AWS App Runner non sarà più aperto a nuovi clienti a partire dal 30 aprile 2026. Se desideri utilizzare App Runner, registrati prima di tale data. I clienti esistenti possono continuare a utilizzare il servizio normalmente. Per ulteriori informazioni, consulta [AWS App Runner la pagina Modifica della disponibilità](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in App Runner
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di data center e architetture di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra te e te. AWS Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per maggiori informazioni sui programmi di conformità applicabili AWS App Runner, consulta la sezione [AWS Servizi rientranti nell'ambito del programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi App Runner. I seguenti argomenti mostrano come configurare App Runner per soddisfare gli obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse di App Runner.
**Topics**
+ [Protezione dei dati in App Runner](security-data-protection.md)
+ [Gestione delle identità e degli accessi per App Runner](security-iam.md)
+ [Registrazione e monitoraggio in App Runner](security-monitoring.md)
+ [Convalida della conformità per App Runner](security-compliance.md)
+ [Resilienza in App Runner](security-resilience.md)
+ [Sicurezza dell'infrastruttura in AWS App Runner](security-infrastructure.md)
+ [Utilizzo di App Runner con endpoint VPC](security-vpce.md)
+ [Configurazione e analisi delle vulnerabilità in App Runner](security-shared-responsibility.md)
+ [Best practice di sicurezza per App Runner](security-best-practices.md)
# Protezione dei dati in App Runner
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di di si applica alla protezione dei dati in AWS App Runner. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con App Runner o altro Servizi AWS utilizzando la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
Per altri argomenti sulla sicurezza di App Runner, consulta. [Sicurezza in App Runner](security.md)
**Topics**
+ [Protezione dei dati tramite crittografia](security-data-protection-encryption.md)
+ [Riservatezza del traffico Internet](security-data-protection-internetwork.md)
# Protezione dei dati tramite crittografia
AWS App Runner legge il codice sorgente dell'applicazione (immagine sorgente o codice sorgente) da un repository specificato dall'utente e lo archivia per la distribuzione al servizio. Per ulteriori informazioni, consulta [Architettura e concetti di App Runner](architecture.md).
La protezione dei dati si riferisce alla protezione dei dati *in transito* (mentre viaggiano da e verso App Runner) e *a riposo* (mentre sono archiviati nei AWS data center).
Per ulteriori informazioni sulla protezione dei dati, consulta [Protezione dei dati in App Runner](security-data-protection.md).
Per altri argomenti sulla sicurezza di App Runner, consulta. [Sicurezza in App Runner](security.md)
## Crittografia dei dati in transito
È possibile ottenere la protezione dei dati in transito in due modi: crittografare la connessione utilizzando Transport Layer Security (TLS) o utilizzare la crittografia lato client (in cui l'oggetto viene crittografato prima di essere inviato). Entrambi i metodi sono validi per proteggere i dati dell'applicazione. Per proteggere la connessione, crittografala utilizzando TLS ogni volta che l'applicazione, i suoi sviluppatori e amministratori e i suoi utenti finali inviano o ricevono oggetti. App Runner configura l'applicazione per ricevere traffico su TLS.
La crittografia lato client non è un metodo valido per proteggere l'immagine o il codice sorgente forniti ad App Runner per la distribuzione. App Runner deve accedere alla fonte dell'applicazione, quindi non può essere crittografata. Pertanto, assicurati di proteggere la connessione tra il tuo ambiente di sviluppo o distribuzione e App Runner.
## Crittografia inattiva e gestione delle chiavi
Per proteggere i dati inattivi dell'applicazione, App Runner crittografa tutte le copie archiviate dell'immagine sorgente o del pacchetto sorgente dell'applicazione. Quando crei un servizio App Runner, puoi fornire un. AWS KMS key Se ne fornisci uno, App Runner utilizza la chiave fornita per crittografare la tua fonte. Se non ne fornisci una, App Runner utilizza invece una. Chiave gestita da AWS
Per informazioni dettagliate sui parametri di creazione del servizio App Runner, consulta. [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html) Per informazioni su AWS Key Management Service (AWS KMS), consulta la [Guida per gli AWS Key Management Service sviluppatori](https://docs.aws.amazon.com/kms/latest/developerguide/).
# Riservatezza del traffico Internet
App Runner utilizza Amazon Virtual Private Cloud (Amazon VPC) per creare confini tra le risorse dell'applicazione App Runner e controllare il traffico tra esse, la rete locale e Internet. *Per ulteriori informazioni sulla sicurezza di Amazon VPC, consulta la privacy [del traffico Internet in Amazon VPC nella Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) User Guide.*
Per informazioni sull'associazione della tua applicazione App Runner a un Amazon VPC personalizzato, consulta. [Abilitazione dell'accesso VPC per il traffico in uscita](network-vpc.md)
Per informazioni sulla protezione delle richieste ad App Runner utilizzando un endpoint VPC, consulta. [Utilizzo di App Runner con endpoint VPC](security-vpce.md)
Per ulteriori informazioni sulla protezione dei dati, consulta [Protezione dei dati in App Runner](security-data-protection.md).
