AWS App Runner não estará mais aberto a novos clientes a partir de 30 de abril de 2026. Se você quiser usar o App Runner, inscreva-se antes dessa data. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte [Mudança de disponibilidade do AWS App Runner](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança no App Runner
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de data centers e arquiteturas de rede criados para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam AWS App Runner, consulte [AWS Serviços no escopo do programa de conformidade AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar o App Runner. Os tópicos a seguir mostram como configurar o App Runner para atender aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus recursos do App Runner.
**Topics**
+ [Proteção de dados no App Runner](security-data-protection.md)
+ [Gerenciamento de identidade e acesso para App Runner](security-iam.md)
+ [Registro e monitoramento no App Runner](security-monitoring.md)
+ [Validação de conformidade para o App Runner](security-compliance.md)
+ [Resiliência no App Runner](security-resilience.md)
+ [Segurança da infraestrutura em AWS App Runner](security-infrastructure.md)
+ [Usando o App Runner com VPC endpoints](security-vpce.md)
+ [Análise de configuração e vulnerabilidade no App Runner](security-shared-responsibility.md)
+ [Melhores práticas de segurança para o App Runner](security-best-practices.md)
# Proteção de dados no App Runner
O modelo de [responsabilidade AWS compartilhada modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados em AWS App Runner. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o App Runner ou outro Serviços da AWS usando o console, a API ou AWS SDKs. AWS CLI Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
Para outros tópicos de segurança do App Runner, consulte[Segurança no App Runner](security.md).
**Topics**
+ [Proteção de dados usando criptografia](security-data-protection-encryption.md)
+ [Privacidade do tráfego entre redes](security-data-protection-internetwork.md)
# Proteção de dados usando criptografia
AWS App Runner lê a fonte do aplicativo (imagem de origem ou código-fonte) de um repositório que você especifica e a armazena para implantação em seu serviço. Para obter mais informações, consulte [Arquitetura e conceitos do App Runner](architecture.md).
A proteção de dados se refere à proteção de dados *em trânsito* (à medida que viajam de e para o App Runner) e *em repouso* (enquanto são armazenados em data AWS centers).
Para mais informações sobre a proteção de dados, consulte [Proteção de dados no App Runner](security-data-protection.md).
Para outros tópicos de segurança do App Runner, consulte[Segurança no App Runner](security.md).
## Criptografia em trânsito
Você pode obter proteção de dados em trânsito de duas maneiras: criptografar a conexão usando Transport Layer Security (TLS) ou usar criptografia do lado do cliente (onde o objeto é criptografado antes de ser enviado). Ambos os métodos são válidos para proteger os dados do aplicativo. Para proteger a conexão, criptografe-a usando TLS sempre que seu aplicativo, seus desenvolvedores e administradores e seus usuários finais enviarem ou receberem objetos. O App Runner configura seu aplicativo para receber tráfego via TLS.
A criptografia do lado do cliente não é um método válido para proteger a imagem ou o código de origem que você fornece ao App Runner para implantação. O App Runner precisa acessar a fonte do seu aplicativo, portanto, ele não pode ser criptografado. Portanto, certifique-se de proteger a conexão entre seu ambiente de desenvolvimento ou implantação e o App Runner.
## Criptografia em repouso e gerenciamento de chaves
Para proteger os dados do seu aplicativo em repouso, o App Runner criptografa todas as cópias armazenadas da imagem de origem ou do pacote de origem do aplicativo. Ao criar um serviço App Runner, você pode fornecer um AWS KMS key. Se você fornecer uma, o App Runner usa a chave fornecida para criptografar sua fonte. Se você não fornecer um, o App Runner usa um Chave gerenciada pela AWS em vez disso.
Para obter detalhes sobre os parâmetros de criação do serviço App Runner, consulte [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html). Para obter informações sobre AWS Key Management Service (AWS KMS), consulte o [Guia do AWS Key Management Service desenvolvedor](https://docs.aws.amazon.com/kms/latest/developerguide/).
# Privacidade do tráfego entre redes
O App Runner usa a Amazon Virtual Private Cloud (Amazon VPC) para criar limites entre os recursos em seu aplicativo App Runner e controlar o tráfego entre eles, sua rede local e a Internet. Para obter mais informações sobre a segurança da Amazon VPC, consulte Privacidade do [tráfego entre redes na Amazon VPC no Guia do usuário da *Amazon* VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html).
Para obter informações sobre como associar seu aplicativo App Runner a uma Amazon VPC personalizada, consulte. [Habilitando o acesso à VPC para tráfego de saída](network-vpc.md)
Para obter informações sobre como proteger solicitações para o App Runner usando um VPC endpoint, consulte. [Usando o App Runner com VPC endpoints](security-vpce.md)
Para mais informações sobre a proteção de dados, consulte [Proteção de dados no App Runner](security-data-protection.md).
Para outros tópicos de segurança do App Runner, consulte[Segurança no App Runner](security.md).
