기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
공유 메시 작업
중요
지원 종료 알림: 2026년 9월 30일에 에 대한 지원을 중단할 AWS 예정입니다 AWS App Mesh. 2026년 9월 30일 이후에는 AWS App Mesh 콘솔 또는 AWS App Mesh 리소스에 더 이상 액세스할 수 없습니다. 자세한 내용은 이 블로그 게시물에서 에서 Amazon ECS Service Connect AWS App Mesh 로 마이그레이션을
AWS Resource Access Manager 서비스를 사용하여 AWS 계정 간에 App Mesh 메시를 공유할 수 있습니다. 공유 메시를 사용하면 서로 다른 AWS 계정에서 생성된 리소스가 동일한 메시에서 서로 통신할 수 있습니다.
AWS 계정은 메시 리소스 소유자, 메시 소비자 또는 둘 다일 수 있습니다. 소비자는 자신의 계정과 공유되는 메시에서 리소스를 생성할 수 있습니다. 소유자는 계정이 소유한 모든 메시에서 리소스를 생성할 수 있습니다. 메시 소유자는 다음 유형의 메시 소비자와 메시를 공유할 수 있습니다.
-
의 조직 내부 또는 외부의 특정 AWS 계정 AWS Organizations
-
의 조직 내 조직 단위 AWS Organizations
-
의 전체 조직 AWS Organizations
메시 공유에 대한 end-to-end 자세한 내용은 의 교차 계정 메시 안내를
메시를 공유할 수 있는 권한 부여
계정 간에 메시를 공유할 때는 보안 IAM 주체가 메시를 공유하는 데 필요한 권한과 메시 자체에 필요한 리소스 수준 권한이 있습니다.
메시를 공유할 수 있는 권한 부여
IAM 보안 주체가 메시를 공유하려면 최소 권한 세트가 필요합니다. AWSAppMeshFullAccess 및 AWSResourceAccessManagerFullAccess 관리형 IAM 정책을 사용하여 IAM 보안 주체가 공유 메시를 공유하고 사용하는 데 필요한 권한을 갖도록 하는 것이 좋습니다.
사용자 지정 IAM 정책을 사용하는 경우 appmesh:PutMeshPolicy, appmesh:GetMeshPolicy및 appmesh:DeleteMeshPolicy 작업이 필요합니다. 이는 권한 전용 IAM 작업입니다. IAM 보안 주체에게 이러한 권한이 부여되지 않은 경우 AWS RAM 서비스를 사용하여 메시를 공유하려고 할 때 오류가 발생합니다.
AWS Resource Access Manager 서비스가 를 사용하는 방식에 대한 자세한 내용은 AWS Resource Access Manager 사용 설명서의 에서 를 AWS RAM 사용하는 방법을 IAM IAM참조하세요.
메시에 대한 권한 부여
공유 메시에는 다음과 같은 권한이 있습니다.
-
소비자는 계정과 공유되는 메시의 모든 리소스를 나열하고 설명할 수 있습니다.
-
소유자는 계정이 소유한 모든 메시의 모든 리소스를 나열하고 설명할 수 있습니다.
-
소유자와 소비자는 해당 계정이 생성한 메시의 리소스를 수정할 수 있지만 다른 계정이 생성한 리소스는 수정할 수 없습니다.
-
소비자는 해당 계정이 생성한 메시의 모든 리소스를 삭제할 수 있습니다.
-
소유자는 임의의 계정이 생성한 메시의 모든 리소스를 삭제할 수 있습니다.
-
소유자의 리소스는 동일한 계정의 다른 리소스만 참조할 수 있습니다. 예를 들어 가상 노드는 가상 노드 소유자와 동일한 계정에 있는 AWS Cloud Map 인증서만 참조 AWS Certificate Manager 할 수 있습니다.
-
소유자와 소비자는 Envoy 프록시를 계정이 소유한 가상 노드로서 App Mesh에 연결할 수 있습니다.
-
소유자는 가상 게이트웨이와 가상 게이트웨이 경로를 생성할 수 있습니다.
-
소유자와 소비자는 계정이 생성한 메시의 리소스에 대해 태그를 나열하고 태그를 지정하거나 태그를 해제할 수 있습니다. 계정이 생성하지 않은 메시의 리소스의 경우에는 태그를 나열하고 리소스에 태그를 지정하거나 태그를 해제할 수 없습니다.