Per altri argomenti sulla sicurezza di App Runner, consulta. [Sicurezza in App Runner](security.md)
# Gestione delle identità e degli accessi per App Runner
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato (disporre delle autorizzazioni*) a utilizzare le risorse di App Runner. IAM è uno strumento Servizio AWS che puoi utilizzare senza costi aggiuntivi.
Per altri argomenti sulla sicurezza di App Runner, consulta[Sicurezza in App Runner](security.md).
**Topics**
+ [Destinatari](#security-iam.audience)
+ [Autenticazione con identità](#security-iam.authentication)
+ [Gestione dell’accesso tramite policy](#security-iam.access-manage)
+ [Come funziona App Runner con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità di App Runner](security_iam_id-based-policy-examples.md)
+ [Utilizzo di ruoli collegati ai servizi per App Runner](security-iam-slr.md)
+ [AWS politiche gestite per AWS App Runner](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi relativi all'identità e all'accesso ad App Runner](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso ad App Runner](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona App Runner con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità di App Runner](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Liste di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come funziona App Runner con IAM
Prima di utilizzare IAM per gestire l'accesso a AWS App Runner, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con App Runner. *Per avere una visione di alto livello di come App Runner e altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) User Guide.*
Per altri argomenti sulla sicurezza di App Runner, consulta. [Sicurezza in App Runner](security.md)
**Topics**
+ [Politiche basate sull'identità di App Runner](#security_iam_service-with-iam-id-based-policies)
+ [Politiche basate sulle risorse di App Runner](#security_iam_service-with-iam-resource-based-policies)
+ [Autorizzazione basata sui tag App Runner](#security_iam_service-with-iam-tags)
+ [Autorizzazioni utente di App Runner](#security_iam_service-with-iam-users)
+ [Ruoli IAM di App Runner](#security_iam_service-with-iam-roles)
## Politiche basate sull'identità di App Runner
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. App Runner supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in App Runner utilizzano il seguente prefisso prima dell'azione:. `apprunner:` Ad esempio, per concedere a qualcuno l'autorizzazione per eseguire un'istanza Amazon EC2 con l'operazione API `RunInstances` Amazon EC2, è necessario includere l'operazione `ec2:RunInstances` nella policy. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`. App Runner definisce il proprio set di azioni che descrivono le attività che è possibile eseguire con questo servizio.
Per specificare più azioni in una sola istruzione, separa ciascuna di esse con una virgola come mostrato di seguito:
```
"Action": [
"apprunner:CreateService",
"apprunner:CreateConnection"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "apprunner:Describe*"
```
Per visualizzare un elenco delle azioni di App Runner, consulta [Azioni definite da AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions) nel *Service Authorization* Reference.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Le risorse di App Runner hanno la seguente struttura ARN:
```
arn:aws:apprunner:region:account-id:resource-type/resource-name[/resource-id]
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) nel. *Riferimenti generali di AWS*
Ad esempio, per specificare il `my-service` servizio nella dichiarazione, utilizza il seguente ARN:
```
"Resource": "arn:aws:apprunner:us-east-1:123456789012:service/my-service"
```
Per specificare tutti i servizi che appartengono a un account specifico, usa il carattere jolly (\$1):
```
"Resource": "arn:aws:apprunner:us-east-1:123456789012:service/*"
```
Alcune azioni di App Runner, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di risorse di App Runner e relativi ARNs, consulta [Risorse definite da AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-resources-for-iam-policies) nel *Service Authorization* Reference. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta la sezione [Operazioni definite da AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions).
### Chiavi di condizione
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
App Runner supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione AWS globali, consulta [AWS Global Condition Context Keys](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *IAM User Guide*.
App Runner definisce un set di chiavi di condizione specifiche del servizio. Inoltre, App Runner supporta il controllo degli accessi basato su tag, che viene implementato utilizzando chiavi condizionali. Per informazioni dettagliate, vedi [Autorizzazione basata sui tag App Runner](#security_iam_service-with-iam-tags).
Per visualizzare un elenco delle chiavi di condizione di App Runner, consulta [Condition keys for AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-policy-keys) nel *Service* Authorization Reference. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, vedi [Azioni definite da AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions).
### Esempi
Per visualizzare esempi di politiche basate sull'identità di App Runner, consulta. [Esempi di policy basate sull'identità di App Runner](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse di App Runner
App Runner non supporta politiche basate sulle risorse.
## Autorizzazione basata sui tag App Runner
Puoi allegare tag alle risorse di App Runner o passare i tag in una richiesta ad App Runner. Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `apprunner:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Per ulteriori informazioni sull'etichettatura delle risorse di App Runner, consulta. [Configurazione di un servizio App Runner](manage-configure.md)
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Controllo dell'accesso ai servizi App Runner in base ai tag](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags).
## Autorizzazioni utente di App Runner
Per utilizzare App Runner, gli utenti IAM necessitano delle autorizzazioni per le azioni di App Runner. Un modo comune per concedere le autorizzazioni agli utenti consiste nell'associare una policy agli utenti o ai gruppi IAM. *Per ulteriori informazioni sulla gestione delle autorizzazioni degli utenti, consulta [Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html).*
App Runner fornisce due policy gestite che puoi allegare ai tuoi utenti.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerReadOnlyAccess.html)— Concede le autorizzazioni per elencare e visualizzare i dettagli sulle risorse di App Runner.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerFullAccess.html)— Concede le autorizzazioni a tutte le azioni di App Runner.