# Gerenciamento de identidade e acesso para App Runner
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) para usar os recursos do App Runner. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
Para outros tópicos de segurança do App Runner, consulte[Segurança no App Runner](security.md).
**Topics**
+ [Público](#security-iam.audience)
+ [Autenticação com identidades](#security-iam.authentication)
+ [Gerenciar o acesso usando políticas](#security-iam.access-manage)
+ [Como o App Runner funciona com o IAM](security_iam_service-with-iam.md)
+ [Exemplos de políticas baseadas em identidade do App Runner](security_iam_id-based-policy-examples.md)
+ [Usando funções vinculadas ao serviço para o App Runner](security-iam-slr.md)
+ [AWS políticas gerenciadas para AWS App Runner](security-iam-awsmanpol.md)
+ [Solução de problemas de identidade e acesso ao App Runner](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso ao App Runner](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o App Runner funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade do App Runner](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como o App Runner funciona com o IAM
Antes de usar o IAM para gerenciar o acesso AWS App Runner, você deve entender quais recursos do IAM estão disponíveis para uso com o App Runner. Para ter uma visão geral de como o App Runner e outros AWS serviços funcionam com o IAM, consulte [AWS Serviços que funcionam com o IAM no Guia do](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *usuário do IAM*.
Para outros tópicos de segurança do App Runner, consulte[Segurança no App Runner](security.md).
**Topics**
+ [Políticas baseadas em identidade do App Runner](#security_iam_service-with-iam-id-based-policies)
+ [Políticas baseadas em recursos do App Runner](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização com base nas tags do App Runner](#security_iam_service-with-iam-tags)
+ [Permissões de usuário do App Runner](#security_iam_service-with-iam-users)
+ [Funções do App Runner IAM](#security_iam_service-with-iam-roles)
## Políticas baseadas em identidade do App Runner
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. O App Runner oferece suporte a ações, recursos e chaves de condição específicos. Para conhecer todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações de política no App Runner usam o seguinte prefixo antes da ação:. `apprunner:` Por exemplo, para conceder permissão a alguém para executar uma instância do Amazon EC2 com a operação da API `RunInstances` do Amazon EC2, inclua a ação `ec2:RunInstances` na política da pessoa. As instruções de política devem incluir um elemento `Action` ou `NotAction`. O App Runner define seu próprio conjunto de ações que descrevem as tarefas que você pode realizar com esse serviço.
Para especificar várias ações em uma única instrução, separe-as com vírgulas, como segue:
```
"Action": [
"apprunner:CreateService",
"apprunner:CreateConnection"
]
```
Você também pode especificar várias ações usando caracteres curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a seguinte ação:
```
"Action": "apprunner:Describe*"
```
Para ver uma lista das ações do App Runner, consulte [Ações definidas por AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions) na *Referência de Autorização de Serviço*.
### Recursos
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
Os recursos do App Runner têm a seguinte estrutura de ARN:
```
arn:aws:apprunner:region:account-id:resource-type/resource-name[/resource-id]
```
Para obter mais informações sobre o formato de ARNs, consulte [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) no. *Referência geral da AWS*
Por exemplo, para especificar o `my-service` serviço em sua declaração, use o seguinte ARN:
```
"Resource": "arn:aws:apprunner:us-east-1:123456789012:service/my-service"
```
Para especificar todos os serviços que pertencem a uma conta específica, use o caractere curinga (\$1):
```
"Resource": "arn:aws:apprunner:us-east-1:123456789012:service/*"
```
Algumas ações do App Runner, como aquelas para criar recursos, não podem ser executadas em um recurso específico. Nesses casos, é necessário utilizar o caractere curinga (\$1).
```
"Resource": "*"
```
Para ver uma lista dos tipos de recursos do App Runner e seus ARNs, consulte [Recursos definidos por AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-resources-for-iam-policies) na *Referência de Autorização de Serviço*. Para saber com quais ações é possível especificar o ARN de cada atributo, consulte [Ações definidas pelo AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions).
### Chaves de condição
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
O App Runner suporta o uso de algumas chaves de condição globais. Para ver todas as chaves de condição AWS globais, consulte [Chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
O App Runner define um conjunto de chaves de condição específicas do serviço. Além disso, o App Runner oferece suporte ao controle de acesso baseado em tags, que é implementado usando chaves de condição. Para obter detalhes, consulte [Autorização com base nas tags do App Runner](#security_iam_service-with-iam-tags).
Para ver uma lista das chaves de condição do App Runner, consulte [Chaves de condição AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-policy-keys) na *Referência de autorização de serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas por AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions).
### Exemplos
Para ver exemplos de políticas baseadas em identidade do App Runner, consulte. [Exemplos de políticas baseadas em identidade do App Runner](security_iam_id-based-policy-examples.md)
## Políticas baseadas em recursos do App Runner
O App Runner não oferece suporte a políticas baseadas em recursos.
