Buat kebijakan IAM Buat IAM Melampirkan kebijakan IAM Memasang IAM Konfirmasi

Otorisasi

Otorisasi proxy mengotorisasi proxy Utusan yang berjalan dalam tugas Amazon ECS, dalam pod Kubernetes yang berjalan di Amazon EKS, atau berjalan pada instans Amazon EC2 untuk membaca konfigurasi satu atau beberapa titik akhir mesh dari App Mesh Envoy Management Service. Untuk akun pelanggan yang sudah memiliki Utusan yang terhubung ke endpoint App Mesh mereka sebelum 26/04/2021, otorisasi proxy diperlukan untuk node virtual yang menggunakan Transport Layer Security (TLS) dan untuk gateway virtual (dengan atau tanpa TLS). Untuk akun pelanggan yang ingin menghubungkan Utusan ke endpoint App Mesh mereka setelah 26/04/2021, otorisasi proxy diperlukan untuk semua kemampuan App Mesh. Disarankan untuk semua akun pelanggan untuk mengaktifkan otorisasi proxy untuk semua node virtual, bahkan jika mereka tidak menggunakan TLS, untuk memiliki pengalaman yang aman dan konsisten menggunakan IAM untuk otorisasi ke sumber daya tertentu. Otorisasi proxy mengharuskanappmesh:StreamAggregatedResources izin ditentukan dalam kebijakan IAM. Kebijakan harus dilampirkan ke peran IAM, dan peran IAM harus dilampirkan ke sumber daya komputasi tempat Anda meng-host proxy.

Buat kebijakan IAM

Jika Anda ingin semua titik akhir mesh di mesh layanan dapat membaca konfigurasi untuk semua titik akhir mesh, lalu lewati keBuat IAM. Jika Anda ingin membatasi titik akhir mesh yang konfigurasi dapat dibaca oleh titik akhir mesh individu, maka Anda perlu membuat satu atau lebih kebijakan IAM. Membatasi titik akhir mesh yang konfigurasi dapat dibaca dari hanya proxy Utusan yang berjalan pada sumber daya komputasi tertentu dianjurkan. Buat kebijakan IAM dan tambahkanappmesh:StreamAggregatedResources izin ke kebijakan. Contoh kebijakan berikut memungkinkan konfigurasi node virtual bernamaserviceBv1 danserviceBv2 dibaca dalam layanan mesh. Konfigurasi tidak dapat dibaca untuk node virtual lain yang didefinisikan dalam service mesh. Untuk informasi selengkapnya tentang membuat atau mengedit kebijakan IAM, lihat Membuat kebijakan IAM, lihat Membuat kebijakan IAM.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "appmesh:StreamAggregatedResources",
            "Resource": [
                "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1",
                "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2"
            ]
        }
    ]
}

Anda dapat membuat beberapa kebijakan, dengan setiap kebijakan membatasi akses ke titik akhir mesh yang berbeda.

Buat IAM

Jika Anda ingin semua titik akhir mesh dalam mesh layanan untuk dapat membaca konfigurasi untuk semua titik akhir mesh, maka Anda hanya perlu membuat satu peran IAM. Jika Anda ingin membatasi titik akhir mesh yang konfigurasi dapat dibaca oleh titik akhir mesh individual, maka Anda perlu membuat peran untuk setiap kebijakan yang Anda buat di langkah sebelumnya. Lengkapi instruksi untuk sumber daya komputasi yang dijalankan proxy.

Amazon EKS — Jika Anda ingin menggunakan peran menghanguskan, maka Anda dapat menggunakan peran yang ada yang dibuat dan ditetapkan ke node pekerja saat Anda membuat klaster. Untuk menggunakan beberapa peran, klaster Anda harus memenuhi persyaratan yang ditentukan dalam Mengaktifkan Peran IAM untuk Akun Layanan di Klaster Anda. Buat peran IAM dan kaitkan peran dengan akun layanan Kubernetes. Untuk informasi selengkapnya, lihat Membuat Peran dan Kebijakan IAM untuk Akun Layanan Anda dan Menentukan Peran IAM untuk Akun Layanan Anda.
Amazon ECS — Pilih AWSlayanan, pilih Elastic Container Service, lalu pilih kasus penggunaan Tugas Layanan Kontainer Elastis saat membuat peran IAM Anda.
Amazon EC2 — Pilih AWSlayanan, pilih EC2, lalu pilih kasus penggunaan EC2 saat membuat peran IAM Anda. Ini berlaku apakah Anda meng-host proxy secara langsung pada instans Amazon EC2 atau pada Kubernetes yang berjalan pada instans.

Untuk informasi selengkapnya tentang cara membuat IAM, lihat Membuat IAM, lihat Membuat IAM, lihat Membuat IAM, lihat MembuatAWS IAM.

