AWS App Runner tidak akan lagi terbuka untuk pelanggan baru mulai 30 April 2026. Jika Anda ingin menggunakan App Runner, daftar sebelum tanggal tersebut. Pelanggan yang sudah ada dapat terus menggunakan layanan ini seperti biasa. Untuk informasi selengkapnya, lihat [perubahan AWS App Runner ketersediaan](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html).
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di App Runner
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menjelaskan hal ini sebagai keamanan *dari* cloud dan keamanan *dalam* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga secara teratur menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [Program AWS Kepatuhan Program AWS Kepatuhan](https://aws.amazon.com/compliance/programs/) . Untuk mempelajari tentang program kepatuhan yang berlaku AWS App Runner, lihat [AWS Layanan dalam Lingkup oleh AWS Layanan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor lain, yang mencakup sensitivitas data Anda, persyaratan perusahaan Anda, serta undang-undang dan peraturan yang berlaku.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan App Runner. Topik berikut menunjukkan cara mengonfigurasi App Runner untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya App Runner Anda.
**Topics**
+ [Perlindungan data di App Runner](security-data-protection.md)
+ [Manajemen identitas dan akses untuk App Runner](security-iam.md)
+ [Pencatatan dan pemantauan di App Runner](security-monitoring.md)
+ [Validasi kepatuhan untuk App Runner](security-compliance.md)
+ [Ketahanan di App Runner](security-resilience.md)
+ [Keamanan infrastruktur di AWS App Runner](security-infrastructure.md)
+ [Menggunakan App Runner dengan titik akhir VPC](security-vpce.md)
+ [Analisis konfigurasi dan kerentanan di App Runner](security-shared-responsibility.md)
+ [Praktik terbaik keamanan untuk App Runner](security-best-practices.md)
# Perlindungan data di App Runner
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS App Runner. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan App Runner atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
Untuk topik keamanan App Runner lainnya, lihat[Keamanan di App Runner](security.md).
**Topics**
+ [Melindungi data menggunakan enkripsi](security-data-protection-encryption.md)
+ [Privasi lalu lintas antar jaringan](security-data-protection-internetwork.md)
# Melindungi data menggunakan enkripsi
AWS App Runner membaca sumber aplikasi Anda (gambar sumber atau kode sumber) dari repositori yang Anda tentukan dan menyimpannya untuk penyebaran ke layanan Anda. Untuk informasi selengkapnya, lihat [Arsitektur dan konsep App Runner](architecture.md).
Perlindungan data mengacu pada melindungi data saat *transit* (saat bepergian ke dan dari App Runner) dan *saat istirahat* (saat disimpan di pusat AWS data).
Untuk informasi selengkapnya tentang perlindungan data, lihat[Perlindungan data di App Runner](security-data-protection.md).
Untuk topik keamanan App Runner lainnya, lihat[Keamanan di App Runner](security.md).
## Enkripsi saat bergerak
Anda dapat mencapai perlindungan data dalam perjalanan dengan dua cara: mengenkripsi koneksi menggunakan Transport Layer Security (TLS), atau menggunakan enkripsi sisi klien (di mana objek dienkripsi sebelum dikirim). Kedua metode ini berlaku untuk melindungi data aplikasi Anda. Untuk mengamankan koneksi, enkripsi menggunakan TLS setiap kali aplikasi Anda, pengembang dan administrator, dan pengguna akhirnya mengirim atau menerima objek apa pun. App Runner menyiapkan aplikasi Anda untuk menerima lalu lintas melalui TLS.
Enkripsi sisi klien bukanlah metode yang valid untuk melindungi gambar sumber atau kode yang Anda berikan kepada App Runner untuk penerapan. App Runner memerlukan akses ke sumber aplikasi Anda, sehingga tidak dapat dienkripsi. Oleh karena itu, pastikan untuk mengamankan koneksi antara lingkungan pengembangan atau penyebaran Anda dan App Runner.
## Enkripsi saat istirahat dan manajemen kunci
Untuk melindungi data aplikasi Anda saat istirahat, App Runner mengenkripsi semua salinan yang disimpan dari gambar sumber aplikasi atau bundel sumber Anda. Saat Anda membuat layanan App Runner, Anda dapat memberikan AWS KMS key. Jika Anda menyediakannya, App Runner menggunakan kunci yang Anda berikan untuk mengenkripsi sumber Anda. Jika Anda tidak menyediakannya, App Runner menggunakan sebagai Kunci yang dikelola AWS gantinya.
Untuk detail tentang parameter pembuatan layanan App Runner, lihat [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html). Untuk informasi tentang AWS Key Management Service (AWS KMS), lihat [Panduan AWS Key Management Service Pengembang](https://docs.aws.amazon.com/kms/latest/developerguide/).
# Privasi lalu lintas antar jaringan
App Runner menggunakan Amazon Virtual Private Cloud (Amazon VPC) untuk membuat batasan antara sumber daya di aplikasi App Runner dan mengontrol lalu lintas di antara sumber daya, jaringan lokal, dan internet. *Untuk informasi selengkapnya tentang keamanan VPC Amazon, lihat [Privasi lalu lintas Internetwork di Amazon VPC di Panduan Pengguna Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html).*
Untuk informasi tentang mengaitkan aplikasi App Runner Anda dengan VPC Amazon khusus, lihat. [Mengaktifkan akses VPC untuk lalu lintas keluar](network-vpc.md)
Untuk informasi tentang mengamankan permintaan ke App Runner menggunakan titik akhir VPC, lihat. [Menggunakan App Runner dengan titik akhir VPC](security-vpce.md)
Untuk informasi selengkapnya tentang perlindungan data, lihat[Perlindungan data di App Runner](security-data-protection.md).
