AWS App Runner 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊，請參閱[AWS App Runner 可用性變更](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 搭配 VPC 端點使用 App Runner
<a name="security-vpce"></a>

您的 AWS 應用程式可能會將 AWS App Runner 服務與從 [Amazon Virtual Private Cloud](https://docs.aws.amazon.com/vpc/latest/userguide/) (Amazon VPC) 在 VPC 中執行 AWS 服務 的其他 整合。應用程式的一部分可能會從 VPC 內向 App Runner 提出請求。例如，您可以使用 AWS CodePipeline 持續部署到 App Runner 服務。改善應用程式安全性的一種方法是透過 VPC 端點傳送這些 App Runner 請求 （以及其他請求 AWS 服務)。

使用 *VPC 端點*，您可以將 VPC 私下連線至支援 AWS 服務 且採用 技術的 VPC 端點服務 AWS PrivateLink。您不需要網際網路閘道、NAT 裝置、VPN 連線或 Direct Connect 連線。

VPC 中的資源不會使用公有 IP 地址與 App Runner 資源互動。VPC 和 App Runner 之間的流量不會離開 Amazon 網路。如需 VPC 端點的詳細資訊，請參閱《 *AWS PrivateLink 指南*》中的 [VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html)。

**注意**  
根據預設，App Runner 服務中的 Web 應用程式會在 App Runner 提供和設定的 VPC 中執行。此 VPC 為公有。這表示它已連線到網際網路。您可以選擇性地將應用程式與自訂 VPC 建立關聯。如需詳細資訊，請參閱[啟用傳出流量的 VPC 存取](network-vpc.md)。  
您可以設定您的服務以存取網際網路，包括 AWS APIs，即使您的服務連線到 VPC。如需如何為 VPC 傳出流量啟用公有網際網路存取的說明，請參閱 [選取子網路時的考量事項](network-vpc.md#network-vpc.considerations-subnet)。  
App Runner 不支援為您的應用程式建立 VPC 端點。

## 設定 App Runner 的 VPC 端點
<a name="security-vpce.setup"></a>

若要在 VPC 中為 App Runner 服務建立介面 VPC 端點，請遵循 *AWS PrivateLink 指南*中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint)程序。在 **Service Name (服務名稱)** 中，選擇 `com.amazonaws.{{region}}.apprunner`。

## VPC 網路隱私權考量事項
<a name="security-vpce.private"></a>

**重要**  
將 VPC 端點用於 App Runner 並不保證來自 VPC 的所有流量都保持在網際網路之外。VPC 可能是公有的。此外，您解決方案的某些部分可能不會使用 VPC 端點進行 AWS API 呼叫。例如， AWS 服務 可能會使用其公有端點呼叫其他 服務。如果 VPC 中的解決方案需要流量隱私權，請閱讀本節。

為了確保 VPC 中網路流量的隱私權，請考慮下列事項：
+ *啟用 DNS 名稱* – 您應用程式的一部分可能仍會使用`apprunner.{{region}}.amazonaws.com`公有端點透過網際網路將請求傳送至 App Runner。如果您的 VPC 已設定網際網路存取，則這些請求會成功，而不會對您發出任何指示。您可以透過確保**在建立端點時啟用 DNS 名稱**來防止這種情況。根據預設，它會設定為 true。這會在 VPC 中新增 DNS 項目，此項目會將公有服務端點映射至界面 VPC 端點。
+ *為其他服務設定 VPC 端點* – 您的解決方案可能會將請求傳送給其他人 AWS 服務。例如， AWS CodePipeline 可能會將請求傳送至 AWS CodeBuild。為這些服務設定 VPC 端點，並啟用這些端點上的 DNS 名稱。
+ *設定私有 VPC* – 如果可能 （如果您的解決方案完全不需要網際網路存取），請將 VPC 設定為私有，這表示它沒有網際網路連線。這可確保遺失的 VPC 端點造成可見錯誤，因此您可以新增遺失的端點。

## 使用端點政策搭配 VPC 端點來控制存取
<a name="security-vpce.policy"></a>

 App Runner 支援 VPC 端點政策。根據預設，允許透過介面端點完整存取 App Runner。VPC 端點政策可用來控制哪些 AWS 主體可以存取 App Runner 端點。或者，您可以將安全群組與端點網路介面建立關聯，以控制透過介面端點傳送至 App Runner 的流量。

## 與介面端點整合
<a name="security-vpce.pl-integration"></a>

App Runner 支援 AWS PrivateLink，可為 App Runner 提供私有連線，並消除網際網路流量的暴露。若要讓您的應用程式使用 傳送請求至 App Runner AWS PrivateLink，請設定稱為*介面*端點的 VPC 端點類型。如需詳細資訊，請參閱《 *AWS PrivateLink 指南*》中的[界面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)。