AWS App Runner は、2026 年 4 月 30 日以降、新規のお客様に公開されなくなります。App Runner を使用する場合は、その日付より前にサインアップします。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS App Runner 可用性の変更](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 受信トラフィックのプライベートエンドポイントの有効化
デフォルトでは、 AWS App Runner サービスを作成すると、そのサービスはインターネット経由でアクセスできます。ただし、App Runner サービスをプライベートにして、Amazon Virtual Private Cloud (Amazon VPC) 内からのみアクセスできるようにすることもできます。
App Runner サービスプライベートを使用すると、受信トラフィックを完全に制御でき、セキュリティレイヤーが追加されます。これは、内部 APIs、企業ウェブアプリケーション、またはより高いレベルのプライバシーとセキュリティを必要とする開発中のアプリケーション、または特定のコンプライアンス要件を満たす必要があるアプリケーションの実行など、さまざまなユースケースに役立ちます。
**注記**
App Runner アプリケーションにソース IP/CIDR 受信トラフィック制御ルールが必要な場合は、[WAF ウェブ ACLs](waf.md) の代わりにプライベートエンドポイントのセキュリティグループルールを使用する必要があります。これは、現在 WAF に関連付けられた App Runner プライベートサービスへのリクエストソース IP データの転送をサポートしていないためです。その結果、WAF ウェブ ACLs に関連付けられている App Runner プライベートサービスのソース IP ルールは、IP ベースのルールに準拠していません。
ベストプラクティスを含むインフラストラクチャセキュリティとセキュリティグループの詳細については、*「Amazon VPC ユーザーガイド*」の「セキュリティグループを使用して[ネットワークトラフィック](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic)を制御し、AWS リソースへのトラフィックを制御する」のトピックを参照してください。 [https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html)
App Runner サービスがプライベートの場合は、Amazon VPC 内からサービスにアクセスできます。インターネットゲートウェイ、NAT デバイス、または VPN 接続は必要ありません。
**注記**
App Runner は、受信トラフィックと送信トラフィックの両方で IPv4 とデュアルスタック (IPv4 と IPv6 の両方) をサポートします。
## 考慮事項
+ App Runner の VPC インターフェイスエンドポイントを設定する前に、「 *AWS PrivateLink ガイド*」の[「考慮事項](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)」を参照してください。
+ VPC エンドポイントポリシーは App Runner ではサポートされていません。デフォルトでは、VPC インターフェイスエンドポイントを介して App Runner へのフルアクセスが許可されます。または、セキュリティグループをエンドポイントネットワークインターフェイスに関連付けて、VPC インターフェイスエンドポイントを介して App Runner へのトラフィックを制御することもできます。
+ App Runner アプリケーションにソース IP/CIDR 受信トラフィックコントロールルールが必要な場合は、[WAF ウェブ ACLs](waf.md) の代わりにプライベートエンドポイントのセキュリティグループルールを使用する必要があります。これは、現在 WAF に関連付けられた App Runner プライベートサービスへのリクエストソース IP データの転送をサポートしていないためです。その結果、WAF ウェブ ACLs に関連付けられている App Runner プライベートサービスのソース IP ルールは、IP ベースのルールに準拠していません。
+ プライベートエンドポイントを有効にすると、サービスは VPC からのみアクセスでき、インターネットからアクセスすることはできません。
+ 可用性を高めるには、VPC インターフェイスエンドポイントとは異なるアベイラビリティーゾーン全体で少なくとも 2 つのサブネットを選択することをお勧めします。サブネットを 1 つだけ使用することはお勧めしません。
+ IP アドレスタイプのデュアルスタックオプションを選択する場合は、サブネットがデュアルスタックトラフィックをサポートできることを確認してください。
+ 同じ VPC インターフェイスエンドポイントを使用して、VPC 内の複数の App Runner サービスにアクセスできます。
このセクションで使用される用語の詳細については、[「 用語](network-terms.md)」を参照してください。
## 権限
**プライベートエンドポイント**を有効にするために必要なアクセス許可のリストを次に示します。
+ ec2:CreateTags
+ ec2:CreateVpcEndpoint
+ ec2:ModifyVpcEndpoint
+ ec2:DeleteVpcEndpoints
+ ec2:DescribeSubnets
+ ec2:DescribeVpcEndpoints
+ ec2:DescribeVpcs
## VPC インターフェイスエンドポイント
VPC インターフェイスエンドポイントは、Amazon VPC をエンドポイントサービスに接続する *AWS PrivateLink*リソースです。VPC インターフェイスエンドポイントを渡すことで、App Runner サービスにアクセスできるようにする Amazon VPC を指定できます。VPC インターフェイスエンドポイントを作成するには、以下を指定します。