Untuk topik keamanan App Runner lainnya, lihat[Keamanan di App Runner](security.md).
# Manajemen identitas dan akses untuk App Runner
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diotorisasi* (memiliki izin) untuk menggunakan sumber daya App Runner. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
Untuk topik keamanan App Runner lainnya, lihat[Keamanan di App Runner](security.md).
**Topics**
+ [Audiens](#security-iam.audience)
+ [Mengautentikasi dengan identitas](#security-iam.authentication)
+ [Mengelola akses menggunakan kebijakan](#security-iam.access-manage)
+ [Bagaimana App Runner bekerja dengan IAM](security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas App Runner](security_iam_id-based-policy-examples.md)
+ [Menggunakan peran terkait layanan untuk App Runner](security-iam-slr.md)
+ [AWS kebijakan terkelola untuk AWS App Runner](security-iam-awsmanpol.md)
+ [Memecahkan masalah identitas dan akses App Runner](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah identitas dan akses App Runner](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana App Runner bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [Contoh kebijakan berbasis identitas App Runner](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Daftar kontrol akses (ACLs)
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana App Runner bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses AWS App Runner, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan App Runner. *Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja App Runner dan AWS layanan lainnya dengan IAM, lihat [AWS Layanan yang Bekerja dengan IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
Untuk topik keamanan App Runner lainnya, lihat[Keamanan di App Runner](security.md).
**Topics**
+ [Kebijakan berbasis identitas App Runner](#security_iam_service-with-iam-id-based-policies)
+ [Kebijakan berbasis sumber daya App Runner](#security_iam_service-with-iam-resource-based-policies)
+ [Otorisasi berdasarkan tag App Runner](#security_iam_service-with-iam-tags)
+ [Izin pengguna App Runner](#security_iam_service-with-iam-users)
+ [Peran IAM Pelari Aplikasi](#security_iam_service-with-iam-roles)
## Kebijakan berbasis identitas App Runner
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. App Runner mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi Elemen Kebijakan JSON IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan di App Runner menggunakan awalan berikut sebelum tindakan:. `apprunner:` Misalnya, untuk memberikan izin kepada seseorang untuk menjalankan instans Amazon EC2 dengan operasi API `RunInstances` Amazon EC2, Anda menyertakan tindakan `ec2:RunInstances` dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`. App Runner mendefinisikan serangkaian tindakannya sendiri yang menjelaskan tugas yang dapat Anda lakukan dengan layanan ini.
Untuk menetapkan beberapa tindakan dalam satu pernyataan, pisahkan dengan koma seperti berikut:
```
"Action": [
"apprunner:CreateService",
"apprunner:CreateConnection"
]
```
Anda dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Sebagai contoh, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut:
```
"Action": "apprunner:Describe*"
```
Untuk melihat daftar tindakan Pelari Aplikasi, lihat [Tindakan yang ditentukan oleh AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions) dalam Referensi *Otorisasi Layanan*.
### Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Sumber daya App Runner memiliki struktur ARN berikut:
```
arn:aws:apprunner:region:account-id:resource-type/resource-name[/resource-id]
```
Untuk informasi selengkapnya tentang format ARNs, lihat [Amazon Resource Names (ARNs) dan Ruang Nama AWS Layanan di](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html). *Referensi Umum AWS*
Misalnya, untuk menentukan `my-service` layanan dalam pernyataan Anda, gunakan ARN berikut:
```
"Resource": "arn:aws:apprunner:us-east-1:123456789012:service/my-service"
```
Untuk menentukan semua layanan milik akun tertentu, gunakan wildcard (\$1):
```
"Resource": "arn:aws:apprunner:us-east-1:123456789012:service/*"
```
Beberapa tindakan App Runner, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\$1).
```
"Resource": "*"
```
Untuk melihat daftar jenis sumber daya App Runner dan jenisnya ARNs, lihat Sumber [daya yang ditentukan oleh AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-resources-for-iam-policies) dalam Referensi *Otorisasi Layanan*. Untuk mempelajari dengan tindakan mana Anda dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang ditentukan oleh AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions).
### Kunci syarat
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
App Runner mendukung penggunaan beberapa kunci kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat [Kunci Konteks Kondisi AWS Global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
App Runner mendefinisikan satu set kunci kondisi khusus layanan. Selain itu, App Runner mendukung kontrol akses berbasis tag, yang diimplementasikan menggunakan tombol kondisi. Lihat perinciannya di [Otorisasi berdasarkan tag App Runner](#security_iam_service-with-iam-tags).
Untuk melihat daftar kunci kondisi App Runner, lihat [Kunci kondisi untuk AWS App Runner Referensi](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-policy-keys) *Otorisasi Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions).
### Contoh
Untuk melihat contoh kebijakan berbasis identitas App Runner, lihat. [Contoh kebijakan berbasis identitas App Runner](security_iam_id-based-policy-examples.md)
## Kebijakan berbasis sumber daya App Runner
App Runner tidak mendukung kebijakan berbasis sumber daya.
## Otorisasi berdasarkan tag App Runner
Anda dapat melampirkan tag ke resource App Runner atau meneruskan tag dalam permintaan ke App Runner. Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `apprunner:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Untuk informasi selengkapnya tentang menandai resource App Runner, lihat. [Mengonfigurasi layanan App Runner](manage-configure.md)
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tag pada sumber daya tersebut, lihat [Mengontrol akses ke layanan App Runner berdasarkan tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags).
