Autorisation Envoy Proxy - AWS App Mesh
Créer une IAM politiqueCréer un IAM rôleAttacher une IAM politiqueAttacher IAM un rôleConfirmer l'autorisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisation Envoy Proxy

Important

Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog intitulé Migration from AWS App Mesh to Amazon ECS Service Connect.

L'autorisation du proxy autorise le proxy Envoy exécuté dans le cadre d'une ECS tâche Amazon, dans un pod Kubernetes exécuté sur Amazon ou exécuté sur une EC2 instance Amazon EKS à lire la configuration d'un ou plusieurs points de terminaison de maillage à partir du service de gestion App Mesh Envoy. Pour les comptes clients pour lesquels Envoys est déjà connecté à leur point de terminaison App Mesh avant le 26/04/2021, une autorisation de proxy est requise pour les nœuds virtuels qui utilisent Transport Layer Security (TLS) et pour les passerelles virtuelles (avec ou sans). TLS Pour les comptes clients qui souhaitent connecter Envoys à leur point de terminaison App Mesh après le 26/04/2021, une autorisation de proxy est requise pour toutes les fonctionnalités d'App Mesh. Il est recommandé à tous les comptes clients d'activer l'autorisation proxy pour tous les nœuds virtuels, même s'ils ne les utilisent pasTLS, afin de bénéficier d'une expérience sécurisée et cohérente lors de l'utilisation de l'autorisation IAM pour des ressources spécifiques. L'autorisation du proxy nécessite que l'appmesh:StreamAggregatedResourcesautorisation soit spécifiée dans une IAM politique. La politique doit être attachée à un IAM rôle, et ce IAM rôle doit être attaché à la ressource de calcul sur laquelle vous hébergez le proxy.

Créer une IAM politique

Si vous souhaitez que tous les points de terminaison d'un maillage de service puissent lire la configuration de tous les points de terminaison du maillage, passez à. Créer un IAM rôle Si vous souhaitez limiter les extrémités de maillage à partir desquelles la configuration peut être lue par des extrémités de maillage individuelles, vous devez créer une ou plusieurs IAM politiques. Il est recommandé de limiter les points de terminaison du maillage à partir desquels la configuration peut être lue au seul proxy Envoy exécuté sur des ressources de calcul spécifiques. Créez une IAM politique et ajoutez-y l'appmesh:StreamAggregatedResourcesautorisation. L'exemple de politique suivant permet de configurer les nœuds virtuels nommés serviceBv1 et serviceBv2 à lire dans un maillage de services. La configuration ne peut être lue pour aucun autre nœud virtuel défini dans le maillage de service. Pour plus d'informations sur la création ou la modification d'une IAM politique, voir Création de IAM politiques et modification de IAM politiques.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "appmesh:StreamAggregatedResources",
            "Resource": [
                "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1",
                "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2"
            ]
        }
    ]
}

Vous pouvez créer plusieurs politiques, chaque politique limitant l'accès aux différents points de terminaison du maillage.

Créer un IAM rôle

Si vous souhaitez que tous les points de terminaison d'un maillage de service puissent lire la configuration de tous les points de terminaison du maillage, il vous suffit de créer un IAM seul rôle. Si vous souhaitez limiter les points de terminaison de maillage à partir desquels la configuration peut être lue par des points de terminaison de maillage individuels, vous devez créer un rôle pour chaque politique que vous avez créée à l'étape précédente. Suivez les instructions relatives à la ressource de calcul sur laquelle le proxy s'exécute.

  • Amazon EKS — Si vous souhaitez utiliser un rôle unique, vous pouvez utiliser le rôle existant qui a été créé et attribué aux nœuds de travail lorsque vous avez créé votre cluster. Pour utiliser plusieurs rôles, votre cluster doit répondre aux exigences définies dans la section Activation IAM des rôles pour les comptes de service sur votre cluster. Créez les IAM rôles et associez-les aux comptes de service Kubernetes. Pour plus d'informations, voir Création d'un IAM rôle et d'une politique pour votre compte de service et Spécification d'un IAM rôle pour votre compte de service.

  • Amazon ECS — Sélectionnez le AWS service, sélectionnez Elastic Container Service, puis sélectionnez le cas d'utilisation d'Elastic Container Service Task lors de la création de votre IAM rôle.

  • Amazon EC2 — Sélectionnez le AWS service EC2, puis sélectionnez le cas d'EC2utilisation lors de la création de votre IAM rôle. Cela s'applique que vous hébergiez le proxy directement sur une EC2 instance Amazon ou sur Kubernetes exécuté sur une instance.

