Autorizzazione Envoy Proxy - AWS App Mesh
Crea una politica IAMCrea ruolo IAMAllega IAM politicaAllega ruolo IAMConferma l'autorizzazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazione Envoy Proxy

Importante

Avviso di fine del supporto: il 30 settembre 2026, AWS verrà interrotto il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post del blog Migrazione da AWS App Mesh ad Amazon ECS Service Connect.

L'autorizzazione proxy autorizza il proxy Envoy in esecuzione all'interno di un'ECSattività Amazon, in un pod Kubernetes in esecuzione su EKS Amazon o in esecuzione su un'istanza EC2 Amazon per leggere la configurazione di uno o più endpoint mesh dall'App Mesh Envoy Management Service. Per gli account dei clienti che hanno già Envoys connessi al proprio endpoint App Mesh prima del 26/04/2021, è richiesta l'autorizzazione proxy per i nodi virtuali che utilizzano Transport Layer Security (TLS) e per i gateway virtuali (con o senza). TLS Per gli account cliente che desiderano connettere Envoys al proprio endpoint App Mesh dopo il 26/04/2021, è richiesta l'autorizzazione proxy per tutte le funzionalità App Mesh. Si consiglia a tutti gli account cliente di abilitare l'autorizzazione proxy per tutti i nodi virtuali, anche se non lo utilizzanoTLS, per avere un'esperienza sicura e coerente nell'utilizzo IAM dell'autorizzazione a risorse specifiche. L'autorizzazione proxy richiede che l'appmesh:StreamAggregatedResourcesautorizzazione sia specificata in una IAM politica. La policy deve essere associata a un IAM ruolo e tale IAM ruolo deve essere associato alla risorsa di elaborazione su cui si ospita il proxy.

Crea una politica IAM

Se desideri che tutti gli endpoint mesh in una service mesh siano in grado di leggere la configurazione di tutti gli endpoint mesh, passa a. Crea ruolo IAM Se desideri limitare gli endpoint mesh da cui la configurazione può essere letta dai singoli endpoint mesh, devi creare una o più policy. IAM Si consiglia di limitare gli endpoint mesh da cui è possibile leggere la configurazione al solo proxy Envoy in esecuzione su risorse di elaborazione specifiche. Crea una IAM policy e aggiungi l'autorizzazione alla appmesh:StreamAggregatedResources policy. La seguente politica di esempio consente di configurare i nodi virtuali denominati serviceBv1 e serviceBv2 di leggerli in una service mesh. La configurazione non può essere letta per nessun altro nodo virtuale definito nella service mesh. Per ulteriori informazioni sulla creazione o la modifica di una IAM politica, vedere Creazione IAM di criteri e Modifica IAM criteri.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "appmesh:StreamAggregatedResources",
            "Resource": [
                "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1",
                "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2"
            ]
        }
    ]
}

È possibile creare più policy, ognuna delle quali limita l'accesso a diversi endpoint mesh.

Crea ruolo IAM

Se desideri che tutti gli endpoint mesh in una service mesh siano in grado di leggere la configurazione di tutti gli endpoint mesh, devi solo creare un IAM ruolo. Se desideri limitare gli endpoint mesh da cui la configurazione può essere letta dai singoli endpoint mesh, devi creare un ruolo per ogni policy creata nel passaggio precedente. Completa le istruzioni per la risorsa di calcolo su cui viene eseguito il proxy.

  • Amazon EKS: se desideri utilizzare un singolo ruolo, puoi utilizzare il ruolo esistente che è stato creato e assegnato ai nodi di lavoro al momento della creazione del cluster. Per utilizzare più ruoli, il cluster deve soddisfare i requisiti definiti in Abilitazione IAM dei ruoli per gli account di servizio nel cluster. Crea i IAM ruoli e associali agli account di servizio Kubernetes. Per ulteriori informazioni, consulta Creazione di un IAM ruolo e di una politica per il tuo account di servizio e Specificazione di un IAM ruolo per il tuo account di servizio.

  • Amazon ECS: seleziona il AWS servizio, seleziona Elastic Container Service, quindi seleziona lo use case Elastic Container Service Task durante la creazione del IAM ruolo.

  • Amazon EC2: seleziona il AWS servizio EC2, seleziona e quindi seleziona il caso EC2d'uso quando crei il tuo IAM ruolo. Questo vale sia che tu ospiti il proxy direttamente su un'EC2istanza Amazon o su Kubernetes in esecuzione su un'istanza.

