本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
特使代理授權
代理授權授權授權在 Amazon ECS 任務內執行的特使代理、在 Amazon EKS 上執行的 Kubernetes 網繭中執行,或在 Amazon EC2 執行個體上執行的執行個體中,從 App Mesh Envoy 管理服務讀取一或多個網狀端點的組態。對於在 2021 年 4 月 26 日之前已經擁有 Envoys 連線至其 App Mesh 端點的客戶帳戶,使用傳輸層安全性 (TLS) 的虛擬節點和虛擬閘道 (有無 TLS) 的虛擬節點需要 Proxy 授權。對於想要在 2021 年 4 月 26 日之後將 Envoys 連線到其 App Mesh 端點的客戶帳戶,所有 App Mesh 功能都需要代理授權。建議所有客戶帳戶對所有虛擬節點啟用 Proxy 授權,即使他們不使用 TLS,以獲得使用 IAM 授權特定資源的安全且一致的體驗。代理授權要求在 IAM 政策中指定權appmesh:StreamAggregatedResources
限。該政策必須附加到 IAM 角色,並且該 IAM 角色必須附加到託管代理的計算資源。
建立 IAM 政策
如果您希望服務網格中的所有網格端點都能夠讀取所有網格端點的組態,請跳至建立 IAM 角色。如果要限制個別網狀端點可從中讀取組態的網格端點,則需要建立一或多個 IAM 政策。建議將可從中讀取組態的網狀端點限制為僅在特定計算資源上執行的 Envoy Proxy。建立 IAM 政策並將appmesh:StreamAggregatedResources
許可新增至政策中。下列範例原則允許在服務網格中讀取名serviceBv2
為serviceBv1
和的虛擬節點的組態。無法讀取服務網格中定義的任何其他虛擬節點的組態。如需有關建立或編輯 IAM 政策的詳細資訊,請參閱建立 IAM 政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "appmesh:StreamAggregatedResources", "Resource": [ "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1", "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2" ] } ] }
您可以建立多個策略,每個策略都會限制對不同網格端點的存取。
建立 IAM 角色
如果您希望服務網格中的所有網狀端點都能夠讀取所有網狀端點的組態,則只需建立一個 IAM 角色即可。如果您要限制個別網格端點可從中讀取組態的網格端點,則需要為您在上一個步驟中建立的每個策略建立角色。完成 Proxy 執行所在之計算資源的指示。
-
Amazon EKS — 如果您想要使用單一角色,則可以使用在建立叢集時建立並指派給工作者節點的現有角色。若要使用多個角色,您的叢集必須符合在叢集上為服務帳戶啟用 IAM 角色中定義的要求。建立身分與存取權管理角色,並將這些角色與 Kubernetes 服務帳戶建立關聯。如需詳細資訊,請參閱為服務帳戶建立 IAM 角色和政策和為服務帳戶指定 IAM 角色。
-
Amazon ECS — 選取AWS服務、選取彈性容器服務,然後在建立 IAM 角色時選取彈性容器服務任務使用案例。
-
Amazon EC2 — 選取AWS服務、選取 EC2,然後在建立 IAM 角色時選取 EC2 使用案例。無論您是直接在 Amazon EC2 執行個體上託管代理伺服器,或是在執行個體上執行個體執行個體上執行個體上執行個體或
如需有關建立 IAM 角色的詳細資訊,請參閱建立 IAM 角色,請參閱建立 IAM 角色,請參閱建立 IAMAWS
連接 IAM 政策
如果您希望服務網格中的所有網狀端點都能讀取所有網狀端點的組態,請將AWSAppMeshEnvoyAccess
受管 IAM 政策附加到您在上一個步驟中建立的 IAM 角色。如果您要限制個別網格端點可從中讀取組態的網格端點,請將您建立的每個策略附加到您建立的每個角色。如需將自訂或受管 IAM 政策附加至 IAM 角色的詳細資訊,請參閱新增 IAM 身分許可。
連接 IAM 角色
將每個 IAM 角色附加到適當的運算資源:
-
Amazon EKS — 如果您將政策附加到工作者節點上的角色,則可以略過此步驟。如果您建立不同的角色,請將每個角色指派給個別的 Kubernetes 服務帳戶,並將每個服務帳戶指派給包含特使代理的個別 Kubernetes 網繭部署規格。如需詳細資訊,請參閱 Amazon EKS 使用者指南中的為您的服務帳戶指定 IAM 角色和 Kubernetes 說明文件中的設定網繭的服務帳
戶。 -
亞馬遜 ECS — 將 Amazon ECS 任務角色附加到包含特使代理的任務定義。可使用 EC2 或 Fargate 啟動類型來部署此任務。有關如何建立 Amazon ECS 任務角色並將其附加到任務的詳細資訊,請參閱為任務指定 IAM 角色。
-
Amazon EC2 — IAM 角色必須附加到託管特使代理的 Amazon EC2 實例。有關如何將角色附加到 Amazon EC2 執行個體的詳細資訊,請參閱我已建立 IAM 角色,現在我想將其指派給 EC2 執行個體
。
確認許可
選取其中一個計算服務名稱,確認已將appmesh:StreamAggregatedResources
權限指派給託管 Proxy 的計算資源。