AWS App Runner wird ab dem 30. April 2026 nicht mehr für Neukunden geöffnet sein. Wenn Sie App Runner verwenden möchten, melden Sie sich vor diesem Datum an. Bestandskunden können den Service weiterhin wie gewohnt nutzen. Weitere Informationen finden Sie unter [Änderung der AWS App Runner Verfügbarkeit](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwaltung des AWS WAF Webs ACLs
Verwalten Sie das AWS WAF Web ACLs für Ihren App Runner-Dienst mit einer der folgenden Methoden:
+ [App Runner-Konsole](#waf-manage.console)
+ [AWS CLI](#waf-manage.api)
## App Runner-Konsole
Wenn Sie in der App Runner-Konsole [einen Dienst erstellen](manage-create.md) [oder einen vorhandenen aktualisieren](manage-configure.md), können Sie eine AWS WAF Web-ACL zuordnen oder die Zuordnung aufheben.
**Anmerkung**
Ein App Runner-Dienst kann nur einer Web-ACL zugeordnet werden. Sie können jedoch eine Web-ACL zusätzlich zu anderen AWS Ressourcen mit mehr als einem App Runner-Dienst verknüpfen.
Bevor Sie eine Web-ACL zuordnen, stellen Sie sicher, dass Sie Ihre IAM-Berechtigungen für AWS WAF aktualisieren. Weitere Informationen finden Sie unter [-Berechtigungen](waf.md#waf.permissions).
### Web-ACL zuordnen AWS WAF
**Wichtig**
Quell-IP-Regeln für private App Runner-Dienste, die mit WAF Web verknüpft sind, *entsprechen ACLs nicht IP-basierten* Regeln. Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Wenn für Ihre App Runner-Anwendung Quell-IP/CIDR-Regeln zur Steuerung des eingehenden Datenverkehrs erforderlich sind, müssen Sie [Sicherheitsgruppenregeln für private Endpunkte](network-pl-manage.md) anstelle von WAF Web verwenden. ACLs
**Um eine Web-ACL zuzuordnen AWS WAF**
1. Öffnen Sie die [App Runner-Konsole](https://console.aws.amazon.com/apprunner) und wählen Sie in der Liste der **Regionen** Ihre aus AWS-Region.
1. Je nachdem, ob Sie einen Dienst erstellen oder aktualisieren, führen Sie einen der folgenden Schritte aus:
+ Wenn Sie einen neuen Dienst erstellen, wählen Sie **App Runner-Dienst erstellen** und gehen **Sie zu Dienst konfigurieren**.
+ Wenn Sie einen vorhandenen Dienst aktualisieren, wählen Sie den Tab **Konfiguration** und dann unter **Dienst konfigurieren** die Option **Bearbeiten** aus.
1. Gehen Sie unter **Sicherheit** zu **Web Application Firewall**.
1. Wählen Sie die Umschaltfläche **Aktivieren**, um die Optionen anzuzeigen.
![\[Das Layout der App Runner-Konsole mit den Optionen der Web Application Firewall.\]](http://docs.aws.amazon.com/de_de/apprunner/latest/dg/images/console-waf.png)
1. Führen Sie einen der folgenden Schritte aus:
+ **Um eine bestehende Web-ACL zuzuordnen**: Wählen Sie die erforderliche Web-ACL aus der Tabelle **Wählen Sie eine Web-ACL** aus, die Sie Ihrem App Runner-Dienst zuordnen möchten.
+ **Um eine neue Web-ACL** zu **erstellen: Wählen Sie Web-ACL** erstellen, um mit der AWS WAF Konsole eine neue Web-ACL zu erstellen. Weitere Informationen finden Sie unter [Erstellen einer Web-ACL](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-creating.html) im *AWS WAF Entwicklerhandbuch*.
1. Klicken Sie auf die Schaltfläche „Aktualisieren“, um die neu erstellte Web-ACL in der Tabelle **Web-ACL auswählen** anzuzeigen.
1. Wählen Sie die erforderliche Web-ACL aus.
1. Wählen Sie **Weiter**, wenn Sie einen neuen Service erstellen, oder **Änderungen speichern**, wenn Sie einen vorhandenen Service aktualisieren. Die ausgewählte Web-ACL ist mit Ihrem App Runner-Dienst verknüpft.
1. Um die Web-ACL-Zuordnung zu überprüfen, wählen Sie die Registerkarte **Konfiguration** Ihres Dienstes und gehen **Sie zu Dienst konfigurieren**. Scrollen Sie unter **Sicherheit** zur **Web Application Firewall**, um die Details der Web-ACL zu sehen, die Ihrem Service zugeordnet ist.