Per un controllo più granulare delle autorizzazioni degli utenti, puoi creare una policy personalizzata e allegarla ai tuoi utenti. Per i dettagli, consulta [Creazione delle politiche IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella Guida per l'*utente IAM*.
Per esempi di politiche utente, consulta[Policy utente](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-users).
## Ruoli IAM di App Runner
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità interna all'utente Account AWS che dispone di autorizzazioni specifiche.
### Ruoli collegati ai servizi
[I ruoli collegati ai](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per tuo conto. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
App Runner supporta i ruoli collegati ai servizi. Per informazioni sulla creazione o la gestione di ruoli collegati ai servizi App Runner, consulta. [Utilizzo di ruoli collegati ai servizi per App Runner](security-iam-slr.md)
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un utente IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.
App Runner supporta alcuni ruoli di servizio.
#### Ruolo di accesso
Il ruolo di accesso è un ruolo utilizzato da App Runner per accedere alle immagini in Amazon Elastic Container Registry (Amazon ECR) nel tuo account. È necessario per accedere a un'immagine in Amazon ECR e non è richiesto con Amazon ECR Public.
Prima di creare un servizio basato su un'immagine in Amazon ECR, usa IAM per creare un ruolo di servizio. Usa la policy gestita [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerServicePolicyForECRAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerServicePolicyForECRAccess.html)nel tuo ruolo di servizio. Puoi quindi passare questo ruolo ad App Runner quando chiami l'[CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html)API nel [AuthenticationConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_AuthenticationConfiguration.html)membro del [SourceConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_SourceConfiguration.html)parametro o quando usi la console App Runner per creare un servizio.
**Nota**
Se crei una politica personalizzata per il tuo ruolo di accesso, assicurati di specificare `"Resource": "*"` l'azione`ecr:GetAuthorizationToken`. I token possono essere utilizzati per accedere a qualsiasi registro Amazon ECR a cui hai accesso.
Quando crei il tuo ruolo di accesso, assicurati di aggiungere una politica di fiducia che dichiari il responsabile del servizio App Runner `build.apprunner.amazonaws.com` come entità attendibile.
##### Politica di fiducia per un ruolo di accesso
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "build.apprunner.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Se utilizzi la console App Runner per creare un servizio, la console può creare automaticamente un ruolo di accesso per te e sceglierlo per il nuovo servizio. La console elenca anche altri ruoli nel tuo account e, se lo desideri, puoi selezionare un ruolo diverso.
#### Ruolo dell’istanza
Il ruolo di istanza è un ruolo opzionale utilizzato da App Runner per fornire le autorizzazioni alle azioni di AWS servizio necessarie alle istanze di calcolo del servizio. È necessario fornire un ruolo di istanza ad App Runner se il codice dell'applicazione chiama actions (). AWS APIs Incorpora le autorizzazioni richieste nel ruolo dell'istanza o crea una politica personalizzata e usala nel ruolo di istanza. Non abbiamo modo di anticipare le chiamate utilizzate dal tuo codice. Pertanto, non forniamo una politica gestita per questo scopo.
Prima di creare un servizio App Runner, utilizza IAM per creare un ruolo di servizio con le politiche personalizzate o integrate richieste. Puoi quindi passare questo ruolo ad App Runner come ruolo di istanza quando chiami l'[CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html)API nel `InstanceRoleArn` membro del [InstanceConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_InstanceConfiguration.html)parametro o quando usi la console App Runner per creare un servizio.
Quando crei il tuo ruolo di istanza, assicurati di aggiungere una politica di fiducia che dichiari il responsabile del servizio App Runner `tasks.apprunner.amazonaws.com` come entità attendibile.
##### Politica di attendibilità per un ruolo di istanza
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "tasks.apprunner.aws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Se utilizzi la console App Runner per creare un servizio, la console elenca i ruoli del tuo account e puoi selezionare il ruolo che hai creato a tale scopo.
Per informazioni sulla creazione di un servizio, consulta[Creazione di un servizio App Runner](manage-create.md).
# Esempi di policy basate sull'identità di App Runner
Per impostazione predefinita, gli utenti e i ruoli IAM non sono autorizzati a creare o modificare risorse. AWS App Runner Inoltre, non possono eseguire attività utilizzando l' AWS API Console di gestione AWS AWS CLI, o. Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
Per altri argomenti sulla sicurezza di App Runner, consulta[Sicurezza in App Runner](security.md).
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Policy utente](#security_iam_id-based-policy-examples-users)
+ [Controllo dell'accesso ai servizi App Runner in base ai tag](#security_iam_id-based-policy-examples-view-widget-tags)
## Best practice per le policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di App Runner nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Policy utente
Per accedere alla console App Runner, gli utenti IAM devono disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse di App Runner presenti nel tuo. Account AWS Se crei una politica basata sull'identità più restrittiva delle autorizzazioni minime richieste, la console non funzionerà come previsto per gli utenti con quella politica.