## Izin pengguna App Runner
Untuk menggunakan App Runner, pengguna IAM memerlukan izin untuk tindakan App Runner. Cara umum untuk memberikan izin kepada pengguna adalah dengan melampirkan kebijakan ke pengguna atau grup IAM. Untuk informasi selengkapnya tentang mengelola izin pengguna, lihat [Mengubah izin untuk pengguna IAM di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) *IAM*.
App Runner menyediakan dua kebijakan terkelola yang dapat Anda lampirkan ke pengguna.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerReadOnlyAccess.html)— Memberikan izin untuk membuat daftar dan melihat detail tentang sumber daya Pelari Aplikasi.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerFullAccess.html)— Memberikan izin untuk semua tindakan App Runner.
Untuk kontrol izin pengguna yang lebih terperinci, Anda dapat membuat kebijakan khusus dan melampirkannya ke pengguna Anda. Untuk detailnya, lihat [Membuat kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) di *Panduan Pengguna IAM*.
Untuk contoh kebijakan pengguna, lihat[Kebijakan pengguna](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-users).
## Peran IAM Pelari Aplikasi
[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah entitas di dalam Anda Akun AWS yang memiliki izin khusus.
### Peran terkait layanan
[Peran terkait AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
App Runner mendukung peran terkait layanan. Untuk informasi tentang membuat atau mengelola peran terkait layanan App Runner, lihat. [Menggunakan peran terkait layanan untuk App Runner](security-iam-slr.md)
### Peran layanan
Fitur ini memungkinkan layanan untuk menerima [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti bahwa pengguna IAM dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.
App Runner mendukung beberapa peran layanan.
#### Peran akses
Peran akses adalah peran yang digunakan App Runner untuk mengakses gambar di Amazon Elastic Container Registry (Amazon ECR) Registry ECR) di akun Anda. Diperlukan untuk mengakses gambar di Amazon ECR, dan tidak diperlukan dengan Amazon ECR Public.
Sebelum membuat layanan berdasarkan gambar di Amazon ECR, gunakan IAM untuk membuat peran layanan. Gunakan kebijakan terkelola [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerServicePolicyForECRAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerServicePolicyForECRAccess.html)dalam peran layanan Anda. Anda kemudian dapat meneruskan peran ini ke App Runner saat memanggil [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html)API di [AuthenticationConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_AuthenticationConfiguration.html)anggota [SourceConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_SourceConfiguration.html)parameter, atau saat Anda menggunakan konsol App Runner untuk membuat layanan.
**catatan**
Jika Anda membuat kebijakan kustom sendiri untuk peran akses Anda, pastikan `"Resource": "*"` untuk menentukan `ecr:GetAuthorizationToken` tindakan tersebut. Token dapat digunakan untuk mengakses registri ECR Amazon apa pun yang dapat Anda akses.
Saat membuat peran akses, pastikan untuk menambahkan kebijakan kepercayaan yang menyatakan prinsip layanan App Runner `build.apprunner.amazonaws.com` sebagai entitas tepercaya.
##### Kebijakan kepercayaan untuk peran akses
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "build.apprunner.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Jika Anda menggunakan konsol App Runner untuk membuat layanan, konsol dapat secara otomatis membuat peran akses untuk Anda dan memilihnya untuk layanan baru. Konsol juga mencantumkan peran lain di akun Anda, dan Anda dapat memilih peran yang berbeda jika Anda mau.
#### Peran instans
Peran instans adalah peran opsional yang digunakan App Runner untuk memberikan izin ke tindakan AWS layanan yang diperlukan instance komputasi layanan Anda. Anda perlu memberikan peran instance ke App Runner jika kode aplikasi Anda memanggil AWS actions (APIs). Sematkan izin yang diperlukan dalam peran instans Anda atau buat kebijakan kustom Anda sendiri dan gunakan dalam peran instance. Kami tidak memiliki cara untuk mengantisipasi panggilan mana yang digunakan kode Anda. Oleh karena itu, kami tidak menyediakan kebijakan terkelola untuk tujuan ini.
Sebelum membuat layanan App Runner, gunakan IAM untuk membuat peran layanan dengan kebijakan kustom atau tertanam yang diperlukan. Anda kemudian dapat meneruskan peran ini ke App Runner sebagai peran instance saat memanggil [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html)API di `InstanceRoleArn` anggota [InstanceConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_InstanceConfiguration.html)parameter, atau saat Anda menggunakan konsol App Runner untuk membuat layanan.
Saat membuat peran instance, pastikan untuk menambahkan kebijakan kepercayaan yang menyatakan prinsip layanan App Runner `tasks.apprunner.amazonaws.com` sebagai entitas tepercaya.
##### Kebijakan kepercayaan untuk peran contoh
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "tasks.apprunner.aws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Jika Anda menggunakan konsol App Runner untuk membuat layanan, konsol akan mencantumkan peran di akun Anda, dan Anda dapat memilih peran yang Anda buat untuk tujuan ini.
Untuk informasi tentang membuat layanan, lihat[Membuat layanan App Runner](manage-create.md).
# Contoh kebijakan berbasis identitas App Runner
Secara default, pengguna dan peran IAM tidak memiliki izin untuk membuat atau memodifikasi AWS App Runner sumber daya. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya yang diperlukan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna IAM atau grup yang memerlukan izin tersebut.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat Kebijakan pada Tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.
Untuk topik keamanan App Runner lainnya, lihat[Keamanan di App Runner](security.md).