Per ulteriori informazioni su come creare un IAM ruolo, consulta Creazione di un ruolo per un servizio. AWS

Allega IAM politica

Se desideri che tutti gli endpoint mesh in una service mesh siano in grado di leggere la configurazione di tutti gli endpoint mesh, collega la IAM policy AWSAppMeshEnvoyAccess gestita al IAM ruolo creato in un passaggio precedente. Se desideri limitare gli endpoint mesh da cui la configurazione può essere letta dai singoli endpoint mesh, collega ogni policy che hai creato a ciascun ruolo che hai creato. Per ulteriori informazioni sull'associazione di una IAM policy personalizzata o gestita a un IAM ruolo, consulta Aggiungere IAM autorizzazioni di identità.

Allega ruolo IAM

Associa ogni IAM ruolo alla risorsa di elaborazione appropriata:

  • Amazon EKS: se hai collegato la policy al ruolo associato ai tuoi nodi di lavoro, puoi saltare questo passaggio. Se hai creato ruoli separati, assegna ogni ruolo a un account di servizio Kubernetes separato e assegna ogni account di servizio a una specifica di implementazione del singolo pod Kubernetes che include il proxy Envoy. Per ulteriori informazioni, consulta Specificare un IAM ruolo per il tuo account di servizio nella Amazon EKS User Guide e Configura gli account di servizio per i pod nella documentazione di Kubernetes.

  • Amazon ECS: associa un Amazon ECS Task Role alla definizione dell'attività che include il proxy Envoy. L'attività può essere implementata con il tipo di lancio EC2 o Fargate. Per ulteriori informazioni su come creare un Amazon ECS Task Role e associarlo a un'attività, consulta Specificare un IAM ruolo per le tue attività.

  • Amazon EC2: il IAM ruolo deve essere collegato all'EC2istanza Amazon che ospita il proxy Envoy. Per ulteriori informazioni su come associare un ruolo a un'EC2istanza Amazon, consulta Ho creato un IAM ruolo e ora voglio assegnarlo a un'EC2istanza.

Conferma l'autorizzazione

Conferma che l'appmesh:StreamAggregatedResourcesautorizzazione sia assegnata alla risorsa di calcolo su cui ospiti il proxy selezionando uno dei nomi dei servizi di calcolo.

Amazon EKS

È possibile assegnare una policy personalizzata al ruolo assegnato ai nodi di lavoro, ai singoli pod o a entrambi. Si consiglia tuttavia di assegnare la policy solo ai singoli pod, in modo da limitare l'accesso dei singoli pod ai singoli endpoint mesh. Se la policy è associata al ruolo assegnato ai nodi di lavoro, seleziona la EC2 scheda Amazon e completa i passaggi che trovi lì per le tue istanze del nodo di lavoro. Per determinare quale IAM ruolo è assegnato a un pod Kubernetes, completa i seguenti passaggi.

  1. Visualizza i dettagli di una distribuzione Kubernetes che include il pod a cui desideri confermare l'assegnazione di un account di servizio Kubernetes. Il comando seguente visualizza i dettagli di una distribuzione denominata my-deployment.

    kubectl describe deployment my-deployment

    Nell'output restituito, annota il valore a destra diService Account:. Se Service Account: non esiste una riga che inizia con, un account di servizio Kubernetes personalizzato non è attualmente assegnato alla distribuzione. Dovrai assegnarne uno. Per ulteriori informazioni, consultare Configurare gli account di servizio per i pod nella documentazione di Kubernetes.

  2. Visualizza i dettagli dell'account di servizio restituito nel passaggio precedente. Il comando seguente visualizza i dettagli di un account di servizio denominato my-service-account.

    kubectl describe serviceaccount my-service-account

    A condizione che l'account del servizio Kubernetes sia associato a un AWS Identity and Access Management ruolo, una delle righe restituite sarà simile all'esempio seguente.

    Annotations:         eks.amazonaws.com/role-arn=arn:aws:iam::123456789012:role/my-deployment

    Nell'esempio precedente my-deployment è il nome del IAM ruolo a cui è associato l'account di servizio. Se l'output dell'account di servizio non contiene una riga simile all'esempio precedente, l'account del servizio Kubernetes non è associato a un AWS Identity and Access Management account e devi associarlo a uno. Per ulteriori informazioni, consulta Specificazione di un IAM ruolo per l'account di servizio.

