Mit gemeinsam genutzten Meshes arbeiten

Mithilfe des AWS Resource Access Manager Dienstes können Sie Ihre App Mesh-Meshes AWS für mehrere Konten freigeben. Ein gemeinsam genutztes Mesh ermöglicht es Ressourcen, die von verschiedenen AWS Konten erstellt wurden, im selben Mesh miteinander zu kommunizieren.

Ein AWS Konto kann ein Eigentümer einer Mesh-Ressource, ein Mesh-Nutzer oder beides sein. Verbraucher können Ressourcen in einem Mesh erstellen, das mit ihrem Konto gemeinsam genutzt wird. Besitzer können Ressourcen in jedem Mesh erstellen, das dem Konto gehört. Ein Mesh-Besitzer kann ein Mesh mit den folgenden Arten von Mesh-Nutzern teilen.

• Spezifische AWS Konten innerhalb oder außerhalb seiner Organisation in AWS Organizations

• Eine Organisationseinheit innerhalb ihrer Organisation in AWS Organizations

• Ihre gesamte Organisation ist in AWS Organizations

Eine Anleitung end-to-end zur gemeinsamen Nutzung eines Meshs finden Sie unter Accountübergreifendes Mesh am GitHub.

Erteilen von Berechtigungen zum Teilen von Meshes

Bei der kontenübergreifenden Freigabe von Meshes sind Berechtigungen für den IAM-Prinzipal, der das Mesh gemeinsam nutzt, und Berechtigungen auf Ressourcenebene für das Mesh selbst erforderlich.

Erteilen Sie die Erlaubnis, ein Mesh gemeinsam zu nutzen

Damit ein IAM-Prinzipal ein Mesh gemeinsam nutzen kann, ist ein Mindestsatz an Berechtigungen erforderlich. Wir empfehlen, die IAM-Richtlinien AWSAppMeshFullAccess und die AWSResourceAccessManagerFullAccess verwalteten IAM-Richtlinien zu verwenden, um sicherzustellen, dass Ihre IAM-Prinzipale über die erforderlichen Berechtigungen verfügen, um gemeinsam genutzte Meshes zu teilen und zu verwenden.

Wenn Sie eine benutzerdefinierte IAM-Richtlinie verwenden, sind die Aktionen, appmesh:PutMeshPolicy und appmesh:GetMeshPolicy erforderlich. appmesh:DeleteMeshPolicy Dabei handelt es sich um IAM-Aktionen, für die nur Berechtigungen erforderlich sind. Wenn einem IAM-Prinzipal diese Berechtigungen nicht erteilt wurden, tritt beim Versuch, das Mesh über den Service gemeinsam zu nutzen, ein Fehler auf. AWS RAM

Weitere Informationen darüber, wie der AWS Resource Access Manager Dienst IAM verwendet, finden Sie unter Wie AWS RAM verwendet IAM im AWS Resource Access Manager Benutzerhandbuch.

Erteilen von Berechtigungen für ein Mesh

Ein gemeinsam genutztes Mesh hat die folgenden Berechtigungen.

• Verbraucher können alle Ressourcen in einem Mesh, das mit dem Konto gemeinsam genutzt wird, auflisten und beschreiben.

• Besitzer können alle Ressourcen in jedem Mesh, das dem Konto gehört, auflisten und beschreiben.

• Eigentümer und Verbraucher können Ressourcen in einem Mesh ändern, das das Konto erstellt hat, aber sie können keine Ressourcen ändern, die von einem anderen Konto erstellt wurden.

• Verbraucher können jede Ressource in einem Mesh löschen, die das Konto erstellt hat.

• Besitzer können jede Ressource in einem Mesh löschen, die von einem beliebigen Konto erstellt wurde.

• Die Ressourcen des Besitzers können nur auf andere Ressourcen im selben Konto verweisen. Beispielsweise kann ein virtueller Knoten nur auf ein AWS Certificate Manager Zertifikat AWS Cloud Map verweisen, das sich im selben Konto wie der Besitzer des virtuellen Knotens befindet.

• Besitzer und Verbraucher können einen Envoy-Proxy mit App Mesh als virtuellen Knoten verbinden, den das Konto besitzt.

• Besitzer können virtuelle Gateways und virtuelle Gateway-Routen erstellen.

• Eigentümer und Verbraucher können in einem Mesh, das das Konto erstellt hat, Tags auflisten und Ressourcen kennzeichnen/deren Markierung aufheben. Sie können in einem Mesh keine Tags auflisten und Ressourcen, die nicht vom Konto erstellt wurden, kennzeichnen/deren Markierung aufheben.

Gemeinsam genutzte Meshes verwenden eine richtlinienbasierte Autorisierung. Ein Mesh wird mit einem festen Satz von Berechtigungen gemeinsam genutzt. Diese Berechtigungen werden so ausgewählt, dass sie einer Ressourcenrichtlinie hinzugefügt werden. Je nach IAM-Benutzer/Rolle kann auch eine optionale IAM-Richtlinie ausgewählt werden. Der Zugriff eines Principals auf das Mesh hängt von der Schnittmenge der in diesen Richtlinien zulässigen Berechtigungen ab, abzüglich aller ausdrücklich verweigerten Berechtigungen.

Wenn Sie ein Mesh teilen, erstellt der AWS Resource Access Manager Service eine verwaltete Richtlinie mit dem Namen AWSRAMDefaultPermissionAppMesh und verknüpft sie mit Ihrem App Mesh, das die folgenden Berechtigungen bietet.

• appmesh:CreateVirtualNode

• appmesh:CreateVirtualRouter

• appmesh:CreateRoute

• appmesh:CreateVirtualService

• appmesh:UpdateVirtualNode

• appmesh:UpdateVirtualRouter

• appmesh:UpdateRoute

• appmesh:UpdateVirtualService

• appmesh:ListVirtualNodes

• appmesh:