AWS App Runner não estará mais aberto a novos clientes a partir de 30 de abril de 2026. Se você quiser usar o App Runner, inscreva-se antes dessa data. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte [Mudança de disponibilidade do AWS App Runner](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciando endpoints privados
Gerencie o endpoint privado para o tráfego de entrada usando um dos seguintes métodos:
+ [Console App Runner](#network-pl-manage.console)
+ [API App Runner ou AWS CLI](#network-pl-manage.api)
**nota**
[Se seu aplicativo App Runner exigir regras de controle de tráfego de IP/CIDR entrada de origem, você deverá usar regras de grupo de segurança para endpoints privados em vez de WAF web. ACLs](waf.md) Isso ocorre porque atualmente não oferecemos suporte ao encaminhamento de dados IP de origem da solicitação para os serviços privados do App Runner associados ao WAF. Como resultado, as regras de IP de origem para serviços privados do App Runner associados à Web ACLs do WAF não aderem às regras baseadas em IP.
Para saber mais sobre segurança de infraestrutura e grupos de segurança, incluindo as melhores práticas, consulte os seguintes tópicos no *Guia do usuário da Amazon VPC*: [Controle o tráfego de rede e Controle o tráfego](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic) [para seus recursos da AWS usando grupos de segurança](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html).
## Console App Runner
Ao [criar um serviço](manage-create.md) usando o console do App Runner ou ao [atualizar sua configuração posteriormente](manage-configure.md), você pode optar por configurar o tráfego de entrada.
Para configurar seu tráfego de entrada, escolha uma das opções a seguir.
+ **Endpoint público**: para tornar seu serviço acessível a todos os serviços pela Internet. Por padrão, o **endpoint público** é selecionado.
+ **Endpoint privado**: para tornar seu serviço App Runner acessível somente de dentro de uma Amazon VPC.
### Habilitar endpoint privado
Habilite um **endpoint privado** associando-o ao endpoint da interface VPC da Amazon VPC que você deseja acessar. Você pode criar um novo endpoint de interface VPC ou escolher um existente.
**Para criar um endpoint de interface VPC**
1. Abra o [console do App Runner](https://console.aws.amazon.com/apprunner) e, na lista **Regiões**, selecione seu Região da AWS.
1. Vá para a seção **Rede** em **Configurar serviço**.
1. Escolha **Endpoint privado**, para tráfego de **rede de entrada**. As opções para se conectar a uma VCP usando o endpoint da interface VPC são abertas.
1. Escolha **Criar novo endpoint**. A caixa de **diálogo Create new VPC interface endpoint** é aberta.
1. Insira um nome para o endpoint da interface VPC.
1. Escolha o endpoint de interface VPC necessário na lista suspensa disponível.
1. Escolha o grupo de segurança na lista suspensa. A adição de grupos de segurança fornece uma camada adicional de segurança ao endpoint da interface VPC. É recomendável escolher dois ou mais grupos de segurança. Se você não escolher um grupo de segurança, o App Runner atribuirá um grupo de segurança padrão ao endpoint da interface VPC. Certifique-se de que as regras do grupo de segurança não bloqueiem os recursos que desejam se comunicar com seu serviço App Runner. As regras do grupo de segurança devem permitir recursos que interajam com seu serviço App Runner.
**nota**
[Se seu aplicativo App Runner exigir regras de controle de tráfego de IP/CIDR entrada de origem, você deverá usar regras de grupo de segurança para endpoints privados em vez de WAF web. ACLs](waf.md) Isso ocorre porque atualmente não oferecemos suporte ao encaminhamento de dados IP de origem da solicitação para os serviços privados do App Runner associados ao WAF. Como resultado, as regras de IP de origem para serviços privados do App Runner associados à Web ACLs do WAF não aderem às regras baseadas em IP.