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Kebijakan pengguna](#security_iam_id-based-policy-examples-users)
+ [Mengontrol akses ke layanan App Runner berdasarkan tag](#security_iam_id-based-policy-examples-view-widget-tags)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Pelari Aplikasi di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Kebijakan pengguna
Untuk mengakses konsol App Runner, pengguna IAM harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya Pelari Aplikasi di situs Anda. Akun AWS Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana dimaksudkan untuk pengguna dengan kebijakan tersebut.
App Runner menyediakan dua kebijakan terkelola yang dapat Anda lampirkan ke pengguna.
+ `AWSAppRunnerReadOnlyAccess`— Memberikan izin untuk membuat daftar dan melihat detail tentang sumber daya Pelari Aplikasi.
+ `AWSAppRunnerFullAccess`— Memberikan izin untuk semua tindakan App Runner.
Untuk memastikan bahwa pengguna dapat menggunakan konsol App Runner, lampirkan, setidaknya, kebijakan `AWSAppRunnerReadOnlyAccess` terkelola ke pengguna. Sebagai gantinya, Anda dapat melampirkan kebijakan `AWSAppRunnerFullAccess` terkelola, atau menambahkan izin tambahan tertentu, untuk memungkinkan pengguna membuat, memodifikasi, dan menghapus sumber daya. Untuk informasi selengkapnya, lihat [Menambahkan Izin ke Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang cocok dengan operasi API yang ingin Anda izinkan untuk dilakukan pengguna.
Contoh berikut menunjukkan kebijakan pengguna kustom. Anda dapat menggunakannya sebagai titik awal untuk menentukan kebijakan pengguna kustom Anda sendiri. Salin contoh, dan atau hapus tindakan, cakup sumber daya, dan tambahkan kondisi.
### Contoh: kebijakan pengguna manajemen konsol dan koneksi
Kebijakan contoh ini memungkinkan akses konsol dan memungkinkan pembuatan dan pengelolaan koneksi. Itu tidak mengizinkan pembuatan dan manajemen layanan App Runner. Hal ini dapat dilampirkan ke pengguna yang perannya adalah untuk mengelola akses layanan App Runner ke aset kode sumber.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"apprunner:List*",
"apprunner:Describe*",
"apprunner:CreateConnection",
"apprunner:DeleteConnection"
],
"Resource": "*"
}
]
}
```
------
### Contoh: kebijakan pengguna yang menggunakan tombol kondisi
Contoh di bagian ini menunjukkan izin bersyarat yang bergantung pada beberapa properti sumber daya atau parameter tindakan.
Kebijakan contoh ini memungkinkan pembuatan layanan App Runner tetapi menyangkal menggunakan koneksi bernama. `prod`
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement":
[ { "Sid": "AllowCreateAppRunnerServiceWithNonProdConnections",
"Effect": "Allow",
"Action": "apprunner:CreateService",
"Resource": "*",
"Condition":
{ "ArnNotLike":
{"apprunner:ConnectionArn":"arn:aws:apprunner:*:*:connection/prod/*"}
}
}
]
}
```
------
Kebijakan contoh ini memungkinkan memperbarui layanan App Runner yang diberi nama `preprod` hanya dengan konfigurasi penskalaan otomatis bernama. `preprod`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUpdatePreProdAppRunnerServiceWithPreProdASConfig",
"Effect": "Allow",
"Action": "apprunner:UpdateService",
"Resource": "arn:aws:apprunner:*:*:service/preprod/*",
"Condition": {
"ArnLike": {
"apprunner:AutoScalingConfigurationArn": "arn:aws:apprunner:us-east-1:*:autoscalingconfiguration/preprod/*"
}
}
}
]
}
```
------
## Mengontrol akses ke layanan App Runner berdasarkan tag
Anda dapat menggunakan kondisi dalam kebijakan berbasis identitas untuk mengontrol akses ke sumber daya App Runner berdasarkan tag. Contoh ini menunjukkan cara membuat kebijakan yang memungkinkan penghapusan layanan App Runner. Namun, izin diberikan hanya jika tanda layanan `Owner` memiliki nilai nama pengguna dari pengguna tersebut. Kebijakan ini juga memberi izin yang diperlukan untuk menyelesaikan tindakan ini pada konsol tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListServicesInConsole",
"Effect": "Allow",
"Action": "apprunner:ListServices",
"Resource": "*"
},
{
"Sid": "DeleteServiceIfOwner",
"Effect": "Allow",
"Action": "apprunner:DeleteService",
"Resource": "arn:aws:apprunner:us-east-1:*:service/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Anda dapat melampirkan kebijakan ini ke pengguna IAM di akun Anda. Jika pengguna bernama `richard-roe` mencoba menghapus layanan App Runner, layanan harus diberi tag `Owner=richard-roe` atau. `owner=richard-roe` Jika tidak, aksesnya akan ditolak. Kunci tanda syarat `Owner` cocok dengan `Owner` dan `owner` karena nama kunci syarat tidak terpengaruh huruf besar/kecil. Untuk informasi lebih lanjut, lihat [Elemen Kebijakan IAM JSON: Persyaratan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
# Menggunakan peran terkait layanan untuk App Runner
AWS App Runner menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke App Runner. Peran terkait layanan telah ditentukan sebelumnya oleh App Runner dan menyertakan semua izin yang diperlukan layanan untuk memanggil layanan lain AWS atas nama Anda.
**Topics**
+ [Menggunakan peran untuk manajemen](using-service-linked-roles-management.md)
+ [Menggunakan peran untuk jaringan](using-service-linked-roles-networking.md)
# Menggunakan peran untuk manajemen
AWS App Runner menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke App Runner. Peran terkait layanan telah ditentukan sebelumnya oleh App Runner dan menyertakan semua izin yang diperlukan layanan untuk memanggil layanan lain AWS atas nama Anda.
