プライベートエンドポイントの管理 - AWS App Runner
App Runner コンソールApp Runner API または AWS CLI

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

プライベートエンドポイントの管理

次のいずれかの方法を使用して、受信トラフィックのプライベートエンドポイントを管理します。

注記

App Runner アプリケーションにソース IP/CIDR 受信トラフィックコントロールルールが必要な場合は、WAF ウェブ ACLs の代わりにプライベートエンドポイントのセキュリティグループルールを使用する必要があります。これは、現在 WAF に関連付けられた App Runner プライベートサービスへのリクエストソース IP データの転送をサポートしていないためです。その結果、WAF ウェブ ACLs に関連付けられている App Runner プライベートサービスのソース IP ルールは、IP ベースのルールに準拠していません。

ベストプラクティスを含むインフラストラクチャセキュリティとセキュリティグループの詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループを使用してネットワークトラフィックを制御する」および「AWS リソースへのトラフィックを制御する」のトピックを参照してください。 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html

App Runner コンソール

App Runner コンソールを使用してサービスを作成する場合、または後でその設定を更新する場合は、受信トラフィックの設定を選択できます。

受信トラフィックを設定するには、次のいずれかを選択します。

  • パブリックエンドポイント: インターネット経由ですべてのサービスがサービスにアクセスできるようにします。デフォルトでは、パブリックエンドポイントが選択されています。

  • プライベートエンドポイント: Amazon VPC 内からのみ App Runner サービスにアクセスできるようにします。

プライベートエンドポイントを有効にする

アクセスする Amazon VPC の VPC インターフェイスエンドポイントに関連付けることで、プライベートエンドポイントを有効にします。新しい VPC インターフェイスエンドポイントを作成するか、既存のエンドポイントを選択できます。

VPC インターフェイスエンドポイントを作成するには

  1. App Runner コンソールを開き、リージョンリストで を選択します AWS リージョン。

  2. 「サービスの設定」の「ネットワーク」セクションに移動します。

  3. 受信ネットワークトラフィックプライベートエンドポイントを選択します。VPC インターフェイスエンドポイントを使用して VCP に接続するオプションが開きます。

  4. 新しいエンドポイントの作成 を選択します。新しい VPC インターフェイスエンドポイントの作成ダイアログボックスが開きます。

  5. VPC インターフェイスエンドポイントの名前を入力します。

  6. ドロップダウンリストから必要な VPC インターフェイスエンドポイントを選択します。

  7. ドロップダウンリストからセキュリティグループを選択します。セキュリティグループを追加すると、VPC インターフェイスエンドポイントにセキュリティレイヤーが追加されます。2 つ以上のセキュリティグループを選択することをお勧めします。セキュリティグループを選択しない場合、App Runner は VPC インターフェイスエンドポイントにデフォルトのセキュリティグループを割り当てます。セキュリティグループルールが App Runner サービスと通信するリソースをブロックしないようにしてください。セキュリティグループルールでは、App Runner サービスとやり取りするリソースを許可する必要があります。

    注記

    App Runner アプリケーションにソース IP/CIDR 受信トラフィックコントロールルールが必要な場合は、WAF ウェブ ACLs の代わりにプライベートエンドポイントのセキュリティグループルールを使用する必要があります。これは、現在 WAF に関連付けられた App Runner プライベートサービスへのリクエストソース IP データの転送をサポートしていないためです。その結果、WAF ウェブ ACLs に関連付けられている App Runner プライベートサービスのソース IP ルールは、IP ベースのルールに準拠していません。

    ベストプラクティスを含むインフラストラクチャセキュリティとセキュリティグループの詳細については、「Amazon VPC ユーザーガイド」の次のトピックを参照してください。セキュリティグループを使用してネットワークトラフィックを制御し、AWS リソースへのトラフィックを制御します。 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html

  8. ドロップダウンリストから必要なサブネットを選択します。App Runner サービスにアクセスするアベイラビリティーゾーンごとに少なくとも 2 つのサブネットを選択することをお勧めします。

    注記

    デュアルスタック用にエンドポイントを設定する場合は、インフラストラクチャと VPC エンドポイントがデュアルスタックトラフィックをサポートしていることを確認してください。

  9. (オプション) 新しいタグを追加を選択し、タグキーとタグ値を入力します。

  10. [作成] を選択します。サービスの設定ページが開き、上部のバーに VPC インターフェイスエンドポイントが正常に作成されたことを示すメッセージが表示されます。

既存の VPC インターフェイスエンドポイントを選択するには

  1. App Runner コンソールを開き、リージョンリストで を選択します AWS リージョン。

  2. 「サービスの設定」の「ネットワーク」セクションに移動します。

  3. 受信ネットワークトラフィックプライベートエンドポイントを選択します。VPC インターフェイスエンドポイントを使用して VPC に接続するオプションが開きます。使用可能な VPC インターフェイスエンドポイントのリストが表示されます。

