Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
En) Proxy-Autorisierung
Die Proxy-Autorisierung autorisiert den Envoy-Proxy, der innerhalb einer Amazon ECS-Aufgabe, in einem Kubernetes-Pod, der auf Amazon EKS läuft, oder der auf einer Amazon EC2 EC2-Instance ausgeführt wird, dazu, die Konfiguration eines oder mehrerer Mesh-Endpunkte aus dem App Mesh Envoy Management Service zu lesen. Für Kundenkonten, bei denen Envoys bereits vor dem 26.04.2021 mit ihrem App Mesh Mesh-Endpunkt verbunden ist, ist eine Proxy-Autorisierung für virtuelle Knoten, die Transport Layer Security (TLS) verwenden, und für virtuelle Gateways (mit oder ohne TLS) erforderlich. Für Kundenkonten, die Envoys nach dem 26.04.2021 mit ihrem App Mesh Mesh-Endpunkt verbinden möchten, ist eine Proxy-Autorisierung für alle App Mesh Mesh-Funktionen erforderlich. Es wird empfohlen, dass alle Kundenkonten die Proxy-Autorisierung für alle virtuellen Knoten aktivieren, auch wenn sie kein TLS verwenden, um eine sichere und konsistente Erfahrung mit IAM für die Autorisierung für bestimmte Ressourcen zu haben. Die Proxy-Autorisierung erfordert, dass dieappmesh:StreamAggregatedResources
Berechtigung in einer IAM-Richtlinie angegeben ist. Die Richtlinie muss an eine IAM-Rolle angehängt sein, und diese IAM-Rolle muss an die Rechenressource angehängt werden, auf der Sie den Proxy hosten.
Erstellen einer IAM-Richtlinie
Wenn Sie möchten, dass alle Mesh-Endpunkte in einem Service-Mesh die Konfiguration für alle Mesh-Endpunkte lesen können, fahren Sie mit fortErstellen einer IAM-Rolle. Wenn Sie die Mesh-Endpunkte einschränken möchten, aus denen die Konfiguration von einzelnen Mesh-Endpunkten gelesen werden kann, müssen Sie eine oder mehrere IAM-Richtlinien erstellen. Es wird empfohlen, die Mesh-Endpunkte, von denen die Konfiguration gelesen werden kann, auf den Envoy-Proxy zu beschränken, der auf bestimmten Rechenressourcen läuft. Erstellen Sie eine IAM-Richtlinie und fügen Sie dieappmesh:StreamAggregatedResources
Berechtigung zu der Richtlinie hinzu. Die folgende Beispielrichtlinie ermöglicht die Konfiguration der virtuellen Knoten, die in einem Service-Mesh benanntserviceBv1
undserviceBv2
gelesen werden können. Die Konfiguration kann für keine anderen virtuellen Knoten gelesen werden, die im Service Mesh definiert sind. Weitere Informationen zum Erstellen oder Bearbeiten einer IAM-Richtlinie finden Sie unter Erstellen von IAM-Richtlinien und Bearbeiten von IAM-Richtlinien.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "appmesh:StreamAggregatedResources", "Resource": [ "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1", "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2" ] } ] }
Sie können mehrere Richtlinien erstellen, wobei jede Richtlinie den Zugriff auf verschiedene Mesh-Endpunkte einschränkt.
Erstellen einer IAM-Rolle
Wenn Sie möchten, dass alle Mesh-Endpunkte in einem Service-Mesh die Konfiguration für alle Mesh-Endpunkte lesen können, müssen Sie nur eine IAM-Rolle erstellen. Wenn Sie die Mesh-Endpunkte einschränken möchten, aus denen die Konfiguration von einzelnen Mesh-Endpunkten gelesen werden kann, müssen Sie für jede Richtlinie, die Sie im vorherigen Schritt erstellt haben, eine Rolle erstellen. Füllen Sie die Anweisungen für die Rechenressource aus, auf der der Proxy ausgeführt wird.
