Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazione Envoy Proxy
Importante
Avviso di fine del supporto: il 30 settembre 2026, AWS verrà interrotto il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog Migrazione AWS App Mesh da Amazon ECS Service Connect.
L'autorizzazione proxy autorizza il proxy Envoy in esecuzione all'interno di un'attività Amazon ECS, in un pod Kubernetes in esecuzione su Amazon EKS o in esecuzione su un'istanza EC2 Amazon per leggere la configurazione di uno o più endpoint mesh dall'App Mesh Envoy Management Service. Per gli account dei clienti che hanno già Envoys connessi al proprio endpoint App Mesh prima del 26/04/2021, è richiesta l'autorizzazione proxy per i nodi virtuali che utilizzano Transport Layer Security (TLS) e per i gateway virtuali (con o senza TLS). Per gli account cliente che desiderano connettere Envoys al proprio endpoint App Mesh dopo il 26/04/2021, è richiesta l'autorizzazione proxy per tutte le funzionalità App Mesh. Si consiglia a tutti gli account cliente di abilitare l'autorizzazione proxy per tutti i nodi virtuali, anche se non utilizzano TLS, per avere un'esperienza sicura e coerente con IAM per l'autorizzazione a risorse specifiche. L'autorizzazione proxy richiede che l'appmesh:StreamAggregatedResourcesautorizzazione sia specificata in una policy IAM. La policy deve essere associata a un ruolo IAM e tale ruolo IAM deve essere collegato alla risorsa di elaborazione su cui è ospitato il proxy.
Creare una policy IAM
Se desideri che tutti gli endpoint mesh in una service mesh siano in grado di leggere la configurazione di tutti gli endpoint mesh, passa a. Creazione di un ruolo IAM Se desideri limitare gli endpoint mesh da cui la configurazione può essere letta dai singoli endpoint mesh, devi creare una o più policy IAM. Si consiglia di limitare gli endpoint mesh da cui è possibile leggere la configurazione al solo proxy Envoy in esecuzione su risorse di elaborazione specifiche. Crea una policy IAM e aggiungi l'appmesh:StreamAggregatedResourcesautorizzazione alla policy. La seguente policy di esempio consente di configurare i nodi virtuali denominati serviceBv1 e serviceBv2 di leggerli in una service mesh. La configurazione non può essere letta per nessun altro nodo virtuale definito nella service mesh. Per ulteriori informazioni sulla creazione o la modifica di una policy IAM, consulta Creazione di policy IAM e Modifica di policy IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:StreamAggregatedResources",
"Resource": [
"arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1",
"arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2"
]
}
]
}Puoi creare più policy, ognuna delle quali limita l'accesso a diversi endpoint mesh.
Creazione di un ruolo IAM
Se desideri che tutti gli endpoint mesh in una service mesh siano in grado di leggere la configurazione di tutti gli endpoint mesh, devi solo creare un ruolo IAM. Se desideri limitare gli endpoint mesh da cui la configurazione può essere letta dai singoli endpoint mesh, devi creare un ruolo per ogni policy creata nel passaggio precedente. Completa le istruzioni per la risorsa di calcolo su cui viene eseguito il proxy.
-
Amazon EKS: se desideri utilizzare un solo ruolo, puoi utilizzare il ruolo esistente che è stato creato e assegnato ai nodi di lavoro al momento della creazione del cluster. Per utilizzare più ruoli, il cluster deve soddisfare i requisiti definiti in Abilitazione dei ruoli IAM per gli account di servizio sul cluster. Crea i ruoli IAM e associali agli account di servizio Kubernetes. Per ulteriori informazioni, consulta Creazione di un ruolo e di una policy IAM per il tuo account di servizio e Specificazione di un ruolo IAM per il tuo account di servizio.
-
Amazon ECS: seleziona il AWS servizio, seleziona Elastic Container Service, quindi seleziona lo use case Elastic Container Service Task quando crei il tuo ruolo IAM.
-
Amazon EC2: seleziona il AWS servizio EC2, seleziona e quindi seleziona lo EC2use case quando crei il tuo ruolo IAM. Questo vale sia che tu ospiti il proxy direttamente su un' EC2 istanza Amazon o su Kubernetes in esecuzione su un'istanza.
Per ulteriori informazioni su come creare un ruolo IAM, consulta Creating a Role for an Service. AWS
Allega la policy IAM
Se desideri che tutti gli endpoint mesh in una service mesh siano in grado di leggere la configurazione di tutti gli endpoint mesh, collega la policy IAM AWSAppMeshEnvoyAccess gestita al ruolo IAM creato in un passaggio precedente. Se desideri limitare gli endpoint mesh da cui la configurazione può essere letta dai singoli endpoint mesh, collega ogni policy che hai creato a ciascun ruolo che hai creato. Per ulteriori informazioni su come allegare una policy IAM personalizzata o gestita a un ruolo IAM, consulta Aggiungere autorizzazioni di identità IAM.