Para saber mais sobre segurança de infraestrutura e grupos de segurança, incluindo as melhores práticas, consulte os seguintes tópicos no *Guia do usuário da Amazon VPC*: [Controle o tráfego de rede e Controle o tráfego](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic) [para seus recursos da AWS usando grupos de segurança](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html).
1. Escolha as sub-redes necessárias na lista suspensa. É recomendável selecionar pelo menos duas sub-redes para cada zona de disponibilidade a partir da qual você acessará o serviço App Runner.
**nota**
Se você estiver configurando o endpoint para pilha dupla, certifique-se de que sua infraestrutura e o endpoint VPC suportem tráfego de pilha dupla.
1. (Opcional) Escolha **Adicionar nova tag** e insira a chave da tag e o valor da tag.
1. Escolha **Criar**. A página **Configurar serviço** é aberta mostrando a mensagem de criação bem-sucedida do endpoint da interface VPC na barra superior.
**Para escolher um endpoint de interface VPC existente**
1. Abra o [console do App Runner](https://console.aws.amazon.com/apprunner) e, na lista **Regiões**, selecione seu Região da AWS.
1. Vá para a seção **Rede** em **Configurar serviço**.
1. Escolha **Endpoint privado**, para tráfego de **rede de entrada**. As opções para se conectar a uma VPC usando o endpoint da interface VPC são abertas. Uma lista dos endpoints de interface VPC disponíveis é mostrada.
1. **Escolha o endpoint de interface VPC necessário listado em VPC interface endpoints.**
1. Escolha **Avançar** para criar seu serviço. O App Runner ativa o endpoint privado.
**nota**
Depois que seu serviço for criado, você poderá optar por editar os grupos de segurança e as sub-redes associados ao endpoint da interface VPC, se necessário.
Para verificar os detalhes do **endpoint privado**, acesse seu serviço e expanda a seção **Rede** na guia **Configuração**. **Ele mostra detalhes da VPC e do endpoint da interface VPC associado ao endpoint privado.**
### Atualizar o endpoint da interface VPC
Depois que seu serviço App Runner for criado, você poderá editar o endpoint da interface VPC associado ao endpoint privado.
**nota**
Você não pode atualizar o **nome do endpoint** e os campos da **VPC**.
**Para atualizar o endpoint da interface VPC**
1. Abra o [console do App Runner](https://console.aws.amazon.com/apprunner) e, na lista **Regiões**, selecione seu Região da AWS.
1. Acesse seu serviço e escolha **Configurações de rede** no painel esquerdo.
1. Escolha **Tráfego de entrada** para visualizar os endpoints da interface VPC associados aos respectivos serviços.
1. Escolha o endpoint da interface VPC que você deseja editar.
1. Escolha **Editar**. A caixa de diálogo para editar o endpoint da interface VPC é aberta.
1. **Escolha os **grupos de segurança** e **sub-redes** necessários e clique em Atualizar.** A página que mostra os detalhes do endpoint da interface VPC é aberta com a mensagem de atualização bem-sucedida do endpoint da interface VPC na barra superior.
**nota**
[Se seu aplicativo App Runner exigir regras de controle de tráfego de IP/CIDR entrada de origem, você deverá usar regras de grupo de segurança para endpoints privados em vez de WAF web. ACLs](waf.md) Isso ocorre porque atualmente não oferecemos suporte ao encaminhamento de dados IP de origem da solicitação para os serviços privados do App Runner associados ao WAF. Como resultado, as regras de IP de origem para serviços privados do App Runner associados à Web ACLs do WAF não aderem às regras baseadas em IP.
Para saber mais sobre segurança de infraestrutura e grupos de segurança, incluindo as melhores práticas, consulte os seguintes tópicos no *Guia do usuário da Amazon VPC*: [Controle o tráfego de rede e Controle o tráfego](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic) [para seus recursos da AWS usando grupos de segurança](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html).
