Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activation du point de terminaison privé pour le trafic entrant
Par défaut, lorsque vous créez un AWS App Runner service, celui-ci est accessible via Internet. Cependant, vous pouvez également rendre votre service App Runner privé et uniquement accessible depuis un Amazon Virtual Private Cloud (Amazon VPC).
Lorsque votre service App Runner est privé, vous avez un contrôle total sur le trafic entrant, ce qui ajoute un niveau de sécurité supplémentaire. Cela est utile dans de nombreux cas d'utilisation, notamment pour exécuter des API internes, des applications Web d'entreprise ou des applications encore en développement qui nécessitent un niveau de confidentialité et de sécurité plus élevé ou qui doivent répondre à des exigences de conformité spécifiques.
Note
Si votre application App Runner nécessite des règles de contrôle du trafic entrant IP/CIDR source, vous devez utiliser des règles de groupe de sécurité pour les points de terminaison privés au lieu des ACL Web WAF. Cela est dû au fait que nous ne prenons actuellement pas en charge le transfert des données IP source des demandes vers les services privés App Runner associés à WAF. Par conséquent, les règles IP source pour les services privés App Runner associés aux ACL Web WAF ne respectent pas les règles basées sur l'IP.
Pour en savoir plus sur la sécurité de l'infrastructure et les groupes de sécurité, notamment sur les meilleures pratiques, consultez les rubriques suivantes du guide de l'utilisateur Amazon VPC : Contrôlez le trafic réseau et contrôlez le trafic vers vos ressources AWS à l'aide de groupes de sécurité.
Lorsque votre service App Runner est privé, vous pouvez y accéder depuis un Amazon VPC. Aucune passerelle Internet, périphérique NAT ou connexion VPN n'est requise.
Note
App Runner prend actuellement en charge le type d'adresse à double pile (IPv4 et IPv6) uniquement pour le trafic entrant public. Pour le trafic sortant et le trafic entrant privé, seul le protocole IPv4 est pris en charge.
Considérations
-
Avant de configurer un point de terminaison d'interface VPC pour App Runner, consultez les considérations du AWS PrivateLink guide.
-
Les politiques de point de terminaison VPC ne sont pas prises en charge pour App Runner. Par défaut, l'accès complet à App Runner est autorisé via le point de terminaison de l'interface VPC. Vous pouvez également associer un groupe de sécurité aux interfaces réseau du point de terminaison pour contrôler le trafic vers App Runner via le point de terminaison de l'interface VPC.
-
Si votre application App Runner nécessite des règles de contrôle du trafic entrant IP/CIDR source, vous devez utiliser des règles de groupe de sécurité pour les points de terminaison privés au lieu des ACL Web WAF. Cela est dû au fait que nous ne prenons actuellement pas en charge le transfert des données IP source des demandes vers les services privés App Runner associés à WAF. Par conséquent, les règles IP source pour les services privés App Runner associés aux ACL Web WAF ne respectent pas les règles basées sur l'IP.
-
Une fois que vous avez activé un point de terminaison privé, votre service n'est accessible que depuis votre VPC et n'est pas accessible depuis Internet.
-
Pour une disponibilité accrue, il est recommandé de sélectionner au moins deux sous-réseaux différents dans la zone de disponibilité pour le point de terminaison de l'interface VPC. Nous vous déconseillons d'utiliser un seul sous-réseau.
-
Vous pouvez utiliser le même point de terminaison d'interface VPC pour accéder à plusieurs services App Runner dans un VPC.
Pour plus d'informations sur les termes utilisés dans cette section, voir Terminologie.
Autorisations
Voici la liste des autorisations requises pour activer le point de terminaison privé :
-
EC2 : CreateTags
-
EC2 : CreateVpcEndpoint
-
EC2 : ModifyVpcEndpoint
-
EC2 : DeleteVpcEndpoints
-
EC2 : DescribeSubnets
-
EC2 : DescribeVpcEndpoints
-
EC2 : DescribeVpcs
Point de terminaison de l'interface VPC
Un point de terminaison d'interface VPC est une AWS PrivateLinkressource qui connecte un Amazon VPC à un service de point de terminaison. Vous pouvez spécifier dans quel Amazon VPC vous souhaitez que votre service App Runner soit accessible en passant un point de terminaison d'interface VPC. Pour créer un point de terminaison d'interface VPC, spécifiez les éléments suivants :
-
Le VPC Amazon pour activer la connectivité.