**Anmerkung**
Wenn Sie eine Web-ACL erstellen, vergeht eine kurze Zeit, bis die Web-ACL vollständig verbreitet ist und App Runner zur Verfügung steht. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen. AWS WAF gibt a zurück`WAFUnavailableEntityException`, wenn Sie versuchen, eine Web-ACL zuzuordnen, bevor sie vollständig weitergegeben wurde.
Wenn Sie den Browser aktualisieren oder die App Runner-Konsole verlassen, bevor die Web-ACL vollständig weitergegeben wurde, schlägt die Zuordnung fehl. Sie können jedoch innerhalb der App Runner-Konsole navigieren.
### Aufheben der Zuordnung einer Web-ACL AWS WAF
Sie können die Zuordnung zu AWS WAF Websites ACl , die Sie nicht mehr benötigen, trennen, indem Sie Ihren App [Runner-Dienst aktualisieren](manage-configure.md).
**So trennen Sie die Zuordnung zu einem Web AWS WAF ACl**
1. Öffnen Sie die [App Runner-Konsole](https://console.aws.amazon.com/apprunner) und wählen Sie in der Liste der **Regionen** Ihre AWS-Region aus.
1. Gehen Sie zur Registerkarte **Konfiguration** des Dienstes, den Sie aktualisieren möchten, und wählen Sie unter **Dienst konfigurieren** die Option **Bearbeiten** aus.
1. Gehen Sie unter **Sicherheit** zur **Web Application Firewall**.
1. Deaktivieren Sie die Umschaltfläche **Aktivieren**. Sie erhalten eine Nachricht zur Bestätigung des Löschvorgangs.
1. Wählen Sie **Bestätigen** aus. Die Web-ACL ist von Ihrem App Runner-Dienst getrennt.
**Anmerkung**
Wenn Sie Ihren Service mit einer anderen Web-ACL verknüpfen möchten, wählen Sie eine Web-ACL aus der Tabelle **Web-ACL auswählen** aus. App Runner trennt die Verknüpfung der aktuellen Web-ACL und startet den Vorgang zur Verknüpfung mit der ausgewählten Web-ACL.
Wenn keine anderen App Runner-Dienste oder -Ressourcen eine getrennte Web-ACL verwenden, sollten Sie erwägen, die Web-ACL zu löschen. Andernfalls werden Ihnen weiterhin Kosten entstehen. Weitere Informationen über die Preise finden Sie unter [AWS WAF – Preise](https://aws.amazon.com/waf/pricing). Anweisungen zum Löschen einer Web-ACL finden Sie unter [DeleteWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_DeleteWebACL.html) in der *AWS WAF API-Referenz.*
Sie können keine Web-ACL löschen, die mit anderen aktiven App Runner-Diensten oder anderen Ressourcen verknüpft ist.
## AWS CLI
Sie können eine AWS WAF Web-ACL mithilfe der AWS WAF öffentlichen APIs URL zuordnen oder deren Zuordnung aufheben. Der App Runner-Dienst, dem Sie eine Web-ACL zuordnen oder die Zuordnung aufheben möchten, muss sich in einem gültigen Status befinden.
AWS WAF gibt einen `WAFNonexistentItemException` Fehler zurück, wenn Sie eine der folgenden Optionen AWS WAF APIs für einen App Runner-Dienst aufrufen, der sich in einem ungültigen Zustand befindet:
+ `AssociateWebACL`
+ `DisassociateWebACL`
+ `GetWebACLForResource`
Zu den ungültigen Status für Ihren App Runner-Dienst gehören:
+ `CREATE_FAILED`
+ `DELETE_FAILED`
+ `DELETED`
+ `OPERATION_IN_PROGRESS `
**Anmerkung**
`OPERATION_IN_PROGRESS`Der Status ist nur dann ungültig, wenn Ihr App Runner-Dienst gelöscht wird.
Weitere Informationen zu AWS WAF public APIs finden Sie im [https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html).
**Anmerkung**
Aktualisieren Sie Ihre IAM-Berechtigungen für AWS WAF. Weitere Informationen finden Sie unter [-Berechtigungen](waf.md#waf.permissions).
### AWS WAF Web-ACL zuordnen mit AWS CLI
**Wichtig**
Quell-IP-Regeln für private App Runner-Dienste, die mit WAF Web verknüpft sind, *halten sich ACLs nicht an IP-basierte* Regeln. Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Wenn für Ihre App Runner-Anwendung Quell-IP/CIDR-Regeln zur Steuerung des eingehenden Datenverkehrs erforderlich sind, müssen Sie [Sicherheitsgruppenregeln für private Endpunkte](network-pl-manage.md) anstelle von WAF Web verwenden. ACLs
**Um eine Web-ACL zuzuordnen AWS WAF**
1. Erstellen Sie eine AWS WAF Web-ACL für Ihren Service mit Ihren bevorzugten Regelaktionen `Allow` oder `Block` den Webanfragen an Ihren Service. Weitere Informationen AWS WAF APIs dazu finden Sie unter [CreateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateWebACL.html) im *AWS WAF API-Referenzhandbuch*.
