de enero de 2022 |
| [AppRunnerServiceRolePolicy](using-service-linked-roles-management.md): política nueva | App Runner agregó una nueva política que permite a App Runner realizar llamadas a Amazon CloudWatch Logs y Amazon CloudWatch Events en nombre de los servicios de App Runner. La política se usa en la función `AWSServiceRoleForAppRunner` vinculada al servicio. | 1 de marzo de 2021 |
| [AWSAppRunnerServicePolicyForECRAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service.access): política nueva | App Runner agregó una nueva política que permite a App Runner acceder a las imágenes de Amazon Elastic Container Registry (Amazon ECR) de su cuenta. | 1 de marzo de 2021 |
| App Runner comenzó a rastrear los cambios | App Runner comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. | 1 de marzo de 2021 |
# Solución de problemas de identidad y acceso a App Runner
Usa la siguiente información para ayudarte a diagnosticar y solucionar los problemas más comunes que pueden surgir al trabajar con un AWS App Runner IAM.
Para ver otros temas de seguridad de App Runner, consulte[Seguridad en App Runner](security.md).
**Topics**
+ [No estoy autorizado a realizar ninguna acción en App Runner](#security_iam_troubleshoot-no-permissions)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de App Runner](#security_iam_troubleshoot-cross-account-access)
## No estoy autorizado a realizar ninguna acción en App Runner
Si Consola de administración de AWS te indica que no estás autorizado a realizar una acción, ponte en contacto con tu administrador para obtener ayuda. Su administrador es la persona que le proporcionó sus credenciales de AWS inicio de sesión.
El siguiente ejemplo de error se produce cuando un usuario de IAM llamado `marymajor` intenta usar la consola para ver detalles sobre un servicio de App Runner pero no tiene `apprunner:DescribeService` permisos.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: apprunner:DescribeService on resource: my-example-service
```
En este caso, Mary pide al administrador que actualice sus políticas para poder acceder al `my-example-service` recurso mediante la `apprunner:DescribeService` acción.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de App Runner
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si App Runner es compatible con estas funciones, consulte. [Cómo funciona App Runner con IAM](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Registro y supervisión en App Runner
El monitoreo es una parte importante del mantenimiento de la confiabilidad, la disponibilidad y el rendimiento de su AWS App Runner servicio. La recopilación de datos de supervisión de todas las partes de la AWS solución le permite depurar más fácilmente un error en caso de que se produzca. App Runner se integra con varias AWS herramientas para monitorear tus servicios de App Runner y responder a posibles incidentes.
** CloudWatch Alarmas Amazon**
Con CloudWatch las alarmas de Amazon, puedes ver una métrica de servicio durante un período de tiempo que especifiques. Si la métrica supera un umbral determinado durante un número determinado de períodos, recibirás una notificación.
App Runner recopila una variedad de métricas sobre el servicio en su conjunto y las instancias (unidades de escalado) en las que se ejecuta el servicio web. Para obtener más información, consulte [Métricas (CloudWatch)](monitor-cw.md).
**Registros de aplicaciones**
App Runner recopila el resultado del código de la aplicación y lo transmite a Amazon CloudWatch Logs. El contenido de este resultado depende de usted. Por ejemplo, puede incluir registros detallados de las solicitudes realizadas a su servicio web. Estos registros pueden resultar útiles en las auditorías de seguridad y acceso. Para obtener más información, consulte [Registros (CloudWatch registros)](monitor-cwl.md).
**AWS CloudTrail registros de acciones**
App Runner está integrado con AWS CloudTrail un servicio que proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en App Runner. CloudTrail captura todas las llamadas a la API de App Runner como eventos. Puede ver los eventos más recientes en la CloudTrail consola y crear un registro para permitir la entrega continua de CloudTrail eventos a un bucket de Amazon Simple Storage Service (Amazon S3). Para obtener más información, consulte [Acciones de la API (CloudTrail)](monitor-ct.md).
# Validación de conformidad para App Runner
Los auditores externos evalúan la seguridad y el cumplimiento AWS App Runner como parte de varios programas de AWS cumplimiento. Estos incluyen SOC, PCI, FedRAMP, HIPAA y otros.
Para saber si un [programa de cumplimiento Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte Servicios de AWS Alcance by Compliance Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
Para ver otros temas de seguridad de App Runner, consulte[Seguridad en App Runner](security.md).
# Resiliencia en App Runner
La infraestructura AWS global se basa en zonas Regiones de AWS de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples.
[Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte Infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
AWS App Runner administra y automatiza el uso de la infraestructura AWS global en su nombre. Al utilizar App Runner, se beneficia de los mecanismos de disponibilidad y tolerancia a errores que AWS ofrece.
