Gestion du point de terminaison privé - AWS App Runner
Console App RunnerAPI App Runner ou AWS CLI

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion du point de terminaison privé

Gérez le point de terminaison privé pour le trafic entrant à l'aide de l'une des méthodes suivantes :

Note

Si votre application App Runner nécessite des règles de contrôle du trafic entrant IP/CIDR source, vous devez utiliser des règles de groupe de sécurité pour les points de terminaison privés au lieu des ACL Web WAF. Cela est dû au fait que nous ne prenons actuellement pas en charge le transfert des données IP source des demandes vers les services privés App Runner associés à WAF. Par conséquent, les règles IP source pour les services privés App Runner associés aux ACL Web WAF ne respectent pas les règles basées sur l'IP.

Pour en savoir plus sur la sécurité de l'infrastructure et les groupes de sécurité, notamment sur les meilleures pratiques, consultez les rubriques suivantes du guide de l'utilisateur Amazon VPC : Contrôlez le trafic réseau et contrôlez le trafic vers vos ressources AWS à l'aide de groupes de sécurité.

Console App Runner

Lorsque vous créez un service à l'aide de la console App Runner, ou lorsque vous mettez à jour sa configuration ultérieurement, vous pouvez choisir de configurer le trafic entrant.

Pour configurer votre trafic entrant, choisissez l'une des options suivantes.

  • Point de terminaison public : pour rendre votre service accessible à tous les services via Internet. Par défaut, le point de terminaison public est sélectionné.

  • Point de terminaison privé : pour rendre votre service App Runner accessible uniquement depuis un Amazon VPC.

Note

Actuellement, App Runner prend en charge le protocole IPv6 uniquement pour les points de terminaison publics. Les points de terminaison IPv6 ne sont pas pris en charge pour les services App Runner hébergés dans un Amazon Virtual Private Cloud (Amazon VPC). Si vous mettez à jour un service qui utilise un point de terminaison public à double pile vers un point de terminaison privé, votre service App Runner prendra par défaut en charge le trafic provenant uniquement des points de terminaison IPv4 et ne recevra pas le trafic provenant des points de terminaison IPv6.

Activer le point de terminaison privé

Activez un point de terminaison privé en l'associant au point de terminaison d'interface VPC de l'Amazon VPC auquel vous souhaitez accéder. Vous pouvez créer un nouveau point de terminaison d'interface VPC ou en choisir un existant.

Pour créer un point de terminaison d'interface VPC

  1. Ouvrez la console App Runner, puis dans la liste des régions, sélectionnez votre Région AWS.

  2. Accédez à la section Réseau sous Configurer le service.

  3. Choisissez Point de terminaison privé pour le trafic réseau entrant. Les options permettant de se connecter à un VCP à l'aide du point de terminaison de l'interface VPC s'ouvrent.

  4. Choisissez Créer un nouveau point de terminaison. La boîte de dialogue Créer un nouveau point de terminaison d'interface VPC s'ouvre.

  5. Entrez un nom pour le point de terminaison de l'interface VPC.

  6. Choisissez le point de terminaison d'interface VPC requis dans la liste déroulante disponible.

  7. Choisissez le groupe de sécurité dans la liste déroulante. L'ajout de groupes de sécurité fournit une couche de sécurité supplémentaire au point de terminaison de l'interface VPC. Il est recommandé de choisir au moins deux groupes de sécurité. Si vous ne choisissez aucun groupe de sécurité, App Runner attribue un groupe de sécurité par défaut au point de terminaison de l'interface VPC. Assurez-vous que les règles du groupe de sécurité ne bloquent pas les ressources qui souhaitent communiquer avec votre service App Runner. Les règles du groupe de sécurité doivent autoriser les ressources qui interagiront avec votre service App Runner.