공유 메시는 정책 기반 인증을 사용합니다. 메시는 고정된 권한 집합과 함께 와 공유됩니다. 이러한 권한은 리소스 정책에 추가되도록 선택되며 IAM 사용자/역할에 따라 선택적 IAM 정책도 선택할 수 있습니다. 이러한 정책에서 허용된 권한과 거부된 덜 명시적인 권한의 교집합에 따라 메시에 대한 보안 주체의 액세스 권한이 결정됩니다.
메시를 공유할 때 AWS Resource Access Manager 서비스는 라는 관리형 정책을 생성하고 다음 권한을 제공하는 App Mesh와 AWSRAMDefaultPermissionAppMesh 연결합니다.
-
appmesh:CreateVirtualNode -
appmesh:CreateVirtualRouter -
appmesh:CreateRoute -
appmesh:CreateVirtualService -
appmesh:UpdateVirtualNode -
appmesh:UpdateVirtualRouter -
appmesh:UpdateRoute -
appmesh:UpdateVirtualService -
appmesh:ListVirtualNodes -
appmesh:ListVirtualRouters -
appmesh:ListRoutes -
appmesh:ListVirtualServices -
appmesh:DescribeMesh -
appmesh:DescribeVirtualNode -
appmesh:DescribeVirtualRouter -
appmesh:DescribeRoute -
appmesh:DescribeVirtualService -
appmesh:DeleteVirtualNode -
appmesh:DeleteVirtualRouter -
appmesh:DeleteRoute -
appmesh:DeleteVirtualService -
appmesh:TagResource -
appmesh:UntagResource
메시 공유를 위한 사전 조건
메시를 공유하려면 다음 사전 조건을 충족해야 합니다.
-
AWS 계정의 메시를 소유해야 합니다. 나와 공유된 메시는 공유할 수 없습니다.
-
AWS Organizations의 조직 또는 조직 단위와 메시를 공유하려면, AWS Organizations와의 공유를 활성화해야 합니다. 자세한 내용은 AWS RAM 사용 설명서의 AWS Organizations과(와) 공유 활성화를 참조하세요.
-
서로 통신하려는 메시 리소스가 포함된 계정 간에 연결을 공유VPC한 Amazon에 서비스를 배포해야 합니다. 네트워크 연결을 공유하는 한 가지 방법은 메시에서 사용하려는 모든 서비스를 공유 서브넷에 배포하는 것입니다. 자세한 내용 및 제한 사항은 서브넷 공유를 참조하세요.
-
서비스는 DNS 또는 를 통해 검색할 수 있어야 합니다 AWS Cloud Map. 서비스 검색에 대한 자세한 내용은 가상 노드를 참조하세요.
관련 서비스
메시 공유는 AWS Resource Access Manager (AWS RAM)와 통합됩니다. AWS RAM 는 모든 AWS 계정 또는 를 통해 AWS 리소스를 공유할 수 있는 서비스입니다 AWS Organizations. 를 사용하면 리소스 AWS RAM공유를 생성하여 소유한 리소스를 공유할 수 있습니다. 리소스 공유는 공유할 리소스와 공유 대상 소비자를 지정합니다. 소비자는 의 개별 AWS 계정, 조직 단위 또는 전체 조직일 수 있습니다 AWS Organizations.
에 대한 자세한 내용은 AWS RAM 사용 설명서 섹션을 AWS RAM참조하세요.
메시 공유
메시를 공유하면 다른 계정에서 생성한 메시 리소스가 동일한 메시에서 서로 통신할 수 있습니다. 소유한 메시만 공유할 수 있습니다. 메시를 공유하려면 리소스 공유에 추가해야 합니다. 리소스 공유는 AWS 계정 간에 AWS RAM 리소스를 공유할 수 있는 리소스입니다. 리소스 공유는 공유할 리소스와 공유 대상 소비자를 지정합니다. Amazon Linux 콘솔을 사용하여 메시를 공유하면 기존 리소스 공유에 추가합니다. 새 리소스 공유에 메시를 추가하려면 AWS RAM 콘솔
의 조직에 속 AWS Organizations 해 있고 조직 내에서 공유가 활성화된 경우 조직의 소비자에게 공유 메시에 대한 액세스 권한이 자동으로 부여될 수 있습니다. 그렇지 않으면 소비자는 리소스 공유에 가입하라는 초대장을 받고 초대를 수락한 후 공유된 메시에 대한 액세스 권한을 받습니다.