Para ver otros temas de seguridad de App Runner, consulte[Seguridad en App Runner](security.md).
# Seguridad de la infraestructura en AWS App Runner
Como servicio gestionado, AWS App Runner está protegido por los procedimientos de seguridad de red AWS global que se describen en el documento técnico [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Utiliza las llamadas a la API AWS publicadas para administrar y operar App Runner a través de la red. Los clientes que llamen a App Runner APIs deben ser compatibles con Transport Layer Security (TLS) 1.2 o una versión posterior. Los clientes también deben ser compatibles con conjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos. Estos requisitos no se aplican a los puntos finales de las aplicaciones de App Runner.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puedes utilizar [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
Para ver otros temas de seguridad de App Runner, consulte[Seguridad en App Runner](security.md).
# Uso de App Runner con puntos finales de VPC
Es posible que su AWS aplicación integre AWS App Runner servicios con otros Servicios de AWS que se ejecuten en una VPC desde [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) (Amazon VPC). Es posible que algunas partes de la aplicación realicen solicitudes a App Runner desde la VPC. Por ejemplo, puedes utilizarla AWS CodePipeline para realizar una implementación continua en tu servicio de App Runner. Una forma de mejorar la seguridad de tu aplicación es enviar estas solicitudes de App Runner (y las solicitudes a otras Servicios de AWS) a través de un punto final de VPC.
Con un *punto de enlace de VPC*, puede conectar de forma privada su VPC a los servicios de punto final de Servicios de AWS VPC compatibles y con la tecnología de. AWS PrivateLink No necesitas una puerta de enlace a Internet, un dispositivo NAT, una conexión VPN o una conexión. Direct Connect
Los recursos de tu VPC no utilizan direcciones IP públicas para interactuar con los recursos de App Runner. El tráfico entre tu VPC y App Runner no sale de la red de Amazon. *Para obtener más información sobre los puntos de enlace de la VPC, consulte los puntos de enlace de la [VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) en la guía.AWS PrivateLink *
**nota**
De forma predeterminada, la aplicación web del servicio App Runner se ejecuta en una VPC que App Runner proporciona y configura. Esta VPC es pública. Significa que está conectada a Internet. Si lo desea, puede asociar su aplicación a una VPC personalizada. Para obtener más información, consulte [Habilitar el acceso a la VPC para el tráfico saliente](network-vpc.md).
Puede configurar sus servicios para acceder a Internet AWS APIs, incluso cuando su servicio esté conectado a una VPC. Para obtener instrucciones sobre cómo habilitar el acceso público a Internet para el tráfico saliente de la VPC, consulte. [Consideraciones a la hora de seleccionar una subred](network-vpc.md#network-vpc.considerations-subnet)
App Runner no admite la creación de un punto final de VPC para tu aplicación.
## Configuración de un punto final de VPC para App Runner
*Para crear el punto de enlace de la VPC de la interfaz para el servicio App Runner en su VPC, siga el procedimiento de [creación de un punto final de interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) de la guía.AWS PrivateLink * En **Nombre de servicio**, elija `com.amazonaws.region.apprunner`.
## Consideraciones sobre la privacidad de la red de VPC
**importante**
El uso de un punto de enlace de VPC para App Runner no garantiza que todo el tráfico de la VPC permanezca fuera de Internet. La VPC puede ser pública. Además, es posible que algunas partes de la solución no usen puntos de enlace de VPC para realizar AWS llamadas a la API. Por ejemplo, Servicios de AWS podría llamar a otros servicios mediante sus puntos de enlace públicos. Si la solución de su VPC requiere privacidad de tráfico, lea esta sección.
Para garantizar la privacidad del tráfico de red en su VPC, tenga en cuenta lo siguiente:
+ *Habilite el nombre DNS*: es posible que algunas partes de la aplicación sigan enviando solicitudes a App Runner a través de Internet mediante el dispositivo de punto final `apprunner.region.amazonaws.com` público. Si su VPC está configurada con acceso a Internet, estas solicitudes se realizan correctamente sin ninguna indicación para usted. Para evitarlo, asegúrate de que la **opción Habilitar el nombre DNS** esté habilitada al crear el punto final. De forma predeterminada, se establece en true. Esto añade una entrada DNS en la VPC que asigna el punto de conexión del servicio público al punto de conexión de la VPC de tipo interfaz.
+ *Configure los puntos finales de la VPC para servicios adicionales*: es posible que su solución envíe solicitudes a otros. Servicios de AWS Por ejemplo, AWS CodePipeline podría enviar solicitudes a. AWS CodeBuild Configure los puntos de enlace de VPC para estos servicios y habilite los nombres de DNS en estos puntos de enlace.