    Note

    Si votre application App Runner nécessite des règles de contrôle du trafic entrant IP/CIDR source, vous devez utiliser des règles de groupe de sécurité pour les points de terminaison privés au lieu des ACL Web WAF. Cela est dû au fait que nous ne prenons actuellement pas en charge le transfert des données IP source des demandes vers les services privés App Runner associés à WAF. Par conséquent, les règles IP source pour les services privés App Runner associés aux ACL Web WAF ne respectent pas les règles basées sur l'IP.

    Pour en savoir plus sur la sécurité de l'infrastructure et les groupes de sécurité, notamment sur les meilleures pratiques, consultez les rubriques suivantes du guide de l'utilisateur Amazon VPC : Contrôlez le trafic réseau et contrôlez le trafic vers vos ressources AWS à l'aide de groupes de sécurité.

  8. Choisissez les sous-réseaux requis dans la liste déroulante. Il est recommandé de sélectionner au moins deux sous-réseaux pour chaque zone de disponibilité à partir de laquelle vous allez accéder au service App Runner.

  9. (Facultatif) Choisissez Ajouter une nouvelle balise et entrez la clé de balise et la valeur de la balise.

  10. Choisissez Créer. La page Configurer le service s'ouvre et affiche le message de création réussie du point de terminaison de l'interface VPC dans la barre supérieure.

Pour choisir un point de terminaison d'interface VPC existant

  1. Ouvrez la console App Runner, puis dans la liste des régions, sélectionnez votre Région AWS.

  2. Accédez à la section Réseau sous Configurer le service.

  3. Choisissez Point de terminaison privé pour le trafic réseau entrant. Les options permettant de se connecter à un VPC à l'aide du point de terminaison de l'interface VPC s'ouvrent. La liste des points de terminaison d'interface VPC disponibles est affichée.

  4. Choisissez le point de terminaison d'interface VPC requis répertorié sous Points de terminaison d'interface VPC.

  5. Choisissez Next pour créer votre service. App Runner active le point de terminaison privé.

    Note

    Une fois votre service créé, vous pouvez choisir de modifier les groupes de sécurité et les sous-réseaux associés au point de terminaison de l'interface VPC, si nécessaire.

    Pour vérifier les détails du point de terminaison privé, accédez à votre service et développez la section Mise en réseau sous l'onglet Configuration. Il affiche les détails du VPC et du point de terminaison de l'interface VPC associé au point de terminaison privé.

Mettre à jour le point de terminaison de l'interface VPC

Une fois votre service App Runner créé, vous pouvez modifier le point de terminaison de l'interface VPC associé au point de terminaison privé.

Note

Vous ne pouvez pas mettre à jour le nom du point de terminaison et les champs VPC.

Pour mettre à jour le point de terminaison de l'interface VPC

  1. Ouvrez la console App Runner, puis dans la liste des régions, sélectionnez votre Région AWS.

  2. Accédez à votre service et choisissez Configurations réseau dans le panneau de gauche.

  3. Choisissez Trafic entrant pour afficher les points de terminaison de l'interface VPC associés aux services respectifs.

  4. Choisissez le point de terminaison de l'interface VPC que vous souhaitez modifier.

  5. Choisissez Modifier. La boîte de dialogue permettant de modifier le point de terminaison de l'interface VPC s'ouvre.

  6. Choisissez les groupes de sécurité et les sous-réseaux requis, puis cliquez sur Mettre à jour. La page présentant les détails du point de terminaison de l'interface VPC s'ouvre avec le message de mise à jour réussie du point de terminaison de l'interface VPC dans la barre supérieure.

    Note

    Si votre application App Runner nécessite des règles de contrôle du trafic entrant IP/CIDR source, vous devez utiliser des règles de groupe de sécurité pour les points de terminaison privés au lieu des ACL Web WAF. Cela est dû au fait que nous ne prenons actuellement pas en charge le transfert des données IP source des demandes vers les services privés App Runner associés à WAF. Par conséquent, les règles IP source pour les services privés App Runner associés aux ACL Web WAF ne respectent pas les règles basées sur l'IP.

