

AWS App Runner 从 2026 年 4 月 30 日起，将不再向新客户开放。如果您想使用 App Runner，请在该日期之前注册。现有客户可以继续正常使用该服务。有关更多信息，请参阅 [AWS App Runner 可用性变更](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 应用程序运行器如何与 IAM 配合使用
<a name="security_iam_service-with-iam"></a>

在使用 IAM 管理访问权限之前 AWS App Runner，您应该了解哪些可用于 App Runner 的 IAM 功能。要全面了解 App Runner 和其他 AWS 服务如何与 IAM 配合使用，请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。

有关其他 App Runner 安全主题，请参阅[应用程序运行器中的安全性](security.md)。

**Topics**
+ [App Runner 基于身份的政策](#security_iam_service-with-iam-id-based-policies)
+ [App Runner 基于资源的策略](#security_iam_service-with-iam-resource-based-policies)
+ [基于 App Runner 标签的授权](#security_iam_service-with-iam-tags)
+ [App Runner 用户权限](#security_iam_service-with-iam-users)
+ [应用程序运行器 IAM 角色](#security_iam_service-with-iam-roles)

## App Runner 基于身份的政策
<a name="security_iam_service-with-iam-id-based-policies"></a>

通过使用 IAM 基于身份的策略，您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。App Runner 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素，请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。

### 操作
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。

App Runner 中的策略操作在操作前使用以下前缀:`apprunner:`. 例如，要授予某人使用 Amazon EC2 `RunInstances` API 操作运行 Amazon EC2 实例的权限，您应将 `ec2:RunInstances` 操作纳入其策略。策略语句必须包含 `Action` 或 `NotAction` 元素。App Runner 定义了自己的一组操作，这些操作描述了您可以使用此服务执行的任务。

要在单个语句中指定多项操作，请使用逗号将它们隔开，如下所示：

```
"Action": [
   "apprunner:CreateService",
   "apprunner:CreateConnection"
]
```

您也可以使用通配符 （\$1) 指定多个操作。例如，要指定以单词 `Describe` 开头的所有操作，包括以下操作：

```
"Action": "apprunner:Describe*"
```



要查看 App Runner 操作列表，请参阅*服务授权参考 AWS App Runner*中[定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions)。

### 资源
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践，请使用其 [Amazon 资源名称（ARN）](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作，请使用通配符 (\$1) 指示语句应用于所有资源。

```
"Resource": "*"
```



App Runner 资源具有以下 ARN 结构：

```
arn:aws:apprunner:region:account-id:resource-type/resource-name[/resource-id]
```

有关格式的更多信息 ARNs，请参阅中的 [Amazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。*AWS 一般参考*

例如，要在语句中指定`my-service`服务，请使用以下 ARN：

```
"Resource": "arn:aws:apprunner:us-east-1:123456789012:service/my-service"
```

要指定属于特定账户的所有服务，请使用通配符 (\$1)：

```
"Resource": "arn:aws:apprunner:us-east-1:123456789012:service/*"
```

某些 App Runner 操作（例如用于创建资源的操作）无法对特定资源执行。在这些情况下，您必须使用通配符（\$1)。

```
"Resource": "*"
```

要查看 App Runner 资源类型及其列表 ARNs，请参阅《*服务授权参考*》 AWS App Runner中[定义的资源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-resources-for-iam-policies)。要了解可以在哪些操作中指定每个资源的 ARN，请参阅 [AWS App Runner定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions)。

### 条件键
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)（例如，等于或小于）的条件表达式，以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键，请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

App Runner 支持使用一些全局条件键。要查看所有 AWS 全局条件键，请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

App Runner 定义了一组特定于服务的条件键。此外，App Runner 支持基于标签的访问控制，该控制是使用条件键实现的。有关更多信息，请参阅 [基于 App Runner 标签的授权](#security_iam_service-with-iam-tags)。

要查看 App Runner 条件键列表，请参阅《*服务授权参考*》 AWS App Runner中的[条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-policy-keys)。要了解可以使用条件键的操作和资源，请参阅[由定义的操作 AWS App Runner](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsapprunner.html#awsapprunner-actions-as-permissions)。

### 示例
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>

要查看 App Runner 基于身份的策略示例，请参阅。[App Runner 基于身份的策略示例](security_iam_id-based-policy-examples.md)

## App Runner 基于资源的策略
<a name="security_iam_service-with-iam-resource-based-policies"></a>

App Runner 不支持基于资源的策略。

## 基于 App Runner 标签的授权
<a name="security_iam_service-with-iam-tags"></a>

您可以将标签附加到 App Runner 资源，也可以在请求中将标签传递给 App Runner。要基于标签控制访问，您需要使用 `apprunner:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。有关为 App Runner 资源添加标签的更多信息，请参阅[配置 App Runner 服务](manage-configure.md)。

