Configurazione di un endpoint VPC per App Runner Considerazioni sulla privacy della rete VPC Utilizzo dei criteri endpoint per controllare l'accesso con gli endpoint VPC Integrazione con l'endpoint dell'interfaccia

Utilizzo di App Runner con endpoint VPC

La tua AWS applicazione potrebbe integrare AWS App Runner servizi con altri Servizi AWS eseguiti in un VPC da Amazon Virtual Private Cloud (Amazon VPC). Alcune parti dell'applicazione potrebbero inviare richieste ad App Runner dall'interno del VPC. Ad esempio, potresti AWS CodePipeline utilizzarlo per eseguire l'implementazione continua sul tuo servizio App Runner. Un modo per migliorare la sicurezza dell'applicazione consiste nell'inviare queste richieste App Runner (e richieste ad altri Servizi AWS) tramite un endpoint VPC.

Utilizzando un endpoint VPC, puoi connettere privatamente il tuo VPC a servizi endpoint VPC supportati Servizi AWS e alimentati da. AWS PrivateLink Non è necessario un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. AWS Direct Connect

Le risorse nel tuo VPC non utilizzano indirizzi IP pubblici per interagire con le risorse di App Runner. Il traffico tra il tuo VPC e App Runner non esce dalla rete Amazon. Per ulteriori informazioni sugli endpoint VPC, consulta Endpoint VPC nella Guida.AWS PrivateLink

Nota

Per impostazione predefinita, l'applicazione Web del servizio App Runner viene eseguita in un VPC fornito e configurato da App Runner. Questo VPC è pubblico. Significa che è connesso a Internet. Facoltativamente, puoi associare la tua applicazione a un VPC personalizzato. Per ulteriori informazioni, consulta Abilitazione dell'accesso VPC per il traffico in uscita .

Puoi configurare i tuoi servizi per accedere a Internet, comprese le AWS API, anche quando il servizio è connesso a un VPC. Per istruzioni su come abilitare l'accesso pubblico a Internet per il traffico VPC in uscita, consulta. Considerazioni sulla scelta di una sottorete

App Runner non supporta la creazione di un endpoint VPC per la tua applicazione.

Configurazione di un endpoint VPC per App Runner

Per creare l'endpoint VPC dell'interfaccia per il servizio App Runner nel tuo VPC, segui la procedura Crea un endpoint di interfaccia nella Guida.AWS PrivateLink Per Service Name (Nome del servizio), selezionare com.amazonaws.region.apprunner.

Considerazioni sulla privacy della rete VPC

Importante

L'utilizzo di un endpoint VPC per App Runner non garantisce che tutto il traffico proveniente dal tuo VPC rimanga lontano da Internet. Il VPC potrebbe essere pubblico. Inoltre, alcune parti della soluzione potrebbero non utilizzare gli endpoint VPC per effettuare AWS chiamate API. Ad esempio, Servizi AWS potrebbe chiamare altri servizi utilizzando i relativi endpoint pubblici. Se la privacy del traffico è necessaria per la soluzione nel tuo VPC, leggi questa sezione.

Per garantire la privacy del traffico di rete nel tuo VPC, considera quanto segue:

Abilita il nome DNS: alcune parti dell'applicazione potrebbero comunque inviare richieste ad App Runner tramite Internet utilizzando l'apprunner.region.amazonaws.com.rproxy.goskope.comendpoint pubblico. Se il tuo VPC è configurato con l'accesso a Internet, queste richieste vanno a buon fine senza che tu te ne dia alcuna indicazione. Puoi evitare che ciò accada assicurandoti che Enable DNS name sia abilitato quando crei l'endpoint. Per impostazione predefinita, è impostato su true. In questo modo viene aggiunta una voce DNS nel VPC che associa l'endpoint del servizio pubblico all'endpoint VPC dell'interfaccia.
Configura gli endpoint VPC per servizi aggiuntivi: la tua soluzione potrebbe inviare richieste ad altri. Servizi AWS Ad esempio, AWS CodePipeline potrebbe inviare richieste a. AWS CodeBuild Configura gli endpoint VPC per questi servizi e abilita i nomi DNS su questi endpoint.
Configura un VPC privato: se possibile (se la tua soluzione non richiede affatto l'accesso a Internet), configura il tuo VPC come privato, il che significa che non ha una connessione Internet. Ciò garantisce che un endpoint VPC mancante provochi un errore visibile, in modo da poter aggiungere l'endpoint mancante.

Utilizzo dei criteri endpoint per controllare l'accesso con gli endpoint VPC

Le policy degli endpoint VPC non sono supportate per App Runner. Per impostazione predefinita, l'accesso completo ad App Runner è consentito tramite l'endpoint dell'interfaccia. In alternativa, è possibile associare un gruppo di sicurezza alle interfacce di rete dell'endpoint per controllare il traffico verso App Runner attraverso l'endpoint dell'interfaccia.

Integrazione con l'endpoint dell'interfaccia

App Runner supporta AWS PrivateLink, che fornisce connettività privata ad App Runner ed elimina l'esposizione del traffico a Internet. Per consentire all'applicazione di inviare richieste a App Runner utilizzando AWS PrivateLink, configura un tipo di endpoint VPC noto come endpoint di interfaccia. Per ulteriori informazioni, consulta Interface VPC endpoints (AWS PrivateLink) nella Guida.AWS PrivateLink

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza dell'infrastruttura

Modello di responsabilità condivisa