Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Référencement des variables d'environnement

PDF
Mode de mise au point
Référencement des variables d'environnement - AWS App Runner
Référencement de données sensibles en tant que variables d'environnementConsidérationsAutorisations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Avec App Runner, vous pouvez référencer des secrets et des configurations en tant que variables d'environnement dans votre service lorsque vous créez un service ou que vous le mettez à jour.

Vous pouvez référencer des données de configuration non sensibles telles que les délais d'expiration et le nombre de nouvelles tentatives en texte brut sous forme de paires clé-valeur. Les données de configuration auxquelles vous faites référence en texte brut ne sont pas cryptées et sont visibles par les autres utilisateurs dans les journaux de configuration du service et des applications App Runner.

Note

Pour des raisons de sécurité, ne faites référence à aucune donnée sensible en texte brut dans votre service App Runner.

Référencement de données sensibles en tant que variables d'environnement

App Runner permet de référencer en toute sécurité les données sensibles en tant que variables d'environnement dans votre service. Envisagez de stocker les données sensibles que vous souhaitez référencer dans le AWS Secrets ManagerAWS Systems Manager Parameter Store. Vous pouvez ensuite les référencer en toute sécurité dans votre service en tant que variables d'environnement depuis la console App Runner ou en appelant l'API. Cela permet de séparer efficacement la gestion des secrets et des paramètres du code de votre application et de la configuration des services, améliorant ainsi la sécurité globale de vos applications exécutées sur App Runner.

Note

App Runner ne vous facture pas le fait de référencer Secrets Manager et SSM Parameter Store en tant que variables d'environnement. Toutefois, vous payez le tarif standard pour utiliser Secrets Manager et SSM Parameter Store.

Pour plus d'informations sur les tarifs, consultez les rubriques suivantes :

Le processus de référence des données sensibles en tant que variables d'environnement est le suivant :

  1. Stockez les données sensibles, telles que les clés d'API, les informations d'identification de base de données, les paramètres de connexion à la base de données ou les versions des applications sous forme de secrets ou de paramètres dans l'un AWS Secrets Manager ou l'autre magasin de AWS Systems Manager paramètres.

  2. Mettez à jour la politique IAM de votre rôle d'instance afin qu'App Runner puisse accéder aux secrets et aux paramètres stockés dans Secrets Manager et SSM Parameter Store. Pour plus d'informations, consultez Autorisations .

  3. Référencez de manière sécurisée les secrets et les paramètres en tant que variables d'environnement en leur attribuant un nom et en fournissant leur Amazon Resource Name (ARN). Vous pouvez ajouter des variables d'environnement lorsque vous créez un service ou que vous mettez à jour la configuration d'un service. Vous pouvez utiliser l'une des options suivantes pour ajouter des variables d'environnement :

    • Console App Runner

    • API App Runner

    • apprunner.yamlfichier de configuration

    Note

    Vous ne pouvez pas attribuer PORT de nom à une variable d'environnement lors de la création ou de la mise à jour de votre service App Runner. Il s'agit d'une variable d'environnement réservée au service App Runner.

    Pour plus d'informations sur la façon de référencer les secrets et les paramètres, consultez la section Gestion des variables d'environnement.

Note

Étant donné qu'App Runner ne stocke que la référence au secret et au paramètre ARNs, les données sensibles ne sont pas visibles par les autres utilisateurs dans la configuration du service App Runner et dans les journaux des applications.

Considérations

  • Assurez-vous de mettre à jour votre rôle d'instance avec les autorisations appropriées pour accéder aux secrets et aux paramètres dans AWS Secrets Manager ou dans AWS Systems Manager Parameter Store. Pour plus d'informations, consultez Autorisations .

  • Assurez-vous que AWS Systems Manager Parameter Store se trouve dans le même Compte AWS que le service que vous souhaitez lancer ou mettre à jour. À l'heure actuelle, vous ne pouvez pas référencer les paramètres du magasin de paramètres SSM entre les comptes.

  • Lorsque les secrets et les valeurs des paramètres sont pivotés ou modifiés, ils ne sont pas automatiquement mis à jour dans votre service App Runner. Redéployez votre service App Runner car App Runner extrait uniquement les secrets et les paramètres lors du déploiement.

  • Vous avez également la possibilité d'appeler directement un AWS Secrets Manager AWS Systems Manager Parameter Store via le SDK de votre service App Runner.

  • Pour éviter les erreurs, veillez à respecter les points suivants lorsque vous les référencez en tant que variables d'environnement :

    • Vous spécifiez le bon ARN du secret.

    • Vous spécifiez le nom ou le bon ARN du paramètre.

Autorisations

Pour activer le référencement des secrets et des paramètres stockés dans le magasin de paramètres AWS Secrets Manager ou SSM, ajoutez les autorisations appropriées à la politique IAM de votre rôle d'instance pour accéder à Secrets Manager et au magasin de paramètres SSM.

Note

App Runner ne peut pas accéder aux ressources de votre compte sans votre autorisation. Vous fournissez l'autorisation en mettant à jour votre politique IAM.

Vous pouvez utiliser les modèles de politique suivants pour mettre à jour votre rôle d'instance dans la console IAM. Vous pouvez modifier ces modèles de politique pour répondre à vos besoins spécifiques. Pour plus d'informations sur la mise à jour d'un rôle d'instance, consultez la section Modification d'un rôle dans le Guide de l'utilisateur IAM.

Note

Vous pouvez également copier les modèles suivants depuis la console App Runner lors de la création des variables d'environnement.

Copiez le modèle suivant dans votre rôle d'instance pour ajouter l'autorisation de référencer les secrets à partir de AWS Secrets Manager.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue",
        "kms:Decrypt*"
      ],
      "Resource": [
        "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:<secret_name>",
        "arn:aws:kms:<region>:<aws_account_id>:key/<key_id>"
      ]
    }
  ]
}

Copiez le modèle suivant dans votre rôle d'instance pour ajouter l'autorisation de référencer les paramètres depuis AWS Systems ManagerParameter Store.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameters"
      ],
      "Resource": [
        "arn:aws:ssm:<region>:<aws_account_id>:parameter/<parameter_name>"
      ]
    }
  ]
}

Rubrique précédente :

Suppression

Avez-vous besoin d’aide ?

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.