  4. VPC インターフェイスエンドポイントにリストされている必要な VPC インターフェイスエンドポイントを選択します。

  5. を選択してサービスを作成します。App Runner はプライベートエンドポイントを有効にします。

    注記

    サービスを作成したら、必要に応じて VPC インターフェイスエンドポイントに関連付けられたセキュリティグループとサブネットを編集できます。

    プライベートエンドポイントの詳細を確認するには、サービスに移動し、設定タブのネットワークセクションを展開します。プライベートエンドポイントに関連付けられた VPC と VPC インターフェイスエンドポイントの詳細が表示されます。

VPC インターフェイスエンドポイントを更新する

App Runner サービスを作成したら、プライベートエンドポイントに関連付けられた VPC インターフェイスエンドポイントを編集できます。

注記

エンドポイント名VPC フィールドを更新することはできません。

VPC インターフェイスエンドポイントを更新するには

  1. App Runner コンソールを開き、リージョンリストで を選択します AWS リージョン。

  2. サービスに移動し、左側のパネルでネットワーク設定を選択します。

  3. 着信トラフィックを選択して、それぞれのサービスに関連付けられている VPC インターフェイスエンドポイントを表示します。

  4. 編集する VPC インターフェイスエンドポイントを選択します。

  5. [編集] を選択します。VPC インターフェイスエンドポイントを編集するダイアログボックスが開きます。

  6. 必要なセキュリティグループサブネットを選択し、更新をクリックします。VPC インターフェイスエンドポイントの詳細を示すページが開き、上部のバーに VPC インターフェイスエンドポイントが正常に更新されたというメッセージが表示されます。

    注記

    App Runner アプリケーションにソース IP/CIDR 受信トラフィックコントロールルールが必要な場合は、WAF ウェブ ACLs の代わりにプライベートエンドポイントのセキュリティグループルールを使用する必要があります。これは、現在 WAF に関連付けられた App Runner プライベートサービスへのリクエストソース IP データの転送をサポートしていないためです。その結果、WAF ウェブ ACLs に関連付けられている App Runner プライベートサービスのソース IP ルールは、IP ベースのルールに準拠していません。

    ベストプラクティスを含むインフラストラクチャセキュリティとセキュリティグループの詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループを使用してネットワークトラフィックを制御する」および「AWS リソースへのトラフィックを制御する」のトピックを参照してください。 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html

VPC インターフェイスエンドポイントを削除する

App Runner サービスにプライベートアクセスを許可しない場合は、受信トラフィックを Public に設定できます。をパブリックに変更すると、プライベートエンドポイントは削除されますが、VPC インターフェイスエンドポイントは削除されません。

VPC インターフェイスエンドポイントを削除するには

  1. App Runner コンソールを開き、リージョンリストで を選択します AWS リージョン。

  2. サービスに移動し、左側のパネルでネットワーク設定を選択します。

  3. 受信トラフィックを選択して、それぞれのサービスに関連付けられている VPC インターフェイスエンドポイントを表示します。

    注記

    VPC インターフェイスエンドポイントを削除する前に、サービスを更新して、接続されているすべてのサービスから削除します。

  4. [削除] を選択します。

    VPC インターフェイスエンドポイントに接続されているサービスがある場合、VPC インターフェイスエンドポイントを削除できないというメッセージが表示されます。VPC インターフェイスエンドポイントに接続されているサービスがない場合は、削除を確認するメッセージが表示されます。

  5. [削除] を選択します。着信トラフィックのネットワーク設定ページが開き、上部のバーに VPC インターフェイスエンドポイントが正常に削除されたというメッセージが表示されます。

App Runner API または AWS CLI

Amazon VPC 内からのみアクセスできるアプリケーションを App Runner にデプロイできます。

サービスをプライベートにするために必要なアクセス許可については、「」を参照してくださいアクセス許可

Amazon VPC へのプライベートサービス接続を作成するには

  1. App Runner に接続する VPC インターフェイスエンドポイント、 AWS PrivateLink リソースを作成します。これを行うには、アプリケーションに関連付けるサブネットとセキュリティグループを指定します。VPC インターフェイスエンドポイントを作成する例を次に示します。

    注記

    App Runner アプリケーションにソース IP/CIDR 受信トラフィックコントロールルールが必要な場合は、WAF ウェブ ACLs の代わりにプライベートエンドポイントのセキュリティグループルールを使用する必要があります。これは、現在 WAF に関連付けられた App Runner プライベートサービスへのリクエストソース IP データの転送をサポートしていないためです。その結果、WAF ウェブ ACLs に関連付けられている App Runner プライベートサービスのソース IP ルールは、IP ベースのルールに準拠していません。

