Buat IAM kebijakan Buat IAM peran Lampirkan IAM kebijakan Lampirkan IAM peran Konfirmasikan izin

Otorisasi Proxy Utusan

penting

Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini Migrasi dari AWS App Mesh ke Amazon ECS Service Connect.

Otorisasi proxy mengotorisasi proxy Envoy yang berjalan di dalam ECS tugas Amazon, di pod Kubernetes yang berjalan di AmazonEKS, atau berjalan pada instance EC2 Amazon untuk membaca konfigurasi satu atau beberapa titik akhir mesh dari Layanan Manajemen Utusan App Mesh. Untuk akun pelanggan yang sudah memiliki Utusan yang terhubung ke titik akhir App Mesh mereka sebelum 26/04/2021, otorisasi proxy diperlukan untuk node virtual yang menggunakan Transport Layer Security (TLS) dan untuk gateway virtual (dengan atau tanpa). TLS Untuk akun pelanggan yang ingin menghubungkan Utusan ke titik akhir App Mesh mereka setelah 26/04/2021, otorisasi proxy diperlukan untuk semua kemampuan App Mesh. Disarankan untuk semua akun pelanggan untuk mengaktifkan otorisasi proxy untuk semua node virtual, bahkan jika mereka tidak menggunakanTLS, untuk memiliki pengalaman yang aman dan konsisten menggunakan IAM otorisasi ke sumber daya tertentu. Otorisasi proxy mengharuskan appmesh:StreamAggregatedResources izin ditentukan dalam IAM kebijakan. Kebijakan harus dilampirkan pada IAM peran, dan IAM peran tersebut harus dilampirkan ke sumber daya komputasi tempat Anda meng-host proxy.

Buat IAM kebijakan

Jika Anda ingin semua titik akhir mesh di mesh layanan dapat membaca konfigurasi untuk semua titik akhir mesh, lewati ke. Buat IAM peran Jika Anda ingin membatasi titik akhir mesh yang konfigurasi dapat dibaca oleh titik akhir mesh individual, maka Anda perlu membuat satu atau beberapa IAM kebijakan. Membatasi titik akhir mesh yang konfigurasi dapat dibaca dari hanya proxy Envoy yang berjalan pada sumber daya komputasi tertentu direkomendasikan. Buat IAM kebijakan dan tambahkan appmesh:StreamAggregatedResources izin ke kebijakan. Contoh kebijakan berikut memungkinkan konfigurasi node virtual bernama serviceBv1 dan serviceBv2 dibaca dalam mesh layanan. Konfigurasi tidak dapat dibaca untuk node virtual lain yang ditentukan dalam mesh layanan. Untuk informasi selengkapnya tentang membuat atau mengedit IAM kebijakan, lihat Membuat IAM Kebijakan dan Mengedit IAM Kebijakan.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "appmesh:StreamAggregatedResources",
            "Resource": [
                "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1",
                "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2"
            ]
        }
    ]
}

Anda dapat membuat beberapa kebijakan, dengan setiap kebijakan membatasi akses ke titik akhir mesh yang berbeda.

Buat IAM peran

Jika Anda ingin semua titik akhir mesh di mesh layanan dapat membaca konfigurasi untuk semua titik akhir mesh, maka Anda hanya perlu membuat satu IAM peran. Jika Anda ingin membatasi titik akhir mesh yang konfigurasi dapat dibaca oleh titik akhir mesh individual, maka Anda perlu membuat peran untuk setiap kebijakan yang Anda buat pada langkah sebelumnya. Lengkapi instruksi untuk sumber daya komputasi yang dijalankan proxy.

Amazon EKS — Jika Anda ingin menggunakan peran singe, Anda dapat menggunakan peran yang ada yang dibuat dan ditetapkan ke node pekerja saat membuat klaster. Untuk menggunakan beberapa peran, klaster Anda harus memenuhi persyaratan yang ditentukan dalam Mengaktifkan IAM Peran untuk Akun Layanan di Cluster Anda. Buat IAM peran dan kaitkan peran dengan akun layanan Kubernetes. Untuk informasi selengkapnya, lihat Membuat IAM Peran dan Kebijakan untuk Akun Layanan Anda dan Menentukan IAM Peran untuk Akun Layanan Anda.
Amazon ECS — Pilih AWS layanan, pilih Elastic Container Service Service, lalu pilih kasus penggunaan Elastic Container Service Task saat membuat IAM peran Anda.
Amazon EC2 — Pilih AWS layanan, pilih EC2, lalu pilih kasus EC2penggunaan saat membuat IAM peran Anda. Ini berlaku baik Anda meng-host proxy secara langsung di instans Amazon atau di Kubernetes yang berjalan pada sebuah EC2 instance.

Untuk informasi selengkapnya tentang cara membuat IAM peran, lihat Membuat Peran untuk AWS Layanan.