Peran terkait layanan membuat pengaturan App Runner lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. App Runner mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya App Runner yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi sumber daya Pelari Aplikasi karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk Pelari Aplikasi
App Runner menggunakan nama peran terkait layanan. **AWSServiceRoleForAppRunner**
Peran ini memungkinkan App Runner untuk melakukan tugas-tugas berikut:
+ Dorong log ke grup CloudWatch log Amazon Logs.
+ Buat aturan CloudWatch Acara Amazon untuk berlangganan dorongan gambar Amazon Elastic Container Registry (Amazon ECR).
+ Kirim informasi penelusuran ke AWS X-Ray.
Peran AWSService RoleForAppRunner terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `apprunner.amazonaws.com`
Kebijakan izin peran AWSService RoleForAppRunner terkait layanan berisi semua izin yang diperlukan oleh Pelari Aplikasi untuk menyelesaikan tindakan atas nama Anda:
+ Kebijakan terkelola [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerServiceRolePolicy.html)
+ Kebijakan untuk penelusuran X-Ray - Lihat konten kebijakan berikut.
### Kebijakan untuk penelusuran X-Ray
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, silakan lihat [Izin Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk App Runner
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat layanan App Runner di, API Konsol Manajemen AWS, atau AWS API AWS CLI, App Runner akan membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat layanan App Runner, App Runner akan membuat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk App Runner
App Runner tidak mengizinkan Anda mengedit peran AWSService RoleForAppRunner terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk App Runner
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan dan tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut layanan terlebih dahulu sebelum dapat menghapusnya secara manual.
### Membersihkan peran tertaut-layanan
Sebelum dapat menggunakan IAM untuk menghapus peran tertaut-layanan, Anda harus terlebih dahulu menghapus semua sumber daya yang digunakan oleh peran tersebut.
Di App Runner, ini berarti menghapus semua layanan App Runner di akun Anda. Untuk mempelajari cara menghapus layanan App Runner, lihat. [Menghapus layanan App Runner](manage-delete.md)
**catatan**
Jika layanan App Runner menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
### Untuk menghapus peran terkait layanan secara manual
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleForAppRunner terkait layanan. Untuk informasi selengkapnya, silakan lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.
## Wilayah yang didukung untuk peran terkait layanan App Runner
App Runner mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [AWS App Runner titik akhir dan kuota](https://docs.aws.amazon.com/general/latest/gr/apprunner.html) di. *Referensi Umum AWS*
# Menggunakan peran untuk jaringan
AWS App Runner menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke App Runner. Peran terkait layanan telah ditentukan sebelumnya oleh App Runner dan menyertakan semua izin yang diperlukan layanan untuk memanggil layanan lain AWS atas nama Anda.
Peran terkait layanan membuat pengaturan App Runner lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. App Runner mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya App Runner yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi sumber daya Pelari Aplikasi karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk Pelari Aplikasi
App Runner menggunakan nama peran terkait layanan. **AWSServiceRoleForAppRunnerNetworking**
Peran ini memungkinkan App Runner untuk melakukan tugas-tugas berikut:
+ Lampirkan VPC ke layanan App Runner Anda dan kelola antarmuka jaringan.
Peran AWSService RoleForAppRunnerNetworking terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `networking.apprunner.amazonaws.com`
Kebijakan izin peran bernama [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerNetworkingServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerNetworkingServiceRolePolicy.html)berisi semua izin yang dibutuhkan App Runner untuk menyelesaikan tindakan atas nama Anda.
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, silakan lihat [Izin Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk App Runner
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat konektor VPC di, API Konsol Manajemen AWS, atau AWS API AWS CLI, App Runner membuat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat konektor VPC, App Runner membuat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk App Runner
App Runner tidak mengizinkan Anda mengedit peran AWSService RoleForAppRunnerNetworking terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk App Runner
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan dan tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut layanan terlebih dahulu sebelum dapat menghapusnya secara manual.
### Membersihkan Peran Terkait Layanan
Sebelum dapat menggunakan IAM untuk menghapus peran tertaut-layanan, Anda harus terlebih dahulu menghapus semua sumber daya yang digunakan oleh peran tersebut.
Di App Runner, ini berarti melepaskan konektor VPC dari semua layanan App Runner di akun Anda, dan menghapus konektor VPC. Untuk informasi selengkapnya, lihat [Mengaktifkan akses VPC untuk lalu lintas keluar](network-vpc.md).
**catatan**
Jika layanan App Runner menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
### Hapus Peran Terkait Layanan secara Manual
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleForAppRunnerNetworking terkait layanan. Untuk informasi selengkapnya, silakan lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.
## Wilayah yang didukung untuk peran terkait layanan App Runner
App Runner mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [AWS App Runner titik akhir dan kuota](https://docs.aws.amazon.com/general/latest/gr/apprunner.html) di. *Referensi Umum AWS*
# AWS kebijakan terkelola untuk AWS App Runner
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [ kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## Pembaruan App Runner ke kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola untuk App Runner sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen Pelari Aplikasi.
