AWS App Runner 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊，請參閱[AWS App Runner 可用性變更](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# App Runner 的安全最佳實務
<a name="security-best-practices"></a>

AWS App Runner 提供數種安全功能，供您在開發和實作自己的安全政策時考慮。以下最佳實務為一般準則，並不代表完整的安全解決方案。因為這些最佳實務可能不適合或無法滿足您的環境，所以請將它們視為實用建議，不要當成指示。

如需其他 App Runner 安全主題，請參閱 [App Runner 的安全性](security.md)。

## 預防性安全最佳實務
<a name="security-best-practices.preventive"></a>

預防性安全控制會嘗試在事件發生前防止事件發生。

### 實作最低權限存取
<a name="security-best-practices.preventive.least-priv"></a>

App Runner 為 IAM [使用者](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-users)和[存取角色](security_iam_service-with-iam.md#security_iam_service-with-iam-roles-service.access)提供 AWS Identity and Access Management (IAM) 受管政策。這些受管政策會指定 App Runner 服務正確操作所需的所有許可。

您的應用程式可能不需要受管政策中的所有許可。您可以自訂它們，並僅授予使用者和 App Runner 服務執行其任務所需的許可。這特別關係到不同使用者角色可能有不同許可需求的使用者政策。對降低錯誤或惡意意圖所引起的安全風險和影響而言，實作最低權限存取是相當重要的一環。

### 掃描您的映像是否有漏洞
<a name="security-best-practices.preventive.scan"></a>

您可以使用 Amazon ECR 的 APIs，協助識別容器映像中的軟體漏洞。如需詳細資訊，請參閱 [Amazon ECR 文件](https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning.html)。

## 偵測性安全最佳實務
<a name="security-best-practices.detective"></a>

偵測性安全控制會在安全違規發生後識別出它們。它們可協助您偵測潛在的安全威脅或事件。

### 實作監控
<a name="security-best-practices.detective.monitor"></a>

監控是維護 App Runner 解決方案可靠性、安全性、可用性和效能的重要部分。 AWS 提供數種工具和服務，協助您監控 AWS 服務。

以下是一些要監控的項目範例：
+ *App Runner 的 Amazon CloudWatch 指標* – 為主要 App Runner 指標和應用程式的自訂指標設定警示。如需詳細資訊，請參閱[指標 (CloudWatch)](monitor-cw.md)。
+ *AWS CloudTrail 項目* – 追蹤可能影響可用性的動作，例如 `PauseService`或 `DeleteConnection`。如需詳細資訊，請參閱[API 動作 (CloudTrail)](monitor-ct.md)。