Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Abilitazione dell'endpoint privato per il traffico in entrata
Per impostazione predefinita, quando crei un AWS App Runner servizio, il servizio è accessibile tramite Internet. Tuttavia, puoi anche rendere il tuo servizio App Runner privato e accessibile solo all'interno di un Amazon Virtual Private Cloud (Amazon VPC).
Con il servizio App Runner privato, hai il controllo completo sul traffico in entrata, aggiungendo un ulteriore livello di sicurezza. Ciò è utile in una varietà di casi d'uso, tra cui l'esecuzione di API interne, applicazioni Web aziendali o applicazioni ancora in fase di sviluppo che richiedono un livello maggiore di privacy e sicurezza o che devono soddisfare requisiti di conformità specifici.
Nota
Se l'applicazione App Runner richiede le regole di controllo del traffico in entrata IP/CIDR di origine, è necessario utilizzare le regole dei gruppi di sicurezza per gli endpoint privati anziché gli ACL Web WAF. Questo perché attualmente non supportiamo l'inoltro dei dati IP di origine della richiesta ai servizi privati di App Runner associati a WAF. Di conseguenza, le regole IP di origine per i servizi privati di App Runner associati agli ACL Web WAF non rispettano le regole basate sull'IP.
Per ulteriori informazioni sulla sicurezza dell'infrastruttura e sui gruppi di sicurezza, comprese le best practice, consulta i seguenti argomenti nella Guida per l'utente di Amazon VPC: Controllo del traffico di rete e Controllo del traffico verso le risorse AWS utilizzando gruppi di sicurezza.
Quando il servizio App Runner è privato, puoi accedervi da un Amazon VPC. Non è richiesto un gateway Internet, un dispositivo NAT o una connessione VPN.
Nota
App Runner attualmente supporta il tipo di indirizzo dual-stack (IPv4 e IPv6) solo per il traffico pubblico in entrata. Per il traffico in uscita e il traffico privato in entrata è supportato solo IPv4.
Considerazioni
-
Prima di configurare un endpoint di interfaccia VPC per App Runner, consulta le considerazioni nella Guida.AWS PrivateLink
-
Le policy degli endpoint VPC non sono supportate per App Runner. Per impostazione predefinita, l'accesso completo ad App Runner è consentito tramite l'endpoint dell'interfaccia VPC. In alternativa, puoi associare un gruppo di sicurezza alle interfacce di rete degli endpoint per controllare il traffico verso App Runner attraverso l'endpoint dell'interfaccia VPC.
-
Se l'applicazione App Runner richiede le regole di controllo del traffico in entrata IP/CIDR di origine, è necessario utilizzare le regole dei gruppi di sicurezza per gli endpoint privati anziché gli ACL Web WAF. Questo perché attualmente non supportiamo l'inoltro dei dati IP di origine della richiesta ai servizi privati di App Runner associati a WAF. Di conseguenza, le regole IP di origine per i servizi privati di App Runner associati agli ACL Web WAF non rispettano le regole basate sull'IP.
-
Dopo aver abilitato un endpoint privato, il servizio è accessibile solo dal tuo VPC e non da Internet.
-
Per una maggiore disponibilità, si consiglia di selezionare almeno due sottoreti nella zona di disponibilità diverse per l'endpoint dell'interfaccia VPC. Non è consigliabile utilizzare una sola sottorete.
-
Puoi utilizzare lo stesso endpoint di interfaccia VPC per accedere a più servizi App Runner in un VPC.
Per informazioni sui termini utilizzati in questa sezione, vedere Terminologia.
Autorizzazioni
Di seguito è riportato l'elenco delle autorizzazioni necessarie per abilitare Private Endpoint:
-
ec2: CreateTags
-
ec2: CreateVpcEndpoint
-
ec2: ModifyVpcEndpoint
-
ec2: DeleteVpcEndpoints
-
ec2: DescribeSubnets
-
ec2: DescribeVpcEndpoints
-
ec2: DescribeVpcs
Endpoint dell'interfaccia VPC
Un endpoint di interfaccia VPC è una AWS PrivateLinkrisorsa che collega un Amazon VPC a un servizio endpoint. Puoi specificare in quale Amazon VPC desideri rendere accessibile il tuo servizio App Runner passando un endpoint di interfaccia VPC. Per creare un endpoint di interfaccia VPC, specificare quanto segue:
-
Amazon VPC per abilitare la connettività.