App Runner offre due policy gestite che puoi allegare ai tuoi utenti.
+ `AWSAppRunnerReadOnlyAccess`— Concede le autorizzazioni per elencare e visualizzare i dettagli sulle risorse di App Runner.
+ `AWSAppRunnerFullAccess`— Concede le autorizzazioni a tutte le azioni di App Runner.
Per garantire che gli utenti possano utilizzare la console App Runner, allega almeno la policy `AWSAppRunnerReadOnlyAccess` gestita agli utenti. Puoi invece allegare la politica `AWSAppRunnerFullAccess` gestita o aggiungere autorizzazioni aggiuntive specifiche per consentire agli utenti di creare, modificare ed eliminare la risorsa. Per ulteriori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l'utente IAM*.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Consenti invece l'accesso solo alle azioni che corrispondono all'operazione API che desideri consentire agli utenti di eseguire.
Gli esempi seguenti illustrano le politiche utente personalizzate. È possibile utilizzarli come punti di partenza per definire politiche utente personalizzate. Copia l'esempio e/o rimuovi le azioni, definisci l'ambito delle risorse e aggiungi condizioni.
### Esempio: politica utente per la gestione della console e della connessione
Questa policy di esempio consente l'accesso alla console e consente la creazione e la gestione delle connessioni. Non consente la creazione e la gestione del servizio App Runner. Può essere collegato a un utente il cui ruolo è gestire l'accesso del servizio App Runner alle risorse del codice sorgente.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"apprunner:List*",
"apprunner:Describe*",
"apprunner:CreateConnection",
"apprunner:DeleteConnection"
],
"Resource": "*"
}
]
}
```
------
### Esempio: politiche utente che utilizzano chiavi condizionali
Gli esempi in questa sezione mostrano le autorizzazioni condizionali che dipendono da alcune proprietà delle risorse o dai parametri di azione.
Questa politica di esempio consente la creazione di un servizio App Runner ma nega l'utilizzo di una connessione denominata. `prod`
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement":
[ { "Sid": "AllowCreateAppRunnerServiceWithNonProdConnections",
"Effect": "Allow",
"Action": "apprunner:CreateService",
"Resource": "*",
"Condition":
{ "ArnNotLike":
{"apprunner:ConnectionArn":"arn:aws:apprunner:*:*:connection/prod/*"}
}
}
]
}
```
------
Questo criterio di esempio consente l'aggiornamento di un servizio App Runner denominato `preprod` solo con una configurazione di scalabilità automatica denominata. `preprod`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUpdatePreProdAppRunnerServiceWithPreProdASConfig",
"Effect": "Allow",
"Action": "apprunner:UpdateService",
"Resource": "arn:aws:apprunner:*:*:service/preprod/*",
"Condition": {
"ArnLike": {
"apprunner:AutoScalingConfigurationArn": "arn:aws:apprunner:us-east-1:*:autoscalingconfiguration/preprod/*"
}
}
}
]
}
```
------
## Controllo dell'accesso ai servizi App Runner in base ai tag
Puoi utilizzare le condizioni della tua policy basata sull'identità per controllare l'accesso alle risorse di App Runner in base ai tag. Questo esempio mostra come è possibile creare una politica che consenta l'eliminazione di un servizio App Runner. Tuttavia, l'autorizzazione viene concessa solo se il valore del tag del servizio `Owner` è quello del nome utente dell'utente. Questa policy concede anche le autorizzazioni necessarie per completare questa azione nella console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListServicesInConsole",
"Effect": "Allow",
"Action": "apprunner:ListServices",
"Resource": "*"
},
{
"Sid": "DeleteServiceIfOwner",
"Effect": "Allow",
"Action": "apprunner:DeleteService",
"Resource": "arn:aws:apprunner:us-east-1:*:service/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
Puoi allegare questa policy agli utenti IAM nel tuo account. Se un utente denominato `richard-roe` tenta di eliminare un servizio App Runner, il servizio deve essere taggato o. `Owner=richard-roe` `owner=richard-roe` In caso contrario l'accesso è negato. La chiave di tag di condizione `Owner` corrisponde a `Owner` e `owner` perché i nomi delle chiavi di condizione non effettuano la distinzione tra maiuscole e minuscole. Per ulteriori informazioni, consulta la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.
# Utilizzo di ruoli collegati ai servizi per App Runner
AWS App Runner [utilizza ruoli collegati ai AWS Identity and Access Management servizi (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad App Runner. I ruoli collegati ai servizi sono predefiniti da App Runner e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
**Topics**
+ [Utilizzo dei ruoli per la gestione](using-service-linked-roles-management.md)
+ [Utilizzo dei ruoli per il networking](using-service-linked-roles-networking.md)
# Utilizzo dei ruoli per la gestione
AWS App Runner [utilizza ruoli collegati ai AWS Identity and Access Management servizi (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad App Runner. I ruoli collegati ai servizi sono predefiniti da App Runner e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato ai servizi semplifica la configurazione di App Runner perché non è necessario aggiungere manualmente le autorizzazioni necessarie. App Runner definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo App Runner può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. Ciò protegge le tue risorse di App Runner perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate al servizio per App Runner
App Runner utilizza il ruolo collegato al servizio denominato. **AWSServiceRoleForAppRunner**
Il ruolo consente ad App Runner di eseguire le seguenti attività:
+ Invia i log ai gruppi di log di Amazon CloudWatch Logs.