Allega il ruolo IAM
Collega ogni ruolo IAM alla risorsa di elaborazione appropriata:
-
Amazon EKS: se hai collegato la policy al ruolo associato ai nodi di lavoro, puoi saltare questo passaggio. Se hai creato ruoli separati, assegna ogni ruolo a un account di servizio Kubernetes separato e assegna ogni account di servizio a una specifica di implementazione del singolo pod Kubernetes che include il proxy Envoy. Per ulteriori informazioni, consulta Specificazione di un ruolo IAM per il tuo account di servizio nella Guida per l'utente di Amazon EKS e Configurazione degli account di servizio per i pod
nella documentazione di Kubernetes. -
Amazon ECS: associa un Task Role di Amazon ECS alla definizione dell'attività che include il proxy Envoy. L'attività può essere implementata con il tipo di lancio EC2 o Fargate. Per ulteriori informazioni su come creare un Task Role Amazon ECS e associarlo a un'attività, consulta Specificing an IAM Role for your Tasks.
-
Amazon EC2: il ruolo IAM deve essere collegato all' EC2 istanza Amazon che ospita il proxy Envoy. Per ulteriori informazioni su come associare un ruolo a un' EC2 istanza Amazon, consulta Ho creato un ruolo IAM e ora voglio assegnarlo a un' EC2 istanza
.
Conferma l'autorizzazione
Conferma che l'appmesh:StreamAggregatedResourcesautorizzazione sia assegnata alla risorsa di calcolo su cui ospiti il proxy selezionando uno dei nomi dei servizi di calcolo.
È possibile assegnare una policy personalizzata al ruolo assegnato ai nodi di lavoro, ai singoli pod o a entrambi. Si consiglia tuttavia di assegnare la policy solo ai singoli pod, in modo da poter limitare l'accesso dei singoli pod ai singoli endpoint mesh. Se la policy è associata al ruolo assegnato ai nodi di lavoro, seleziona la EC2 scheda Amazon e completa i passaggi che trovi lì per le tue istanze del nodo di lavoro. Per determinare quale ruolo IAM è assegnato a un pod Kubernetes, completa i seguenti passaggi.
-
Visualizza i dettagli di una distribuzione Kubernetes che include il pod a cui desideri confermare l'assegnazione di un account di servizio Kubernetes. Il comando seguente visualizza i dettagli di una distribuzione denominata.
my-deploymentkubectl describe deploymentmy-deploymentNell'output restituito annota il valore a destra di
Service Account:. SeService Account:non esiste una riga che inizia con, un account di servizio Kubernetes personalizzato non è attualmente assegnato alla distribuzione. Dovrai assegnarne uno. Per ulteriori informazioni, consultare Configurare gli account di servizio per i podnella documentazione di Kubernetes. -
Visualizza i dettagli dell'account di servizio restituito nel passaggio precedente. Il comando seguente visualizza i dettagli di un account di servizio denominato
my-service-account.kubectl describe serviceaccountmy-service-accountA condizione che l'account del servizio Kubernetes sia associato a un AWS Identity and Access Management ruolo, una delle righe restituite sarà simile all'esempio seguente.
Annotations: eks.amazonaws.com/role-arn=arn:aws:iam::123456789012:role/my-deployment
Nell'esempio precedente
my-deploymentè riportato il nome del ruolo IAM a cui è associato l'account di servizio. Se l'output dell'account di servizio non contiene una riga simile all'esempio precedente, l'account del servizio Kubernetes non è associato a un AWS Identity and Access Management account e devi associarlo a uno. Per ulteriori informazioni, consulta Specificare un ruolo IAM per l'account di servizio. Accedi AWS Management Console e apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/
-
Nella barra di navigazione a sinistra, seleziona Ruoli. Seleziona il nome del ruolo IAM che hai annotato in un passaggio precedente.
-
Verifica che sia elencata la policy personalizzata che hai creato in precedenza o la policy
AWSAppMeshEnvoyAccessgestita. Se nessuna policy è allegata, allega una policy IAM al ruolo IAM. Se desideri allegare una policy IAM personalizzata ma non ne hai una, devi creare una policy IAM personalizzata con le autorizzazioni richieste. Se è allegata una policy IAM personalizzata, seleziona la policy e conferma che la contiene"Action": "appmesh:StreamAggregatedResources". In caso contrario, devi aggiungere tale autorizzazione alla tua politica IAM personalizzata. Puoi anche confermare che sia elencato l'Amazon Resource Name (ARN) appropriato per uno specifico endpoint mesh. Se non ARNs ne è elencato nessuno, puoi modificare la policy per aggiungere, rimuovere o modificare l'elenco. ARNs Per ulteriori informazioni, consulta Modifica delle politiche IAM eCreare una policy IAM . -
Ripeti i passaggi precedenti per ogni pod Kubernetes che contiene il proxy Envoy.
