AWS App Runner ne sera plus ouvert aux nouveaux clients à compter du 30 avril 2026. Si vous souhaitez utiliser App Runner, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour plus d'informations, consultez [AWS App Runner la section Modification de la disponibilité](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gérer AWS WAF le Web ACLs
Gérez le AWS WAF Web ACLs pour votre service App Runner en utilisant l'une des méthodes suivantes :
+ [Console App Runner](#waf-manage.console)
+ [AWS CLI](#waf-manage.api)
## Console App Runner
Lorsque vous [créez un service](manage-create.md) ou que vous [mettez à jour un service existant](manage-configure.md) sur la console App Runner, vous pouvez associer ou dissocier une ACL AWS WAF Web.
**Note**
Un service App Runner ne peut être associé qu'à une seule ACL Web. Cependant, vous pouvez associer une ACL Web à plusieurs services App Runner en plus d'autres AWS ressources.
Avant d'associer une ACL Web, assurez-vous de mettre à jour vos autorisations IAM pour AWS WAF. Pour plus d'informations, consultez [Autorisations ](waf.md#waf.permissions).
### Associer une ACL AWS WAF Web
**Important**
Les règles IP source pour les services privés App Runner associés au Web WAF ACLs *ne respectent pas les règles basées sur l'IP*. Cela est dû au fait que nous ne prenons actuellement pas en charge le transfert des données IP source des demandes vers les services privés App Runner associés à WAF. Si votre application App Runner nécessite des règles de contrôle du trafic entrant IP/CIDR source, vous devez utiliser des règles de [groupe de sécurité pour les points de terminaison privés plutôt que pour](network-pl-manage.md) le Web WAF. ACLs
**Pour associer une ACL AWS WAF Web**
1. Ouvrez la [console App Runner](https://console.aws.amazon.com/apprunner), puis dans la liste des **régions**, sélectionnez votre Région AWS.
1. Selon que vous créez ou mettez à jour un service, effectuez l'une des étapes suivantes :
+ Si vous créez un nouveau service, choisissez **Create an App Runner service** et accédez à **Configurer le service**.
+ Si vous mettez à jour un service existant, choisissez l'onglet **Configuration**, puis sélectionnez **Modifier** sous **Configurer le service**.
1. Accédez à **Pare-feu d'application Web** sous **Sécurité**.
1. Cliquez sur le bouton **Activer** pour afficher les options.
![\[Disposition de la console App Runner, présentant les options du Web Application Firewall.\]](http://docs.aws.amazon.com/fr_fr/apprunner/latest/dg/images/console-waf.png)
1. Effectuez l'une des étapes suivantes :
+ **Pour associer une ACL Web existante** : Choisissez l'ACL Web requise dans le tableau **Choisissez une ACL Web** à associer à votre service App Runner.
+ **Pour créer une nouvelle ACL Web** : Choisissez **Create Web ACL** pour créer une nouvelle ACL Web à l'aide de la AWS WAF console. Pour plus d'informations, consultez la section [Création d'une ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-creating.html) dans le *manuel du AWS WAF développeur*.
1. Cliquez sur le bouton d'actualisation pour afficher l'ACL Web nouvellement créée dans le tableau **Choisissez une ACL Web**.
1. Sélectionnez l'ACL Web requise.
1. Choisissez **Suivant** si vous créez un nouveau service ou **Enregistrer les modifications** si vous mettez à jour un service existant. L'ACL Web sélectionné est associé à votre service App Runner.
1. Pour vérifier l'association ACL Web, choisissez l'onglet **Configuration** de votre service et accédez à **Configurer le service**. Accédez à **Pare-feu d'application Web** sous **Sécurité** pour afficher les détails de l'ACL Web associée à votre service.
**Note**
Lorsque vous créez une ACL Web, un court laps de temps s'écoule avant que l'ACL Web ne se propage complètement et ne soit disponible pour App Runner. Le temps de propagation peut aller de quelques secondes à plusieurs minutes. AWS WAF renvoie un `WAFUnavailableEntityException` lorsque vous essayez d'associer une ACL Web avant qu'elle ne soit complètement propagée.
Si vous actualisez le navigateur ou quittez la console App Runner avant que l'ACL Web ne soit complètement propagée, l'association ne se produit pas. Vous pouvez toutefois naviguer dans la console App Runner.
### Dissociation d'une ACL AWS WAF Web
Vous pouvez dissocier les AWS WAF sites Web ACl dont vous n'avez plus besoin en [mettant à jour](manage-configure.md) votre service App Runner.
**Pour dissocier un site Web AWS WAF ACl**
1. Ouvrez la [console App Runner](https://console.aws.amazon.com/apprunner), puis dans la liste des **régions**, sélectionnez votre Région AWS.
1. Accédez à l'onglet **Configuration** du service que vous souhaitez mettre à jour et choisissez **Modifier** sous **Configurer le service**.
1. Accédez à **Pare-feu d'application Web** sous **Sécurité**.
1. **Désactivez** le bouton Activer. Vous recevez un message pour confirmer la suppression.