Pour plus d'informations sur la création d'un IAM rôle, consultez la section Création d'un rôle pour un AWS service.

Attacher une IAM politique

Si vous souhaitez que tous les points de terminaison d'un maillage de service puissent lire la configuration de tous les points de terminaison du maillage, associez la IAM politique AWSAppMeshEnvoyAccess gérée au IAM rôle que vous avez créé à l'étape précédente. Si vous souhaitez limiter le nombre de points de terminaison de maillage à partir desquels la configuration peut être lue par des points de terminaison de maillage individuels, associez chaque politique que vous avez créée à chaque rôle que vous avez créé. Pour plus d'informations sur l'association d'une IAM politique personnalisée ou gérée à un IAM rôle, consultez la section Ajouter des autorisations IAM d'identité.

Attacher IAM un rôle

Associez chaque IAM rôle à la ressource de calcul appropriée :

  • Amazon EKS — Si vous avez associé la politique au rôle associé à vos nœuds de travail, vous pouvez ignorer cette étape. Si vous avez créé des rôles distincts, attribuez chaque rôle à un compte de service Kubernetes distinct et attribuez chaque compte de service à une spécification de déploiement de pods Kubernetes individuelle qui inclut le proxy Envoy. Pour plus d'informations, consultez Spécifier un IAM rôle pour votre compte de service dans le guide de l'EKSutilisateur Amazon et Configurer les comptes de service pour les pods dans la documentation de Kubernetes.

  • Amazon ECS — Associez un rôle de ECS tâche Amazon à la définition de tâche qui inclut le proxy Envoy. La tâche peut être déployée avec le type de lancement Fargate EC2 ou Fargate. Pour plus d'informations sur la façon de créer un rôle de ECS tâche Amazon et de l'associer à une tâche, consultez Spécifier un IAM rôle pour vos tâches.

  • Amazon EC2 — Le IAM rôle doit être attaché à l'EC2instance Amazon qui héberge le proxy Envoy. Pour plus d'informations sur la façon d'attacher un rôle à une EC2 instance Amazon, consultez J'ai créé un IAM rôle et je souhaite maintenant l'attribuer à une EC2 instance.

Confirmer l'autorisation

Vérifiez que l'appmesh:StreamAggregatedResourcesautorisation est attribuée à la ressource de calcul sur laquelle vous hébergez le proxy en sélectionnant l'un des noms de service de calcul.

Amazon EKS

Une politique personnalisée peut être attribuée au rôle attribué aux nœuds de travail, aux modules individuels, ou aux deux. Il est toutefois recommandé d'attribuer la politique uniquement à des pods individuels, afin de pouvoir restreindre l'accès de chaque module à des points de terminaison de maillage individuels. Si la politique est liée au rôle attribué aux nœuds de travail, sélectionnez l'EC2onglet Amazon et suivez les étapes qui s'y trouvent pour vos instances de nœuds de travail. Pour déterminer quel IAM rôle est attribué à un pod Kubernetes, procédez comme suit.

  1. Consultez les détails d'un déploiement Kubernetes qui inclut le pod auquel vous souhaitez confirmer l'attribution d'un compte de service Kubernetes. La commande suivante affiche les détails d'un déploiement nommé my-deployment.

    kubectl describe deployment my-deployment

    Dans la sortie renvoyée, notez la valeur à droite deService Account:. Si aucune ligne commençant par Service Account: n'existe, aucun compte de service Kubernetes personnalisé n'est actuellement attribué au déploiement. Vous devrez en attribuer un. Pour plus d'informations, consultez Configurer des comptes de service pour les pods dans la documentation Kubernetes.

  2. Consultez les détails du compte de service renvoyé à l'étape précédente. La commande suivante affiche les détails d'un compte de service nommé my-service-account.

    kubectl describe serviceaccount my-service-account

    À condition que le compte de service Kubernetes soit associé à un AWS Identity and Access Management rôle, l'une des lignes renvoyées ressemblera à l'exemple suivant.

    Annotations:         eks.amazonaws.com/role-arn=arn:aws:iam::123456789012:role/my-deployment

    Dans l'exemple précédent, my-deployment il s'agit du nom du IAM rôle auquel le compte de service est associé. Si la sortie du compte de service ne contient pas de ligne similaire à l'exemple ci-dessus, le compte de service Kubernetes n'est pas associé à un AWS Identity and Access Management compte et vous devez l'associer à un compte. Pour plus d'informations, voir Spécifier un IAM rôle pour votre compte de service.