    ベストプラクティスを含むインフラストラクチャセキュリティとセキュリティグループの詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループを使用してネットワークトラフィックを制御する」および「AWS リソースへのトラフィックを制御する」のトピックを参照してください。 https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html

    aws ec2 create-vpc-endpoint
 --vpc-endpoint-type: Interface
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --subnets: subnet1, subnet2
 --security-groups: sg1

  2. CLI で CreateService または UpdateService App Runner API アクションを使用して、VPC インターフェイスエンドポイントを参照します。パブリックにアクセスできないようにサービスを設定します。NetworkConfiguration パラメータIngressConfigurationのメンバーFalseで を IsPubliclyAccessibleに設定します。必要に応じて、 IpAddressTypeフィールドを IPV4または に設定できますDUAL_STACK。設定しない場合、この値はデフォルトで IPV4 になります。次の例では、VPC インターフェイスエンドポイントを参照しています。

    aws apprunner create-service
 --network-configuration:
   {
   "IngressConfiguration":
      {
      "IsPubliclyAccessible": False
      },
      "IpAddressType": "IPV4"
   }
 --service-name: com.amazonaws.us-east-1.apprunner.requests
 --source-configuration: <source_configuration>

  3. create-vpc-ingress-connection API アクションを呼び出して App Runner の VPC Ingress Connection リソースを作成し、前のステップで作成した VPC インターフェイスエンドポイントに関連付けます。指定された VPC 内のサービスへのアクセスに使用されるドメイン名を返します。VPC Ingress Connection リソースを作成する例を次に示します。

    例 リクエスト
    aws apprunner create-vpc-ingress-connection
 --service-arn: <apprunner_service_arn>
 --ingress-vpc-configuration: {"VpcId":<vpc_id>, "VpceId": <vpce_id>}
 --vpc-ingress-connection-name: <vic_connection_name>
    例 レスポンス
    {
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_CREATION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>
}

VPC Ingress Connection を更新する

VPC Ingress Connection リソースを更新できます。VPC Ingress Connection を更新するには、次のいずれかの状態である必要があります。

  • AVAILABLE

  • FAILED_CREATION

  • FAILED_UPDATE

VPC Ingress Connection リソースを更新する例を次に示します。

例 リクエスト
aws apprunner update-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
例 レスポンス
{
    "VpcIngressConnectionArn":  <vpc_ingress_connection_arn>,
    "VpcIngressConnectionName":  <vic_connection_name>,
    "ServiceArn":  <apprunner_service_arn>,
    "Status": "FAILED_UPDATE",
    "AccountId":  <connection_owner_id>,
    "DomainName":  <domain_name_associated_with_vpce>,
    "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
    "CreatedAt":  <date_created>
}

VPC Ingress Connection を削除する

Amazon VPC へのプライベート接続が不要になった場合は、VPC Ingress Connection リソースを削除できます。

VPC Ingress Connection を削除するには、次のいずれかの状態である必要があります。

  • AVAILABLE

  • 失敗した作成

  • 更新に失敗

  • 削除に失敗した

VPC Ingress Connection を削除する例を次に示します。

例 リクエスト
aws apprunner delete-vpc-ingress-connection
      --vpc-ingress-connection-arn: <vpc_ingress_connection_arn>
例 レスポンス
{
   "VpcIngressConnectionArn": <vpc_ingress_connection_arn>,
   "VpcIngressConnectionName": <vic_connection_name>,
   "ServiceArn": <apprunner_service_arn>,
   "Status": "PENDING_DELETION",
   "AccountId": <connection_owner_id>,
   "DomainName": <domain_name_associated_with_vpce>,
   "IngressVpcConfiguration": {"VpcId":<vpc_id>, "VpceId":<vpce_id>},
   "CreatedAt": <date_created>,
   "DeletedAt": <date_deleted>
}

次の App Runner API アクションを使用して、サービスのプライベートインバウンドトラフィックを管理します。

  • CreateVpcIngressConnection – 新しい VPC Ingress Connection リソースを作成します。App Runner サービスを Amazon VPC エンドポイントに関連付ける場合、App Runner にはこのリソースが必要です。

  • ListVpcIngressConnections – AWS アカウントに関連付けられている AWS App Runner VPC Ingress Connection エンドポイントのリストを返します。

  • DescribeVpcIngressConnection – AWS App Runner VPC Ingress Connection リソースの完全な説明を返します。

  • UpdateVpcIngressConnection – AWS App Runner VPC Ingress Connection リソースを更新します。

  • DeleteVpcIngressConnection – App Runner サービスに関連付けられている App Runner VPC Ingress Connection リソースを削除します。

App Runner API の使用の詳細については、「App Runner API リファレンスガイド」を参照してください。