1. Choisissez **Confirmer**. L'ACL Web est dissociée de votre service App Runner.
**Note**
Si vous souhaitez associer votre service à une autre ACL Web, sélectionnez une ACL Web dans le tableau **Choisissez une ACL Web**. App Runner dissocie l'ACL Web actuel et lance le processus d'association avec l'ACL Web sélectionnée.
Si aucun autre service ou ressource App Runner n'utilise une ACL Web dissociée, envisagez de supprimer cette ACL Web. Dans le cas contraire, vous continuerez à encourir des frais. Pour plus d’informations sur la tarification, consultez [Tarification d’AWS WAF](https://aws.amazon.com/waf/pricing). Pour savoir comment supprimer une ACL Web, consultez la section [DeleteWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_DeleteWebACL.html) dans le manuel de *référence des AWS WAF API*.
Vous ne pouvez pas supprimer une ACL Web associée à d'autres services App Runner actifs ou à d'autres ressources.
## AWS CLI
Vous pouvez associer ou dissocier une ACL AWS WAF Web en utilisant le AWS WAF public APIs. Le service App Runner, auquel vous souhaitez associer ou dissocier une ACL Web, doit être dans un état valide.
AWS WAF renvoie une `WAFNonexistentItemException` erreur lorsque vous appelez l'une des commandes suivantes AWS WAF APIs pour un service App Runner dont l'état n'est pas valide :
+ `AssociateWebACL`
+ `DisassociateWebACL`
+ `GetWebACLForResource`
Les états non valides pour votre service App Runner sont les suivants :
+ `CREATE_FAILED`
+ `DELETE_FAILED`
+ `DELETED`
+ `OPERATION_IN_PROGRESS `
**Note**
`OPERATION_IN_PROGRESS`l'état n'est pas valide uniquement si votre service App Runner est supprimé.
Pour plus d'informations sur le AWS WAF public APIs, consultez le [https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html).
**Note**
Mettez à jour vos autorisations IAM pour AWS WAF. Pour plus d'informations, consultez [Autorisations ](waf.md#waf.permissions).
### Associer une ACL AWS WAF Web en utilisant AWS CLI
**Important**
Les règles IP source pour les services privés App Runner associés au Web WAF ACLs *ne respectent pas les règles basées sur l'IP*. Cela est dû au fait que nous ne prenons actuellement pas en charge le transfert des données IP source des demandes vers les services privés App Runner associés à WAF. Si votre application App Runner nécessite des règles de contrôle du trafic entrant IP/CIDR source, vous devez utiliser des règles de [groupe de sécurité pour les points de terminaison privés plutôt que pour](network-pl-manage.md) le Web WAF. ACLs
**Pour associer une ACL AWS WAF Web**
1. Créez une ACL AWS WAF Web pour votre service avec votre ensemble préféré d'actions de règles `Allow` ou `Block` de requêtes Web adressées à votre service. Pour plus d'informations AWS WAF APIs, consultez la section [CreateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateWebACL.html) dans le *guide de référence des AWS WAF API*.
**Example Création d'une ACL Web - Demande**
```
aws wafv2
create-web-acl
--region
--name
--scope REGIONAL
--default-action Allow={}
--visibility-config
# This is the file containing the WAF web ACL rules.
```
1. Associez l'ACL Web que vous avez créée au service App Runner à l'aide de l'API `associate-web-acl` AWS WAF publique. Pour plus d'informations AWS WAF APIs, consultez la section [AssociateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociateWebACL.html) dans le *guide de référence des AWS WAF API*.
**Note**
Lorsque vous créez une ACL Web, un court laps de temps s'écoule avant que l'ACL Web ne se propage complètement et ne soit disponible pour App Runner. Le temps de propagation peut aller de quelques secondes à plusieurs minutes. AWS WAF renvoie un `WAFUnavailableEntityException` lorsque vous essayez d'associer une ACL Web avant qu'elle ne soit complètement propagée.
Si vous actualisez le navigateur ou quittez la console App Runner avant que l'ACL Web ne soit complètement propagée, l'association ne se produit pas. Vous pouvez toutefois naviguer dans la console App Runner.
**Example Associer une ACL Web - Requête**
```
aws wafv2 associate-web-acl
--resource-arn
--web-acl-arn
--region
```
1. Vérifiez que l'ACL Web est associée à votre service App Runner à l'aide de l'API `get-web-acl-for-resource` AWS WAF publique. Pour plus d'informations AWS WAF APIs, consultez la section [GetWebACLForRessource](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetWebACLForResource.html) du *guide de référence des AWS WAF API*.
**Example Vérifier l'ACL Web pour la ressource - Demande**
```
aws wafv2 get-web-acl-for-resource
--resource-arn
--region
```
Si aucun site Web n'est ACLs associé à votre service, vous recevez une réponse vide.
### Suppression d'une ACL AWS WAF Web à l'aide de AWS CLI
Vous ne pouvez pas supprimer une ACL AWS WAF Web si elle est associée à un service App Runner.
**Pour supprimer une ACL AWS WAF Web**
1. Dissociez l'ACL Web de votre service App Runner à l'aide de l'API `disassociate-web-acl` AWS WAF publique. Pour plus d'informations AWS WAF APIs, consultez la section [DisassociateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_DisassociateWebACL.html) dans le *guide de référence des AWS WAF API*.