+ 接続を有効にする Amazon VPC。
+ セキュリティグループを追加します。デフォルトでは、セキュリティグループは VPC インターフェイスエンドポイントに割り当てられます。カスタムセキュリティグループを関連付けて、受信ネットワークトラフィックをさらに制御することを選択できます。
+ サブネットを追加します。可用性を高めるために、App Runner サービスにアクセスするアベイラビリティーゾーンごとに少なくとも 2 つのサブネットを選択することをお勧めします。ネットワークインターフェイスエンドポイントは、VPC インターフェイスエンドポイントに対して有効にする各サブネットに作成されます。これらは、App Runner 宛てのトラフィックのエントリポイントとして機能するリクエスタ管理のネットワークインターフェイスです。リクエスタ管理のネットワークインターフェイスは、 AWS サービスがユーザーに代わって VPC に作成するネットワークインターフェイスです。
+ API を使用している場合は、App Runner VPC インターフェイスエンドポイント を追加します`Servicename`。例えば、
```
com.amazonaws.region.apprunner.requests
```
VPC インターフェイスエンドポイントは、次のいずれか AWS のサービスを使用して作成できます。
+ App Runner コンソール。詳細については、[「プライベートエンドポイントの管理](network-pl-manage.md)」を参照してください。
+ Amazon VPC コンソールまたは API、および AWS Command Line Interface (AWS CLI)。詳細については、「*AWS PrivateLink ガイド*」の「[AWS PrivateLinkから AWS のサービス にアクセスする](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)」を参照してください。
**注記**
[AWS PrivateLink 料金](https://aws.amazon.com/privatelink/pricing/)に基づいて、使用する VPC インターフェイスエンドポイントごとに課金されます。したがって、コスト効率を向上させるために、同じ VPC インターフェイスエンドポイントを使用して VPC 内の複数の App Runner サービスにアクセスできます。ただし、分離を改善するには、App Runner サービスごとに異なる VPC インターフェイスエンドポイントを関連付けることを検討してください。
## VPC イングレス接続
*VPC Ingress Connection* は、受信トラフィックの App Runner エンドポイントを指定する App Runner リソースです。App Runner コンソールで受信トラフィックの**プライベートエンドポイント**を選択すると、App Runner は VPC Ingress Connection リソースをバックグラウンドで割り当てます。このオプションを選択すると、Amazon VPC からのトラフィックのみが App Runner サービスにアクセスできるようになります。VPC Ingress Connection リソースは、App Runner サービスを Amazon VPC の VPC インターフェイスエンドポイントに接続します。VPC Ingress Connection リソースは、API オペレーションを使用して受信トラフィックのネットワーク設定を構成している場合にのみ作成できます。VPC Ingress Connection リソースを作成する方法の詳細については、 *AWS App Runner API リファレンス*の[CreateVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateVpcIngressConnection.html.html)」を参照してください。
**注記**
App Runner の 1 つの VPC Ingress Connection リソースは、Amazon VPC の 1 つの VPC インターフェイスエンドポイントに接続できます。また、App Runner サービスごとに作成できる VPC Ingress Connection リソースは 1 つだけです。
## プライベートエンドポイント
プライベートエンドポイントは、Amazon VPC から受信トラフィックのみを受信する場合に選択できる App Runner コンソールオプションです。App Runner コンソールで**プライベートエンドポイント**オプションを選択すると、VPC *インターフェイスエンドポイントを設定してサービスを VPC* に接続するオプションが提供されます。バックグラウンドでは、App Runner は設定した VPC インターフェイスエンドポイントに VPC Ingress Connection リソースを割り当てます。
## 概要
Amazon VPC からのトラフィックのみが App Runner サービスにアクセスできるようにすることで、サービスをプライベートにします。これを実現するには、App Runner または Amazon VPC を使用して、選択した Amazon VPC の VPC インターフェイスエンドポイントを作成します。App Runner コンソールで、**着信トラフィック**の**プライベートエンドポイントを有効にすると、VPC インターフェイスエンドポイント**が作成されます。App Runner は自動的に *VPC Ingress Connection* リソースを作成し、VPC インターフェイスエンドポイントと App Runner サービスに接続します。これにより、選択した VPC からのトラフィックのみが App Runner サービスにアクセスできるようにするプライベートサービス接続が作成されます。