受信トラフィックのプライベートエンドポイントの有効化 - AWS App Runner
考慮事項アクセス許可VPC インターフェイスエンドポイントVPC イングレス接続プライベートエンドポイント[概要]

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

受信トラフィックのプライベートエンドポイントの有効化

デフォルトでは、 AWS App Runner サービスを作成すると、そのサービスはインターネット経由でアクセスできます。ただし、App Runner サービスをプライベートにして、Amazon Virtual Private Cloud (Amazon VPC) 内からのみアクセスできるようにすることもできます。

App Runner サービスプライベートを使用すると、受信トラフィックを完全に制御できるため、セキュリティレイヤーが追加されます。これは、内部 APIs、企業のウェブアプリケーション、またはより高いレベルのプライバシーとセキュリティを必要とする、または特定のコンプライアンス要件を満たす必要がある、まだ開発中のアプリケーションの実行など、さまざまなユースケースに役立ちます。

注記

App Runner アプリケーションにソース IP/CIDR 受信トラフィックコントロールルールが必要な場合は、WAF ウェブ ACLs の代わりにプライベートエンドポイントのセキュリティグループルールを使用する必要があります。これは、現在、WAF に関連付けられた App Runner プライベートサービスへのリクエストソース IP データの転送をサポートしていないためです。その結果、WAF ウェブ ACLsベースのルールに準拠しません。

ベストプラクティスを含むインフラストラクチャのセキュリティおよびセキュリティグループの詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループ を使用してネットワークトラフィックを制御し、AWS リソースへのトラフィックを制御する」のトピックを参照してください。 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html

App Runner サービスがプライベートの場合は、Amazon VPC 内からサービスにアクセスできます。インターネットゲートウェイ、NAT デバイス、または VPN 接続は必要ありません。

注記

App Runner は現在、パブリック受信トラフィックに対してのみデュアルスタック (IPv4 および IPv6) アドレスタイプをサポートしています。送信トラフィックプライベート受信トラフィックでは、IPv4 のみがサポートされます。

考慮事項

  • App Runner の VPC インターフェイスエンドポイントを設定する前に、「 AWS PrivateLink ガイド」の「考慮事項」を参照してください。

  • VPC エンドポイントポリシーは App Runner ではサポートされていません。デフォルトでは、VPC インターフェイスエンドポイントを介して App Runner へのフルアクセスが許可されます。または、セキュリティグループをエンドポイントネットワークインターフェイスに関連付けて、VPC インターフェイスエンドポイント経由で App Runner へのトラフィックを制御することもできます。

  • App Runner アプリケーションにソース IP/CIDR 受信トラフィックコントロールルールが必要な場合は、WAF ウェブ ACLs の代わりにプライベートエンドポイントのセキュリティグループルールを使用する必要があります。これは、現在、WAF に関連付けられた App Runner プライベートサービスへのリクエストソース IP データの転送をサポートしていないためです。その結果、WAF ウェブ ACLsベースのルールに準拠しません。

  • プライベートエンドポイントを有効にすると、サービスは VPC からのみアクセスでき、インターネットからはアクセスできません。

  • 可用性を高めるには、VPC インターフェイスエンドポイントの異なるアベイラビリティーゾーン全体で少なくとも 2 つのサブネットを選択することをお勧めします。サブネットを 1 つだけ使用することはお勧めしません。

  • 同じ VPC インターフェイスエンドポイントを使用して、VPC 内の複数の App Runner サービスにアクセスできます。

このセクションで使用される用語については、「 用語」を参照してください。

アクセス許可

プライベートエンドポイント を有効にするために必要なアクセス許可のリストを次に示します。

  • ec2:CreateTags

  • ec2:CreateVpcEndpoint

  • ec2:ModifyVpcEndpoint

  • ec2:DeleteVpcEndpoints

  • ec2:DescribeSubnets

  • ec2:DescribeVpcEndpoints

  • ec2:DescribeVpcs

VPC インターフェイスエンドポイント

VPC インターフェイスエンドポイントは、Amazon VPC をエンドポイントサービスに接続する AWS PrivateLinkリソースです。VPC インターフェイスエンドポイントを渡すことで、App Runner サービスにアクセスできるようにする Amazon VPC を指定できます。VPC インターフェイスエンドポイントを作成するには、以下を指定します。