### Excluir endpoint da interface VPC
**Se você não quiser que seu serviço App Runner seja acessível de forma privada, você pode definir seu tráfego de entrada como Público.** Mudar para **Público** remove o endpoint privado, mas não exclui o endpoint da interface VPC
**Para excluir o endpoint da interface VPC**
1. Abra o [console do App Runner](https://console.aws.amazon.com/apprunner) e, na lista **Regiões**, selecione seu Região da AWS.
1. Acesse seu serviço e escolha **Configurações de rede** no painel esquerdo.
1. Escolha **Tráfego de entrada** para visualizar os endpoints da interface VPC associados aos respectivos serviços.
**nota**
Antes de excluir um endpoint da interface VPC, remova-o de todos os serviços aos quais ele está conectado atualizando seu serviço.
1. Escolha **Excluir**.
Se houver serviços conectados ao endpoint da interface VPC, você receberá a mensagem Não é possível **excluir o endpoint da interface VPC**. Se não houver serviços conectados ao endpoint da interface VPC, você receberá uma mensagem para confirmar a exclusão.
1. Escolha **Excluir**. A página de **configurações de rede** é aberta para o **tráfego de entrada** com a mensagem de exclusão bem-sucedida do endpoint da interface VPC na barra superior.
## API App Runner ou AWS CLI
Você pode implantar um aplicativo no App Runner que só pode ser acessado de dentro de uma Amazon VPC.
Para obter informações sobre as permissões necessárias para tornar seu serviço privado, consulte[Permissões](network-pl.md#network-pl.permissions).
**Para criar uma conexão de serviço privada com a Amazon VPC**
1. Crie um endpoint de interface VPC, um AWS PrivateLink recurso, para se conectar ao App Runner. Para fazer isso, especifique sub-redes e grupos de segurança a serem associados ao aplicativo. Veja a seguir um exemplo da criação de um endpoint de interface VPC.
**nota**
[Se seu aplicativo App Runner exigir regras de controle de tráfego de IP/CIDR entrada de origem, você deverá usar regras de grupo de segurança para endpoints privados em vez de WAF web. ACLs](waf.md) Isso ocorre porque atualmente não oferecemos suporte ao encaminhamento de dados IP de origem da solicitação para os serviços privados do App Runner associados ao WAF. Como resultado, as regras de IP de origem para serviços privados do App Runner associados à Web ACLs do WAF não aderem às regras baseadas em IP.
Para saber mais sobre segurança de infraestrutura e grupos de segurança, incluindo as melhores práticas, consulte os seguintes tópicos no *Guia do usuário da Amazon VPC*: [Controle o tráfego de rede e Controle o tráfego](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic) [para seus recursos da AWS usando grupos de segurança](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html).
**Example**
```
aws ec2 create-vpc-endpoint
--vpc-endpoint-type: Interface
--service-name: com.amazonaws.us-east-1.apprunner.requests
--subnets: subnet1, subnet2
--security-groups: sg1
```
1. Faça referência ao endpoint da interface VPC usando as ações da API [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html)ou do [UpdateService](https://docs.aws.amazon.com/apprunner/latest/api/API_UpdateService.html)App Runner por meio da CLI. Configure seu serviço para não ser acessível ao público. `IsPubliclyAccessible`Defina como `False` no `IngressConfiguration` membro do `NetworkConfiguration` parâmetro. Opcionalmente, você pode definir o `IpAddressType` campo como `IPV4` ou`DUAL_STACK`. Se não for definido, esse valor será padronizado como. IPV4 O exemplo a seguir faz referência ao endpoint da interface VPC.
**Example**
```
aws apprunner create-service
--network-configuration:
{
"IngressConfiguration":
{
"IsPubliclyAccessible": False
},
"IpAddressType": "IPV4"
}
--service-name: com.amazonaws.us-east-1.apprunner.requests
--source-configuration:
```
1. Chame a ação da `create-vpc-ingress-connection` API para criar o recurso VPC Ingress Connection para o App Runner e associá-lo ao endpoint da interface VPC que você criou na etapa anterior. Ele retorna um nome de domínio usado para acessar seu serviço na VPC especificada. Veja a seguir um exemplo de criação de um recurso de conexão de entrada de VPC.
