Merujuk variabel lingkungan - AWS App Runner
Merujuk data sensitif sebagai variabel lingkunganPertimbanganIzin

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Merujuk variabel lingkungan

Dengan App Runner, Anda dapat mereferensikan rahasia dan konfigurasi sebagai variabel lingkungan dalam layanan Anda saat membuat layanan atau memperbarui layanan.

Anda dapat mereferensikan data konfigurasi yang tidak sensitif seperti batas waktu dan hitungan coba lagi dalam Teks Biasa sebagai pasangan nilai kunci. Data konfigurasi yang Anda referensikan dalam Teks Biasa tidak dienkripsi dan dapat dilihat oleh orang lain dalam konfigurasi layanan App Runner dan log aplikasi.

catatan

Untuk alasan keamanan, jangan mereferensikan data sensitif apa pun dalam Teks Biasa di layanan App Runner Anda.

Merujuk data sensitif sebagai variabel lingkungan

App Runner mendukung referensi data sensitif secara aman sebagai variabel lingkungan di layanan Anda. Pertimbangkan untuk menyimpan data sensitif yang ingin Anda referensikan di AWS Secrets Manageratau AWS Systems Manager Parameter Store. Kemudian, Anda dapat mereferensikannya dengan aman di layanan Anda sebagai variabel lingkungan dari konsol App Runner atau dengan memanggil API. Ini secara efektif memisahkan manajemen rahasia dan parameter dari kode aplikasi dan konfigurasi layanan Anda, meningkatkan keamanan keseluruhan aplikasi Anda yang berjalan di App Runner.

catatan

App Runner tidak mengenakan biaya untuk mereferensikan Secrets Manager dan SSM Parameter Store sebagai variabel lingkungan. Namun, Anda membayar harga standar untuk menggunakan Secrets Manager dan SSM Parameter Store.

Untuk informasi selengkapnya tentang harga, lihat berikut ini:

Berikut ini adalah proses untuk referensi data sensitif sebagai variabel lingkungan:

  1. Menyimpan data sensitif, seperti kunci API, kredensyal database, parameter koneksi database, atau versi aplikasi sebagai rahasia atau parameter di salah satu AWS Secrets Manager atau AWS Systems Manager Parameter Store.

  2. Perbarui kebijakan IAM peran instans Anda agar App Runner dapat mengakses rahasia dan parameter yang disimpan di Secrets Manager dan SSM Parameter Store. Untuk informasi selengkapnya, lihat Izin.

  3. Referensikan rahasia dan parameter secara aman sebagai variabel lingkungan dengan menetapkan nama dan memberikan Nama Sumber Daya Amazon (ARN) mereka. Anda dapat menambahkan variabel lingkungan saat membuat layanan atau memperbarui konfigurasi layanan. Anda dapat menggunakan salah satu opsi berikut untuk menambahkan variabel lingkungan:

    • Konsol Pelari Aplikasi

    • API Pelari Aplikasi

    • apprunner.yamlberkas konfigurasi

    catatan

    Anda tidak dapat menetapkan PORT sebagai nama untuk variabel lingkungan saat membuat atau memperbarui layanan App Runner Anda. Ini adalah variabel lingkungan yang dicadangkan untuk layanan App Runner.

    Untuk informasi selengkapnya tentang cara mereferensikan rahasia dan parameter, lihat Mengelola variabel lingkungan.

catatan

Karena App Runner hanya menyimpan referensi ke ARN rahasia dan parameter, data sensitif tidak terlihat oleh orang lain dalam konfigurasi layanan App Runner dan log aplikasi.

Pertimbangan

  • Pastikan Anda memperbarui peran instans dengan izin yang sesuai untuk mengakses rahasia dan parameter di AWS Secrets Manager atau di AWS Systems Manager Parameter Store. Untuk informasi selengkapnya, lihat Izin.

  • Pastikan AWS Systems Manager Parameter Store Akun AWS sama dengan layanan yang ingin Anda luncurkan atau perbarui. Saat ini, Anda tidak dapat mereferensikan parameter Penyimpanan Parameter SSM di seluruh akun.

  • Ketika rahasia dan nilai parameter diputar atau diubah, nilai tersebut tidak diperbarui secara otomatis di layanan App Runner Anda. Menerapkan ulang layanan App Runner Anda karena App Runner hanya menarik rahasia dan parameter selama penerapan.

  • Anda juga memiliki opsi untuk langsung memanggil AWS Secrets Manager dan AWS Systems Manager Parameter Store melalui SDK di layanan App Runner Anda.

  • Untuk menghindari kesalahan, pastikan hal berikut saat mereferensikannya sebagai variabel lingkungan:

    • Anda menentukan ARN rahasia yang tepat.

    • Anda menentukan nama yang tepat atau ARN dari parameter.

Izin

Untuk mengaktifkan referensi rahasia dan parameter yang disimpan di Penyimpanan Parameter SSM AWS Secrets Manager atau SSM, tambahkan izin yang sesuai ke kebijakan IAM peran instans Anda untuk mengakses Secrets Manager dan SSM Parameter Store.

catatan

App Runner tidak dapat mengakses sumber daya di akun Anda tanpa izin Anda. Anda memberikan izin melalui memperbarui kebijakan IAM Anda.

Anda dapat menggunakan templat kebijakan berikut untuk memperbarui peran instans di konsol IAM. Anda dapat memodifikasi templat kebijakan ini untuk memenuhi kebutuhan spesifik Anda. Untuk informasi selengkapnya tentang memperbarui peran instance, lihat Memodifikasi peran dalam Panduan Pengguna IAM.

catatan

Anda juga dapat menyalin template berikut dari konsol App Runner saat membuat variabel lingkungan.

Salin, templat berikut ke peran instans Anda untuk menambahkan izin ke rahasia referensi dari AWS Secrets Manager.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue",
        "kms:Decrypt*"
      ],
      "Resource": [
        "arn:aws:secretsmanager:<region>:<aws_account_id>:secret:<secret_name>",
        "arn:aws:kms:<region>:<aws_account_id>:key/<key_id>"
      ]
    }
  ]
}

Salin template berikut ke peran instans Anda untuk menambahkan izin ke parameter referensi dari AWS Systems ManagerParameter Store.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetParameters"
      ],
      "Resource": [
        "arn:aws:ssm:<region>:<aws_account_id>:parameter/<parameter_name>"
      ]
    }
  ]
}