Habilitando endpoint privado para tráfego de entrada - AWS App Runner
ConsideraçõesPermissõesEndpoint da interface VPCConexão de ingresso da VPCEndpoint privadoResumo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitando endpoint privado para tráfego de entrada

Por padrão, quando você cria um AWS App Runner serviço, o serviço pode ser acessado pela Internet. No entanto, você também pode tornar seu serviço App Runner privado e acessível somente de dentro de uma Amazon Virtual Private Cloud (Amazon VPC).

Com o serviço App Runner privado, você tem controle total sobre o tráfego de entrada, adicionando uma camada adicional de segurança. Isso é útil em vários casos de uso, incluindo a execução de APIs internas, aplicativos web corporativos ou aplicativos que ainda estão em desenvolvimento e que exigem um nível maior de privacidade e segurança ou precisam atender a requisitos específicos de conformidade.

nota

Se seu aplicativo App Runner exigir regras de controle de tráfego de entrada IP/CIDR de origem, você deverá usar regras de grupo de segurança para endpoints privados em vez de WAF Web ACLs. Isso ocorre porque atualmente não oferecemos suporte ao encaminhamento de dados IP de origem da solicitação para os serviços privados do App Runner associados ao WAF. Como resultado, as regras de IP de origem para serviços privados do App Runner que estão associados às ACLs da web do WAF não aderem às regras baseadas em IP.

Para saber mais sobre segurança de infraestrutura e grupos de segurança, incluindo as melhores práticas, consulte os seguintes tópicos no Guia do usuário da Amazon VPC: Controle o tráfego de rede e Controle o tráfego para seus recursos da AWS usando grupos de segurança.

Quando seu serviço App Runner é privado, você pode acessá-lo de dentro de uma Amazon VPC. Não é necessário um gateway de internet, dispositivo NAT ou conexão VPN.

nota

Atualmente, o App Runner oferece suporte ao tipo de endereço de pilha dupla (IPv4 e IPv6) somente para tráfego público de entrada. Para tráfego de saída e tráfego de entrada privado, somente IPv4 é suportado.

Considerações

  • Antes de configurar um endpoint de interface VPC para o App Runner, leia as considerações no guia.AWS PrivateLink

  • As políticas de VPC endpoint não são compatíveis com o App Runner. Por padrão, o acesso total ao App Runner é permitido por meio do endpoint da interface VPC. Como alternativa, você pode associar um grupo de segurança às interfaces de rede do endpoint para controlar o tráfego para o App Runner por meio do endpoint da interface VPC.

  • Se seu aplicativo App Runner exigir regras de controle de tráfego de entrada IP/CIDR de origem, você deverá usar regras de grupo de segurança para endpoints privados em vez de WAF Web ACLs. Isso ocorre porque atualmente não oferecemos suporte ao encaminhamento de dados IP de origem da solicitação para os serviços privados do App Runner associados ao WAF. Como resultado, as regras de IP de origem para serviços privados do App Runner que estão associados às ACLs da web do WAF não aderem às regras baseadas em IP.

  • Depois de habilitar um endpoint privado, seu serviço só poderá ser acessado pela sua VPC e não poderá ser acessado pela Internet.

  • Para maior disponibilidade, é recomendável selecionar pelo menos duas sub-redes na zona de disponibilidade diferentes para o endpoint da interface VPC. Não recomendamos usar apenas uma sub-rede.

  • Você pode usar o mesmo endpoint da interface VPC para acessar vários serviços do App Runner em uma VPC.

Para obter informações sobre os termos usados nesta seção, consulte Terminologia.

Permissões

A seguir está a lista de permissões necessárias para habilitar o endpoint privado:

  • ec2: CreateTags

  • ec2: CreateVpcEndpoint

  • ec2: ModifyVpcEndpoint

  • ec2: DeleteVpcEndpoints

  • ec2: DescribeSubnets

  • ec2: DescribeVpcEndpoints

  • ec2: DescribeVpcs

Endpoint da interface VPC

Um endpoint de interface VPC é um AWS PrivateLinkrecurso que conecta uma Amazon VPC a um serviço de endpoint. Você pode especificar em qual Amazon VPC você gostaria que seu serviço App Runner estivesse acessível passando um endpoint de interface VPC. Para criar um endpoint de interface VPC, especifique o seguinte:

  • A Amazon VPC para habilitar a conectividade.