Melampirkan kebijakan IAM

Jika Anda ingin semua titik akhir mesh di mesh layanan dapat membaca konfigurasi untuk semua titik akhir mesh, maka lampirkan kebijakan IAM yangAWSAppMeshEnvoyAccess dikelola ke peran IAM yang Anda buat pada langkah sebelumnya. Jika Anda ingin membatasi titik akhir mesh yang konfigurasi dapat dibaca oleh titik akhir mesh individual, lalu lampirkan setiap kebijakan yang Anda buat ke setiap peran yang Anda buat. Untuk informasi selengkapnya tentang melampirkan kebijakan IAM kustom atau terkelola ke peran IAM, lihat Menambahkan Izin Identitas IAM.

Memasang IAM

Lampirkan setiap peran IAM ke sumber daya komputasi yang sesuai:

Amazon EKS — Jika Anda melampirkan kebijakan ke peran yang dilampirkan ke node pekerja Anda, Anda dapat melewati langkah ini. Jika kamu membuat role terpisah, maka tetapkan setiap role ke akun service Kubernetes yang terpisah, dan tetapkan setiap service account ke sebuah spesifikasi deployment pod Kubernetes individual yang menyertakan proxy Utusan. Untuk informasi selengkapnya, lihat Menentukan Peran IAM untuk Akun Layanan Anda di Panduan Pengguna Amazon EKS dan Mengkonfigurasi Akun Layanan untuk Pod dalam dokumentasi Kubernetes.
Amazon ECS — Lampirkan Peran Tugas Amazon ECS ke definisi tugas yang menyertakan proxy Utusan. Tugas dapat digunakan dengan jenis peluncuran EC2 atau Fargate. Untuk informasi selengkapnya tentang cara membuat Peran Tugas Amazon ECS dan melampirkannya ke tugas, lihat Menentukan Peran IAM untuk Tugas Anda.
Amazon EC2 — IAM harus dilampirkan ke instans Amazon EC2 yang menjadi tuan rumah proxy Utusan. Untuk informasi selengkapnya tentang cara melampirkan peran ke instans Amazon EC2, lihat saya telah membuat peran IAM, dan sekarang saya ingin menetapkannya ke instans EC2.

Konfirmasi

Konfirmasikan bahwaappmesh:StreamAggregatedResources izin ditetapkan ke sumber daya komputasi tempat Anda meng-host proxy dengan memilih salah satu nama layanan komputasi.

Amazon EKS

Kebijakan kustom dapat ditetapkan ke peran yang ditetapkan ke node pekerja, ke masing-masing Pod, atau keduanya. Namun, disarankan agar Anda menetapkan kebijakan hanya pada masing-masing Pod, sehingga Anda dapat membatasi akses masing-masing Pod ke endpoint mesh individual. Jika kebijakan dilampirkan ke peran yang ditetapkan ke node pekerja, pilih tab Amazon EC2, dan selesaikan langkah-langkah yang ditemukan di sana untuk instans node pekerja Anda. Untuk menentukan peran IAM yang ditetapkan ke sebuah Pod Kubernetes, selesaikan langkah-langkah berikut.

Lihat rincian deployment Kubernetes yang menyertakan Pod yang ingin kamu konfirmasikan bahwa sebuah akun layanan Kubernetes telah ditetapkan. Perintah berikut menampilkan detail untuk penyebaran bernama my-deployment.
```
kubectl describe deployment my-deployment
```
Dalam output kembali perhatikan nilai di sebelah kananService Account:. Jika baris yang dimulai denganService Account: tidak ada, maka akun layanan Kubernetes kustom saat ini tidak ditetapkan ke deployment. Anda harus menetapkan satu. Untuk informasi selengkapnya, lihat Mengatur Service Account untuk Pod dalam dokumentasi Kubernetes.
Lihat detail akun layanan yang dikembalikan pada langkah sebelumnya. Perintah berikut menampilkan rincian akun layanan bernama my-service-account.
```
kubectl describe serviceaccount my-service-account
```
Jika akun layanan Kubernetes dikaitkan denganAWS Identity and Access Management peran, salah satu baris yang dikembalikan akan terlihat mirip dengan contoh berikut.
```
Annotations:         eks.amazonaws.com/role-arn=arn:aws:iam::123456789012:role/my-deployment
```
Pada contoh sebelumnyamy-deployment adalah nama peran IAM yang dikaitkan dengan akun layanan. Jika output service account tidak mengandung baris yang mirip dengan contoh di atas, maka akun layanan Kubernetes tidak dikaitkan denganAWS Identity and Access Management akun dan kamu harus mengaitkannya dengan satu akun. Untuk informasi selengkapnya, lihat Menentukan IAM untuk Akun Layanan Anda.
Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Di navigasi sebelah kiri, pilih Peran. Pilih nama IAM yang Anda catat di langkah sebelumnya.
Konfirmasikan bahwa kebijakan kustom yang Anda buat sebelumnya, atau kebijakanAWSAppMeshEnvoyAccess terkelola dicantumkan. Jika tidak ada kebijakan yang dilampirkan, lampirkan kebijakan IAM ke peran IAM. Jika Anda ingin melampirkan kebijakan IAM kustom tetapi tidak memilikinya, maka Anda perlu membuat kebijakan IAM kustom dengan izin yang diperlukan. Jika kebijakan IAM kustom dilampirkan, pilih kebijakan dan konfirmasikan bahwa kebijakan tersebut berisi"Action": "appmesh:StreamAggregatedResources". Jika tidak, maka Anda perlu menambahkan izin itu ke kebijakan IAM kustom Anda. Anda juga dapat mengonfirmasi bahwa Amazon Resource Name (ARN) yang sesuai untuk titik akhir mesh tertentu. Jika tidak ada ARN yang terdaftar, maka Anda dapat mengedit kebijakan untuk menambah, menghapus, atau mengubah ARN yang terdaftar. Untuk informasi selengkapnya, lihat Mengedit kebijakan IAM danBuat kebijakan IAM.
Ulangi langkah sebelumnya untuk setiap pod Kubernetes yang berisi proxy Utusan.