+ *Configurar una VPC privada*: si es posible (si la solución no necesita acceso a Internet en absoluto), configure la VPC como privada, lo que significa que no tiene conexión a Internet. Esto garantiza que un punto final de VPC faltante provoque un error visible, de modo que se pueda añadir el punto final que falta.
## Uso de políticas de punto de conexión para controlar el acceso con puntos de conexión de la VPC
App Runner admite políticas de puntos finales de VPC. De forma predeterminada, se permite el acceso total a App Runner a través del punto final de la interfaz. Las políticas de puntos de enlace de la VPC se pueden usar para controlar qué directores de AWS pueden acceder al punto de enlace de App Runner. Como alternativa, puede asociar un grupo de seguridad a las interfaces de red de los puntos finales para controlar el tráfico a App Runner a través del punto final de la interfaz.
## Integración con el punto final de la interfaz
Compatible con App Runner AWS PrivateLink, que proporciona conectividad privada a App Runner y elimina la exposición del tráfico a Internet. Para permitir que su aplicación envíe solicitudes a App Runner mediante AWS PrivateLink, configure un tipo de punto final de VPC conocido como punto final de *interfaz*. Para obtener más información, consulte [Puntos de conexión de VPC de interfaz (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) en la *Guía de AWS PrivateLink *.
# Análisis de configuración y vulnerabilidad en App Runner
AWS y nuestros clientes comparten la responsabilidad de lograr un alto nivel de seguridad y conformidad de los componentes de software. Para obtener más información, consulte el AWS Modelo de responsabilidad compartida de [https://aws.amazon.com/compliance/shared-responsibility-model/](https://aws.amazon.com/compliance/shared-responsibility-model/).
## Imágenes de contenedores de parches
Aplicar parches a la imagen del contenedor forma parte de la responsabilidad del cliente en el modelo de seguridad compartida. El propietario de la imagen es responsable de actualizar y corregir periódicamente la imagen del contenedor. Recomendamos establecer un programa de rutina para comprobar y aplicar las actualizaciones a las imágenes del contenedor. Para obtener más información sobre cómo escanear sus imágenes en busca de vulnerabilidades, consulte la [documentación de AWS App Runner](security-best-practices.md#security-best-practices.preventive.scan)
Para ver otros temas de seguridad de App Runner, consulte[Seguridad en App Runner](security.md).
# Mejores prácticas de seguridad para App Runner
AWS App Runner proporciona varias características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles, no como normas.
Para ver otros temas de seguridad de App Runner, consulte[Seguridad en App Runner](security.md).
## Prácticas recomendadas de seguridad preventiva
Los controles de seguridad preventivos intentan evitar incidentes antes de que ocurran.
### Implementación del acceso a los privilegios mínimos
App Runner proporciona políticas gestionadas AWS Identity and Access Management (IAM) para [los usuarios de IAM](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-users) y el rol de [acceso](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service.access). Estas políticas administradas especifican todos los permisos que pueden ser necesarios para el correcto funcionamiento del servicio de App Runner.
Es posible que su aplicación no requiera todos los permisos de nuestras políticas administradas. Puede personalizarlas y conceder solo los permisos necesarios para que sus usuarios y su servicio de App Runner realicen sus tareas. Esto es especialmente importante para las políticas de usuario, donde diferentes roles de usuario pueden tener necesidades de permiso distintas. La implementación del acceso con privilegios mínimos es esencial a la hora de reducir los riesgos de seguridad y el impacto que podrían causar los errores o los intentos malintencionados.
### Escanear las imágenes para detectar vulnerabilidades
Puede utilizar los ECR de Amazon APIs para identificar las vulnerabilidades de software en las imágenes de sus contenedores. Para obtener más información, consulte la [documentación de Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html).
## Prácticas recomendadas de detección de seguridad
Los controles de detección de seguridad identifican las infracciones de seguridad tras producirse. Pueden ayudarte a detectar una posible amenaza o incidente de seguridad.
### Implementar la supervisión
La supervisión es una parte importante del mantenimiento de la fiabilidad, la seguridad, la disponibilidad y el rendimiento de las soluciones de App Runner. AWS proporciona varias herramientas y servicios para ayudarte a supervisar tus AWS servicios.
A continuación se muestran algunos ejemplos de elementos que supervisar:
+ * CloudWatch Métricas de Amazon para App Runner*: configura alarmas para las métricas clave de App Runner y para las métricas personalizadas de tu aplicación. Para obtener más información, consulte [Métricas (CloudWatch)](monitor-cw.md).
+ *AWS CloudTrail entradas*: realiza un seguimiento de las acciones que podrían afectar a la disponibilidad, como `PauseService` o`DeleteConnection`. Para obtener información, consulte [Acciones de la API (CloudTrail)](monitor-ct.md).