**Example Erstellen Sie eine Web-ACL — Anfrage**
```
aws wafv2
create-web-acl
--region
--name
--scope REGIONAL
--default-action Allow={}
--visibility-config
# This is the file containing the WAF web ACL rules.
```
1. Ordnen Sie die von Ihnen erstellte Web-ACL mithilfe der `associate-web-acl` AWS WAF öffentlichen API dem App Runner-Dienst zu. Weitere Informationen AWS WAF APIs dazu finden Sie unter [AssociateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociateWebACL.html) im *AWS WAF API-Referenzhandbuch*.
**Anmerkung**
Wenn Sie eine Web-ACL erstellen, vergeht eine kurze Zeit, bis die Web-ACL vollständig propagiert wird und App Runner zur Verfügung steht. Die Übertragungszeit kann zwischen einigen Sekunden und mehreren Minuten liegen. AWS WAF gibt a zurück`WAFUnavailableEntityException`, wenn Sie versuchen, eine Web-ACL zuzuordnen, bevor sie vollständig weitergegeben wurde.
Wenn Sie den Browser aktualisieren oder die App Runner-Konsole verlassen, bevor die Web-ACL vollständig weitergegeben wurde, schlägt die Zuordnung fehl. Sie können jedoch innerhalb der App Runner-Konsole navigieren.
**Example Zuordnen einer Web-ACL — Anfrage**
```
aws wafv2 associate-web-acl
--resource-arn
--web-acl-arn
--region
```
1. Stellen Sie mithilfe der `get-web-acl-for-resource` AWS WAF öffentlichen API sicher, dass die Web-ACL mit Ihrem App Runner-Dienst verknüpft ist. Weitere Informationen AWS WAF APIs dazu finden Sie unter [GetWebACLForRessource](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetWebACLForResource.html) im *AWS WAF API-Referenzhandbuch*.
**Example Überprüfen Sie die Web-ACL für die Ressource — Anfrage**
```
aws wafv2 get-web-acl-for-resource
--resource-arn
--region
```
Wenn Ihrem Service kein Web ACLs zugeordnet ist, erhalten Sie eine leere Antwort.
### Löschen einer AWS WAF Web-ACL mit AWS CLI
Sie können eine AWS WAF Web-ACL nicht löschen, wenn sie mit einem App Runner-Dienst verknüpft ist.
**Um eine AWS WAF Web-ACL zu löschen**
1. Trennen Sie die Web-ACL mithilfe der `disassociate-web-acl` AWS WAF öffentlichen API von Ihrem App Runner-Dienst. Weitere Informationen dazu finden Sie AWS WAF APIs unter [DisassociateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_DisassociateWebACL.html) im *AWS WAF API-Referenzhandbuch.*
**Example Trennen einer Web-ACL — Anfrage**
```
aws wafv2 disassociate-web-acl
--resource-arn
--region
```
1. Stellen Sie mithilfe der öffentlichen API sicher, dass die Web-ACL von Ihrem App Runner-Dienst getrennt wurde. `get-web-acl-for-resource` AWS WAF
**Example Stellen Sie sicher, dass die Web-ACL getrennt ist — Anfrage**
```
aws wafv2 get-web-acl-for-resource
--resource-arn
--region
```
Die getrennte Web-ACL ist für Ihren App Runner-Dienst nicht aufgeführt. Wenn Ihrem Dienst kein Web ACLs zugeordnet ist, erhalten Sie eine leere Antwort.
1. Löschen Sie die getrennte Web-ACL mithilfe der `delete-web-acl` AWS WAF öffentlichen API. Weitere Informationen dazu finden Sie AWS WAF APIs unter [DeleteWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_DeleteWebACL.html) im *AWS WAF API-Referenzhandbuch.*
**Example Eine Web-ACL löschen — Anfrage**
```
aws wafv2 delete-web-acl
--name
--scope REGIONAL
--id
--lock-token
--region
```
1. Stellen Sie sicher, dass die Web-ACL mithilfe der `list-web-acl` AWS WAF öffentlichen API gelöscht wurde. Weitere Informationen AWS WAF APIs dazu finden Sie [ListWebACLs](https://docs.aws.amazon.com/waf/latest/APIReference/API_ListWebACLs.html)im *AWS WAF API-Referenzhandbuch*.