+ Crea regole Amazon CloudWatch Events per iscriverti ai push di immagini di Amazon Elastic Container Registry (Amazon ECR).
+ Invia informazioni di tracciamento a. AWS X-Ray
Il ruolo AWSService RoleForAppRunner collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `apprunner.amazonaws.com`
Le politiche di autorizzazione del ruolo AWSService RoleForAppRunner collegato al servizio contengono tutte le autorizzazioni di cui App Runner ha bisogno per completare le azioni per conto dell'utente:
+ Politica gestita [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerServiceRolePolicy.html)
+ Politica per il tracciamento a raggi X: vedere il seguente contenuto della politica.
### Politica per il tracciamento a raggi X
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
## Creazione di un ruolo collegato al servizio per App Runner
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un servizio App Runner nell' Console di gestione AWS, nella o nell' AWS API AWS CLI, App Runner crea automaticamente il ruolo collegato al servizio.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un servizio App Runner, App Runner crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per App Runner
App Runner non consente di modificare il ruolo collegato al servizio. AWSService RoleForAppRunner Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per App Runner
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Pulizia di un ruolo collegato ai servizi
Prima di utilizzare IAM; per eliminare un ruolo collegato al servizio, è necessario prima rimuovere qualsiasi risorsa utilizzata dal ruolo.
In App Runner, ciò significa eliminare tutti i servizi App Runner nel tuo account. Per ulteriori informazioni sull'eliminazione dei servizi App Runner, consulta. [Eliminazione di un servizio App Runner](manage-delete.md)
**Nota**
Se il servizio App Runner utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
### Eliminazione manuale del ruolo collegato ai servizi
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al AWSService RoleForAppRunner servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
## Regioni supportate per i ruoli collegati al servizio App Runner
App Runner supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Endpoint e quote AWS App Runner](https://docs.aws.amazon.com/general/latest/gr/apprunner.html) nella *Riferimenti generali di AWS*.
# Utilizzo dei ruoli per il networking
AWS App Runner [utilizza ruoli collegati ai AWS Identity and Access Management servizi (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad App Runner. I ruoli collegati ai servizi sono predefiniti da App Runner e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato ai servizi semplifica la configurazione di App Runner perché non è necessario aggiungere manualmente le autorizzazioni necessarie. App Runner definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo App Runner può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. Ciò protegge le tue risorse di App Runner perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate al servizio per App Runner
App Runner utilizza il ruolo collegato al servizio denominato. **AWSServiceRoleForAppRunnerNetworking**
Il ruolo consente ad App Runner di eseguire le seguenti attività:
+ Collega un VPC al tuo servizio App Runner e gestisci le interfacce di rete.
Il ruolo AWSService RoleForAppRunnerNetworking collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `networking.apprunner.amazonaws.com`
La politica di autorizzazione dei ruoli denominata [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerNetworkingServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerNetworkingServiceRolePolicy.html)contiene tutte le autorizzazioni di cui App Runner ha bisogno per completare le azioni per tuo conto.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
## Creazione di un ruolo collegato al servizio per App Runner
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un connettore VPC nell' AWS API Console di gestione AWS, App Runner crea automaticamente il ruolo collegato al servizio. AWS CLI
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un connettore VPC, App Runner crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per App Runner
App Runner non consente di modificare il ruolo collegato al servizio. AWSService RoleForAppRunnerNetworking Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per App Runner
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Pulizia di un ruolo collegato ai servizi
Prima di utilizzare IAM; per eliminare un ruolo collegato al servizio, è necessario prima rimuovere qualsiasi risorsa utilizzata dal ruolo.
In App Runner, ciò significa dissociare i connettori VPC da tutti i servizi App Runner del tuo account ed eliminare i connettori VPC. Per ulteriori informazioni, consulta [Abilitazione dell'accesso VPC per il traffico in uscita](network-vpc.md).
**Nota**
Se il servizio App Runner utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
### Eliminare manualmente il ruolo collegato al servizio
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al AWSService RoleForAppRunnerNetworking servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
## Regioni supportate per i ruoli collegati al servizio App Runner
App Runner supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Endpoint e quote AWS App Runner](https://docs.aws.amazon.com/general/latest/gr/apprunner.html) nella *Riferimenti generali di AWS*.
# AWS politiche gestite per AWS App Runner
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i tuoi casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)nella* Guida per l'utente di IAM*.