**Example Dissociation d'une ACL Web - Demande**
```
aws wafv2 disassociate-web-acl
--resource-arn
--region
```
1. Vérifiez que l'ACL Web est dissociée de votre service App Runner à l'aide de l'API `get-web-acl-for-resource` AWS WAF publique.
**Example Vérifiez que l'ACL Web est dissociée - Demande**
```
aws wafv2 get-web-acl-for-resource
--resource-arn
--region
```
L'ACL Web dissociée n'est pas répertoriée pour votre service App Runner. Si aucun site Web n'est ACLs associé à votre service, vous recevez une réponse vide.
1. Supprimez l'ACL Web dissociée à l'aide de l'API `delete-web-acl` AWS WAF publique. Pour plus d'informations AWS WAF APIs, consultez la section [DeleteWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_DeleteWebACL.html) dans le *guide de référence des AWS WAF API*.
**Example Supprimer une ACL Web - Demande**
```
aws wafv2 delete-web-acl
--name
--scope REGIONAL
--id
--lock-token
--region
```
1. Vérifiez que l'ACL Web est supprimée à l'aide de l'API `list-web-acl` AWS WAF publique. Pour plus d'informations AWS WAF APIs, consultez [ListWebACLs](https://docs.aws.amazon.com/waf/latest/APIReference/API_ListWebACLs.html)le *Guide de référence des AWS WAF API*.
**Example Vérifiez que l'ACL Web est supprimée - Demande**
```
aws wafv2 list-web-acls
--scope REGIONAL
--region
```
L'ACL Web supprimée n'est plus répertoriée.
**Note**
Si une ACL Web est associée à d'autres services App Runner actifs ou à d'autres ressources, telles que des groupes d'utilisateurs Amazon Cognito, l'ACL Web ne peut pas être supprimée.
### Liste des services App Runner associés à une ACL Web
Une ACL Web peut être associée à plusieurs services App Runner et à d'autres ressources. Répertoriez les services App Runner associés à une ACL Web à l'aide de l'API `list-resources-for-web-acl` AWS WAF publique. Pour plus d'informations AWS WAF APIs, consultez la section [ListResourcesForWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_ListResourcesForWebACL.html) dans le *guide de référence des AWS WAF API*.
**Example Lister les services App Runner associés à une ACL Web - Demande**
```
aws wafv2 list-resources-for-web-acl
--web-acl-arn
--resource-type APP_RUNNER_SERVICE
--region
```
**Example Lister les services App Runner associés à une ACL Web - Response**
L'exemple suivant illustre la réponse lorsqu'aucun service App Runner n'est associé à une ACL Web.
```
{
"ResourceArns": []
}
```
**Example Lister les services App Runner associés à une ACL Web - Response**
L'exemple suivant illustre la réponse lorsque des services App Runner sont associés à une ACL Web.
```
{
"ResourceArns": [
"arn:aws:apprunner:::service//"
]
}
```
## Tester et enregistrer sur AWS WAF le Web ACLs
Lorsque vous définissez une action de règle **sur Count** dans votre ACL Web AWS WAF , vous ajoutez la demande au nombre de demandes correspondant à la règle. Pour tester une ACL Web avec votre service App Runner, définissez les actions des règles **sur Count** et prenez en compte le volume de demandes correspondant à chaque règle. Par exemple, vous définissez une règle pour l'`Block`action qui correspond à un grand nombre de demandes que vous considérez comme relevant du trafic utilisateur normal. Dans ce cas, vous devrez peut-être reconfigurer votre règle. Pour plus d'informations, consultez la section [Tester et régler vos AWS WAF protections](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html) dans le *Guide du AWS WAF développeur*.
Vous pouvez également configurer AWS WAF pour consigner les en-têtes des demandes dans un groupe de CloudWatch journaux Amazon Logs, un bucket Amazon Simple Storage Service (Amazon S3) ou un Amazon Data Firehose. Pour plus d’informations, consultez [Journalisation du trafic ACL web](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html) dans le *Guide du développeur AWS WAF *.
Pour accéder aux journaux liés à l'ACL Web associée à votre service App Runner, reportez-vous aux champs de journal suivants :
+ `httpSourceName`: Contient `APPRUNNER`
+ `httpSourceId`: Contient `customeraccountid-apprunnerserviceid`
Pour plus d'informations, consultez la section [Exemples de journaux](https://docs.aws.amazon.com/waf/latest/developerguide/logging-examples.html) dans le *guide du AWS WAF développeur*.
**Important**
Les règles IP source pour les services privés App Runner associés au Web WAF ACLs *ne respectent pas les règles basées sur l'IP*. Cela est dû au fait que nous ne prenons actuellement pas en charge le transfert des données IP source des demandes vers les services privés App Runner associés à WAF. Si votre application App Runner nécessite des règles de contrôle du trafic entrant IP/CIDR source, vous devez utiliser des règles de [groupe de sécurité pour les points de terminaison privés plutôt que pour](network-pl-manage.md) le Web WAF. ACLs