AWS App Runner は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「[AWS App Runner 可用性の変更](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# プライベートエンドポイントの管理
次のいずれかの方法を使用して、受信トラフィックのプライベートエンドポイントを管理します。
+ [App Runner コンソール](#network-pl-manage.console)
+ [App Runner API または AWS CLI](#network-pl-manage.api)
**注記**
App Runner アプリケーションにソース IP/CIDR 受信トラフィックコントロールルールが必要な場合は、[WAF ウェブ ACLs](waf.md) の代わりにプライベートエンドポイントのセキュリティグループルールを使用する必要があります。これは、現在、リクエストソース IP データの WAF に関連付けられた App Runner プライベートサービスへの転送をサポートしていないためです。その結果、WAF ウェブ ACLs に関連付けられている App Runner プライベートサービスのソース IP ルールは、IP ベースのルールに準拠していません。
ベストプラクティスを含むインフラストラクチャセキュリティとセキュリティグループの詳細については、*「Amazon VPC ユーザーガイド*」の「セキュリティグループを使用して[ネットワークトラフィックを制御する](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic)」および「AWS リソースへのトラフィックを制御する」のトピックを参照してください。 [https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html)
## App Runner コンソール
App Runner コンソールを使用して[サービスを作成する](manage-create.md)場合、または[後でその設定を更新する](manage-configure.md)場合は、受信トラフィックの設定を選択できます。
受信トラフィックを設定するには、次のいずれかを選択します。
+ **パブリックエンドポイント**: インターネット経由ですべてのサービスがサービスにアクセスできるようにします。デフォルトでは、**パブリックエンドポイント**が選択されています。
+ **プライベートエンドポイント**: Amazon VPC 内からのみ App Runner サービスにアクセスできるようにします。
### プライベートエンドポイントを有効にする
アクセスする Amazon VPC の VPC インターフェイスエンドポイントに関連付けることで**、プライベート**エンドポイントを有効にします。新しい VPC インターフェイスエンドポイントを作成するか、既存のエンドポイントを選択できます。
**VPC インターフェイスエンドポイントを作成するには**
1. [App Runner コンソール](https://console.aws.amazon.com/apprunner)を開き、**リージョン**リストで を選択します AWS リージョン。
1. ******「サービスの設定」の「ネットワーク**」セクションに移動します。
1. **受信ネットワークトラフィック**に**プライベートエンドポイント**を選択します。VPC インターフェイスエンドポイントを使用して VCP に接続するオプションが開きます。
1. **新しいエンドポイントの作成** を選択します。**新しい VPC インターフェイスエンドポイントの作成**ダイアログボックスが開きます。
1. VPC インターフェイスエンドポイントの名前を入力します。
1. ドロップダウンリストから必要な VPC インターフェイスエンドポイントを選択します。
1. ドロップダウンリストからセキュリティグループを選択します。セキュリティグループを追加すると、VPC インターフェイスエンドポイントにセキュリティレイヤーが追加されます。2 つ以上のセキュリティグループを選択することをお勧めします。セキュリティグループを選択しない場合、App Runner は VPC インターフェイスエンドポイントにデフォルトのセキュリティグループを割り当てます。セキュリティグループルールが App Runner サービスと通信するリソースをブロックしないようにしてください。セキュリティグループルールでは、App Runner サービスとやり取りするリソースを許可する必要があります。
**注記**
App Runner アプリケーションにソース IP/CIDR 受信トラフィックコントロールルールが必要な場合は、[WAF ウェブ ACLs](waf.md) の代わりにプライベートエンドポイントのセキュリティグループルールを使用する必要があります。これは、現在、リクエストソース IP データの WAF に関連付けられた App Runner プライベートサービスへの転送をサポートしていないためです。その結果、WAF ウェブ ACLs に関連付けられている App Runner プライベートサービスのソース IP ルールは、IP ベースのルールに準拠していません。
ベストプラクティスを含むインフラストラクチャセキュリティとセキュリティグループの詳細については、*「Amazon VPC ユーザーガイド*」の「セキュリティグループを使用して[ネットワークトラフィック](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic)を制御し、AWS リソースへのトラフィックを制御する」のトピックを参照してください。 [https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html)