## App Runner si aggiorna alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite per App Runner da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti di App Runner.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSAppRunnerReadOnlyAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-users): nuova policy | App Runner ha aggiunto una nuova politica per consentire agli utenti di elencare e visualizzare i dettagli sulle risorse di App Runner. | 24 febbraio 2022 |
| [AWSAppRunnerFullAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-users): aggiornamento a una policy esistente | App Runner ha aggiornato l'elenco delle risorse per l'`iam:CreateServiceLinkedRole`azione per consentire la creazione di ruoli collegati al `AWSServiceRoleForAppRunnerNetworking` servizio. | 8 febbraio 2022 |
| [AppRunnerNetworkingServiceRolePolicy](using-service-linked-roles-networking.md): nuova policy | App Runner ha aggiunto una nuova policy per consentire ad App Runner di effettuare chiamate ad Amazon Virtual Private Cloud per collegare un VPC al servizio App Runner e gestire le interfacce di rete per conto dei servizi App Runner. La policy viene utilizzata nel ruolo collegato al servizio. `AWSServiceRoleForAppRunnerNetworking` | 8 febbraio 2022 |
| [AWSAppRunnerFullAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-users): nuova policy | App Runner ha aggiunto una nuova politica per consentire agli utenti di eseguire tutte le azioni di App Runner. | 10 gennaio 2022 |
| [AppRunnerServiceRolePolicy](using-service-linked-roles-management.md): nuova policy | App Runner ha aggiunto una nuova policy per consentire ad App Runner di effettuare chiamate ad Amazon CloudWatch Logs e Amazon CloudWatch Events per conto dei servizi App Runner. La policy viene utilizzata nel ruolo collegato al servizio. `AWSServiceRoleForAppRunner` | 1 marzo 2021 |
| [AWSAppRunnerServicePolicyForECRAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service.access): nuova policy | App Runner ha aggiunto una nuova policy per consentire ad App Runner di accedere alle immagini di Amazon Elastic Container Registry (Amazon ECR) nel tuo account. | 1 marzo 2021 |
| App Runner ha iniziato a tracciare le modifiche | App Runner ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 1 marzo 2021 |
# Risoluzione dei problemi relativi all'identità e all'accesso ad App Runner
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con AWS App Runner un IAM.
Per altri argomenti sulla sicurezza di App Runner, consulta. [Sicurezza in App Runner](security.md)
**Topics**
+ [Non sono autorizzato a eseguire un'azione in App Runner](#security_iam_troubleshoot-no-permissions)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse di App Runner](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in App Runner
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, contatta l'amministratore per ricevere assistenza. L'amministratore è la persona che ti ha fornito le credenziali di AWS accesso.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per visualizzare i dettagli su un servizio App Runner ma non dispone delle autorizzazioni. `apprunner:DescribeService`
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: apprunner:DescribeService on resource: my-example-service
```
In questo caso, Mary chiede al suo amministratore di aggiornare le sue politiche per consentirle di accedere alla `my-example-service` risorsa utilizzando l'azione`apprunner:DescribeService`.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse di App Runner
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se App Runner supporta queste funzionalità, consulta. [Come funziona App Runner con IAM](security_iam_service-with-iam.md)
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Registrazione e monitoraggio in App Runner
Il monitoraggio è una parte importante del mantenimento dell'affidabilità, della disponibilità e delle prestazioni del AWS App Runner servizio. La raccolta dei dati di monitoraggio da tutte le parti della AWS soluzione consente di eseguire più facilmente il debug di un eventuale errore. App Runner si integra con diversi AWS strumenti per monitorare i servizi App Runner e rispondere a potenziali incidenti.
** CloudWatch Allarmi Amazon**
Con Amazon CloudWatch alarms, puoi monitorare una metrica di servizio per un periodo di tempo specificato. Se la metrica supera una determinata soglia per un determinato numero di periodi, ricevi una notifica.
App Runner raccoglie una serie di metriche sul servizio nel suo complesso e sulle istanze (unità di scalabilità) che eseguono il servizio web. Per ulteriori informazioni, consulta [Metriche () CloudWatch](monitor-cw.md).
**Log di applicazioni**
App Runner raccoglie l'output del codice dell'applicazione e lo trasmette ad Amazon Logs. CloudWatch Il contenuto di questo output dipende da te. Ad esempio, potresti includere registrazioni dettagliate delle richieste fatte al tuo servizio web. Questi record di registro potrebbero rivelarsi utili nei controlli di sicurezza e di accesso. Per ulteriori informazioni, consulta [Registri (registri) CloudWatch ](monitor-cwl.md).
**AWS CloudTrail registri delle azioni**
App Runner è integrato con AWS CloudTrail, un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o AWS servizio in App Runner. CloudTrail acquisisce tutte le chiamate API per App Runner come eventi. Puoi visualizzare gli eventi più recenti nella CloudTrail console e creare un percorso per consentire la distribuzione continua degli CloudTrail eventi a un bucket Amazon Simple Storage Service (Amazon S3). Per ulteriori informazioni, consulta [Azioni API () CloudTrail](monitor-ct.md).
# Convalida della conformità per App Runner
I revisori esterni valutano la sicurezza e la conformità nell' AWS App Runner ambito di più programmi di AWS conformità. Questi includono SOC, PCI, FedRAMP, HIPAA e altri.
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
Per altri argomenti sulla sicurezza di App Runner, consulta[Sicurezza in App Runner](security.md).
# Resilienza in App Runner
L'infrastruttura AWS globale è costruita attorno a Regioni AWS zone di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo.