## Autorização com base nas tags do App Runner
Você pode anexar tags aos recursos do App Runner ou passar tags em uma solicitação para o App Runner. Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `apprunner:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`. Para obter mais informações sobre a marcação de recursos do App Runner, consulte. [Configurando um serviço App Runner](manage-configure.md)
Para visualizar um exemplo de política baseada em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte [Controle do acesso aos serviços do App Runner com base em tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags).
## Permissões de usuário do App Runner
Para usar o App Runner, os usuários do IAM precisam de permissões para as ações do App Runner. Uma forma comum de conceder permissões aos usuários é anexar uma política aos usuários ou grupos do IAM. Para obter mais informações sobre o gerenciamento de permissões de usuário, consulte [Alteração de permissões para um usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) *no Guia do usuário do IAM*.
O App Runner fornece duas políticas gerenciadas que você pode anexar aos seus usuários.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerReadOnlyAccess.html)— Concede permissões para listar e visualizar detalhes sobre os recursos do App Runner.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerFullAccess.html)— Concede permissões para todas as ações do App Runner.
Para um controle mais granular das permissões do usuário, você pode criar uma política personalizada e anexá-la aos seus usuários. Para obter detalhes, consulte [Criação de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) *no Guia do usuário do IAM*.
Para obter exemplos de políticas de usuário, consulte[Políticas de usuário](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-users).
## Funções do App Runner IAM
Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua Conta da AWS que tem permissões específicas.
### Perfis vinculados ao serviço
[As funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permitem que AWS os serviços acessem recursos em outros serviços para concluir uma ação em seu nome. Os perfis vinculados a serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para perfis vinculados a serviço.
O App Runner oferece suporte a funções vinculadas a serviços. Para obter informações sobre como criar ou gerenciar funções vinculadas ao serviço do App Runner, consulte. [Usando funções vinculadas ao serviço para o App Runner](security-iam-slr.md)
### Perfis de serviço
Esse atributo permite que um serviço assuma um [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. Os perfis de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um usuário do IAM pode alterar as permissões para essa função. Porém, fazer isso pode alterar a funcionalidade do serviço.
O App Runner oferece suporte a algumas funções de serviço.
#### Função de acesso
A função de acesso é uma função que o App Runner usa para acessar imagens no Amazon Elastic Container Registry (Amazon ECR) em sua conta. É necessário acessar uma imagem no Amazon ECR e não no Amazon ECR Public.
Antes de criar um serviço com base em uma imagem no Amazon ECR, use o IAM para criar uma função de serviço. Use a política gerenciada [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerServicePolicyForECRAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerServicePolicyForECRAccess.html)em sua função de serviço. Em seguida, você pode passar essa função para o App Runner ao chamar a [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html)API no [AuthenticationConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_AuthenticationConfiguration.html)membro do [SourceConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_SourceConfiguration.html)parâmetro ou ao usar o console do App Runner para criar um serviço.
**nota**
Se você criar sua própria política personalizada para sua função de acesso, não se esqueça de especificar `"Resource": "*"` para a `ecr:GetAuthorizationToken` ação. Os tokens podem ser usados para acessar qualquer registro do Amazon ECR ao qual você tenha acesso.
Ao criar sua função de acesso, não se esqueça de adicionar uma política de confiança que declare o diretor do serviço App Runner `build.apprunner.amazonaws.com` como uma entidade confiável.
##### Política de confiança para uma função de acesso
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "build.apprunner.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Se você usar o console do App Runner para criar um serviço, o console poderá criar automaticamente uma função de acesso para você e escolhê-la para o novo serviço. O console também lista outras funções em sua conta, e você pode selecionar uma função diferente, se quiser.
#### Perfil da instância
O papel da instância é um papel opcional que o App Runner usa para fornecer permissões às ações de AWS serviço que as instâncias de computação do seu serviço precisam. Você precisa fornecer uma função de instância ao App Runner se o código do aplicativo chamar AWS actions (APIs). Incorpore as permissões necessárias na função da instância ou crie sua própria política personalizada e use-a na função da instância. Não temos como prever quais chamadas seu código usa. Portanto, não fornecemos uma política gerenciada para essa finalidade.
Antes de criar um serviço App Runner, use o IAM para criar uma função de serviço com as políticas personalizadas ou incorporadas necessárias. Em seguida, você pode passar essa função para o App Runner como função de instância ao chamar a [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html)API no `InstanceRoleArn` membro do [InstanceConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_InstanceConfiguration.html)parâmetro ou ao usar o console do App Runner para criar um serviço.
Ao criar sua função de instância, não se esqueça de adicionar uma política de confiança que declare o diretor do serviço App Runner `tasks.apprunner.amazonaws.com` como uma entidade confiável.
##### Política de confiança para uma função de instância
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "tasks.apprunner.aws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Se você usar o console do App Runner para criar um serviço, o console listará as funções em sua conta e você poderá selecionar a função que criou para essa finalidade.
Para obter informações sobre a criação de um serviço, consulte[Criar serviços do App Runner](manage-create.md).
# Exemplos de políticas baseadas em identidade do App Runner
Por padrão, os usuários e funções do IAM não têm permissão para criar ou modificar AWS App Runner recursos. Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS AWS CLI, ou. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Manual do usuário do IAM*.