  3. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  4. Nella barra di navigazione a sinistra, seleziona Ruoli. Seleziona il nome del IAM ruolo che hai annotato nel passaggio precedente.

  5. Verifica che sia elencata la politica personalizzata creata in precedenza o la politica AWSAppMeshEnvoyAccess gestita. Se nessuna politica è allegata, allega una IAM politica al IAM ruolo. Se desideri allegare una IAM politica personalizzata ma non ne hai una, devi creare una IAM politica personalizzata con le autorizzazioni richieste. Se è allegata una IAM politica personalizzata, seleziona la politica e conferma che contenga"Action": "appmesh:StreamAggregatedResources". In caso contrario, è necessario aggiungere tale autorizzazione alla IAM politica personalizzata. Puoi anche confermare che sia elencato l'Amazon Resource Name (ARN) appropriato per un endpoint mesh specifico. Se non ARNs ne è elencata nessuna, puoi modificare la policy per aggiungere, rimuovere o modificare quella ARNs elencata. Per ulteriori informazioni, consulta Modifica IAM criteri eCrea una politica IAM.

  6. Ripeti i passaggi precedenti per ogni pod Kubernetes che contiene il proxy Envoy.

Amazon ECS

  1. Dalla ECS console Amazon, scegli Task Definitions.

  2. Seleziona la tua ECS attività Amazon.

  3. Nella pagina Task Definition Name, seleziona la definizione dell'attività.

  4. Nella pagina Task Definition, seleziona il link del nome del IAM ruolo che si trova a destra di Task Role. Se un IAM ruolo non è elencato, è necessario creare un IAM ruolo e associarlo all'attività aggiornando la definizione dell'attività.

  5. Nella pagina di riepilogo, nella scheda Autorizzazioni, conferma che sia elencata la politica personalizzata creata in precedenza o la politica AWSAppMeshEnvoyAccess gestita. Se nessuna politica è allegata, allega una IAM politica al IAM ruolo. Se desideri allegare una IAM politica personalizzata ma non ne hai una, devi creare la IAM politica personalizzata. Se è allegata una IAM politica personalizzata, seleziona la politica e conferma che contenga"Action": "appmesh:StreamAggregatedResources". In caso contrario, è necessario aggiungere tale autorizzazione alla IAM politica personalizzata. Puoi anche confermare che sia elencato l'Amazon Resource Name (ARN) appropriato per uno specifico endpoint mesh. Se non ARNs ne è elencata nessuna, puoi modificare la policy per aggiungere, rimuovere o modificare quella ARNs elencata. Per ulteriori informazioni, consulta Modifica IAM criteri eCrea una politica IAM.

  6. Ripetere i passaggi precedenti per ogni definizione di attività che contiene il proxy Envoy.

Amazon EC2

  1. Dalla EC2 console Amazon, seleziona Istanze nella barra di navigazione a sinistra.

  2. Seleziona una delle tue istanze che ospita il proxy Envoy.

  3. Nella scheda Descrizione, seleziona il link del nome del IAM ruolo che si trova a destra del ruolo. IAM Se un IAM ruolo non è elencato, devi crearne uno IAM.

  4. Nella pagina di riepilogo, nella scheda Autorizzazioni, conferma che sia elencata la politica personalizzata creata in precedenza o la politica AWSAppMeshEnvoyAccess gestita. Se nessuna politica è allegata, allega la IAM politica al IAM ruolo. Se desideri allegare una IAM politica personalizzata ma non ne hai una, devi creare la IAM politica personalizzata. Se è allegata una IAM politica personalizzata, seleziona la politica e conferma che contenga"Action": "appmesh:StreamAggregatedResources". In caso contrario, è necessario aggiungere tale autorizzazione alla IAM politica personalizzata. Puoi anche confermare che sia elencato l'Amazon Resource Name (ARN) appropriato per uno specifico endpoint mesh. Se non ARNs ne è elencata nessuna, puoi modificare la policy per aggiungere, rimuovere o modificare quella ARNs elencata. Per ulteriori informazioni, consulta Modifica IAM criteri eCrea una politica IAM.

  5. Ripeti i passaggi precedenti per ogni istanza su cui ospiti il proxy Envoy.