Usar funções vinculadas ao serviço do App Mesh - AWS App Mesh
Permissões de função vinculada ao serviço do App MeshCriar uma função vinculada ao serviço do App MeshEditar uma função vinculada ao serviço do App MeshExcluir uma função vinculada ao serviço do App MeshRegiões compatíveis com funções vinculadas ao serviço do App Mesh

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar funções vinculadas ao serviço do App Mesh

Importante

Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog Migrando do AWS App Mesh Amazon ECS Service Connect.

AWS App Mesh usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). A função vinculada ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao App Mesh. As funções vinculadas ao serviço são predefinidas pelo App Mesh e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração do App Mesh porque você não precisa adicionar as permissões necessárias manualmente. O App Mesh define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o App Mesh pode assumir suas funções. As permissões definidas incluem as políticas de confiança e de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso protege seus recursos do App Mesh, pois você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Sim na coluna Service-Linked Role. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.

Permissões de função vinculada ao serviço do App Mesh

O App Mesh usa a função vinculada ao serviço chamada AWSServiceRoleForAppMesh— A função permite que o App Mesh chame AWS serviços em seu nome.

A função AWSService RoleForAppMesh vinculada ao serviço confia no appmesh.amazonaws.com serviço para assumir a função.

Detalhes de permissões

  • servicediscovery:DiscoverInstances: permite que o App Mesh conclua ações em todos os recursos da AWS .

  • servicediscovery:DiscoverInstancesRevision‐ Permite que o App Mesh conclua ações em todos os AWS recursos.

Esta política inclui as seguintes permissões:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CloudMapServiceDiscovery",
			"Effect": "Allow",
			"Action": [
				"servicediscovery:DiscoverInstances",
				"servicediscovery:DiscoverInstancesRevision"
			],
			"Resource": "*"
		},
		{
			"Sid": "ACMCertificateVerification",
			"Effect": "Allow",
			"Action": [
				"acm:DescribeCertificate"
			],
			"Resource": "*"
		}
	]
}

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Criar uma função vinculada ao serviço do App Mesh

Se você criou uma malha depois de 5 de junho de 2019 na AWS Management Console, na ou na AWS API AWS CLI, o App Mesh criou a função vinculada ao serviço para você. Para a função vinculada ao serviço ter sido criada para você, a conta do IAM que você usou para criar a malha deve ter a política do IAM AWSAppMeshFullAccess anexada ou uma política anexada que contivesse a permissão iam:CreateServiceLinkedRole. Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria uma malha, o App Mesh cria uma função vinculada ao serviço para você novamente. Se sua conta contiver apenas malhas criadas antes de 5 de junho de 2019 e você quiser usar a função vinculada ao serviço com essas malhas, poderá criar a função usando o console do IAM.

Você pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de uso do App Mesh. Na AWS CLI ou na AWS API, crie uma função vinculada ao serviço com o nome do appmesh.amazonaws.com serviço. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Editar uma função vinculada ao serviço do App Mesh

O App Mesh não permite que você edite a função AWSService RoleForAppMesh vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço do App Mesh

Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

nota

Se o serviço App Mesh estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir os recursos do App Mesh usados pelo AWSService RoleForAppMesh

  1. Exclua todas as rotas definidas para todos os roteadores na malha.

  2. Exclua todos os roteadores virtuais na malha.

  3. Exclua todos os serviços virtuais na malha.

  4. Exclua todos os nós virtuais na malha.

  5. Exclua a malha.

Conclua as etapas anteriores para todas as malhas em sua conta.

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForAppMesh vinculada ao serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões compatíveis com funções vinculadas ao serviço do App Mesh

O App Mesh oferece suporte a funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Endpoints e cotas do App Mesh.