| Perubahan | Deskripsi | Tanggal |
| --- | --- | --- |
| [AWSAppRunnerReadOnlyAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-users) – Kebijakan baru | App Runner menambahkan kebijakan baru untuk memungkinkan pengguna mencantumkan dan melihat detail tentang sumber daya Pelari Aplikasi. | Februari 24, 2022 |
| [AWSAppRunnerFullAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-users) – Pembaruan ke kebijakan yang ada | App Runner memperbarui daftar sumber daya untuk `iam:CreateServiceLinkedRole` tindakan tersebut guna memungkinkan pembuatan peran `AWSServiceRoleForAppRunnerNetworking` terkait layanan. | Februari 8, 2022 |
| [AppRunnerNetworkingServiceRolePolicy](using-service-linked-roles-networking.md) – Kebijakan baru | App Runner menambahkan kebijakan baru untuk mengizinkan App Runner melakukan panggilan ke Amazon Virtual Private Cloud untuk melampirkan VPC ke layanan App Runner Anda dan mengelola antarmuka jaringan atas nama layanan App Runner. Kebijakan ini digunakan dalam peran `AWSServiceRoleForAppRunnerNetworking` terkait layanan. | Februari 8, 2022 |
| [AWSAppRunnerFullAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-users) – Kebijakan baru | App Runner menambahkan kebijakan baru untuk memungkinkan pengguna melakukan semua tindakan App Runner. | Jan 10, 2022 |
| [AppRunnerServiceRolePolicy](using-service-linked-roles-management.md) – Kebijakan baru | App Runner menambahkan kebijakan baru untuk mengizinkan App Runner melakukan panggilan ke Amazon CloudWatch Logs dan Amazon CloudWatch Events atas nama layanan App Runner. Kebijakan ini digunakan dalam peran `AWSServiceRoleForAppRunner` terkait layanan. | Mar 1, 2021 |
| [AWSAppRunnerServicePolicyForECRAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service.access) – Kebijakan baru | App Runner menambahkan kebijakan baru untuk memungkinkan App Runner mengakses gambar Amazon Elastic Container Registry (Amazon ECR) Registry ECR) di akun Anda. | Mar 1, 2021 |
| App Runner mulai melacak perubahan | App Runner mulai melacak perubahan untuk kebijakan yang AWS dikelola. | Mar 1, 2021 |
# Memecahkan masalah identitas dan akses App Runner
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan AWS App Runner dan IAM.
Untuk topik keamanan App Runner lainnya, lihat[Keamanan di App Runner](security.md).
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di App Runner](#security_iam_troubleshoot-no-permissions)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya App Runner saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di App Runner
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan suatu tindakan, hubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberi Anda kredensi AWS masuk Anda.
Contoh error berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melihat detail tentang layanan App Runner tetapi tidak memiliki `apprunner:DescribeService` izin.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: apprunner:DescribeService on resource: my-example-service
```
Dalam hal ini, Mary meminta administratornya untuk memperbarui kebijakannya untuk memungkinkannya mengakses `my-example-service` sumber daya menggunakan `apprunner:DescribeService` tindakan tersebut.
## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya App Runner saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah App Runner mendukung fitur ini, lihat[Bagaimana App Runner bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Pencatatan dan pemantauan di App Runner
Pemantauan adalah bagian penting untuk menjaga keandalan, ketersediaan, dan kinerja AWS App Runner layanan Anda. Mengumpulkan data pemantauan dari semua bagian AWS solusi Anda memungkinkan Anda untuk lebih mudah men-debug kegagalan jika terjadi. App Runner terintegrasi dengan beberapa AWS alat untuk memantau layanan App Runner Anda dan menanggapi potensi insiden.
** CloudWatch Alarm Amazon**
Dengan CloudWatch alarm Amazon, Anda dapat menonton metrik layanan selama periode waktu yang Anda tentukan. Jika metrik melebihi ambang batas tertentu untuk jumlah periode tertentu, Anda menerima pemberitahuan.
App Runner mengumpulkan berbagai metrik tentang layanan secara keseluruhan dan instance (unit penskalaan) yang menjalankan layanan web Anda. Untuk informasi selengkapnya, lihat [Metrik () CloudWatch](monitor-cw.md).
**Log aplikasi**
App Runner mengumpulkan output dari kode aplikasi Anda dan mengalirkannya ke Amazon Logs. CloudWatch Apa yang ada dalam output ini terserah Anda. Misalnya, Anda dapat menyertakan catatan rinci permintaan yang dibuat untuk layanan web Anda. Catatan log ini mungkin terbukti berguna dalam audit keamanan dan akses. Untuk informasi selengkapnya, lihat [Log (CloudWatch Log)](monitor-cwl.md).
**AWS CloudTrail log tindakan**
App Runner terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di App Runner. CloudTrail menangkap semua panggilan API untuk App Runner sebagai peristiwa. Anda dapat melihat peristiwa terbaru di CloudTrail konsol, dan Anda dapat membuat jejak untuk mengaktifkan pengiriman CloudTrail acara secara berkelanjutan ke bucket Amazon Simple Storage Service (Amazon S3). Lihat informasi yang lebih lengkap di [Tindakan API (CloudTrail)](monitor-ct.md).
# Validasi kepatuhan untuk App Runner
Auditor pihak ketiga menilai keamanan dan kepatuhan AWS App Runner sebagai bagian dari beberapa program AWS kepatuhan. Program ini mencakup SOC, PCI, FedRAMP, HIPAA, dan lainnya.
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
Untuk topik keamanan App Runner lainnya, lihat[Keamanan di App Runner](security.md).
# Ketahanan di App Runner
Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang dan mengoperasikan aplikasi dan basis data yang secara otomatis melakukan failover di antara Zona Ketersediaan tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data.
Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).
AWS App Runner mengelola dan mengotomatiskan penggunaan infrastruktur AWS global atas nama Anda. Saat menggunakan App Runner, Anda mendapat manfaat dari ketersediaan dan mekanisme toleransi kesalahan yang AWS ditawarkan.