Para outros tópicos de segurança do App Runner, consulte[Segurança no App Runner](security.md).
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Políticas de usuário](#security_iam_id-based-policy-examples-users)
+ [Controle do acesso aos serviços do App Runner com base em tags](#security_iam_id-based-policy-examples-view-widget-tags)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do App Runner em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e passe para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Políticas de usuário
Para acessar o console do App Runner, os usuários do IAM devem ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos do App Runner em seu Conta da AWS. Se você criar uma política baseada em identidade que seja mais restritiva do que as permissões mínimas exigidas, o console não funcionará conforme planejado para os usuários com essa política.
O App Runner fornece duas políticas gerenciadas que você pode anexar aos seus usuários.
+ `AWSAppRunnerReadOnlyAccess`— Concede permissões para listar e visualizar detalhes sobre os recursos do App Runner.
+ `AWSAppRunnerFullAccess`— Concede permissões para todas as ações do App Runner.
Para garantir que os usuários possam usar o console do App Runner, anexe, no mínimo, a política `AWSAppRunnerReadOnlyAccess` gerenciada aos usuários. Em vez disso, você pode anexar a política `AWSAppRunnerFullAccess` gerenciada ou adicionar permissões adicionais específicas para permitir que os usuários criem, modifiquem e excluam recursos. Para obter mais informações, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente às ações que correspondam à operação de API que você deseja permitir que os usuários realizem.
Os exemplos a seguir demonstram políticas de usuário personalizadas. Você pode usá-los como pontos de partida para definir suas próprias políticas de usuário personalizadas. Copie o exemplo e/ou remova ações, defina o escopo dos recursos e adicione condições.
### Exemplo: política de usuário de gerenciamento de console e conexão
Este exemplo de política permite o acesso ao console e permite a criação e o gerenciamento de conexões. Ele não permite a criação e o gerenciamento do serviço App Runner. Ele pode ser anexado a um usuário cuja função é gerenciar o acesso do serviço App Runner aos ativos do código-fonte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"apprunner:List*",
"apprunner:Describe*",
"apprunner:CreateConnection",
"apprunner:DeleteConnection"
],
"Resource": "*"
}
]
}
```
------
### Exemplo: políticas de usuário que usam chaves de condição
Os exemplos nesta seção demonstram permissões condicionais que dependem de algumas propriedades de recursos ou parâmetros de ação.
Este exemplo de política permite criar um serviço App Runner, mas nega o uso de uma conexão chamada. `prod`
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17",
"Statement":
[ { "Sid": "AllowCreateAppRunnerServiceWithNonProdConnections",
"Effect": "Allow",
"Action": "apprunner:CreateService",
"Resource": "*",
"Condition":
{ "ArnNotLike":
{"apprunner:ConnectionArn":"arn:aws:apprunner:*:*:connection/prod/*"}
}
}
]
}
```
------
Este exemplo de política permite atualizar um serviço do App Runner nomeado `preprod` somente com uma configuração de escalonamento automático chamada. `preprod`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUpdatePreProdAppRunnerServiceWithPreProdASConfig",
"Effect": "Allow",
"Action": "apprunner:UpdateService",
"Resource": "arn:aws:apprunner:*:*:service/preprod/*",
"Condition": {
"ArnLike": {
"apprunner:AutoScalingConfigurationArn": "arn:aws:apprunner:us-east-1:*:autoscalingconfiguration/preprod/*"
}
}
}
]
}
```
------
## Controle do acesso aos serviços do App Runner com base em tags
Você pode usar condições em sua política baseada em identidade para controlar o acesso aos recursos do App Runner com base em tags. Este exemplo mostra como você pode criar uma política que permita excluir um serviço do App Runner. No entanto, a permissão será concedida somente se a tag `Owner` tiver o valor do nome desse usuário. Essa política também concede as permissões necessárias concluir essa ação no console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListServicesInConsole",
"Effect": "Allow",
"Action": "apprunner:ListServices",
"Resource": "*"
},
{
"Sid": "DeleteServiceIfOwner",
"Effect": "Allow",
"Action": "apprunner:DeleteService",
"Resource": "arn:aws:apprunner:us-east-1:*:service/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Owner": "${aws:username}"}
}
}
]
}
```
------
É possível anexar essa política aos usuários do IAM na sua conta. Se um usuário chamado `richard-roe` tentar excluir um serviço do App Runner, o serviço deverá ser marcado como `Owner=richard-roe` ou`owner=richard-roe`. Caso contrário, ele terá o acesso negado. A chave da tag de condição `Owner` corresponde a `Owner` e a `owner` porque os nomes das chaves de condição não fazem distinção entre maiúsculas e minúsculas. Para obter mais informações, consulte [IAM JSON Policy Elements: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (Elementos da política JSON do IAM: Condição) no *Guia do usuário do IAM*.