**Example Stellen Sie sicher, dass die Web-ACL gelöscht wurde — Anfrage**
```
aws wafv2 list-web-acls
--scope REGIONAL
--region
```
Die gelöschte Web-ACL ist nicht mehr aufgeführt.
**Anmerkung**
Wenn eine Web-ACL mit anderen aktiven App Runner-Diensten oder anderen Ressourcen wie Amazon Cognito Cognito-Benutzerpools verknüpft ist, kann die Web-ACL nicht gelöscht werden.
### Listet App Runner-Dienste auf, die mit einer Web-ACL verknüpft sind
Eine Web-ACL kann mehreren App Runner-Diensten und anderen Ressourcen zugeordnet werden. Listet die App Runner-Dienste auf, die einer Web-ACL mithilfe der `list-resources-for-web-acl` AWS WAF öffentlichen API zugeordnet sind. Weitere Informationen AWS WAF APIs dazu finden Sie unter [ListResourcesForWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_ListResourcesForWebACL.html) im *AWS WAF API-Referenzhandbuch*.
**Example Listet die App Runner-Dienste auf, die mit einer Web-ACL verknüpft sind — Anfrage**
```
aws wafv2 list-resources-for-web-acl
--web-acl-arn
--resource-type APP_RUNNER_SERVICE
--region
```
**Example Listet die App Runner-Dienste auf, die einer Web-ACL zugeordnet sind — Antwort**
Das folgende Beispiel veranschaulicht die Reaktion, wenn keine App Runner-Dienste vorhanden sind, die einer Web-ACL zugeordnet sind.
```
{
"ResourceArns": []
}
```
**Example Listet die App Runner-Dienste auf, die einer Web-ACL zugeordnet sind — Antwort**
Das folgende Beispiel veranschaulicht die Reaktion, wenn App Runner-Dienste mit einer Web-ACL verknüpft sind.
```
{
"ResourceArns": [
"arn:aws:apprunner:::service//"
]
}
```
## AWS WAF Web testen und protokollieren ACLs
Wenn Sie eine Regelaktion in Ihrer Web-ACL auf **Count** setzen, wird die Anfrage einer Anzahl von Anfragen AWS WAF hinzugefügt, die der Regel entsprechen. Um eine Web-ACL mit Ihrem App Runner-Dienst zu testen, setzen Sie die Regelaktionen auf **Count** und berücksichtigen Sie die Anzahl der Anfragen, die jeder Regel entsprechen. Sie legen beispielsweise eine Regel für die `Block` Aktion fest, die einer großen Anzahl von Anfragen entspricht, bei denen es sich Ihrer Meinung nach um normalen Benutzerverkehr handelt. In diesem Fall müssen Sie Ihre Regel möglicherweise neu konfigurieren. Weitere Informationen finden Sie im *AWS WAF Entwicklerhandbuch* unter [Testen und AWS WAF Optimieren Ihrer Schutzmaßnahmen](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html).
Sie können auch so konfigurieren AWS WAF , dass Anforderungsheader in einer Amazon CloudWatch Logs-Protokollgruppe, einem Amazon Simple Storage Service (Amazon S3) -Bucket oder einer Amazon Data Firehose protokolliert werden. Weitere Informationen finden Sie unter [Protokollieren des Web-ACL-Datenverkehrs](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html) im *Entwicklerhandbuch zu AWS WAF *.
Informationen zum Zugriff auf Protokolle im Zusammenhang mit der Web-ACL, die mit Ihrem App Runner-Service verknüpft ist, finden Sie in den folgenden Protokollfeldern:
+ `httpSourceName`: Enthält `APPRUNNER`
+ `httpSourceId`: Enthält `customeraccountid-apprunnerserviceid`
Weitere Informationen finden Sie unter [Protokollbeispiele](https://docs.aws.amazon.com/waf/latest/developerguide/logging-examples.html) im *AWS WAF Entwicklerhandbuch*.
**Wichtig**
Quell-IP-Regeln für private App Runner-Dienste, die mit dem WAF-Web verknüpft sind, *entsprechen ACLs nicht den IP-basierten Regeln*. Dies liegt daran, dass wir derzeit die Weiterleitung von Quell-IP-Daten von Anfragen an private App Runner-Dienste, die mit WAF verknüpft sind, nicht unterstützen. Wenn für Ihre App Runner-Anwendung Quell-IP/CIDR-Regeln zur Steuerung des eingehenden Datenverkehrs erforderlich sind, müssen Sie [Sicherheitsgruppenregeln für private Endpunkte](network-pl-manage.md) anstelle von WAF Web verwenden. ACLs