  3. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  4. Dans le menu de navigation de gauche, sélectionnez Rôles. Sélectionnez le nom du IAM rôle que vous avez noté à l'étape précédente.

  5. Vérifiez que la stratégie personnalisée que vous avez créée précédemment ou que la politique AWSAppMeshEnvoyAccess gérée est répertoriée. Si aucune stratégie n'est attachée, associez une IAM stratégie au IAM rôle. Si vous souhaitez joindre une IAM politique personnalisée mais que vous n'en avez pas, vous devez créer une IAM politique personnalisée avec les autorisations requises. Si une IAM politique personnalisée est jointe, sélectionnez-la et confirmez qu'elle contient"Action": "appmesh:StreamAggregatedResources". Si ce n'est pas le cas, vous devez ajouter cette autorisation à votre IAM politique personnalisée. Vous pouvez également vérifier que le nom de ressource Amazon approprié (ARN) pour un point de terminaison de maillage spécifique est répertorié. Si aucune ARNs n'est répertoriée, vous pouvez modifier la politique pour ajouter, supprimer ou modifier la listeARNs. Pour plus d'informations, consultez Modifier IAM les politiques etCréer une IAM politique.

  6. Répétez les étapes précédentes pour chaque pod Kubernetes contenant le proxy Envoy.

Amazon ECS

  1. Dans la ECS console Amazon, choisissez Task Definitions.

  2. Sélectionnez votre ECS tâche Amazon.

  3. Sur la page Nom de la définition de tâche, sélectionnez votre définition de tâche.

  4. Sur la page Définition de tâche, sélectionnez le lien du nom du IAM rôle situé à droite de Rôle de tâche. Si aucun IAM rôle n'est répertorié, vous devez créer un IAM rôle et l'associer à votre tâche en mettant à jour votre définition de tâche.

  5. Sur la page Résumé, sous l'onglet Autorisations, vérifiez que la stratégie personnalisée que vous avez créée précédemment ou que la politique AWSAppMeshEnvoyAccess gérée est répertoriée. Si aucune stratégie n'est attachée, associez une IAM stratégie au IAM rôle. Si vous souhaitez joindre une IAM politique personnalisée mais que vous n'en avez pas, vous devez créer la IAM politique personnalisée. Si une IAM politique personnalisée est jointe, sélectionnez-la et confirmez qu'elle contient"Action": "appmesh:StreamAggregatedResources". Si ce n'est pas le cas, vous devez ajouter cette autorisation à votre IAM politique personnalisée. Vous pouvez également vérifier que le nom de ressource Amazon approprié (ARN) pour un point de terminaison de maillage spécifique est répertorié. Si aucune ARNs n'est répertoriée, vous pouvez modifier la politique pour ajouter, supprimer ou modifier la listeARNs. Pour plus d'informations, consultez Modifier IAM les politiques etCréer une IAM politique.

  6. Répétez les étapes précédentes pour chaque définition de tâche contenant le proxy Envoy.

Amazon EC2

  1. Depuis la EC2 console Amazon, sélectionnez Instances dans le menu de navigation de gauche.

  2. Sélectionnez l'une de vos instances hébergeant le proxy Envoy.

  3. Dans l'onglet Description, sélectionnez le lien du nom du IAM rôle situé à droite du IAMrôle. Si aucun IAM rôle n'est répertorié, vous devez en créer un IAM.

  4. Sur la page Résumé, sous l'onglet Autorisations, vérifiez que la stratégie personnalisée que vous avez créée précédemment ou que la politique AWSAppMeshEnvoyAccess gérée est répertoriée. Si aucune stratégie n'est attachée, attachez-la au IAM rôle. IAM Si vous souhaitez joindre une IAM politique personnalisée mais que vous n'en avez pas, vous devez créer la IAM politique personnalisée. Si une IAM politique personnalisée est jointe, sélectionnez-la et confirmez qu'elle contient"Action": "appmesh:StreamAggregatedResources". Si ce n'est pas le cas, vous devez ajouter cette autorisation à votre IAM politique personnalisée. Vous pouvez également vérifier que le nom de ressource Amazon approprié (ARN) pour un point de terminaison de maillage spécifique est répertorié. Si aucune ARNs n'est répertoriée, vous pouvez modifier la politique pour ajouter, supprimer ou modifier la listeARNs. Pour plus d'informations, consultez Modifier IAM les politiques etCréer une IAM politique.

  5. Répétez les étapes précédentes pour chaque instance sur laquelle vous hébergez le proxy Envoy.