# Usando funções vinculadas ao serviço para o App Runner
AWS App Runner usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao App Runner. As funções vinculadas ao serviço são predefinidas pelo App Runner e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
**Topics**
+ [Usando funções para gerenciamento](using-service-linked-roles-management.md)
+ [Usando funções para networking](using-service-linked-roles-networking.md)
# Usando funções para gerenciamento
AWS App Runner usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao App Runner. As funções vinculadas ao serviço são predefinidas pelo App Runner e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração do App Runner porque você não precisa adicionar manualmente as permissões necessárias. O App Runner define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente o App Runner pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do App Runner porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Permissões de função vinculadas ao serviço para App Runner
O App Runner usa a função vinculada ao serviço chamada. **AWSServiceRoleForAppRunner**
A função permite que o App Runner execute as seguintes tarefas:
+ Envie os registros para os grupos de CloudWatch registros do Amazon Logs.
+ Crie regras do Amazon CloudWatch Events para assinar os push de imagens do Amazon Elastic Container Registry (Amazon ECR).
+ Envie informações de rastreamento para. AWS X-Ray
A função AWSService RoleForAppRunner vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `apprunner.amazonaws.com`
As políticas de permissões da função AWSService RoleForAppRunner vinculada ao serviço contêm todas as permissões que o App Runner precisa para concluir ações em seu nome:
+ Política gerenciada [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerServiceRolePolicy.html)
+ Política de rastreamento de raio-X — Veja o conteúdo da política a seguir.
### Política de rastreamento por raio-X
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para saber mais, consulte [Permissões de Função Vinculadas ao Serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.
## Criação de uma função vinculada ao serviço para o App Runner
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um serviço App Runner na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o App Runner cria a função vinculada ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um serviço App Runner, o App Runner cria a função vinculada ao serviço para você novamente.
## Editando uma função vinculada ao serviço para o App Runner
O App Runner não permite que você edite a função vinculada ao AWSService RoleForAppRunner serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para o App Runner
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.
### Limpar um perfil vinculado ao serviço
Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil.
No App Runner, isso significa excluir todos os serviços do App Runner em sua conta. Para saber mais sobre como excluir os serviços do App Runner, consulte. [Excluindo um serviço do App Runner](manage-delete.md)
**nota**
Se o serviço App Runner estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
### Excluir manualmente o perfil vinculado ao serviço
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForAppRunner vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas ao serviço App Runner
O App Runner oferece suporte ao uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [endpoints e cotas do AWS App Runner](https://docs.aws.amazon.com/general/latest/gr/apprunner.html) na *Referência geral da AWS*.
# Usando funções para networking
AWS App Runner usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao App Runner. As funções vinculadas ao serviço são predefinidas pelo App Runner e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração do App Runner porque você não precisa adicionar manualmente as permissões necessárias. O App Runner define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente o App Runner pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do App Runner porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Permissões de função vinculadas ao serviço para App Runner
O App Runner usa a função vinculada ao serviço chamada. **AWSServiceRoleForAppRunnerNetworking**
A função permite que o App Runner execute as seguintes tarefas:
+ Conecte uma VPC ao seu serviço App Runner e gerencie as interfaces de rede.
A função AWSService RoleForAppRunnerNetworking vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `networking.apprunner.amazonaws.com`
A política de permissões de função nomeada [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerNetworkingServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AppRunnerNetworkingServiceRolePolicy.html)contém todas as permissões que o App Runner precisa para concluir ações em seu nome.
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para saber mais, consulte [Permissões de Função Vinculadas ao Serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.
## Criação de uma função vinculada ao serviço para o App Runner
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um conector VPC na, na ou na AWS API Console de gerenciamento da AWS AWS CLI, o App Runner cria a função vinculada ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um conector VPC, o App Runner cria a função vinculada ao serviço para você novamente.
## Editando uma função vinculada ao serviço para o App Runner
O App Runner não permite que você edite a função vinculada ao AWSService RoleForAppRunnerNetworking serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para o App Runner
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.
### Limpar uma função vinculada ao serviço
Antes de usar o IAM para excluir um perfil vinculado ao serviço, você deverá excluir qualquer recurso usado pelo perfil.
No App Runner, isso significa desassociar os conectores VPC de todos os serviços do App Runner em sua conta e excluir os conectores VPC. Para obter mais informações, consulte [Habilitando o acesso à VPC para tráfego de saída](network-vpc.md).
**nota**
Se o serviço App Runner estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
### Excluir manualmente a função vinculada ao serviço
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForAppRunnerNetworking vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas ao serviço App Runner
O App Runner oferece suporte ao uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [endpoints e cotas do AWS App Runner](https://docs.aws.amazon.com/general/latest/gr/apprunner.html) na *Referência geral da AWS*.
# AWS políticas gerenciadas para AWS App Runner
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.
Para obter mais informações, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## Atualizações do App Runner nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do App Runner desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página de histórico de documentos do App Runner.