AWS RAM 콘솔 또는 를 사용하여 소유한 메시를 공유할 수 있습니다 AWS CLI.
AWS RAM 콘솔을 사용하여 소유한 메시를 공유하려면
자세한 지침은AWS RAM 사용 설명서의 리소스 공유 생성을 참조하세요. 리소스 유형을 선택할 때 메시를 선택한 다음, 공유하려는 메시를 선택합니다. 목록에 메시가 없는 경우 먼저 메시를 생성합니다. 자세한 내용은 서비스 메시 생성 단원을 참조하십시오.
를 사용하여 소유한 메시를 공유하려면 AWS CLI
create-resource-share 명령을 사용합니다. --resource-arns 옵션에 공유하려는 메시ARN의 를 지정합니다.
공유 메시의 공유 해제
메시의 공유를 해제하면 App Mesh는 이전 메시 사용자가 메시에 더 이상 액세스할 수 없도록 합니다. 하지만 App Mesh는 소비자가 생성한 리소스를 삭제하지 않습니다. 메시가 공유 해제된 후에는 메시 소유자만 리소스를 액세스하고 삭제할 수 있습니다. App Mesh는 메시가 공유 해제된 후 메시의 리소스를 소유한 계정이 구성 정보를 받지 못하도록 합니다. 또한 App Mesh는 메시에 리소스가 있는 다른 계정이 공유 해제된 메시로부터 구성 정보를 받지 못하도록 합니다. 메시 소유자만 공유된 메시의 공유를 해제할 수 있습니다.
소유하고 있는 공유된 메시를 공유 해제하려면 리소스 공유에서 제거해야 합니다. AWS RAM 콘솔 또는 를 사용하여 이 작업을 수행할 수 있습니다 AWS CLI.
AWS RAM 콘솔을 사용하여 소유한 공유 메시를 공유 해제하려면
자세한 지침에 대해서는AWS RAM 사용 설명서에서 리소스 공유 업데이트를 참조하세요.
를 사용하여 소유한 공유 메시를 공유 해제하려면 AWS CLI
disassociate-resource-share 명령을 사용합니다.
공유 메시 식별
소유자와 소비자는 Amazon Linux 콘솔 및 를 사용하여 공유 메시 및 메시 리소스를 식별할 수 있습니다. AWS CLI
Amazon Linux 콘솔을 사용하여 공유 메시를 식별하려면
-
에서 App Mesh 콘솔을 엽니다https://console.aws.amazon.com/appmesh/
. -
왼쪽 탐색 창에서 메시를 선택합니다. 각 메시의 메시 소유자 계정 ID는 메시 소유자 열에 나열되어 있습니다.
-
왼쪽 탐색 창에서 가상 서비스, 가상 라우터 또는 가상 노드를 선택합니다. 각 리소스의 메시 소유자 및 리소스 소유자의 계정 ID가 표시됩니다.
를 사용하여 공유 메시를 식별하려면 AWS CLI
aws appmesh list 명령(예: resourceaws appmesh list-meshes)을 사용합니다. 이 명령은 소유하고 있는 메시 및 자신과 공유된 메시를 반환합니다. meshOwner 속성에는 AWS 의 계정 IDmeshOwner가 표시되고 resourceOwner 속성에는 리소스 소유자의 AWS 계정 ID가 표시됩니다. 메시 리소스에 대해 실행된 모든 명령은 이러한 속성을 반환합니다.
공유 메시에 연결하는 사용자 정의 태그는 AWS 계정만 사용할 수 있습니다. 메시를 공유하는 다른 계정은 사용할 수 없습니다. 다른 계정의 메시에 대해 aws appmesh list-tags-for-resource 명령을 실행하려고 하면 액세스가 거부됩니다.
결제 및 측정
메시 공유에 대한 추가 비용은 없습니다.
인스턴스 할당량
메시에 대한 모든 할당량은 메시에 리소스를 생성한 사용자에 관계없이 공유 메시에도 적용됩니다. 메시 소유자만 할당량 증가를 요청할 수 있습니다. 자세한 내용은 App Mesh 서비스 할당량 단원을 참조하십시오. AWS Resource Access Manager 서비스에도 할당량이 있습니다. 자세한 내용은 서비스 할당량을 참조하세요.
