Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Riferimento alle variabili di ambiente
È possibile fare riferimento a dati di configurazione non sensibili come i timeout e il conteggio dei tentativi in testo normale come coppie chiave-valore. I dati di configurazione a cui fai riferimento in Plain Text non sono crittografati e sono visibili agli altri nella configurazione del servizio App Runner e nei registri delle applicazioni.
Nota
Per motivi di sicurezza, non fate riferimento ai dati sensibili in Plain Text nel servizio App Runner.
Riferimento ai dati sensibili come variabili di ambiente
App Runner supporta il riferimento sicuro ai dati sensibili come variabili di ambiente nel servizio. Valuta la possibilità di archiviare i dati sensibili a cui desideri fare riferimento nel AWS Secrets Managernostro Parameter Store.AWS Systems Manager Quindi, puoi farvi riferimento in modo sicuro nel tuo servizio come variabili di ambiente dalla console App Runner o chiamando l'API. Ciò separa efficacemente la gestione dei segreti e dei parametri dalla configurazione del codice dell'applicazione e del servizio, migliorando la sicurezza complessiva delle applicazioni in esecuzione su App Runner.
Nota
App Runner non ti addebita alcun costo per fare riferimento a Secrets Manager e SSM Parameter Store come variabili di ambiente. Tuttavia, paghi un prezzo standard per l'utilizzo di Secrets Manager e SSM Parameter Store.
Per ulteriori informazioni sui prezzi, vedi i seguenti argomenti:
Di seguito è riportato il processo per fare riferimento ai dati sensibili come variabili di ambiente:
-
Archivia dati sensibili, come chiavi API, credenziali del database, parametri di connessione al database o versioni delle applicazioni come segreti o parametri in uno AWS Secrets Manager o più AWS Systems Manager Parameter Store.
-
Aggiorna la policy IAM del tuo ruolo di istanza in modo che App Runner possa accedere ai segreti e ai parametri archiviati in Secrets Manager e SSM Parameter Store. Per ulteriori informazioni, consulta l'argomento relativo alle autorizzazioni .
-
Fai riferimento in modo sicuro ai segreti e ai parametri come variabili di ambiente assegnando un nome e fornendo il relativo Amazon Resource Name (ARN). Puoi aggiungere variabili di ambiente quando crei un servizio o aggiorni la configurazione di un servizio. È possibile utilizzare una delle seguenti opzioni per aggiungere variabili di ambiente:
-
Console App Runner
-
API App Runner
-
apprunner.yamlfile di configurazione
Nota
Non è
PORTpossibile assegnare un nome a una variabile di ambiente durante la creazione o l'aggiornamento del servizio App Runner. È una variabile di ambiente riservata per il servizio App Runner.Per ulteriori informazioni su come fare riferimento a segreti e parametri, consulta Gestione delle variabili di ambiente.
-
Nota
Poiché App Runner memorizza solo il riferimento agli ARN segreti e parametrici, i dati sensibili non sono visibili agli altri nella configurazione del servizio App Runner e nei registri delle applicazioni.
Considerazioni
-
Assicurati di aggiornare il ruolo dell'istanza con le autorizzazioni appropriate per accedere ai segreti e ai parametri in o in AWS Secrets Manager Parameter Store. AWS Systems Manager Per ulteriori informazioni, consulta l'argomento relativo alle autorizzazioni .
-
Assicurati che AWS Systems Manager Parameter Store sia lo Account AWS stesso del servizio che desideri avviare o aggiornare. Al momento, non è possibile fare riferimento ai parametri di SSM Parameter Store tra gli account.
-
Quando i segreti e i valori dei parametri vengono ruotati o modificati, non vengono aggiornati automaticamente nel servizio App Runner. Ridistribuisci il servizio App Runner poiché App Runner recupera segreti e parametri solo durante la distribuzione.
-
Hai anche la possibilità di chiamare AWS Secrets Manager direttamente AWS Systems Manager Parameter Store tramite l'SDK del tuo servizio App Runner.
-
Per evitare errori, assicuratevi di quanto segue quando li referenziate come variabili di ambiente:
-
Specificate l'ARN corretto del segreto.
-
È necessario specificare il nome o l'ARN corretto del parametro.
-
Autorizzazioni
Per abilitare il riferimento a segreti e parametri archiviati nel AWS Secrets Manager o SSM Parameter Store, aggiungi le autorizzazioni appropriate alla policy IAM del tuo ruolo di istanza per accedere a Secrets Manager e SSM Parameter Store.
Nota
App Runner non può accedere alle risorse del tuo account senza la tua autorizzazione. Fornisci l'autorizzazione aggiornando la tua policy IAM.
Puoi utilizzare i seguenti modelli di policy per aggiornare il ruolo dell'istanza nella console IAM. Puoi modificare questi modelli di policy per soddisfare i tuoi requisiti specifici. Per ulteriori informazioni sull'aggiornamento di un ruolo di istanza, consulta Modifying a role nella IAM User Guide.
Nota
Puoi anche copiare i seguenti modelli dalla console App Runner durante la creazione delle variabili di ambiente.
Copia il seguente modello nel tuo ruolo di istanza da cui aggiungere l'autorizzazione a fare riferimento ai segreti. AWS Secrets Manager
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "kms:Decrypt*" ], "Resource": [ "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:<secret_name>", "arn:aws:kms:<region>:<aws_account_id>:key/<key_id>" ] } ] }
Copia il seguente modello nel tuo ruolo di istanza per aggiungere l'autorizzazione ai parametri di riferimento da AWS Systems ManagerParameter Store.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetParameters" ], "Resource": [ "arn:aws:ssm:<region>:<aws_account_id>:parameter/<parameter_name>" ] } ] }