Untuk topik keamanan App Runner lainnya, lihat[Keamanan di App Runner](security.md).
# Keamanan infrastruktur di AWS App Runner
Sebagai layanan terkelola, AWS App Runner dilindungi oleh prosedur keamanan jaringan AWS global yang dijelaskan dalam whitepaper [Amazon Web Services: Tinjauan Proses Keamanan](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengelola dan mengoperasikan App Runner melalui jaringan. Klien yang memanggil App Runner APIs harus mendukung Transport Layer Security (TLS) 1.2 atau yang lebih baru. Klien juga harus mendukung cipher suite dengan perfect forward secrecy (PFS) seperti Ephemeral Diffie-Hellman (DHE) atau Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). Sebagian besar sistem-sistem modern seperti Java 7 dan versi yang lebih baru mendukung mode-mode ini. Persyaratan ini tidak berlaku untuk titik akhir dari aplikasi App Runner.
Selain itu, permintaan harus ditandatangani menggunakan ID kunci akses dan kunci akses rahasia yang terkait dengan principal IAM. Atau Anda dapat menggunakan [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) untuk menghasilkan kredensial keamanan sementara untuk menandatangani permintaan.
Untuk topik keamanan App Runner lainnya, lihat[Keamanan di App Runner](security.md).
# Menggunakan App Runner dengan titik akhir VPC
AWS Aplikasi Anda mungkin mengintegrasikan AWS App Runner layanan dengan layanan lain Layanan AWS yang berjalan di VPC dari [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) (Amazon VPC). Bagian dari aplikasi Anda mungkin membuat permintaan ke App Runner dari dalam VPC. Misalnya, Anda dapat menggunakan AWS CodePipeline untuk terus menerapkan ke layanan App Runner Anda. Salah satu cara untuk meningkatkan keamanan aplikasi Anda adalah dengan mengirim permintaan App Runner ini (dan permintaan ke yang lain Layanan AWS) melalui titik akhir VPC.
Menggunakan *titik akhir VPC, Anda dapat menghubungkan VPC Anda secara pribadi ke layanan endpoint* VPC yang didukung Layanan AWS dan VPC yang didukung oleh. AWS PrivateLink Anda tidak memerlukan gateway internet, perangkat NAT, koneksi VPN, atau Direct Connect koneksi.
Sumber daya di VPC Anda tidak menggunakan alamat IP publik untuk berinteraksi dengan sumber daya App Runner. Lalu lintas antara VPC dan App Runner tidak meninggalkan jaringan Amazon. *Untuk informasi selengkapnya tentang titik akhir VPC, lihat titik akhir [VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) di Panduan.AWS PrivateLink *
**catatan**
Secara default, aplikasi web di layanan App Runner berjalan di VPC yang disediakan dan dikonfigurasi oleh App Runner. VPC ini bersifat publik. Ini berarti bahwa itu terhubung ke internet. Anda dapat secara opsional mengaitkan aplikasi Anda dengan VPC khusus. Untuk informasi selengkapnya, lihat [Mengaktifkan akses VPC untuk lalu lintas keluar](network-vpc.md).
Anda dapat mengonfigurasi layanan Anda untuk mengakses internet, termasuk AWS APIs, bahkan ketika layanan Anda terhubung ke VPC. Untuk petunjuk tentang cara mengaktifkan akses internet publik untuk lalu lintas keluar VPC, lihat. [Pertimbangan saat memilih subnet](network-vpc.md#network-vpc.considerations-subnet)
App Runner tidak mendukung pembuatan titik akhir VPC untuk aplikasi Anda.
## Menyiapkan titik akhir VPC untuk App Runner
*Untuk membuat titik akhir VPC antarmuka untuk layanan App Runner di VPC Anda, ikuti prosedur [Buat titik akhir antarmuka](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) di Panduan.AWS PrivateLink * Untuk **Nama Layanan**, pilih`com.amazonaws.region.apprunner`.
## Pertimbangan privasi jaringan VPC
**penting**
Menggunakan titik akhir VPC untuk App Runner tidak memastikan bahwa semua lalu lintas dari VPC Anda tetap berada di luar internet. VPC mungkin bersifat publik. Selain itu, beberapa bagian dari solusi Anda mungkin tidak menggunakan titik akhir VPC untuk melakukan AWS panggilan API. Misalnya, Layanan AWS mungkin memanggil layanan lain menggunakan titik akhir publik mereka. Jika privasi lalu lintas diperlukan untuk solusi di VPC Anda, baca bagian ini.
Untuk memastikan privasi lalu lintas jaringan di VPC Anda, pertimbangkan hal berikut:
+ *Aktifkan nama DNS* — Bagian dari aplikasi Anda mungkin masih mengirim permintaan ke App Runner melalui internet menggunakan titik akhir `apprunner.region.amazonaws.com` publik. Jika VPC Anda dikonfigurasi dengan akses internet, permintaan ini berhasil tanpa indikasi kepada Anda. Anda dapat mencegah hal ini dengan memastikan bahwa **Aktifkan nama DNS** diaktifkan saat Anda membuat titik akhir. Secara default, ini disetel ke true. Ini menambahkan entri DNS di VPC Anda yang memetakan titik akhir layanan publik untuk antarmuka VPC endpoint.
+ *Konfigurasikan titik akhir VPC untuk layanan tambahan* — Solusi Anda mungkin mengirim permintaan ke yang lain. Layanan AWS Misalnya, AWS CodePipeline mungkin mengirim permintaan ke AWS CodeBuild. Konfigurasikan titik akhir VPC untuk layanan ini, dan aktifkan nama DNS pada titik akhir ini.