-
Amazon EKS — Wenn Sie eine einzelne Rolle verwenden möchten, können Sie die vorhandene Rolle verwenden, die bei der Erstellung Ihres Clusters erstellt und den Worker-Knoten zugewiesen wurde. Um mehrere Rollen verwenden zu können, muss Ihr Cluster die Anforderungen erfüllen, die unter Aktivieren von IAM-Rollen für Dienstkonten in Ihrem Cluster definiert sind. Erstellen Sie die IAM-Rollen und ordnen Sie die Rollen den Kubernetes-Dienstkonten zu. Weitere Informationen finden Sie unter Erstellen einer IAM-Rolle und -Richtlinie für Ihr Dienstkonto und Angeben einer IAM-Rolle für Ihr Dienstkonto.
-
Amazon ECS — Wählen Sie AWSService, Elastic Container Service und dann den Anwendungsfall Elastic Container Service Task aus, wenn Sie Ihre IAM-Rolle erstellen.
-
Amazon EC2 — Wählen Sie AWSService, EC2 und dann den EC2-Anwendungsfall aus, wenn Sie Ihre IAM-Rolle erstellen. Dies gilt unabhängig davon, ob Sie den Proxy direkt auf einer Amazon EC2 EC2-Instance oder auf einer Instance auf einer Instance hosten.
Weitere Informationen zum Erstellen einer IAM-Rolle finden Sie unter Erstellen einer Rolle für einenAWS -Service.
Anfügen einer IAM-Richtlinie
Wenn Sie möchten, dass alle Mesh-Endpunkte in einem Service-Mesh die Konfiguration für alle Mesh-Endpunkte lesen können, hängen Sie dieAWSAppMeshEnvoyAccess
verwaltete IAM-Richtlinie an die IAM-Rolle an, die Sie in einem vorherigen Schritt erstellt haben. Wenn Sie die Mesh-Endpunkte einschränken möchten, aus denen die Konfiguration von einzelnen Mesh-Endpunkten gelesen werden kann, hängen Sie jede von Ihnen erstellte Richtlinie an jede von Ihnen erstellte Rolle an. Weitere Informationen zum Anhängen einer benutzerdefinierten oder verwalteten IAM-Richtlinie an eine IAM-Rolle finden Sie unter Hinzufügen von IAM-Identitätsberechtigungen.
IAM-Rolle anfügen
Ordnen Sie jede IAM-Rolle der entsprechenden Rechenressource zu:
-
Amazon EKS — Wenn Sie die Richtlinie an die Rolle angehängt haben, die Ihren Worker-Knoten zugewiesen ist, können Sie diesen Schritt überspringen. Wenn Sie separate Rollen erstellt haben, weisen Sie jede Rolle einem separaten Kubernetes-Dienstkonto zu und weisen Sie jedes Dienstkonto einer einzelnen Kubernetes-Pod-Bereitstellungsspezifikation zu, die den Envoy-Proxy enthält. Weitere Informationen finden Sie unter Angeben einer IAM-Rolle für Ihr Servicekonto im Amazon EKS-Benutzerhandbuch und unter Konfigurieren von Servicekonten für Pods
in der Kubernetes-Dokumentation. -
Amazon ECS — Fügen Sie der Aufgabendefinition, die den Envoy-Proxy enthält, eine Amazon ECS-Aufgabenrolle hinzu. Die Aufgabe kann mit dem EC2- oder Fargate-Starttyp ausgeführt werden. Weitere Informationen zum Erstellen einer Amazon ECS-Aufgabenrolle und zum Anhängen an eine Aufgabe finden Sie unter Angeben einer IAM-Rolle für Ihre Aufgaben.
-
Amazon EC2 — Die IAM-Rolle muss der Amazon EC2 EC2-Instance zugeordnet sein, die den Envoy-Proxy hostet. Weitere Informationen zum Anhängen einer Rolle an eine Amazon EC2 EC2-Instance finden Sie unter Ich habe eine IAM-Rolle erstellt und möchte sie jetzt einer EC2-Instance zuweisen
.
Bestätigen Sie die Erlaubnis
Vergewissern Sie sich, dass dieappmesh:StreamAggregatedResources
Berechtigung der Rechenressource zugewiesen ist, auf der Sie den Proxy hosten, indem Sie einen der Compute-Dienstnamen auswählen.