As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Fazendo referência a variáveis de ambiente
Com o App Runner, você pode referenciar segredos e configurações como variáveis de ambiente em seu serviço ao criar um serviço ou atualizar um serviço.
Você pode referenciar dados de configuração não confidenciais, como tempos limite e contagens de novas tentativas em texto sem formatação, como pares de valores-chave. Os dados de configuração que você faz referência em texto sem formatação não são criptografados e são visíveis para outras pessoas na configuração do serviço App Runner e nos registros do aplicativo.
nota
Por motivos de segurança, não faça referência a nenhum dado confidencial em texto sem formatação no seu serviço App Runner.
Referenciando dados confidenciais como variáveis de ambiente
O App Runner oferece suporte para referenciar com segurança dados confidenciais como variáveis de ambiente em seu serviço. Considere armazenar os dados confidenciais que você deseja referenciar no AWS Secrets ManagerAWS Systems Manager Parameter Store. Em seguida, você pode referenciá-las com segurança em seu serviço como variáveis de ambiente no console do App Runner ou chamando a API. Isso separa efetivamente o gerenciamento de segredos e parâmetros do código do aplicativo e da configuração do serviço, melhorando a segurança geral dos aplicativos em execução no App Runner.
nota
O App Runner não cobra por referenciar o Secrets Manager e o SSM Parameter Store como variáveis de ambiente. No entanto, você paga o preço padrão pelo uso do Secrets Manager e do SSM Parameter Store.
Para obter mais informações sobre definição de preço, consulte o seguinte:
A seguir está o processo para referenciar dados confidenciais como variáveis de ambiente:
-
Armazene dados confidenciais, como chaves de API, credenciais de banco de dados, parâmetros de conexão de banco de dados ou versões de aplicativos como segredos ou parâmetros em um AWS Secrets Manager ou no AWS Systems Manager Parameter Store.
-
Atualize a política do IAM da sua função de instância para que o App Runner possa acessar os segredos e os parâmetros armazenados no Secrets Manager e no SSM Parameter Store. Para obter mais informações, consulte Permissões do .
-
Faça referência segura aos segredos e parâmetros como variáveis de ambiente atribuindo um nome e fornecendo seu Amazon Resource Name (ARN). Você pode adicionar variáveis de ambiente ao criar um serviço ou atualizar a configuração de um serviço. Você pode usar uma das seguintes opções para adicionar variáveis de ambiente:
-
Console do App Runner
-
API do App Runner
-
Arquivo de configuração da
apprunner.yaml
nota
Você não pode atribuir
PORTcomo nome uma variável de ambiente ao criar ou atualizar seu serviço App Runner. É uma variável de ambiente reservada para o serviço App Runner.Para obter mais informações sobre como referenciar segredos e parâmetros, consulte Gerenciamento de variáveis de ambiente.
-
nota
Como o App Runner armazena apenas a referência a ARNs secretos e de parâmetros, os dados confidenciais não são visíveis para outras pessoas na configuração do serviço App Runner e nos registros do aplicativo.
Considerações
-
Certifique-se de atualizar sua função de instância com as permissões apropriadas para acessar os segredos e os parâmetros no AWS Secrets Manager ou no AWS Systems Manager Parameter Store. Para obter mais informações, consulte Permissões do .
-
Certifique-se de que o AWS Systems Manager Parameter Store esteja no Conta da AWS mesmo serviço que você deseja iniciar ou atualizar. Atualmente, você não pode referenciar os parâmetros do SSM Parameter Store em todas as contas.
-
Quando os segredos e os valores dos parâmetros são alternados ou alterados, eles não são atualizados automaticamente no seu serviço App Runner. Reimplante seu serviço App Runner, pois o App Runner só extrai segredos e parâmetros durante a implantação.
-
Você também tem a opção de chamar AWS Secrets Manager diretamente o AWS Systems Manager Parameter Store por meio do SDK em seu serviço App Runner.
-
Para evitar erros, certifique-se do seguinte ao referenciá-las como variáveis de ambiente:
-
Você especifica o ARN correto do segredo.
-
Você especifica o nome correto ou o ARN do parâmetro.
-
Permissões
Para habilitar a referência a segredos e parâmetros armazenados no AWS Secrets Manager ou SSM Parameter Store, adicione as permissões apropriadas à política do IAM do seu papel de instância para acessar o Secrets Manager e o SSM Parameter Store.
nota
O App Runner não pode acessar recursos em sua conta sem sua permissão. Você fornece a permissão por meio da atualização da sua política do IAM.
Você pode usar os seguintes modelos de política para atualizar sua função de instância no console do IAM. Você pode modificar esses modelos de política para atender às suas necessidades específicas. Para obter mais informações sobre como atualizar uma função de instância, consulte Como modificar uma função no Guia do usuário do IAM.
nota
Você também pode copiar os seguintes modelos do console do App Runner ao criar as variáveis de ambiente.
Copie o modelo a seguir para sua função de instância para adicionar permissão para referenciar segredos de AWS Secrets Manager.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "kms:Decrypt*" ], "Resource": [ "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:<secret_name>", "arn:aws:kms:<region>:<aws_account_id>:key/<key_id>" ] } ] }
Copie o modelo a seguir para sua função de instância para adicionar permissão aos parâmetros de referência do AWS Systems ManagerParameter Store.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:GetParameters" ], "Resource": [ "arn:aws:ssm:<region>:<aws_account_id>:parameter/<parameter_name>" ] } ] }