+ *Konfigurasikan VPC pribadi* — Jika memungkinkan (jika solusi Anda tidak memerlukan akses internet sama sekali), atur VPC Anda sebagai pribadi, yang berarti tidak memiliki koneksi internet. Ini memastikan bahwa titik akhir VPC yang hilang menyebabkan kesalahan yang terlihat, sehingga Anda dapat menambahkan titik akhir yang hilang.
## Menggunakan kebijakan titik akhir untuk mengontrol akses dengan VPC endpoint
Kebijakan titik akhir VPC didukung untuk App Runner. Secara default, akses penuh ke App Runner diizinkan melalui titik akhir antarmuka. Kebijakan titik akhir VPC dapat digunakan untuk mengontrol prinsipal AWS mana yang dapat mengakses titik akhir App Runner. Atau, Anda dapat mengaitkan grup keamanan dengan antarmuka jaringan titik akhir untuk mengontrol lalu lintas ke App Runner melalui titik akhir antarmuka.
## Mengintegrasikan dengan titik akhir antarmuka
Dukungan App Runner AWS PrivateLink, yang menyediakan konektivitas pribadi ke App Runner dan menghilangkan paparan lalu lintas ke internet. *Untuk mengaktifkan aplikasi Anda mengirim permintaan ke App Runner menggunakan AWS PrivateLink, konfigurasikan jenis titik akhir VPC yang dikenal sebagai titik akhir antarmuka.* *Untuk informasi selengkapnya, lihat [Titik akhir VPC Antarmuka (AWS PrivateLink) di Panduan](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink *
# Analisis konfigurasi dan kerentanan di App Runner
AWS dan pelanggan kami berbagi tanggung jawab untuk mencapai tingkat keamanan dan kepatuhan komponen perangkat lunak yang tinggi. Untuk informasi lebih lanjut, lihat [model tanggung jawab AWS bersama](https://aws.amazon.com/compliance/shared-responsibility-model/).
## Gambar wadah tambalan
Menambal gambar kontainer adalah bagian dari tanggung jawab pelanggan dalam model keamanan bersama. Pemilik gambar bertanggung jawab untuk memperbarui dan secara teratur menambal gambar kontainer. Sebaiknya buat jadwal rutin untuk memeriksa dan menerapkan pembaruan pada gambar kontainer Anda. Untuk informasi selengkapnya tentang cara memindai gambar Anda dari kerentanan, lihat [AWS App Runner Documentation](security-best-practices.md#security-best-practices.preventive.scan)
Untuk topik keamanan App Runner lainnya, lihat[Keamanan di App Runner](security.md).
# Praktik terbaik keamanan untuk App Runner
AWS App Runner menyediakan beberapa fitur keamanan untuk dipertimbangkan saat Anda mengembangkan dan menerapkan kebijakan keamanan Anda sendiri. Praktik terbaik berikut adalah pedoman umum dan tidak mewakili solusi keamanan yang lengkap. Karena praktik terbaik ini mungkin tidak sesuai atau cukup untuk lingkungan Anda, anggap sebagai pertimbangan yang membantu, dan bukan sebagai resep.
Untuk topik keamanan App Runner lainnya, lihat[Keamanan di App Runner](security.md).
## Praktik terbaik keamanan pencegahan
Kontrol keamanan preventif berusaha mencegah insiden sebelum terjadi.
### Terapkan akses hak akses paling rendah
[App Runner menyediakan kebijakan terkelola AWS Identity and Access Management (IAM) untuk [pengguna IAM dan peran](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-users) akses.](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service.access) Kebijakan terkelola ini menentukan semua izin yang mungkin diperlukan untuk pengoperasian layanan App Runner Anda dengan benar.
Aplikasi Anda mungkin tidak memerlukan semua izin dalam kebijakan terkelola kami. Anda dapat menyesuaikannya dan hanya memberikan izin yang diperlukan bagi pengguna dan layanan App Runner untuk menjalankan tugasnya. Hal ini sangat relevan untuk kebijakan pengguna, di mana peran pengguna yang berbeda mungkin memiliki kebutuhan izin yang berbeda. Menerapkan akses hak akses paling rendah adalah hal mendasar dalam mengurangi risiko keamanan dan dampak yang dapat diakibatkan oleh kesalahan atau niat jahat.
### Pindai gambar Anda untuk kerentanan
Anda dapat menggunakan Amazon ECR APIs untuk membantu mengidentifikasi kerentanan perangkat lunak dalam gambar kontainer Anda. Untuk informasi selengkapnya, lihat [dokumentasi Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html).
## Praktik terbaik keamanan detective
Kontrol keamanan detective mengidentifikasi pelanggaran keamanan setelah mereka telah terjadi. Mereka dapat membantu Anda mendeteksi potensi ancaman keamanan atau insiden.
### Melaksanakan pemantauan
Pemantauan merupakan bagian penting dalam menjaga keandalan, keamanan, ketersediaan, dan kinerja solusi App Runner Anda. AWS menyediakan beberapa alat dan layanan untuk membantu Anda memantau AWS layanan Anda.
Berikut adalah beberapa instans item yang perlu dipantau:
+ * CloudWatch Metrik Amazon untuk App Runner* — Setel alarm untuk metrik utama App Runner dan untuk metrik kustom aplikasi Anda. Lihat perinciannya di [Metrik () CloudWatch](monitor-cw.md).
+ *AWS CloudTrail entri* — Melacak tindakan yang mungkin memengaruhi ketersediaan, seperti `PauseService` atau`DeleteConnection`. Lihat perinciannya di [Tindakan API (CloudTrail)](monitor-ct.md).