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSAppRunnerReadOnlyAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-users) – Nova política | O App Runner adicionou uma nova política para permitir que os usuários listem e visualizem detalhes sobre os recursos do App Runner. | 24 de fevereiro de 2022 |
| [AWSAppRunnerFullAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-users): atualizar para uma política existente | O App Runner atualizou a lista de recursos da `iam:CreateServiceLinkedRole` ação para permitir a criação da função `AWSServiceRoleForAppRunnerNetworking` vinculada ao serviço. | 8 de fevereiro de 2022 |
| [AppRunnerNetworkingServiceRolePolicy](using-service-linked-roles-networking.md) – Nova política | O App Runner adicionou uma nova política para permitir que o App Runner faça chamadas para a Amazon Virtual Private Cloud para anexar uma VPC ao seu serviço App Runner e gerenciar interfaces de rede em nome dos serviços do App Runner. A política é usada na função `AWSServiceRoleForAppRunnerNetworking` vinculada ao serviço. | 8 de fevereiro de 2022 |
| [AWSAppRunnerFullAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-users) – Nova política | O App Runner adicionou uma nova política para permitir que os usuários realizem todas as ações do App Runner. | 10 de janeiro de 2022 |
| [AppRunnerServiceRolePolicy](using-service-linked-roles-management.md) – Nova política | O App Runner adicionou uma nova política para permitir que o App Runner faça chamadas para o Amazon CloudWatch Logs e o Amazon CloudWatch Events em nome dos serviços do App Runner. A política é usada na função `AWSServiceRoleForAppRunner` vinculada ao serviço. | 1 de março de 2021 |
| [AWSAppRunnerServicePolicyForECRAccess](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service.access) – Nova política | O App Runner adicionou uma nova política para permitir que o App Runner acesse imagens do Amazon Elastic Container Registry (Amazon ECR) em sua conta. | 1 de março de 2021 |
| O App Runner começou a monitorar as alterações | O App Runner começou a monitorar as mudanças em suas políticas AWS gerenciadas. | 1 de março de 2021 |
# Solução de problemas de identidade e acesso ao App Runner
Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com AWS App Runner um IAM.
Para outros tópicos de segurança do App Runner, consulte[Segurança no App Runner](security.md).
**Topics**
+ [Não estou autorizado a realizar uma ação no App Runner](#security_iam_troubleshoot-no-permissions)
+ [Quero permitir que pessoas fora da minha acessem meus Conta da AWS recursos do App Runner](#security_iam_troubleshoot-cross-account-access)
## Não estou autorizado a realizar uma ação no App Runner
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. Seu administrador é a pessoa que forneceu suas credenciais de AWS login.
O exemplo de erro a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para ver detalhes sobre um serviço do App Runner, mas não tem `apprunner:DescribeService` permissões.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: apprunner:DescribeService on resource: my-example-service
```
Nesse caso, Mary pede ao administrador que atualize suas políticas para permitir que ela acesse o `my-example-service` recurso usando a `apprunner:DescribeService` ação.
## Quero permitir que pessoas fora da minha acessem meus Conta da AWS recursos do App Runner
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o App Runner é compatível com esses recursos, consulte[Como o App Runner funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Registro e monitoramento no App Runner
O monitoramento é uma parte importante para manter a confiabilidade, a disponibilidade e o desempenho do seu AWS App Runner serviço. A coleta de dados de monitoramento de todas as partes da AWS solução permite que você depure com mais facilidade uma falha, caso ela ocorra. O App Runner se integra a várias AWS ferramentas para monitorar seus serviços do App Runner e responder a possíveis incidentes.
** CloudWatch Alarmes da Amazon**
Com CloudWatch os alarmes da Amazon, você pode observar uma métrica de serviço durante um período de tempo especificado por você. Se a métrica exceder um determinado limite por um determinado número de períodos, você receberá uma notificação.
O App Runner coleta uma variedade de métricas sobre o serviço como um todo e as instâncias (unidades de escalabilidade) que executam seu serviço web. Para obter mais informações, consulte [Métricas (CloudWatch)](monitor-cw.md).
**Logs de aplicações**
O App Runner coleta a saída do código do seu aplicativo e a transmite para o Amazon Logs. CloudWatch O que está nessa saída depende de você. Por exemplo, você pode incluir registros detalhados das solicitações feitas ao seu serviço web. Esses registros de log podem ser úteis em auditorias de segurança e acesso. Para obter mais informações, consulte [Registros (CloudWatch Registros)](monitor-cwl.md).
**AWS CloudTrail registros de ações**
O App Runner é integrado com AWS CloudTrail, um serviço que fornece um registro das ações realizadas por um usuário, função ou AWS serviço no App Runner. CloudTrail captura todas as chamadas de API para o App Runner como eventos. Você pode visualizar os eventos mais recentes no CloudTrail console e criar uma trilha para permitir a entrega contínua de CloudTrail eventos para um bucket do Amazon Simple Storage Service (Amazon S3). Para obter mais informações, consulte [Ações de API (CloudTrail)](monitor-ct.md).
# Validação de conformidade para o App Runner
Auditores terceirizados avaliam a segurança e a conformidade AWS App Runner como parte de vários programas de AWS conformidade. Isso inclui SOC, PCI, FedRAMP, HIPAA e outros.