  • 接続を有効にする Amazon VPC。

  • セキュリティグループを追加します。デフォルトでは、セキュリティグループは VPC インターフェイスエンドポイントに割り当てられます。カスタムセキュリティグループを関連付けて、受信ネットワークトラフィックをさらに制御することを選択できます。

  • サブネットを追加します。可用性を高めるために、App Runner サービスにアクセスするアベイラビリティーゾーンごとに少なくとも 2 つのサブネットを選択することをお勧めします。ネットワークインターフェイスエンドポイントは、VPC インターフェイスエンドポイントに対して有効にする各サブネットに作成されます。これらは、App Runner 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理のネットワークインターフェイスです。リクエスタマネージド型のネットワークインターフェイスは、 AWS のサービスがユーザーに代わって VPC 内に作成するネットワークインターフェイスです。

  • API を使用している場合は、App Runner VPC インターフェイスエンドポイント を追加しますServicename。例えば、 などです 

    com.amazonaws.region.apprunner.requests

VPC インターフェイスエンドポイントは、次のいずれかのサービスを使用して作成できます AWS 。

注記

料金に基づいてAWS PrivateLink 、使用する VPC インターフェイスエンドポイントごとに課金されます。したがって、コスト効率を向上させるために、同じ VPC インターフェイスエンドポイントを使用して VPC 内の複数の App Runner サービスにアクセスできます。ただし、分離を改善するには、App Runner サービスごとに異なる VPC インターフェイスエンドポイントを関連付けることを検討してください。

VPC イングレス接続

VPC Ingress Connection は、受信トラフィックの App Runner エンドポイントを指定する App Runner リソースです。App Runner コンソールで受信トラフィックのプライベートエンドポイントを選択すると、App Runner は VPC Ingress Connection リソースをバックグラウンドで割り当てます。このオプションを選択すると、Amazon VPC からのトラフィックのみが App Runner サービスにアクセスできるようになります。VPC Ingress Connection リソースは、App Runner サービスを Amazon VPC の VPC インターフェイスエンドポイントに接続します。VPC Ingress Connection リソースは、API オペレーションを使用して受信トラフィックのネットワーク設定を構成している場合にのみ作成できます。VPC Ingress Connection リソースを作成する方法の詳細については、 AWS App Runner API リファレンスCreateVpcIngressConnectionの「」を参照してください。

注記

App Runner の 1 つの VPC Ingress Connection リソースは、Amazon VPC の 1 つの VPC インターフェイスエンドポイントに接続できます。また、App Runner サービスごとに作成できる VPC Ingress Connection リソースは 1 つだけです。

プライベートエンドポイント

プライベートエンドポイントは、Amazon VPC からの受信トラフィックのみを受信する場合に選択できる App Runner コンソールオプションです。App Runner コンソールでプライベートエンドポイントオプションを選択すると、VPC インターフェイスエンドポイント を設定してサービスを VPC に接続するオプションが提供されます。バックグラウンドで、App Runner は設定した VPC インターフェイスエンドポイントに VPC Ingress Connection リソースを割り当てます。

注記

プライベートエンドポイントでは、IPv4 ネットワークトラフィックのみがサポートされています。

[概要]

Amazon VPC からのトラフィックのみが App Runner サービスにアクセスできるようにすることで、サービスをプライベートにします。これを実現するには、App Runner または Amazon VPC を使用して、選択した Amazon VPC の VPC インターフェイスエンドポイントを作成します。App Runner コンソールで、着信トラフィックのプライベートエンドポイントを有効にすると、VPC インターフェイスエンドポイントが作成されます。App Runner は、VPC Ingress Connection リソースを自動的に作成し、VPC インターフェイスエンドポイントと App Runner サービスに接続します。これにより、選択した VPC からのトラフィックのみが App Runner サービスにアクセスできるようにするプライベートサービス接続が作成されます。