    Pour en savoir plus sur la sécurité de l'infrastructure et les groupes de sécurité, notamment sur les meilleures pratiques, consultez les rubriques suivantes du guide de l'utilisateur Amazon VPC : Contrôlez le trafic réseau et contrôlez le trafic vers vos ressources AWS à l'aide de groupes de sécurité.

Supprimer le point de terminaison de l'interface VPC

Si vous ne souhaitez pas que votre service App Runner soit accessible de manière privée, vous pouvez définir votre trafic entrant sur Public. Le passage à Public supprime le point de terminaison privé, mais pas le point de terminaison de l'interface VPC

Pour supprimer le point de terminaison de l'interface VPC

  1. Ouvrez la console App Runner, puis dans la liste des régions, sélectionnez votre Région AWS.

  2. Accédez à votre service et choisissez Configurations réseau dans le panneau de gauche.

  3. Choisissez Trafic entrant pour afficher les points de terminaison de l'interface VPC associés aux services respectifs.

    Note

    Avant de supprimer un point de terminaison d'interface VPC, supprimez-le de tous les services auxquels il est connecté en mettant à jour votre service.

  4. Sélectionnez Delete (Supprimer).

    Si des services sont connectés au point de terminaison de l'interface VPC, vous recevez le message Impossible de supprimer le point de terminaison de l'interface VPC. Si aucun service n'est connecté au point de terminaison de l'interface VPC, vous recevez un message confirmant la suppression.

  5. Sélectionnez Delete (Supprimer). La page des configurations réseau s'ouvre pour le trafic entrant avec le message de suppression réussie du point de terminaison de l'interface VPC dans la barre supérieure.

API App Runner ou AWS CLI

Vous pouvez déployer une application sur App Runner uniquement accessible depuis un Amazon VPC.

Pour plus d'informations sur les autorisations requises pour rendre votre service privé, consultezAutorisations.

Note

Actuellement, App Runner prend en charge le protocole IPv6 uniquement pour les points de terminaison publics. Les points de terminaison IPv6 ne sont pas pris en charge pour les services App Runner hébergés dans un Amazon Virtual Private Cloud (Amazon VPC). Si vous mettez à jour un service qui utilise un point de terminaison public à double pile vers un point de terminaison privé, votre service App Runner prendra par défaut en charge le trafic provenant uniquement des points de terminaison IPv4 et ne recevra pas le trafic provenant des points de terminaison IPv6.

Pour créer une connexion de service privée à Amazon VPC

  1. Créez un point de terminaison d'interface VPC, une AWS PrivateLink ressource, pour vous connecter à App Runner. Pour ce faire, spécifiez les sous-réseaux et les groupes de sécurité à associer à l'application. Voici un exemple de création d'un point de terminaison d'interface VPC.

    Note

    Si votre application App Runner nécessite des règles de contrôle du trafic entrant IP/CIDR source, vous devez utiliser des règles de groupe de sécurité pour les points de terminaison privés au lieu des ACL Web WAF. Cela est dû au fait que nous ne prenons actuellement pas en charge le transfert des données IP source des demandes vers les services privés App Runner associés à WAF. Par conséquent, les règles IP source pour les services privés App Runner associés aux ACL Web WAF ne respectent pas les règles basées sur l'IP.