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).
Para outros tópicos de segurança do App Runner, consulte[Segurança no App Runner](security.md).
# Resiliência no App Runner
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que executam o failover automaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
AWS App Runner gerencia e automatiza o uso da infraestrutura AWS global em seu nome. Ao usar o App Runner, você se beneficia dos mecanismos de disponibilidade e tolerância a falhas oferecidos AWS .
Para outros tópicos de segurança do App Runner, consulte[Segurança no App Runner](security.md).
# Segurança da infraestrutura em AWS App Runner
Como serviço gerenciado, AWS App Runner é protegido pelos procedimentos AWS globais de segurança de rede descritos no whitepaper [Amazon Web Services: Visão geral dos processos de segurança](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).
Você usa chamadas de API AWS publicadas para gerenciar e operar o App Runner por meio da rede. Os clientes que chamam o App Runner APIs devem oferecer suporte ao Transport Layer Security (TLS) 1.2 ou posterior. Os clientes também devem ter compatibilidade com conjuntos de criptografia com perfect forward secrecy (PFS) como Ephemeral Diffie-Hellman (DHE) ou Ephemeral Elliptic Curve Diffie-Hellman (ECDHE). A maioria dos sistemas modernos como Java 7 e versões posteriores oferece compatibilidade com esses modos. Esses requisitos não se aplicam aos endpoints dos aplicativos App Runner.
Além disso, as solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta associada a uma entidade principal do IAM. Ou é possível usar o [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) para gerar credenciais de segurança temporárias para assinar solicitações.
Para outros tópicos de segurança do App Runner, consulte[Segurança no App Runner](security.md).
# Usando o App Runner com VPC endpoints
Seu AWS aplicativo pode integrar AWS App Runner serviços com outros Serviços da AWS que são executados em uma VPC a partir da [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) (Amazon VPC). Partes do seu aplicativo podem fazer solicitações ao App Runner de dentro da VPC. Por exemplo, você pode usar AWS CodePipeline para implantar continuamente em seu serviço App Runner. Uma forma de melhorar a segurança do seu aplicativo é enviar essas solicitações do App Runner (e solicitações para outros Serviços da AWS) por meio de um VPC endpoint.
Usando um *VPC endpoint*, você pode conectar de forma privada sua VPC a serviços de endpoint de VPC compatíveis Serviços da AWS e baseados em. AWS PrivateLink Você não precisa de um gateway de internet, dispositivo NAT, conexão VPN ou Direct Connect conexão.
Os recursos em sua VPC não usam endereços IP públicos para interagir com os recursos do App Runner. O tráfego entre sua VPC e o App Runner não sai da rede Amazon. *Para obter mais informações sobre VPC endpoints, consulte [VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) endpoints no Guia.AWS PrivateLink *
**nota**
Por padrão, o aplicativo web em seu serviço App Runner é executado em uma VPC que o App Runner fornece e configura. Essa VPC é pública. Isso significa que ele está conectado à internet. Opcionalmente, você pode associar seu aplicativo a uma VPC personalizada. Para obter mais informações, consulte [Habilitando o acesso à VPC para tráfego de saída](network-vpc.md).
Você pode configurar seus serviços para acessar a Internet AWS APIs, inclusive quando o serviço está conectado a uma VPC. Para obter instruções sobre como habilitar o acesso público à Internet para o tráfego de saída da VPC, consulte. [Considerações ao selecionar uma sub-rede](network-vpc.md#network-vpc.considerations-subnet)
O App Runner não oferece suporte à criação de um VPC endpoint para seu aplicativo.
## Configurando um VPC endpoint para o App Runner
*Para criar a interface VPC endpoint para o serviço App Runner em sua VPC, siga o procedimento [Criar um endpoint de interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) no Guia.AWS PrivateLink * Em **Nome do serviço**, escolha `com.amazonaws.region.apprunner`.
## Considerações sobre privacidade da rede VPC
**Importante**
Usar um VPC endpoint para o App Runner não garante que todo o tráfego da sua VPC permaneça fora da Internet. A VPC pode ser pública. Além disso, algumas partes da sua solução podem não usar VPC endpoints para fazer AWS chamadas de API. Por exemplo, Serviços da AWS pode ligar para outros serviços usando seus endpoints públicos. Se a privacidade do tráfego for necessária para a solução em sua VPC, leia esta seção.
Para garantir a privacidade do tráfego de rede em sua VPC, considere o seguinte:
+ *Ativar nome DNS* — partes do seu aplicativo ainda podem enviar solicitações ao App Runner pela Internet usando o endpoint `apprunner.region.amazonaws.com` público. Se sua VPC estiver configurada com acesso à Internet, essas solicitações serão bem-sucedidas sem nenhuma indicação para você. Você pode evitar isso garantindo que a **opção Ativar nome DNS** esteja ativada ao criar o endpoint. Por padrão, está definido como verdadeiro. Isso adiciona uma entrada DNS em sua VPC que mapeia o endpoint público de serviço para o VPC endpoint de interface.