-
Aggiungi gruppi di sicurezza. Per impostazione predefinita, un gruppo di sicurezza viene assegnato all'endpoint dell'interfaccia VPC. Puoi scegliere di associare un gruppo di sicurezza personalizzato per aumentare il controllo del traffico di rete in entrata.
-
Aggiungi sottoreti. Per garantire una maggiore disponibilità, si consiglia di selezionare almeno due sottoreti per ogni zona di disponibilità da cui accedere al servizio App Runner. Un endpoint di interfaccia di rete viene creato in ogni sottorete abilitata per l'endpoint dell'interfaccia VPC. Si tratta di interfacce di rete gestite dai richiedenti che fungono da punto di ingresso per il traffico destinato ad App Runner. Un'interfaccia di rete gestita dal richiedente è un'interfaccia di rete che un servizio AWS crea nel VPC per conto dell'utente.
-
Se utilizzi l'API, aggiungi l'endpoint dell'interfaccia VPC App Runner.
ServicenameAd esempio,com.amazonaws.region.apprunner.requests
È possibile creare un endpoint di interfaccia VPC utilizzando uno dei seguenti servizi: AWS
-
Console App Runner. Per ulteriori informazioni, consulta Manage Private Endpoint.
-
Console o API Amazon VPC e AWS Command Line Interface ()AWS CLI. Per ulteriori informazioni, consulta Access Servizi AWS through AWS PrivateLink nella AWS PrivateLink Guida.
Nota
Ti viene addebitato un costo per ogni endpoint di interfaccia VPC che utilizzi in base ai prezzi.AWS PrivateLink
Connessione in ingresso del VPC
Una connessione di ingresso VPC è una risorsa App Runner che specifica un endpoint App Runner per il traffico in entrata. App Runner assegna la risorsa VPC Ingress Connection dietro le quinte quando scegli Endpoint privato sulla console App Runner per il traffico in entrata. Scegli questa opzione per consentire solo al traffico proveniente da un Amazon VPC di accedere al tuo servizio App Runner. La risorsa VPC Ingress Connection collega il servizio App Runner all'endpoint dell'interfaccia VPC di Amazon VPC. Puoi creare una risorsa VPC Ingress Connection solo se utilizzi le operazioni API per configurare le impostazioni di rete per il traffico in entrata. Per ulteriori informazioni su come creare la risorsa VPC Ingress Connection, consulta l'AWS App Runner API CreateVpcIngressConnectionReference.
Nota
Una risorsa VPC Ingress Connection di App Runner può connettersi a un endpoint di interfaccia VPC di Amazon VPC. Inoltre, puoi creare una sola risorsa VPC Ingress Connection per ogni servizio App Runner.
Endpoint privato
L'endpoint privato è un'opzione della console App Runner che puoi scegliere se desideri ricevere solo traffico in entrata da un Amazon VPC. La scelta dell'opzione Endpoint privato sulla console App Runner offre la possibilità di connettere il servizio a un VPC configurando l'endpoint dell'interfaccia VPC. Dietro le quinte, App Runner assegna una risorsa VPC Ingress Connection all'endpoint dell'interfaccia VPC che configuri.
Nota
Per l'endpoint privato è supportato solo il traffico di rete IPv4.
Riepilogo
Rendi privato il tuo servizio consentendo solo al traffico proveniente da un Amazon VPC di accedere al tuo servizio App Runner. A tal fine, crei un endpoint di interfaccia VPC per l'Amazon VPC selezionato utilizzando App Runner o Amazon VPC. Sulla console App Runner, crei un endpoint di interfaccia VPC quando abiliti l'endpoint privato per il traffico in entrata. App Runner crea quindi automaticamente una risorsa VPC Ingress Connection e si connette all'endpoint dell'interfaccia VPC e al servizio App Runner. In questo modo viene creata una connessione di servizio privata che garantisce che solo il traffico proveniente dal VPC selezionato possa accedere al servizio App Runner.
