Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wie AWS App Mesh funktioniert mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf App Mesh zu verwalten, sollten Sie wissen, welche IAM-Funktionen für die Verwendung mit App Mesh verfügbar sind. Einen allgemeinen Überblick darüber, wie App Mesh und andere AWS Dienste mit IAM funktionieren, finden Sie unter AWS Services That Work with IAM im IAM-Benutzerhandbuch.
Themen
Identitätsbasierte Richtlinien für App Mesh
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. App Mesh unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der IAM-Referenz für JSON-Richtlinienelemente im IAM-Benutzerhandbuch.
Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher Prinzipal kann Aktionen für welche Ressourcen und unter welchen Bedingungen ausführen.
Das Element Action einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Richtlinienaktionen haben normalerweise denselben Namen wie der zugehörige AWS API-Vorgang. Es gibt einige Ausnahmen, z. B. Aktionen, die nur mit Genehmigung durchgeführt werden können und für die es keinen passenden API-Vorgang gibt. Es gibt auch einige Operationen, die mehrere Aktionen in einer Richtlinie erfordern. Diese zusätzlichen Aktionen werden als abhängige Aktionen bezeichnet.
Schließen Sie Aktionen in eine Richtlinie ein, um Berechtigungen zur Durchführung der zugeordneten Operation zu erteilen.
Richtlinienaktionen in App Mesh verwenden vor der Aktion das folgende Präfix:appmesh:. Um beispielsweise jemandem die Erlaubnis zu erteilen, Meshes in einem Konto mit der appmesh:ListMeshes API-Operation aufzulisten, nehmen Sie die appmesh:ListMeshes Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen entweder ein – Actionoder ein NotAction-Element enthalten.
Um mehrere -Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie folgendermaßen durch Kommas.
"Action": [ "appmesh:ListMeshes", "appmesh:ListVirtualNodes" ]
Sie können auch Platzhalter (*) verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Describe beginnen, einschließlich der folgenden Aktion:
"Action": "appmesh:Describe*"
Eine Liste der App Mesh Mesh-Aktionen finden Sie unter Definierte Aktionen von AWS App Mesh im IAM-Benutzerhandbuch.
Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das bedeutet die Festlegung, welcher Prinzipal Aktionen für welche Ressourcen unter welchen Bedingungen ausführen kann.
Das JSON-Richtlinienelement Resource gibt die Objekte an, auf welche die Aktion angewendet wird. Anweisungen müssen entweder ein – Resourceoder ein NotResource-Element enthalten. Als bewährte Methode geben Sie eine Ressource mit dem zugehörigen Amazon-Ressourcennamen (ARN) an. Sie können dies für Aktionen tun, die einen bestimmten Ressourcentyp unterstützen, der als Berechtigungen auf Ressourcenebene bezeichnet wird.
Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, z. B. Auflistungsoperationen, einen Platzhalter (*), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
"Resource": "*"
Die App Mesh mesh Mesh-Ressource hat den folgenden ARN.
arn:${Partition}:appmesh:${Region}:${Account}:mesh/${MeshName}
Weitere Informationen zum Format von ARNs finden Sie unter Amazon Resource Names (ARNs) und AWS Service Namespaces.
Verwenden Sie beispielsweise den folgenden ARN, um in Ihrer Anweisung die Mesh-benannten Apps in der Region mit dem Regionalcode anzugeben.
arn:aws:appmesh:Region-code:111122223333:mesh/apps
Um alle Instances anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (*).
"Resource": "arn:aws:appmesh:Region-code:111122223333:mesh/*"
Einige App Mesh Mesh-Aktionen, z. B. zum Erstellen von Ressourcen, können nicht für eine bestimmte Ressource ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (*) verwenden.
"Resource": "*"
Viele App Mesh Mesh-API-Aktionen beinhalten mehrere Ressourcen. CreateRouteErstellt beispielsweise eine Route mit einem virtuellen Knotenziel, sodass ein IAM-Benutzer über Berechtigungen zur Verwendung der Route und des virtuellen Knotens verfügen muss. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie die ARNs durch Kommata voneinander.
"Resource": [ "arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualRouter/serviceB/route/*", "arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualNode/serviceB" ]
Eine Liste der App Mesh Mesh-Ressourcentypen und ihrer ARNs finden Sie unter Resources Defined by AWS App Mesh im IAM-Benutzerhandbuch. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter Von AWS App Mesh definierte Aktionen.
Bedingungsschlüssel
App Mesh unterstützt die Verwendung einiger globaler Bedingungsschlüssel. Eine Liste aller globalen AWS -Bedingungsschlüssel finden Sie unter Globale AWS -Bedingungskontextschlüssel im IAM-Benutzerhandbuch. Eine Liste der globalen Bedingungsschlüssel, die App Mesh unterstützt, finden Sie unter Bedingungsschlüssel für AWS App Mesh im IAM-Benutzerhandbuch. Informationen zu den Aktionen und Ressourcen, die Sie mit einem Bedingungsschlüssel verwenden können, finden Sie unter Aktionen definiert von AWS App Mesh.
Beispiele
Beispiele für identitätsbasierte App Mesh Mesh-Richtlinien finden Sie unter. AWS App Mesh Beispiele für identitätsbasierte Richtlinien
Ressourcenbasierte Richtlinien für App Mesh
App Mesh unterstützt keine ressourcenbasierten Richtlinien. Wenn Sie jedoch den Dienst AWS Resource Access Manager (AWS RAM) verwenden, um ein Mesh für mehrere AWS Dienste gemeinsam zu nutzen, wird vom Dienst eine ressourcenbasierte Richtlinie auf Ihr Mesh angewendet. AWS RAM Weitere Informationen finden Sie unter Erteilen von Berechtigungen für ein Mesh.
Autorisierung basierend auf App Mesh-Tags
Sie können Tags an App Mesh-Ressourcen anhängen oder Tags in einer Anfrage an App Mesh übergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an, indem Sie die Schlüssel appmesh:ResourceTag/, key-nameaws:RequestTag/, oder Bedingung key-nameaws:TagKeys verwenden. Weitere Informationen zum Taggen von App Mesh Mesh-Ressourcen finden Sie unter Tagging AWS Resources.
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter App Mesh-Meshes mit eingeschränkten Tags erstellen.
App Mesh IAM-Rollen
Eine IAM-Rolle ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.
Temporäre Anmeldeinformationen mit App Mesh verwenden
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie AssumeRoleoder GetFederationToken aufrufen.
App Mesh unterstützt die Verwendung temporärer Anmeldeinformationen.
Service-verknüpfte Rollen
Mit Diensten verknüpfte Rollen ermöglichen es AWS Diensten, auf Ressourcen in anderen Diensten zuzugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für serviceverknüpfte Rollen anzeigen, aber nicht bearbeiten.
App Mesh unterstützt dienstverknüpfte Rollen. Einzelheiten zum Erstellen oder Verwalten von dienstverknüpften App Mesh Mesh-Rollen finden Sie unterVerwenden von dienstverknüpften Rollen für App Mesh.
Servicerollen
Dieses Feature ermöglicht einem Service das Annehmen einer Servicerolle in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
App Mesh unterstützt keine Servicerollen.