1. ドロップダウンリストから必要なサブネットを選択します。App Runner サービスにアクセスするアベイラビリティーゾーンごとに少なくとも 2 つのサブネットを選択することをお勧めします。
**注記**
デュアルスタック用にエンドポイントを設定する場合は、インフラストラクチャと VPC エンドポイントがデュアルスタックトラフィックをサポートしていることを確認してください。
1. (オプション) **新しいタグを追加**を選択し、タグキーとタグ値を入力します。
1. **[作成]** を選択します。**サービスの設定**ページが開き、上部のバーに VPC インターフェイスエンドポイントが正常に作成されたことを示すメッセージが表示されます。
**既存の VPC インターフェイスエンドポイントを選択するには**
1. [App Runner コンソール](https://console.aws.amazon.com/apprunner)を開き、**リージョン**リストで を選択します AWS リージョン。
1. ******「サービスの設定」の「ネットワーク**」セクションに移動します。
1. **受信ネットワークトラフィック**に**プライベートエンドポイント**を選択します。VPC インターフェイスエンドポイントを使用して VPC に接続するオプションが開きます。使用可能な VPC インターフェイスエンドポイントのリストが表示されます。
1. VPC インターフェイスエンドポイントにリストされている必要な **VPC インターフェイスエンドポイント**を選択します。
1. 次**へ** を選択してサービスを作成します。App Runner はプライベートエンドポイントを有効にします。
**注記**
サービスを作成したら、必要に応じて VPC インターフェイスエンドポイントに関連付けられたセキュリティグループとサブネットを編集できます。
**プライベートエンドポイント**の詳細を確認するには、サービスに移動し、**設定**タブの**ネットワーク**セクションを展開します。**プライベートエンドポイントに関連付けられた VPC と VPC インターフェイスエンドポイント**の詳細が表示されます。
### VPC インターフェイスエンドポイントを更新する
App Runner サービスを作成したら、プライベートエンドポイントに関連付けられた VPC インターフェイスエンドポイントを編集できます。
**注記**
**エンドポイント名**と **VPC** フィールドを更新することはできません。
**VPC インターフェイスエンドポイントを更新するには**
1. [App Runner コンソール](https://console.aws.amazon.com/apprunner)を開き、**リージョン**リストで を選択します AWS リージョン。
1. サービスに移動し、左側のパネルで**ネットワーク設定**を選択します。
1. **受信トラフィック**を選択して、それぞれのサービスに関連付けられている VPC インターフェイスエンドポイントを表示します。
1. 編集する VPC インターフェイスエンドポイントを選択します。
1. **[編集]** を選択します。VPC インターフェイスエンドポイントを編集するダイアログボックスが開きます。
1. 必要な**セキュリティグループ**と**サブネット**を選択し、**更新**をクリックします。VPC インターフェイスエンドポイントの詳細を示すページが開き、上部のバーに VPC インターフェイスエンドポイントが正常に更新されたというメッセージが表示されます。
**注記**
App Runner アプリケーションにソース IP/CIDR 受信トラフィックコントロールルールが必要な場合は、[WAF ウェブ ACLs](waf.md) の代わりにプライベートエンドポイントのセキュリティグループルールを使用する必要があります。これは、現在、リクエストソース IP データの WAF に関連付けられた App Runner プライベートサービスへの転送をサポートしていないためです。その結果、WAF ウェブ ACLs に関連付けられている App Runner プライベートサービスのソース IP ルールは、IP ベースのルールに準拠していません。
ベストプラクティスを含むインフラストラクチャセキュリティとセキュリティグループの詳細については、*「Amazon VPC ユーザーガイド*」の次のトピックを参照してください。セキュリティグループを使用して[ネットワークトラフィック](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic)を制御し、AWS リソースへのトラフィックを制御します。 [https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html)
### VPC インターフェイスエンドポイントを削除する
App Runner サービスにプライベートアクセスを許可しない場合は、受信トラフィックを **Public** に設定できます。を**パブリック**に変更すると、プライベートエンドポイントは削除されますが、VPC インターフェイスエンドポイントは削除されません。
**VPC インターフェイスエンドポイントを削除するには**
1. [App Runner コンソール](https://console.aws.amazon.com/apprunner)を開き、**リージョン**リストで を選択します AWS リージョン。
1. サービスに移動し、左側のパネルで**ネットワーク設定**を選択します。