要查看基于身份的策略（用于根据资源上的标签来限制对该资源的访问）的示例，请参阅 [根据标签控制对 App Runner 服务的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags)。

## App Runner 用户权限
<a name="security_iam_service-with-iam-users"></a>

要使用 App Runner，IAM 用户需要访问应用程序运行器操作的权限。向用户授予权限的常用方法是向 IAM 用户或群组附加策略。有关管理用户权限的更多信息，请参阅 [IAM 用户*指南中的更改 IAM 用户的*权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。

App Runner 提供了两个托管策略，您可以将其附加到您的用户。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerReadOnlyAccess.html)— 授予列出和查看有关 App Runner 资源详细信息的权限。
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerFullAccess.html)— 授予所有 App Runner 操作的权限。

要更精细地控制用户权限，您可以创建自定义策略并将其附加到您的用户。有关详细信息，请参阅 [IAM *用户指南中的创建 IAM* 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。

有关用户策略的示例，请参阅[用户策略](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-users)。

## 应用程序运行器 IAM 角色
<a name="security_iam_service-with-iam-roles"></a>

I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您内部具有特定权限 AWS 账户 的实体。

### 服务关联角色
<a name="security_iam_service-with-iam-roles-service-linked"></a>

[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中，并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。

App Runner 支持与服务相关的角色。有关创建或管理 App Runner 服务相关角色的信息，请参阅[为 App Runner 使用服务相关角色](security-iam-slr.md)。

### 服务角色
<a name="security_iam_service-with-iam-roles-service"></a>

此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中，并归该账户所有。这意味着 IAM 用户可以更改此角色的权限。但是，这样做可能会中断服务的功能。

App Runner 支持几个服务角色。

#### 访问角色
<a name="security_iam_service-with-iam-roles-service.access"></a>

访问角色是 App Runner 用于访问您账户中亚马逊弹性容器注册表 (Amazon ECR) Container Registry 中的图像的角色。访问亚马逊 ECR 中的图片是必需的，而亚马逊 ECR Public 则不是必需的。

在基于 Amazon ECR 中的图像创建服务之前，请使用 IAM 创建服务角色。[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerServicePolicyForECRAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppRunnerServicePolicyForECRAccess.html)在您的服务角色中使用托管策略。然后，当您在[SourceConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_SourceConfiguration.html)参数的[AuthenticationConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_AuthenticationConfiguration.html)成员中调用 [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html)API 或使用 App Runner 控制台创建服务时，您可以将此角色传递给 App Runner。

**注意**  
如果您为访问角色创建了自己的自定义策略，请务必`"Resource": "*"`为`ecr:GetAuthorizationToken`操作指定。令牌可用于访问您有权访问的任何 Amazon ECR 注册表。

创建访问角色时，请务必添加一个将 App Runner 服务主体声明`build.apprunner.amazonaws.com`为可信实体的信任策略。

##### 访问角色的信任策略
<a name="security_iam_service-with-iam-roles-service.access.trust"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "build.apprunner.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

如果您使用 App Runner 控制台创建服务，则控制台可以自动为您创建访问角色并为新服务选择该角色。控制台还会列出您账户中的其他角色，您可以根据需要选择其他角色。

#### 实例角色
<a name="security_iam_service-with-iam-roles-service.instance"></a>

实例角色是一个可选角色，App Runner 使用该角色为 AWS 服务计算实例所需的服务操作提供权限。如果您的应用程序代码调用 AWS 操作 (APIs)，则需要向 App Runner 提供实例角色。要么在您的实例角色中嵌入所需的权限，要么创建自己的自定义策略并将其用于实例角色。我们无法预测您的代码使用哪些调用。因此，我们不提供用于此目的的托管政策。

在创建 App Runner 服务之前，请使用 IAM 创建具有所需自定义或嵌入式策略的服务角色。然后，当您在[InstanceConfiguration](https://docs.aws.amazon.com/apprunner/latest/api/API_InstanceConfiguration.html)参数的`InstanceRoleArn`成员中调用 [CreateService](https://docs.aws.amazon.com/apprunner/latest/api/API_CreateService.html)API 或使用 App Runner 控制台创建服务时，您可以将此角色作为实例角色传递给 App Runner。

创建实例角色时，请务必添加一个将 App Runner 服务委托人声明`tasks.apprunner.amazonaws.com`为可信实体的信任策略。

##### 实例角色的信任策略
<a name="security_iam_service-with-iam-roles-service.instance.trust"></a>

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "tasks.apprunner.aws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

如果您使用 App Runner 控制台创建服务，则控制台会列出您账户中的角色，您可以选择为此目的创建的角色。

有关创建服务的信息，请参阅[创建 App Runner 服务](manage-create.md)。