    Pour en savoir plus sur la sécurité de l'infrastructure et les groupes de sécurité, notamment sur les meilleures pratiques, consultez les rubriques suivantes du guide de l'utilisateur Amazon VPC : Contrôlez le trafic réseau et contrôlez le trafic vers vos ressources AWS à l'aide de groupes de sécurité.

    aws ec2 create-vpc-endpoint
 --vpc-endpoint-type: Interface
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --subnets: subnet1, subnet2
 --security-groups: sg1

  2. Référencez le point de terminaison de l'interface VPC en utilisant les actions de l'API CreateServiceou UpdateServiceApp Runner via la CLI. Configurez votre service pour qu'il ne soit pas accessible au public. IsPubliclyAccessibleDéfini False sur dans le IngressConfiguration membre du NetworkConfiguration paramètre. Voici un exemple de référencement d'un point de terminaison d'interface VPC. 

    aws apprunner create-service
 --network-configuration: ingress-configuration=<ingress_configuration>
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --source-configuration: <source_configuration>
 # Ingress Configuration
 {
 "IsPubliclyAccessible": False 
 }

  3. Appelez l'action create-vpc-ingress-connection API pour créer la ressource de connexion d'entrée VPC pour App Runner et associez-la au point de terminaison de l'interface VPC que vous avez créé à l'étape précédente. Il renvoie un nom de domaine qui est utilisé pour accéder à votre service dans le VPC spécifié. Voici un exemple de création d'une ressource de connexion d'entrée VPC.

    Exemple Demande
    aws apprunner create-vpc-ingress-connection
 --service-arn: <apprunner_service_arn>
 --ingress-vpc-configuration: {"VpcId":<vpc_id>, "VpceId": <vpce_id>}
 --vpc-ingress-connection-name: <vic_connection_name>
    Exemple Réponse
    {
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_CREATION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>
}

Mettre à jour la connexion d'entrée VPC

Vous pouvez mettre à jour la ressource VPC Ingress Connection. La connexion d'entrée VPC doit être dans l'un des états suivants pour être mise à jour :

  • DISPONIBLE

  • ÉCHEC DE LA CRÉATION

  • ÉCHEC DE LA MISE À JOUR

Voici un exemple de mise à jour d'une ressource de connexion d'entrée VPC.

Exemple Demande
aws apprunner update-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
Exemple Réponse
{
    "VpcIngressConnectionArn":  <vpc_ingress_connection_arn>,
    "VpcIngressConnectionName":  <vic_connection_name>,
    "ServiceArn":  <apprunner_service_arn>,
    "Status": "FAILED_UPDATE",
    "AccountId":  <connection_owner_id>,
    "DomainName":  <domain_name_associated_with_vpce>,
    "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
    "CreatedAt":  <date_created>
}

Supprimer la connexion d'entrée VPC

Vous pouvez supprimer la ressource VPC Ingress Connection si vous n'avez plus besoin de la connexion privée à Amazon VPC.

La connexion d'entrée VPC doit être dans l'un des états suivants pour être supprimée :

  • DISPONIBLE

  • ÉCHEC DE LA CRÉATION

  • ÉCHEC DE MISE À JOUR

  • ÉCHEC DE LA SUPPRESSION

Voici un exemple de suppression d'une connexion d'entrée VPC

Exemple Demande
aws apprunner delete-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
Exemple Réponse
{
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_DELETION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>,
   "DeletedAt": <date_deleted>
}

Utilisez les actions d'API App Runner suivantes pour gérer le trafic entrant privé pour votre service.

  • CreateVpcIngressConnection— Créez une nouvelle ressource de connexion d'entrée VPC. App Runner a besoin de cette ressource lorsque vous souhaitez associer votre service App Runner à un point de terminaison Amazon VPC.

  • ListVpcIngressConnections— Renvoie une liste des points de terminaison de connexion AWS App Runner VPC Ingress associés à votre compte. AWS

  • DescribeVpcIngressConnection— Renvoie une description complète de la ressource AWS App Runner VPC Ingress Connection.

  • UpdateVpcIngressConnection— Mettez à jour la ressource AWS App Runner VPC Ingress Connection.

  • DeleteVpcIngressConnection— Supprimez une ressource de connexion d'entrée VPC App Runner associée au service App Runner.

Pour plus d'informations sur l'utilisation de l'API App Runner, consultez le guide de référence de l'API App Runner.