Lampirkan IAM kebijakan

Jika Anda ingin semua titik akhir mesh di mesh layanan dapat membaca konfigurasi untuk semua titik akhir mesh, lampirkan IAM kebijakan AWSAppMeshEnvoyAccess terkelola ke IAM peran yang Anda buat pada langkah sebelumnya. Jika Anda ingin membatasi titik akhir mesh tempat konfigurasi dapat dibaca oleh titik akhir mesh individual, lampirkan setiap kebijakan yang Anda buat ke setiap peran yang Anda buat. Untuk informasi selengkapnya tentang melampirkan IAM kebijakan kustom atau terkelola ke IAM peran, lihat Menambahkan IAM Izin Identitas.

Lampirkan IAM peran

Lampirkan setiap IAM peran ke sumber daya komputasi yang sesuai:

Amazon EKS — Jika Anda melampirkan kebijakan ke peran yang dilampirkan ke node pekerja Anda, Anda dapat melewati langkah ini. Jika Anda membuat peran terpisah, tetapkan setiap peran ke akun layanan Kubernetes yang terpisah, dan tetapkan setiap akun layanan ke spesifikasi penerapan pod Kubernetes individual yang menyertakan proxy Envoy. Untuk informasi selengkapnya, lihat Menentukan IAM Peran untuk Akun Layanan Anda di Panduan EKS Pengguna Amazon dan Mengonfigurasi Akun Layanan untuk Pod dalam dokumentasi Kubernetes.
Amazon ECS — Lampirkan Peran ECS Tugas Amazon ke definisi tugas yang menyertakan proxy Utusan. Tugas dapat digunakan dengan tipe peluncuran EC2 atau Fargate. Untuk informasi selengkapnya tentang cara membuat Peran ECS Tugas Amazon dan melampirkannya ke tugas, lihat Menentukan IAM Peran untuk Tugas Anda.
Amazon EC2 — IAM Peran harus dilampirkan ke EC2 instans Amazon yang menampung proxy Utusan. Untuk informasi selengkapnya tentang cara melampirkan peran ke EC2 instance Amazon, lihat Saya telah membuat IAM peran, dan sekarang saya ingin menetapkannya ke sebuah EC2 instance.

Konfirmasikan izin

Konfirmasikan bahwa appmesh:StreamAggregatedResources izin ditetapkan ke sumber daya komputasi tempat Anda meng-host proxy dengan memilih salah satu nama layanan komputasi.

Amazon EKS

Kebijakan kustom dapat ditetapkan ke peran yang ditetapkan ke node pekerja, ke masing-masing pod, atau keduanya. Namun, disarankan agar Anda menetapkan kebijakan hanya pada masing-masing pod, sehingga Anda dapat membatasi akses pod individual ke titik akhir mesh individual. Jika kebijakan dilampirkan ke peran yang ditetapkan ke node pekerja, pilih EC2 tab Amazon, dan selesaikan langkah-langkah yang ditemukan di sana untuk instance node pekerja Anda. Untuk menentukan IAM peran mana yang ditetapkan ke pod Kubernetes, selesaikan langkah-langkah berikut.

Lihat detail penerapan Kubernetes yang menyertakan pod yang ingin Anda konfirmasikan bahwa akun layanan Kubernetes telah ditetapkan. Perintah berikut menampilkan rincian untuk penyebaran bernama my-deployment.
```
kubectl describe deployment my-deployment
```
Dalam output yang dikembalikan perhatikan nilai di sebelah kananService Account:. Jika baris yang dimulai dengan Service Account: tidak ada, maka akun layanan Kubernetes kustom saat ini tidak ditetapkan ke penerapan. Anda harus menetapkan satu. Untuk informasi selengkapnya, lihat Mengatur Service Account untuk Pod dalam dokumentasi Kubernetes.
Lihat detail akun layanan yang dikembalikan pada langkah sebelumnya. Perintah berikut menampilkan rincian akun layanan bernama my-service-account.
```
kubectl describe serviceaccount my-service-account
```
Asalkan akun layanan Kubernetes dikaitkan dengan AWS Identity and Access Management peran, salah satu baris yang dikembalikan akan terlihat mirip dengan contoh berikut.
```
Annotations:         eks.amazonaws.com/role-arn=arn:aws:iam::123456789012:role/my-deployment
```
Pada contoh sebelumnya my-deployment adalah nama IAM peran yang dikaitkan dengan akun layanan. Jika output akun layanan tidak berisi baris yang mirip dengan contoh di atas, maka akun layanan Kubernetes tidak terkait dengan AWS Identity and Access Management akun dan Anda perlu mengaitkannya ke akun. Untuk informasi selengkapnya, lihat Menentukan IAM Peran untuk Akun Layanan Anda.
Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.
Di navigasi kiri, pilih Peran. Pilih nama IAM peran yang Anda catat di langkah sebelumnya.
Konfirmasikan bahwa kebijakan kustom yang Anda buat sebelumnya, atau kebijakan AWSAppMeshEnvoyAccess terkelola tercantum. Jika tidak ada kebijakan yang dilampirkan, lampirkan IAM kebijakan ke IAM peran tersebut. Jika Anda ingin melampirkan IAM kebijakan khusus tetapi tidak memilikinya, Anda perlu membuat IAM kebijakan khusus dengan izin yang diperlukan. Jika IAM kebijakan khusus dilampirkan, pilih kebijakan tersebut dan konfirmasikan bahwa kebijakan tersebut berisi"Action": "appmesh:StreamAggregatedResources". Jika tidak, maka Anda perlu menambahkan izin itu ke IAM kebijakan khusus Anda. Anda juga dapat mengonfirmasi bahwa Amazon Resource Name (ARN) yang sesuai untuk titik akhir mesh tertentu terdaftar. Jika tidak ARNs terdaftar, Anda dapat mengedit kebijakan untuk menambah, menghapus, atau mengubah daftarARNs. Untuk informasi selengkapnya, lihat Mengedit IAM Kebijakan danBuat IAM kebijakan.
Ulangi langkah sebelumnya untuk setiap pod Kubernetes yang berisi proxy Envoy.