[Per ulteriori informazioni sulle zone di disponibilità, vedere Global Regioni AWS Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
AWS App Runner gestisce e automatizza l'uso dell'infrastruttura AWS globale per tuo conto. Quando si utilizza App Runner, si beneficia della disponibilità e dei meccanismi di tolleranza agli errori offerti. AWS
Per altri argomenti sulla sicurezza di App Runner, consulta. [Sicurezza in App Runner](security.md)
# Sicurezza dell'infrastruttura in AWS App Runner
In quanto servizio gestito, AWS App Runner è protetto dalle procedure di sicurezza della rete AWS globale descritte nel white paper [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Utilizzi chiamate API AWS pubblicate per gestire e utilizzare App Runner attraverso la rete. I client che chiamano App Runner APIs devono supportare Transport Layer Security (TLS) 1.2 o versione successiva. I client devono, inoltre, supportare le suite di crittografia con PFS (Perfect Forward Secrecy), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità. Questi requisiti non si applicano agli endpoint delle applicazioni App Runner.
Inoltre, le richieste devono essere firmate utilizzando un chiave di accesso ID e una chiave di accesso segreta associata a un account principale IAM. In alternativa è possibile utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.
Per altri argomenti sulla sicurezza di App Runner, consulta. [Sicurezza in App Runner](security.md)
# Utilizzo di App Runner con endpoint VPC
La tua AWS applicazione potrebbe integrare AWS App Runner servizi con altri Servizi AWS che vengono eseguiti in un VPC da [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) (Amazon VPC). Alcune parti dell'applicazione potrebbero inviare richieste ad App Runner dall'interno del VPC. Ad esempio, potresti AWS CodePipeline utilizzarlo per eseguire l'implementazione continua sul tuo servizio App Runner. Un modo per migliorare la sicurezza dell'applicazione consiste nell'inviare queste richieste App Runner (e richieste ad altri Servizi AWS) tramite un endpoint VPC.
Utilizzando un *endpoint VPC*, puoi connettere privatamente il tuo VPC a servizi endpoint VPC supportati Servizi AWS e alimentati da. AWS PrivateLink Non è necessario un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione. Direct Connect
Le risorse nel tuo VPC non utilizzano indirizzi IP pubblici per interagire con le risorse di App Runner. Il traffico tra il tuo VPC e App Runner non esce dalla rete Amazon. *Per ulteriori informazioni sugli endpoint VPC, consulta Endpoint [VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) nella Guida.AWS PrivateLink *
**Nota**
Per impostazione predefinita, l'applicazione Web del servizio App Runner viene eseguita in un VPC fornito e configurato da App Runner. Questo VPC è pubblico. Significa che è connesso a Internet. Facoltativamente, puoi associare la tua applicazione a un VPC personalizzato. Per ulteriori informazioni, consulta [Abilitazione dell'accesso VPC per il traffico in uscita](network-vpc.md).
Puoi configurare i tuoi servizi per accedere a Internet AWS APIs, anche quando il servizio è connesso a un VPC. Per istruzioni su come abilitare l'accesso pubblico a Internet per il traffico VPC in uscita, consulta. [Considerazioni sulla scelta di una sottorete](network-vpc.md#network-vpc.considerations-subnet)
App Runner non supporta la creazione di un endpoint VPC per la tua applicazione.
## Configurazione di un endpoint VPC per App Runner
*Per creare l'endpoint VPC dell'interfaccia per il servizio App Runner nel tuo VPC, segui la procedura [Crea un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) nella Guida.AWS PrivateLink * Per **Service Name (Nome del servizio)**, selezionare `com.amazonaws.region.apprunner`.
## Considerazioni sulla privacy della rete VPC
**Importante**
L'utilizzo di un endpoint VPC per App Runner non garantisce che tutto il traffico proveniente dal tuo VPC rimanga lontano da Internet. Il VPC potrebbe essere pubblico. Inoltre, alcune parti della soluzione potrebbero non utilizzare gli endpoint VPC per effettuare AWS chiamate API. Ad esempio, Servizi AWS potrebbe chiamare altri servizi utilizzando i relativi endpoint pubblici. Se la privacy del traffico è necessaria per la soluzione nel tuo VPC, leggi questa sezione.
Per garantire la privacy del traffico di rete nel tuo VPC, considera quanto segue:
+ *Abilita il nome DNS*: alcune parti dell'applicazione potrebbero comunque inviare richieste ad App Runner tramite Internet utilizzando l'`apprunner.region.amazonaws.com`endpoint pubblico. Se il tuo VPC è configurato con l'accesso a Internet, queste richieste vanno a buon fine senza che tu te ne dia alcuna indicazione. Puoi evitare che ciò accada assicurandoti che **Enable DNS name** sia abilitato quando crei l'endpoint. Per impostazione predefinita, è impostato su true. In questo modo viene aggiunta una voce DNS nel VPC che associa l'endpoint del servizio pubblico all'endpoint VPC dell'interfaccia.
+ *Configura gli endpoint VPC per servizi aggiuntivi*: la tua soluzione potrebbe inviare richieste ad altri. Servizi AWS Ad esempio, AWS CodePipeline potrebbe inviare richieste a. AWS CodeBuild Configura gli endpoint VPC per questi servizi e abilita i nomi DNS su questi endpoint.