1. **受信トラフィック**を選択して、それぞれのサービスに関連付けられている VPC インターフェイスエンドポイントを表示します。
**注記**
VPC インターフェイスエンドポイントを削除する前に、サービスを更新して、接続されているすべてのサービスから削除します。
1. **[削除]** を選択します。
VPC インターフェイスエンドポイントに接続されているサービスがある場合、**VPC インターフェイスエンドポイントを削除**できないというメッセージが表示されます。VPC インターフェイスエンドポイントに接続されているサービスがない場合は、削除を確認するメッセージが表示されます。
1. **[削除]** を選択します。ネットワーク**設定**ページが開き、**上部のバーに VPC **インターフェイスエンドポイントが正常に削除されたというメッセージが表示されます。
## App Runner API または AWS CLI
Amazon VPC 内からのみアクセスできるアプリケーションを App Runner にデプロイできます。
サービスをプライベートにするために必要なアクセス許可については、「」を参照してください[権限](network-pl.md#network-pl.permissions)。
**Amazon VPC へのプライベートサービス接続を作成するには**
1. App Runner に接続する VPC インターフェイスエンドポイント、 AWS PrivateLink リソースを作成します。これを行うには、アプリケーションに関連付けるサブネットとセキュリティグループを指定します。VPC インターフェイスエンドポイントを作成する例を次に示します。
**注記**
App Runner アプリケーションにソース IP/CIDR 受信トラフィックコントロールルールが必要な場合は、[WAF ウェブ ACLs](waf.md) の代わりにプライベートエンドポイントのセキュリティグループルールを使用する必要があります。これは、現在、リクエストソース IP データの WAF に関連付けられた App Runner プライベートサービスへの転送をサポートしていないためです。その結果、WAF ウェブ ACLs に関連付けられている App Runner プライベートサービスのソース IP ルールは、IP ベースのルールに準拠していません。
ベストプラクティスを含むインフラストラクチャセキュリティとセキュリティグループの詳細については、*「Amazon VPC ユーザーガイド*」の「セキュリティグループを使用した[ネットワークトラフィックの制御](https://docs.aws.amazon.com/vpc/latest/userguide/infrastructure-security.html#control-network-traffic)」および「AWS リソースへのトラフィックの制御」のトピックを参照してください。 [https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html)
**Example**
```
aws ec2 create-vpc-endpoint
--vpc-endpoint-type: Interface
--service-name: {{com.amazonaws.us-east-1.apprunner.requests}}
--subnets: {{subnet1, subnet2}}
--security-groups: {{sg1}}
```
1. CLI で [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html) または [UpdateService](https://docs.aws.amazon.com/apprunner/latest/api/API_UpdateService.html) App Runner API アクションを使用して、VPC インターフェイスエンドポイントを参照します。パブリックにアクセスできないようにサービスを設定します。`NetworkConfiguration` パラメータ`IngressConfiguration`のメンバー`False`で を `IsPubliclyAccessible`に設定します。必要に応じて、 `IpAddressType`フィールドを `IPV4`または に設定できます`DUAL_STACK`。設定しない場合、この値はデフォルトで IPV4 になります。次の例では、VPC インターフェイスエンドポイントを参照しています。
**Example**
```
aws apprunner create-service
--network-configuration:
{
"IngressConfiguration":
{
"IsPubliclyAccessible": {{False}}
},
"IpAddressType": "{{IPV4}}"
}
--service-name: {{com.amazonaws.us-east-1.apprunner.requests}}
--source-configuration: {{}}
```
1. `create-vpc-ingress-connection` API アクションを呼び出して App Runner の VPC Ingress Connection リソースを作成し、前のステップで作成した VPC インターフェイスエンドポイントに関連付けます。指定された VPC 内のサービスへのアクセスに使用されるドメイン名を返します。VPC Ingress Connection リソースを作成する例を次に示します。
**Example リクエスト**
```
