AWS App Runner 从 2026 年 4 月 30 日起，将不再向新客户开放。如果您想使用 App Runner，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [AWS App Runner 可用性变更](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# App Runner 的安全最佳实践
<a name="security-best-practices"></a>

AWS App Runner 提供了多种安全功能，供您在制定和实施自己的安全策略时考虑。以下最佳实践是一般指导原则，并不代表完整安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求，因此将其视为有用的考虑因素，而不是惯例。

有关其他 App Runner 安全主题，请参阅[应用程序运行器中的安全性](security.md)。

## 预防性安全最佳实践
<a name="security-best-practices.preventive"></a>

预防性安全控制措施试图在事件发生之前进行预防。

### 实施最低权限访问
<a name="security-best-practices.preventive.least-priv"></a>

App Runner 为 IAM [用户和[访问角色](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service.access)提供 AWS Identity and Access Management (IAM](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-users)) 托管策略。这些托管策略指定了正确运行 App Runner 服务可能需要的所有权限。

您的应用程序可能不需要我们托管策略中的全部权限。您可以对其进行自定义，并仅授予您的用户和 App Runner 服务执行任务所需的权限。这与用户策略特别相关，其中不同的用户角色可能具有不同的权限需求。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。

### 扫描您的映像中是否存在漏洞
<a name="security-best-practices.preventive.scan"></a>

您可以使用 Amazon ECR APIs 来帮助识别容器映像中的软件漏洞。有关更多信息，请参阅 [Amazon ECR 文档](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html)。

## 检测性安全最佳实践
<a name="security-best-practices.detective"></a>

侦探性安全控件会在发生安全违规后识别它们。它们可以帮助您发现潜在安全威胁或事件。

### 实施监控
<a name="security-best-practices.detective.monitor"></a>

监控是维护 App Runner 解决方案的可靠性、安全性、可用性和性能的重要组成部分。 AWS 提供了多种工具和服务来帮助您监控 AWS 服务。

以下是要监视的项目的一些示例：
+ *Amazon App Runner CloudWatch 指标* — 为应用程序运行器的关键指标和应用程序的自定义指标设置警报。有关更多信息，请参阅 [指标 (CloudWatch)](monitor-cw.md)。
+ *AWS CloudTrail 条目*-跟踪可能影响可用性的操作，例如`PauseService`或`DeleteConnection`。有关详细信息，请参阅[API 操作 (CloudTrail)](monitor-ct.md)。