VPC エンドポイントでの App Runner の使用 - AWS App Runner
App Runner 用の VPC エンドポイントの設定VPC ネットワークプライバシーに関する考慮事項エンドポイントポリシーを使用して VPC エンドポイントでアクセスを制御するインターフェイスエンドポイントとの統合

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC エンドポイントでの App Runner の使用

AWS アプリケーションは、Amazon Virtual Private Cloud (Amazon VPC) から VPC で AWS のサービス 実行される他の サービスと AWS App Runner 統合する場合があります。アプリケーションの一部は、VPC 内から App Runner にリクエストを行う場合があります。例えば、 AWS CodePipeline を使用して App Runner サービスに継続的にデプロイできます。アプリケーションのセキュリティを向上させる 1 つの方法は、これらの App Runner リクエスト (および他の へのリクエスト AWS のサービス) を VPC エンドポイント経由で送信することです。

VPC エンドポイント を使用すると、VPC を がサポートする AWS のサービス および VPC エンドポイントサービスにプライベートに接続できます AWS PrivateLink。インターネットゲートウェイ、NAT デバイス、VPN 接続、 AWS Direct Connect 接続は必要ありません。

VPC 内のリソースは、パブリック IP アドレスを使用して App Runner リソースとやり取りしません。VPC と App Runner 間のトラフィックは Amazon ネットワークを離れません。VPC エンドポイントの詳細については、「 AWS PrivateLink ガイド」の「VPC エンドポイント」を参照してください。

注記

デフォルトでは、App Runner サービスのウェブアプリケーションは、App Runner が提供および設定する VPC で実行されます。この VPC はパブリックです。つまり、インターネットに接続されています。オプションで、アプリケーションをカスタム VPC に関連付けることができます。詳細については、「送信トラフィックの VPC アクセスの有効化 」を参照してください。

サービスが VPC に接続されている場合でも、APIsを含む AWS インターネットにアクセスするようにサービスを設定できます。VPC アウトバウンドトラフィックのパブリックインターネットアクセスを有効にする方法については、「」を参照してくださいサブネットを選択する際の考慮事項

App Runner は、アプリケーションの VPC エンドポイントの作成をサポートしていません。

App Runner 用の VPC エンドポイントの設定

VPC で App Runner サービスのインターフェイス VPC エンドポイントを作成するには、「 AWS PrivateLink ガイド」の「インターフェイスエンドポイントの作成」の手順に従います。[Service Name] (サービス名)には com.amazonaws.region.apprunner を選択します。

VPC ネットワークプライバシーに関する考慮事項

重要

App Runner に VPC エンドポイントを使用しても、VPC からのすべてのトラフィックがインターネットから離れているとは限りません。VPC はパブリックである可能性があります。さらに、ソリューションの一部では、VPC エンドポイントを使用して AWS API コールを行わない場合があります。例えば、パブリックエンドポイントを使用して他の サービスを呼び出す AWS のサービス ことができます。VPC 内のソリューションにトラフィックプライバシーが必要な場合は、このセクションをお読みください。

VPC 内のネットワークトラフィックのプライバシーを確保するには、次の点を考慮してください。

  • DNS 名を有効にする – アプリケーションの一部は、apprunner.region.amazonaws.comパブリックエンドポイントを使用してインターネット経由で App Runner にリクエストを送信する場合があります。VPC がインターネットアクセスで設定されている場合、これらのリクエストはユーザーに通知されずに成功します。これを防ぐには、エンドポイントの作成時に DNS 名を有効にするを有効にします。デフォルトでは、true に設定されています。これにより、パブリックサービスエンドポイントをインターフェイス VPC エンドポイントにマップする DNS エントリが VPC に追加されます。

  • 追加のサービス用に VPC エンドポイントを設定する — ソリューションは他の にリクエストを送信する場合があります AWS のサービス。例えば、 は にリクエストを送信する AWS CodePipeline 場合があります AWS CodeBuild。これらのサービスの VPC エンドポイントを設定し、これらのエンドポイントで DNS 名を有効にします。

  • プライベート VPC を設定する – 可能な場合 (ソリューションにインターネットアクセスが必要ない場合)、VPC をプライベートとして設定します。つまり、インターネットに接続できません。これにより、VPC エンドポイントが欠落しているとエラーが表示されるため、欠落しているエンドポイントを追加できます。

エンドポイントポリシーを使用して VPC エンドポイントでアクセスを制御する

VPC エンドポイントポリシーは App Runner ではサポートされていません。デフォルトでは、インターフェイスエンドポイントを介して App Runner へのフルアクセスが許可されます。または、セキュリティグループをエンドポイントネットワークインターフェイスに関連付けて、インターフェイスエンドポイント経由で App Runner へのトラフィックを制御することもできます。

インターフェイスエンドポイントとの統合

App Runner は AWS PrivateLink、App Runner へのプライベート接続を提供し、インターネットへのトラフィックの露出を排除する をサポートします。アプリケーションが を使用して App Runner にリクエストを送信できるようにするには AWS PrivateLink、インターフェイスエンドポイント と呼ばれる VPC エンドポイントのタイプを設定します。詳細については、「AWS PrivateLink ガイド」の「インターフェイス VPC エンドポイント (AWS PrivateLink)」を参照してください。