  • Adicione grupos de segurança. Por padrão, um grupo de segurança é atribuído ao endpoint da interface VPC. Você pode optar por associar um grupo de segurança personalizado para aumentar o controle do tráfego de entrada da rede.

  • Adicione sub-redes. Para garantir maior disponibilidade, é recomendável selecionar pelo menos duas sub-redes para cada zona de disponibilidade a partir da qual você acessará o serviço App Runner. Um endpoint de interface de rede é criado em cada sub-rede que você habilita para o endpoint da interface VPC. Essas são interfaces de rede gerenciadas pelo solicitante que servem como ponto de entrada para o tráfego destinado ao App Runner. Uma interface de rede gerenciada pelo solicitante é uma interface de rede que um serviço da AWS cria na sua VPC em seu nome.

  • Se você estiver usando a API, adicione o endpoint da interface VPC do App Runner. Servicename Por exemplo, 

    com.amazonaws.region.apprunner.requests

Você pode criar um endpoint de interface VPC usando um dos seguintes serviços: AWS

nota

Você é cobrado por cada endpoint de interface VPC usado com base nos preços.AWS PrivateLink Portanto, para melhor eficiência de custos, você pode usar o mesmo endpoint de interface VPC para acessar vários serviços do App Runner em uma VPC. No entanto, para um melhor isolamento, considere associar um endpoint de interface VPC diferente para cada um dos seus serviços do App Runner.

Conexão de ingresso da VPC

Uma conexão de entrada de VPC é um recurso do App Runner que especifica um endpoint do App Runner para o tráfego de entrada. O App Runner atribui o recurso VPC Ingress Connection nos bastidores quando você escolhe um endpoint privado no console do App Runner para seu tráfego de entrada. Escolha essa opção para permitir que somente o tráfego de uma Amazon VPC acesse seu serviço App Runner. O recurso VPC Ingress Connection conecta seu serviço App Runner ao endpoint da interface VPC da Amazon VPC. Você pode criar um recurso de conexão de entrada de VPC somente se estiver usando as operações de API para definir as configurações de rede para o tráfego de entrada. Para obter mais informações sobre como criar o recurso VPC Ingress Connection, consulte a Referência da CreateVpcIngressConnectionAWS App Runner API.

nota

Um recurso de conexão de entrada de VPC do App Runner pode se conectar a um endpoint de interface de VPC da Amazon VPC. Além disso, você só pode criar um recurso de conexão de entrada de VPC para cada serviço do App Runner.

Endpoint privado

O endpoint privado é uma opção de console do App Runner que você pode escolher se quiser receber apenas tráfego de entrada de uma Amazon VPC. Escolher a opção de endpoint privado no console do App Runner oferece a opção de conectar seu serviço a uma VPC configurando seu endpoint de interface VPC. Nos bastidores, o App Runner atribui um recurso de conexão de entrada da VPC ao endpoint da interface da VPC que você configura.

nota

Somente o tráfego de rede IPv4 é suportado para endpoint privado.

Resumo

Torne seu serviço privado permitindo que apenas o tráfego de uma Amazon VPC acesse seu serviço App Runner. Para conseguir isso, você cria um endpoint de interface VPC para a Amazon VPC selecionada usando o App Runner ou o Amazon VPC. No console do App Runner, você cria um endpoint de interface VPC ao ativar o endpoint privado para o tráfego de entrada. Em seguida, o App Runner cria automaticamente um recurso VPC Ingress Connection e se conecta ao endpoint da interface VPC e ao seu serviço App Runner. Isso cria uma conexão de serviço privada que garante que somente o tráfego da VPC selecionada possa acessar seu serviço App Runner.