aws apprunner create-vpc-ingress-connection
--service-arn:
--ingress-vpc-configuration: {"VpcId":{{}}, "VpceId": {{}}}
--vpc-ingress-connection-name: {{}}
```
**Example レスポンス**
```
{
"VpcIngressConnectionArn": ,
"VpcIngressConnectionName": ,
"ServiceArn": ,
"Status": "PENDING_CREATION",
"AccountId": ,
"DomainName": ,
"IngressVpcConfiguration": {"VpcId":, "VpceId":},
"CreatedAt":
}
```
### VPC Ingress Connection の更新
VPC Ingress Connection リソースを更新できます。VPC Ingress Connection を更新するには、次のいずれかの状態である必要があります。
+ 利用可能
+ FAILED\_CREATION
+ FAILED\_UPDATE
VPC Ingress Connection リソースを更新する例を次に示します。
**Example リクエスト**
```
aws apprunner update-vpc-ingress-connection
--vpc-ingress-connection-arn: {{}}
```
**Example レスポンス**
```
{
"VpcIngressConnectionArn": ,
"VpcIngressConnectionName": ,
"ServiceArn": ,
"Status": "FAILED_UPDATE",
"AccountId": ,
"DomainName": ,
"IngressVpcConfiguration": {"VpcId":, "VpceId":},
"CreatedAt":
}
```
### VPC Ingress Connection を削除する
Amazon VPC へのプライベート接続が不要になった場合は、VPC Ingress Connection リソースを削除できます。
VPC Ingress Connection を削除するには、次のいずれかの状態である必要があります。
+ 利用可能
+ 失敗した作成
+ 更新に失敗
+ 削除に失敗した
VPC Ingress Connection を削除する例を次に示します。
**Example リクエスト**
```
aws apprunner delete-vpc-ingress-connection
--vpc-ingress-connection-arn: {{}}
```
**Example レスポンス**
```
{
"VpcIngressConnectionArn": ,
"VpcIngressConnectionName": ,
"ServiceArn": ,
"Status": "PENDING_DELETION",
"AccountId": ,
"DomainName": ,
"IngressVpcConfiguration": {"VpcId":, "VpceId":},
"CreatedAt": ,
"DeletedAt":
}
```
次の App Runner API アクションを使用して、サービスのプライベートインバウンドトラフィックを管理します。
+ [CreateVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateVpcIngressConnection.html) – 新しい VPC Ingress Connection リソースを作成します。App Runner サービスを Amazon VPC エンドポイントに関連付ける場合、App Runner にはこのリソースが必要です。
+ [ListVpcIngressConnections](https://docs.aws.amazon.com/apprunner/latest/api/API_ListVpcIngressConnections.html) – AWS アカウントに関連付けられている AWS App Runner VPC Ingress Connection エンドポイントのリストを返します。
+ [DescribeVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_DescribeVpcIngressConnection.html) – AWS App Runner VPC Ingress Connection リソースの完全な説明を返します。
+ [UpdateVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_UpdateVpcIngressConnection.html) – AWS App Runner VPC Ingress Connection リソースを更新します。
+ [DeleteVpcIngressConnection](https://docs.aws.amazon.com/apprunner/latest/api/API_DeleteVpcIngressConnection.html) – App Runner サービスに関連付けられている App Runner VPC Ingress Connection リソースを削除します。
App Runner API の使用の詳細については、[「App Runner API リファレンスガイド](https://docs.aws.amazon.com/apprunner/latest/api/)」を参照してください。