**Example Solicitação**
```
aws apprunner create-vpc-ingress-connection
--service-arn:
--ingress-vpc-configuration: {"VpcId":, "VpceId": }
--vpc-ingress-connection-name:
```
**Example Resposta**
```
{
"VpcIngressConnectionArn": ,
"VpcIngressConnectionName": ,
"ServiceArn": ,
"Status": "PENDING_CREATION",
"AccountId": ,
"DomainName": ,
"IngressVpcConfiguration": {"VpcId":, "VpceId":},
"CreatedAt":
}
```
### Atualizar a conexão de entrada VPC
Você pode atualizar o recurso VPC Ingress Connection. A conexão de entrada da VPC precisa estar em um dos seguintes estados para ser atualizada:
+ DISPONÍVEL
+ CRIAÇÃO\$1FALHADA
+ ATUALIZAÇÃO COM FALHA
Veja a seguir um exemplo de atualização de um recurso do VPC Ingress Connection.
**Example Solicitação**
```
aws apprunner update-vpc-ingress-connection
--vpc-ingress-connection-arn:
```
**Example Resposta**
```
{
"VpcIngressConnectionArn": ,
"VpcIngressConnectionName": ,
"ServiceArn": ,
"Status": "FAILED_UPDATE",
"AccountId": ,
"DomainName": ,
"IngressVpcConfiguration": {"VpcId":, "VpceId":},
"CreatedAt":
}
```
### Excluir conexão de entrada de VPC
Você pode excluir o recurso VPC Ingress Connection se não precisar mais da conexão privada com a Amazon VPC.
A conexão de entrada da VPC deve estar em um dos seguintes estados para ser excluída:
+ DISPONÍVEL
+ FALHA NA CRIAÇÃO
+ FALHA NA ATUALIZAÇÃO
+ FALHA NA EXCLUSÃO
Veja a seguir um exemplo de exclusão de uma conexão de entrada de VPC
**Example Solicitação**
```
aws apprunner delete-vpc-ingress-connection
--vpc-ingress-connection-arn:
```
**Example Resposta**
```
{
"VpcIngressConnectionArn": ,
"VpcIngressConnectionName": ,
"ServiceArn": ,
"Status": "PENDING_DELETION",
"AccountId": ,
"DomainName": ,
"IngressVpcConfiguration": {"VpcId":, "VpceId":},
"CreatedAt": ,
"DeletedAt":
}
```
Use as seguintes ações da API App Runner para gerenciar o tráfego de entrada privado do seu serviço.
+ [CreateVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateVpcIngressConnection.html)— Crie um novo recurso de conexão de entrada de VPC. O App Runner exige esse recurso quando você deseja associar um serviço do App Runner a uma endpoint da Amazon VPC.
+ [ListVpcIngressConnections](https://docs.aws.amazon.com/apprunner/latest/api/API_ListVpcIngressConnections.html)— Retorne uma lista dos endpoints do AWS App Runner VPC Ingress Connection associados à sua conta. AWS
+ [DescribeVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_DescribeVpcIngressConnection.html)— Retorne uma descrição completa do recurso AWS App Runner VPC Ingress Connection.
+ [UpdateVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_UpdateVpcIngressConnection.html)— Atualize o recurso AWS App Runner VPC Ingress Connection.
+ [DeleteVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_DeleteVpcIngressConnection.html)— Exclua um recurso do App Runner VPC Ingress Connection associado ao serviço App Runner.
Para obter mais informações sobre como usar a API App Runner, consulte o guia de [referência da API App Runner](https://docs.aws.amazon.com/apprunner/latest/api/).