Amazon ECS

Dari ECS konsol Amazon, pilih Definisi Tugas.
Pilih ECS tugas Amazon Anda.
Pada halaman Nama Definisi Tugas, pilih definisi tugas Anda.
Pada halaman Definisi Tugas, pilih tautan nama IAM peran yang ada di sebelah kanan Peran Tugas. Jika IAM peran tidak terdaftar, maka Anda perlu membuat IAM peran dan melampirkannya ke tugas Anda dengan memperbarui definisi tugas Anda.
Di halaman Ringkasan, pada tab Izin, konfirmasikan bahwa kebijakan kustom yang Anda buat sebelumnya, atau kebijakan AWSAppMeshEnvoyAccess terkelola tercantum. Jika tidak ada kebijakan yang dilampirkan, lampirkan IAM kebijakan ke IAM peran tersebut. Jika Anda ingin melampirkan IAM kebijakan khusus tetapi tidak memilikinya, maka Anda perlu membuat IAM kebijakan khusus. Jika IAM kebijakan khusus dilampirkan, pilih kebijakan tersebut dan konfirmasikan bahwa kebijakan tersebut berisi"Action": "appmesh:StreamAggregatedResources". Jika tidak, maka Anda perlu menambahkan izin itu ke IAM kebijakan khusus Anda. Anda juga dapat mengonfirmasi bahwa Amazon Resource Name (ARN) yang sesuai untuk titik akhir mesh tertentu terdaftar. Jika tidak ARNs terdaftar, Anda dapat mengedit kebijakan untuk menambah, menghapus, atau mengubah daftarARNs. Untuk informasi selengkapnya, lihat Mengedit IAM Kebijakan danBuat IAM kebijakan.
Ulangi langkah sebelumnya untuk setiap definisi tugas yang berisi proxy Utusan.

Amazon EC2

Dari EC2 konsol Amazon, pilih Instans di navigasi kiri.
Pilih salah satu instance Anda yang menghosting proxy Utusan.
Di tab Deskripsi, pilih tautan nama IAM peran yang ada di sebelah kanan IAMperan. Jika IAM peran tidak terdaftar, maka Anda perlu membuat IAM peran.
Di halaman Ringkasan, pada tab Izin, konfirmasikan bahwa kebijakan kustom yang Anda buat sebelumnya, atau kebijakan AWSAppMeshEnvoyAccess terkelola tercantum. Jika tidak ada kebijakan yang dilampirkan, lampirkan IAM kebijakan ke IAM peran tersebut. Jika Anda ingin melampirkan IAM kebijakan khusus tetapi tidak memilikinya, maka Anda perlu membuat IAM kebijakan khusus. Jika IAM kebijakan khusus dilampirkan, pilih kebijakan tersebut dan konfirmasikan bahwa kebijakan tersebut berisi"Action": "appmesh:StreamAggregatedResources". Jika tidak, maka Anda perlu menambahkan izin itu ke IAM kebijakan khusus Anda. Anda juga dapat mengonfirmasi bahwa Amazon Resource Name (ARN) yang sesuai untuk titik akhir mesh tertentu terdaftar. Jika tidak ARNs terdaftar, Anda dapat mengedit kebijakan untuk menambah, menghapus, atau mengubah daftarARNs. Untuk informasi selengkapnya, lihat Mengedit IAM Kebijakan danBuat IAM kebijakan.
Ulangi langkah sebelumnya untuk setiap instance tempat Anda meng-host proxy Envoy.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan peran terkait layanan

Pemecahan Masalah