Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Otorisasi
Otorisasi proxy mengotorisasi proxy Utusan yang berjalan dalam tugas Amazon ECS, dalam pod Kubernetes yang berjalan di Amazon EKS, atau berjalan pada instans Amazon EC2 untuk membaca konfigurasi satu atau beberapa titik akhir mesh dari App Mesh Envoy Management Service. Untuk akun pelanggan yang sudah memiliki Utusan yang terhubung ke endpoint App Mesh mereka sebelum 26/04/2021, otorisasi proxy diperlukan untuk node virtual yang menggunakan Transport Layer Security (TLS) dan untuk gateway virtual (dengan atau tanpa TLS). Untuk akun pelanggan yang ingin menghubungkan Utusan ke endpoint App Mesh mereka setelah 26/04/2021, otorisasi proxy diperlukan untuk semua kemampuan App Mesh. Disarankan untuk semua akun pelanggan untuk mengaktifkan otorisasi proxy untuk semua node virtual, bahkan jika mereka tidak menggunakan TLS, untuk memiliki pengalaman yang aman dan konsisten menggunakan IAM untuk otorisasi ke sumber daya tertentu. Otorisasi proxy mengharuskanappmesh:StreamAggregatedResources
izin ditentukan dalam kebijakan IAM. Kebijakan harus dilampirkan ke peran IAM, dan peran IAM harus dilampirkan ke sumber daya komputasi tempat Anda meng-host proxy.
Buat kebijakan IAM
Jika Anda ingin semua titik akhir mesh di mesh layanan dapat membaca konfigurasi untuk semua titik akhir mesh, lalu lewati keBuat IAM. Jika Anda ingin membatasi titik akhir mesh yang konfigurasi dapat dibaca oleh titik akhir mesh individu, maka Anda perlu membuat satu atau lebih kebijakan IAM. Membatasi titik akhir mesh yang konfigurasi dapat dibaca dari hanya proxy Utusan yang berjalan pada sumber daya komputasi tertentu dianjurkan. Buat kebijakan IAM dan tambahkanappmesh:StreamAggregatedResources
izin ke kebijakan. Contoh kebijakan berikut memungkinkan konfigurasi node virtual bernamaserviceBv1
danserviceBv2
dibaca dalam layanan mesh. Konfigurasi tidak dapat dibaca untuk node virtual lain yang didefinisikan dalam service mesh. Untuk informasi selengkapnya tentang membuat atau mengedit kebijakan IAM, lihat Membuat kebijakan IAM, lihat Membuat kebijakan IAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "appmesh:StreamAggregatedResources", "Resource": [ "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1", "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2" ] } ] }
Anda dapat membuat beberapa kebijakan, dengan setiap kebijakan membatasi akses ke titik akhir mesh yang berbeda.
Buat IAM
Jika Anda ingin semua titik akhir mesh dalam mesh layanan untuk dapat membaca konfigurasi untuk semua titik akhir mesh, maka Anda hanya perlu membuat satu peran IAM. Jika Anda ingin membatasi titik akhir mesh yang konfigurasi dapat dibaca oleh titik akhir mesh individual, maka Anda perlu membuat peran untuk setiap kebijakan yang Anda buat di langkah sebelumnya. Lengkapi instruksi untuk sumber daya komputasi yang dijalankan proxy.
-
Amazon EKS — Jika Anda ingin menggunakan peran menghanguskan, maka Anda dapat menggunakan peran yang ada yang dibuat dan ditetapkan ke node pekerja saat Anda membuat klaster. Untuk menggunakan beberapa peran, klaster Anda harus memenuhi persyaratan yang ditentukan dalam Mengaktifkan Peran IAM untuk Akun Layanan di Klaster Anda. Buat peran IAM dan kaitkan peran dengan akun layanan Kubernetes. Untuk informasi selengkapnya, lihat Membuat Peran dan Kebijakan IAM untuk Akun Layanan Anda dan Menentukan Peran IAM untuk Akun Layanan Anda.
-
Amazon ECS — Pilih AWSlayanan, pilih Elastic Container Service, lalu pilih kasus penggunaan Tugas Layanan Kontainer Elastis saat membuat peran IAM Anda.
-
Amazon EC2 — Pilih AWSlayanan, pilih EC2, lalu pilih kasus penggunaan EC2 saat membuat peran IAM Anda. Ini berlaku apakah Anda meng-host proxy secara langsung pada instans Amazon EC2 atau pada Kubernetes yang berjalan pada instans.
Untuk informasi selengkapnya tentang cara membuat IAM, lihat Membuat IAM, lihat Membuat IAM, lihat Membuat IAM, lihat MembuatAWS IAM.
Melampirkan kebijakan IAM
Jika Anda ingin semua titik akhir mesh di mesh layanan dapat membaca konfigurasi untuk semua titik akhir mesh, maka lampirkan kebijakan IAM yangAWSAppMeshEnvoyAccess
dikelola ke peran IAM yang Anda buat pada langkah sebelumnya. Jika Anda ingin membatasi titik akhir mesh yang konfigurasi dapat dibaca oleh titik akhir mesh individual, lalu lampirkan setiap kebijakan yang Anda buat ke setiap peran yang Anda buat. Untuk informasi selengkapnya tentang melampirkan kebijakan IAM kustom atau terkelola ke peran IAM, lihat Menambahkan Izin Identitas IAM.
Memasang IAM
Lampirkan setiap peran IAM ke sumber daya komputasi yang sesuai:
-
Amazon EKS — Jika Anda melampirkan kebijakan ke peran yang dilampirkan ke node pekerja Anda, Anda dapat melewati langkah ini. Jika kamu membuat role terpisah, maka tetapkan setiap role ke akun service Kubernetes yang terpisah, dan tetapkan setiap service account ke sebuah spesifikasi deployment pod Kubernetes individual yang menyertakan proxy Utusan. Untuk informasi selengkapnya, lihat Menentukan Peran IAM untuk Akun Layanan Anda di Panduan Pengguna Amazon EKS dan Mengkonfigurasi Akun Layanan untuk Pod
dalam dokumentasi Kubernetes. -
Amazon ECS — Lampirkan Peran Tugas Amazon ECS ke definisi tugas yang menyertakan proxy Utusan. Tugas dapat digunakan dengan jenis peluncuran EC2 atau Fargate. Untuk informasi selengkapnya tentang cara membuat Peran Tugas Amazon ECS dan melampirkannya ke tugas, lihat Menentukan Peran IAM untuk Tugas Anda.
-
Amazon EC2 — IAM harus dilampirkan ke instans Amazon EC2 yang menjadi tuan rumah proxy Utusan. Untuk informasi selengkapnya tentang cara melampirkan peran ke instans Amazon EC2, lihat saya telah membuat peran IAM, dan sekarang saya ingin menetapkannya ke instans EC2
.
Konfirmasi
Konfirmasikan bahwaappmesh:StreamAggregatedResources
izin ditetapkan ke sumber daya komputasi tempat Anda meng-host proxy dengan memilih salah satu nama layanan komputasi.