-
Ajoutez des groupes de sécurité. Par défaut, un groupe de sécurité est attribué au point de terminaison de l'interface VPC. Vous pouvez choisir d'associer un groupe de sécurité personnalisé pour renforcer le contrôle du trafic réseau entrant.
-
Ajoutez des sous-réseaux. Pour garantir une meilleure disponibilité, il est recommandé de sélectionner au moins deux sous-réseaux pour chaque zone de disponibilité à partir de laquelle vous allez accéder au service App Runner. Un point de terminaison d'interface réseau est créé dans chaque sous-réseau que vous activez pour le point de terminaison d'interface VPC. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée pour le trafic destiné à App Runner. Une interface réseau gérée par le demandeur est une interface réseau qu'un service AWS crée dans votre VPC en votre nom.
-
Si vous utilisez l'API, ajoutez le point de terminaison de l'interface VPC App Runner.
ServicenamePar exemple,com.amazonaws.region.apprunner.requests
Vous pouvez créer un point de terminaison d'interface VPC à l'aide de l'un des services suivants : AWS
-
Console App Runner. Pour plus d'informations, consultez Gérer un point de terminaison privé.
-
Console ou API Amazon VPC, et AWS Command Line Interface ()AWS CLI. Pour plus d'informations, consultez la section Accès Services AWS par AWS PrivateLink le biais du AWS PrivateLink guide.
Note
Vous êtes facturé pour chaque point de terminaison d'interface VPC que vous utilisez en fonction AWS PrivateLink
de la tarification.
Connexion d'entrée de VPC
Une connexion d'entrée VPC est une ressource App Runner qui spécifie un point de terminaison App Runner pour le trafic entrant. App Runner attribue la ressource de connexion d'entrée VPC en arrière-plan lorsque vous choisissez un point de terminaison privé sur la console App Runner pour votre trafic entrant. Choisissez cette option pour autoriser uniquement le trafic provenant d'un Amazon VPC à accéder à votre service App Runner. La ressource VPC Ingress Connection connecte votre service App Runner au point de terminaison de l'interface VPC d'Amazon VPC. Vous pouvez créer une ressource de connexion d'entrée VPC uniquement si vous utilisez les opérations d'API pour configurer les paramètres réseau pour le trafic entrant. Pour plus d'informations sur la création d'une ressource de connexion d'entrée VPC, consultez la référence de CreateVpcIngressConnectionl'AWS App Runner API.
Note
Une ressource de connexion d'entrée VPC de l'App Runner peut se connecter à un point de terminaison d'interface VPC de l'Amazon VPC. En outre, vous ne pouvez créer qu'une seule ressource de connexion d'entrée VPC pour chaque service App Runner.
Point de terminaison privé
Le point de terminaison privé est une option de console App Runner que vous pouvez choisir si vous souhaitez uniquement recevoir du trafic entrant en provenance d'un Amazon VPC. Le choix de l'option Point de terminaison privé sur la console App Runner vous permet de connecter votre service à un VPC en configurant son point de terminaison d'interface VPC. Dans les coulisses, App Runner attribue une ressource de connexion d'entrée VPC au point de terminaison de l'interface VPC que vous configurez.
Note
Seul le trafic réseau IPv4 est pris en charge pour le point de terminaison privé.
Récapitulatif
Rendez votre service privé en autorisant uniquement le trafic provenant d'un Amazon VPC à accéder à votre service App Runner. Pour ce faire, vous créez un point de terminaison d'interface VPC pour le VPC Amazon sélectionné à l'aide d'App Runner ou d'Amazon VPC. Sur la console App Runner, vous créez un point de terminaison d'interface VPC lorsque vous activez le point de terminaison privé pour le trafic entrant. App Runner crée ensuite automatiquement une ressource de connexion d'entrée VPC et se connecte au point de terminaison de l'interface VPC et à votre service App Runner. Cela crée une connexion de service privée qui garantit que seul le trafic provenant du VPC sélectionné peut accéder à votre service App Runner.