+ *Configure endpoints VPC para serviços adicionais* — sua solução pode enviar solicitações para outras pessoas. Serviços da AWS Por exemplo, AWS CodePipeline pode enviar solicitações para AWS CodeBuild. Configure endpoints VPC para esses serviços e habilite nomes DNS nesses endpoints.
+ *Configurar uma VPC privada* — Se possível (se sua solução não precisar de acesso à Internet), configure sua VPC como privada, o que significa que ela não tem conexão com a Internet. Isso garante que um VPC endpoint ausente cause um erro visível, para que você possa adicionar o endpoint ausente.
## Usar políticas de endpoint para controlar o acesso com VPC endpoints
As políticas de VPC endpoint são compatíveis com o App Runner. Por padrão, o acesso total ao App Runner é permitido por meio do endpoint da interface. As políticas de endpoint da VPC podem ser usadas para controlar quais diretores da AWS podem acessar o endpoint do App Runner. Como alternativa, você pode associar um grupo de segurança às interfaces de rede do endpoint para controlar o tráfego para o App Runner por meio do endpoint da interface.
## Integração com o endpoint de interface
Suporte ao App Runner AWS PrivateLink, que fornece conectividade privada ao App Runner e elimina a exposição do tráfego à Internet. *Para permitir que seu aplicativo envie solicitações ao App Runner usando AWS PrivateLink, configure um tipo de VPC endpoint conhecido como endpoint de interface.* Para mais informações, consulte [Endpoints da VPC de interface(AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) no *Guia AWS PrivateLink *.
# Análise de configuração e vulnerabilidade no App Runner
AWS e nossos clientes compartilham a responsabilidade de alcançar um alto nível de segurança e conformidade de componentes de software. Para obter mais informações, consulte o AWS modelo de responsabilidade compartilhada da [https://aws.amazon.com/compliance/shared-responsibility-model/](https://aws.amazon.com/compliance/shared-responsibility-model/).
## Imagens de contêineres de patches
A correção da imagem do contêiner faz parte da responsabilidade do cliente no modelo de segurança compartilhada. O proprietário da imagem é responsável por atualizar e corrigir regularmente a imagem do contêiner. Recomendamos estabelecer um cronograma de rotina para verificar e aplicar atualizações às imagens do contêiner. Para obter mais informações sobre como escanear suas imagens em busca de vulnerabilidades, consulte a documentação do [AWS App Runner](security-best-practices.md#security-best-practices.preventive.scan)
Para outros tópicos de segurança do App Runner, consulte[Segurança no App Runner](security.md).
# Melhores práticas de segurança para o App Runner
AWS App Runner fornece vários recursos de segurança a serem considerados ao desenvolver e implementar suas próprias políticas de segurança. As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes no seu ambiente, trate-as como considerações úteis, não como requisitos.
Para outros tópicos de segurança do App Runner, consulte[Segurança no App Runner](security.md).
## Práticas recomendadas de segurança preventiva
Os controles de segurança preventiva tentam evitar incidentes antes que ocorram.
### Implemente o acesso de privilégio mínimo
O App Runner fornece políticas gerenciadas AWS Identity and Access Management (IAM) para [usuários do IAM](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-users) e a [função de acesso](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service.access). Essas políticas gerenciadas especificam todas as permissões que podem ser necessárias para a operação correta do serviço App Runner.
O aplicativo pode não exigir todas as permissões em nossas políticas gerenciadas. Você pode personalizá-los e conceder somente as permissões necessárias para que seus usuários e seu serviço App Runner realizem suas tarefas. Isso é especialmente relevante para políticas de usuário, em que diferentes funções de usuário podem ter diferentes necessidades de permissão. A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.
### Verifique suas imagens em busca de vulnerabilidades
Você pode usar os Amazon ECRs APIs para ajudar a identificar vulnerabilidades de software nas imagens do seu contêiner. Para obter mais informações, consulte a [documentação do Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html).
## Práticas recomendadas de segurança de detecção
Os controles de segurança de detecção identificam violações de segurança depois de ocorrerem. Eles podem ajudar a detectar uma possível ameaça ou incidente de segurança.
### Implementar o monitoramento
O monitoramento é uma parte importante para manter a confiabilidade, a segurança, a disponibilidade e o desempenho de suas soluções App Runner. AWS fornece várias ferramentas e serviços para ajudá-lo a monitorar seus AWS serviços.
Veja a seguir alguns exemplos de itens a serem monitorados:
+ * CloudWatch Métricas da Amazon para App Runner* — Defina alarmes para as principais métricas do App Runner e para as métricas personalizadas do seu aplicativo. Para obter detalhes, consulte [Métricas (CloudWatch)](monitor-cw.md).
+ *AWS CloudTrail entradas* — acompanhe ações que possam afetar a disponibilidade, como `PauseService` ou`DeleteConnection`. Para obter mais detalhes, consulte [Ações de API (CloudTrail)](monitor-ct.md).