AWS App Runner 不再向新客户开放。现有客户可以继续正常使用该服务。有关更多信息,请参阅 [AWS App Runner 可用性变更](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 引用环境变量
借助 App Runner,您可以在[创建服务或[更新](manage-configure.md)服务时将机密和配置作为服务](manage-create.md)中的环境变量引用。
您可以将非敏感配置数据(例如超时和重试次数)以**纯文本形式**引用为键值对。您在**纯文本**中引用的配置数据未经过加密,其他人可以在 App Runner 服务配置和应用程序日志中看到这些数据。
**注意**
出于安全考虑,请勿在 App Runner 服务中以**纯文本形式**引用任何敏感数据。
## 将敏感数据引用为环境变量
App Runner 支持在服务中安全地将敏感数据引用为环境变量。考虑将要引用的敏感数据存储在我们的 P *AWS Systems Manager arameter St *AWS Secrets Manager*ore* 中。然后,您可以从 App Runner 控制台或通过调用 API 在服务中安全地将它们作为环境变量引用。这样可以有效地将密钥和参数管理与应用程序代码和服务配置分开,从而提高在 App Runner 上运行的应用程序的整体安全性。
**注意**
App Runner 不会因为将 Secrets Manager 和 SSM Parameter Store 引用为环境变量而向你收取费用。但是,使用 Secrets Manager 和 SSM Parameter Store 需要支付标准价格。
有关定价的更多信息,请参阅以下内容:
[AWS Secrets Manager 定价](https://aws.amazon.com/secrets-manager/pricing)
[AWS SSM 参数存储定价](https://aws.amazon.com/systems-manager/pricing)
以下是将敏感数据作为环境变量引用的过程:
1. 将敏感数据(例如 API 密钥、数据库凭据、数据库连接参数或应用程序版本)作为机密或参数存储在任一 AWS Secrets Manager 或 Paramet AWS Systems Manager er Store 中。
1. 更新您的实例角色的 IAM 策略,这样 App Runner 就可以访问存储在 Secrets Manager 和 SSM Parameter Store 中的机密和参数。有关更多信息,请参阅 [ 权限](#env-variable.sensitivedata.permissions)。
1. 通过指定名称并提供其 Amazon 资源名称 (ARN),将密钥和参数安全地引用为环境变量。您可以在[创建服务或更新服务](manage-create.md)[配置](manage-configure.md)时添加环境变量。您可以使用以下选项之一来添加环境变量:
+ 应用程序运行器控制台
+ 应用程序运行器 API
+ `apprunner.yaml` 配置文件
**注意**
在创建或更新 `PORT` App Runner 服务时,不能将环境变量指定为名称。它是 App Runner 服务的预留环境变量。
有关如何引用密钥和参数的更多信息,请参阅[管理环境变量](env-variable-manage.md)。
**注意**
由于 App Runner 仅存储对机密和参数的引用 ARNs,因此其他人无法在 App Runner 服务配置和应用程序日志中看到敏感数据。
## 注意事项
+ 请务必更新您的实例角色,使其具有访问参数存储中 AWS Secrets Manager 或其中的密钥和 AWS Systems Manager 参数的相应权限。有关更多信息,请参阅 [ 权限](#env-variable.sensitivedata.permissions)。
+ 确保 AWS Systems Manager Parameter Store AWS 账户 与您要启动或更新的服务位于同一位置。目前,您无法跨账户引用 SSM 参数存储参数。
+ 轮换或更改密钥和参数值时,它们不会在您的 App Runner 服务中自动更新。重新部署你的 App Runner 服务,因为 App Runner 在部署期间仅提取机密和参数。
+ 您还可以选择通过 App Runner 服务中的 SDK 直接调用 AWS Secrets Manager 和 P AWS Systems Manager arameter Store。
+ 为避免错误,在将它们引用为环境变量时,请确保以下几点:
+ 您可以指定密钥的正确 ARN。
+ 您可以指定参数的正确名称或 ARN。
## Permissions
要启用引用存储在 AWS Secrets Manager 或 SSM Parameter Store 中的密钥和参数,请向您的*实例角色*的 IAM 策略添加相应的权限,以访问 Secrets Manager 和 SSM Parameter Store。
**注意**
未经您的许可,App Runner 无法访问您账户中的资源。您可以通过更新您的 IAM 政策来提供权限。
您可以使用以下策略模板在 IAM 控制台中更新您的实例角色。您可以修改这些策略模板以满足您的特定要求。有关更新实例角色的更多信息,请参阅 *IAM 用户指南*中的[修改角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html)。
**注意**
[创建环境变量](env-variable-manage.md#env-variable-manage.console)时,您也可以从 App Runner 控制台复制以下模板。
将以下模板复制到您的实例角色中,以添加引用*密钥*的权限*AWS Secrets Manager*。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"kms:Decrypt*"
],
"Resource": [
"arn:aws:secretsmanager:{{us-east-1}}:{{111122223333}}:{{secret}}:{{my-secret}}",
"arn:aws:kms:{{us-east-1}}:{{111122223333}}:{{key}}/{{my-key}}"
]
}
]
}
```
------
将以下模板复制到您的实例角色,以添加从 P *AWS Systems Manager*arameter Store 引用*参数*的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameters"
],
"Resource": [
"arn:aws:ssm:{{us-east-1}}:{{111122223333}}:{{parameter}}/{{my-parameter}}"
]
}
]
}
```
------