Hacer referencia a variables de entorno - AWS App Runner
Hacer referencia a datos confidenciales como variables de entornoConsideracionesPermisos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Hacer referencia a variables de entorno

Con App Runner, puedes hacer referencia a los secretos y las configuraciones como variables de entorno de tu servicio al crear un servicio o actualizarlo.

Puede hacer referencia a datos de configuración no confidenciales, como los tiempos de espera y los recuentos de reintentos en texto sin formato, como pares clave-valor. Los datos de configuración a los que hace referencia en texto sin formato no están cifrados y otras personas los pueden ver en los registros de aplicaciones y de configuración del servicio de App Runner.

nota

Por motivos de seguridad, no hagas referencia a ningún dato confidencial en texto sin formato en tu servicio de App Runner.

Hacer referencia a datos confidenciales como variables de entorno

App Runner permite hacer referencia de forma segura a datos confidenciales como variables de entorno en su servicio. Considere la posibilidad de almacenar los datos confidenciales a los que desee hacer referencia en nuestro AWS Secrets Manageralmacén de AWS Systems Manager parámetros. Luego, puedes hacer referencia a ellos de forma segura en tu servicio como variables de entorno desde la consola de App Runner o llamando a la API. Esto separa eficazmente la administración de secretos y parámetros del código de la aplicación y la configuración del servicio, lo que mejora la seguridad general de las aplicaciones que se ejecutan en App Runner.

nota

App Runner no le cobra por hacer referencia a Secrets Manager y SSM Parameter Store como variables de entorno. Sin embargo, usted paga un precio estándar por usar Secrets Manager y SSM Parameter Store.

Para obtener más información sobre los precios, consulte los siguientes temas:

El siguiente es el proceso para hacer referencia a datos confidenciales como variables de entorno:

  1. Guarde los datos confidenciales, como las claves de API, las credenciales de la base de datos, los parámetros de conexión a la base de datos o las versiones de las aplicaciones, como secretos o parámetros en el almacén de parámetros AWS Secrets Manager o en el almacén de AWS Systems Manager parámetros.

  2. Actualiza la política de IAM de tu rol de instancia para que App Runner pueda acceder a los secretos y parámetros almacenados en Secrets Manager y SSM Parameter Store. Para obtener más información, consulte Permisos de ..

  3. Haga referencia de forma segura a los secretos y parámetros como variables de entorno asignando un nombre y proporcionando su nombre de recurso de Amazon (ARN). Puede añadir variables de entorno al crear un servicio o actualizar la configuración de un servicio. Puede usar una de las siguientes opciones para agregar variables de entorno:

    • Consola App Runner

    • API de App Runner

    • Archivo de configuración de la apprunner.yaml

    nota

    No puedes asignar PORT un nombre a una variable de entorno al crear o actualizar tu servicio de App Runner. Es una variable de entorno reservada para el servicio App Runner.

    Para obtener más información sobre cómo hacer referencia a secretos y parámetros, consulte Administrar variables de entorno.

nota

Como App Runner solo almacena la referencia a los ARN secretos y paramétricos, los datos confidenciales no son visibles para otras personas en los registros de aplicaciones y de configuración del servicio de App Runner.

Consideraciones

  • Asegúrate de actualizar el rol de la instancia con los permisos adecuados para acceder a los secretos y parámetros del almacén de AWS Systems Manager parámetros AWS Secrets Manager o de este. Para obtener más información, consulte Permisos de ..

  • Asegúrate de que el almacén de AWS Systems Manager parámetros esté en el Cuenta de AWS mismo lugar que el servicio que deseas lanzar o actualizar. Actualmente, no puedes hacer referencia a los parámetros del almacén de parámetros de SSM en todas las cuentas.

  • Cuando los secretos y los valores de los parámetros se rotan o cambian, no se actualizan automáticamente en tu servicio de App Runner. Vuelva a implementar el servicio App Runner, ya que App Runner solo extrae los secretos y los parámetros durante la implementación.

  • También tienes la opción de llamar AWS Secrets Manager directamente al almacén de AWS Systems Manager parámetros a través del SDK de tu servicio de App Runner.

  • Para evitar errores, asegúrate de lo siguiente cuando hagas referencia a ellas como variables de entorno:

    • Especifica el ARN correcto del secreto.

    • Debe especificar el nombre correcto o el ARN del parámetro.

Permisos

Para habilitar la referencia a los secretos y parámetros almacenados en el almacén de parámetros AWS Secrets Manager o en el almacén de parámetros de SSM, añade los permisos adecuados a la política de IAM de tu función de instancia para acceder a Secrets Manager y al almacén de parámetros de SSM.

nota

App Runner no puede acceder a los recursos de tu cuenta sin tu permiso. El permiso se otorga mediante la actualización de la política de IAM.

Puedes usar las siguientes plantillas de políticas para actualizar tu rol de instancia en la consola de IAM. Puede modificar estas plantillas de políticas para adaptarlas a sus requisitos específicos. Para obtener más información sobre la actualización de un rol de instancia, consulte Modificación de un rol en la Guía del usuario de IAM.

nota

También puedes copiar las siguientes plantillas de la consola de App Runner al crear las variables de entorno.

Copia la siguiente plantilla en tu rol de instancia para añadir permisos desde los que hacer referencia a los secretos AWS Secrets Manager.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue",
        "kms:Decrypt*"
      ],
      "Resource": [
        "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:<secret_name>",
        "arn:aws:kms:<region>:<aws_account_id>:key/<key_id>"
      ]
    }
  ]
}

Copia la siguiente plantilla en tu rol de instancia para añadir permisos para hacer referencia a los parámetros del almacén de AWS Systems Managerparámetros.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameters"
      ],
      "Resource": [
        "arn:aws:ssm:<region>:<aws_account_id>:parameter/<parameter_name>"
      ]
    }
  ]
}