+ *Configura un VPC privato*: se possibile (se la tua soluzione non richiede affatto l'accesso a Internet), configura il tuo VPC come privato, il che significa che non ha una connessione Internet. Ciò garantisce che un endpoint VPC mancante provochi un errore visibile, in modo da poter aggiungere l'endpoint mancante.
## Utilizzo dei criteri endpoint per controllare l'accesso con gli endpoint VPC
Le policy degli endpoint VPC sono supportate per App Runner. Per impostazione predefinita, l'accesso completo ad App Runner è consentito tramite l'endpoint dell'interfaccia. Le policy degli endpoint VPC possono essere utilizzate per controllare quali responsabili AWS possono accedere all'endpoint App Runner. In alternativa, puoi associare un gruppo di sicurezza alle interfacce di rete degli endpoint per controllare il traffico verso App Runner attraverso l'endpoint dell'interfaccia.
## Integrazione con l'endpoint dell'interfaccia
App Runner supporta AWS PrivateLink, che fornisce connettività privata ad App Runner ed elimina l'esposizione del traffico a Internet. *Per consentire all'applicazione di inviare richieste a App Runner utilizzando AWS PrivateLink, configura un tipo di endpoint VPC noto come endpoint di interfaccia.* *Per ulteriori informazioni, consulta [Interface VPC endpoints (AWS PrivateLink) nella Guida](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink *
# Configurazione e analisi delle vulnerabilità in App Runner
AWS e i nostri clienti condividono la responsabilità di raggiungere un elevato livello di sicurezza e conformità dei componenti software. Per ulteriori informazioni, consulta il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/).
## Immagini del contenitore di patch
L'applicazione di patch all'immagine del contenitore fa parte della responsabilità del cliente nel modello di sicurezza condiviso. Il proprietario dell'immagine è responsabile dell'aggiornamento e della correzione periodica dell'immagine del contenitore. Ti consigliamo di stabilire una pianificazione di routine per il controllo e l'applicazione degli aggiornamenti alle immagini del contenitore. Per ulteriori informazioni su come scansionare le immagini alla ricerca di vulnerabilità, consulta la documentazione di [AWS App Runner](security-best-practices.md#security-best-practices.preventive.scan)
Per altri argomenti sulla sicurezza di App Runner, consulta. [Sicurezza in App Runner](security.md)
# Best practice di sicurezza per App Runner
AWS App Runner offre diverse funzionalità di sicurezza da considerare durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per il tuo ambiente, gestiscile come considerazioni utili anziché prescrizioni.
Per altri argomenti sulla sicurezza di App Runner, consulta[Sicurezza in App Runner](security.md).
## Best practice relative alla sicurezza preventiva
I controlli di sicurezza preventivi tentano di prevenire gli incidenti prima che si verifichino.
### Implementazione dell'accesso con privilegi minimi
App Runner fornisce policy gestite AWS Identity and Access Management (IAM) per [gli utenti IAM](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-users) e il ruolo di [accesso](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service.access). Queste politiche gestite specificano tutte le autorizzazioni che potrebbero essere necessarie per il corretto funzionamento del servizio App Runner.
La tua applicazione potrebbe non richiedere tutte le autorizzazioni nelle nostre policy gestite. Puoi personalizzarle e concedere solo le autorizzazioni necessarie agli utenti e al servizio App Runner per eseguire le loro attività. Ciò è particolarmente rilevante per le policy utente, dove ruoli utente diversi potrebbero avere esigenze di autorizzazione diverse. L'applicazione dell'accesso con privilegio minimo è fondamentale per ridurre i rischi di sicurezza e l'impatto risultante da errori o intenzioni dannose.
### Scansione delle immagini per individuare eventuali vulnerabilità
Puoi utilizzare Amazon ECR APIs per identificare le vulnerabilità del software nelle immagini dei container. Per ulteriori informazioni, consulta la [documentazione di Amazon ECR.](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html)
## Best practice relative alla sicurezza di rilevamento
I controlli di sicurezza di rilevamento identificano le violazioni della sicurezza dopo che si sono verificate. Possono aiutarti a rilevare potenziali minacce o incidenti alla sicurezza.
### Implementazione del monitoraggio
Il monitoraggio è una parte importante per mantenere l'affidabilità, la sicurezza, la disponibilità e le prestazioni delle soluzioni App Runner. AWS fornisce diversi strumenti e servizi per aiutarti a monitorare i tuoi AWS servizi.
Di seguito sono elencati alcuni esempi di elementi da monitorare:
+ * CloudWatch Metriche Amazon per App Runner*: imposta allarmi per le metriche chiave di App Runner e per le metriche personalizzate della tua applicazione. Per informazioni dettagliate, vedi [Metriche () CloudWatch](monitor-cw.md).
+ *AWS CloudTrail voci*: tieni traccia delle azioni che potrebbero influire sulla disponibilità, come o. `PauseService` `DeleteConnection` Per informazioni dettagliate, vedi [Azioni API () CloudTrail](monitor-ct.md).