Amazon ECS

Dari konsol Amazon ECS, pilih Definisi Tugas.
Pilih tugas Amazon.
Pada halaman Nama Definisi Tugas, pilih definisi tugas Anda.
Pada halaman Definisi Tugas, pilih tautan nama peran IAM yang berada di sebelah kanan Peran Tugas. Jika peran IAM tidak terdaftar, maka Anda perlu membuat peran IAM dan melampirkannya ke tugas Anda dengan memperbarui definisi tugas Anda.
Di halaman Ringkasan, pada tab Izin, konfirmasikan bahwa kebijakan kustom yang Anda buat sebelumnya, atau kebijakanAWSAppMeshEnvoyAccess terkelola tercantum. Jika tidak ada kebijakan yang dilampirkan, lampirkan kebijakan IAM ke peran IAM. Jika Anda ingin melampirkan kebijakan IAM kustom tetapi tidak memilikinya, maka Anda perlu membuat kebijakan IAM kustom. Jika kebijakan IAM kustom dilampirkan, pilih kebijakan dan konfirmasikan bahwa kebijakan tersebut berisi"Action": "appmesh:StreamAggregatedResources". Jika tidak, maka Anda perlu menambahkan izin itu ke kebijakan IAM kustom Anda. Anda juga dapat mengonfirmasi bahwa Amazon Resource Name (ARN) yang sesuai untuk titik akhir mesh tertentu. Jika tidak ada ARN yang terdaftar, maka Anda dapat mengedit kebijakan untuk menambah, menghapus, atau mengubah ARN yang terdaftar. Untuk informasi selengkapnya, lihat Mengedit kebijakan IAM danBuat kebijakan IAM.
Ulangi langkah sebelumnya untuk setiap definisi tugas yang berisi proxy Utusan.

Amazon EC2

Dari konsol Amazon EC2, pilih Instances di navigasi sebelah kiri.
Pilih salah satu instans Anda yang menghosting proxy Utusan.
Di tab Deskripsi, pilih tautan nama peran IAM yang berada di sebelah kanan peran IAM. Jika peran IAM tidak terdaftar, maka Anda perlu membuat peran IAM.
Di halaman Ringkasan, pada tab Izin, konfirmasikan bahwa kebijakan kustom yang Anda buat sebelumnya, atau kebijakanAWSAppMeshEnvoyAccess terkelola tercantum. Jika tidak ada kebijakan yang dilampirkan, lampirkan kebijakan IAM ke peran IAM. Jika Anda ingin melampirkan kebijakan IAM kustom tetapi tidak memilikinya, maka Anda perlu membuat kebijakan IAM kustom. Jika kebijakan IAM kustom dilampirkan, pilih kebijakan dan konfirmasikan bahwa kebijakan tersebut berisi"Action": "appmesh:StreamAggregatedResources". Jika tidak, maka Anda perlu menambahkan izin itu ke kebijakan IAM kustom Anda. Anda juga dapat mengonfirmasi bahwa Amazon Resource Name (ARN) yang sesuai untuk titik akhir mesh tertentu. Jika tidak ada ARN yang terdaftar, maka Anda dapat mengedit kebijakan untuk menambah, menghapus, atau mengubah ARN yang terdaftar. Untuk informasi selengkapnya, lihat Mengedit kebijakan IAM danBuat kebijakan IAM.
Ulangi langkah sebelumnya untuk setiap instans yang Anda gunakan untuk meng-host proxy Utusan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan peran terkait layanan

Pemecahan Masalah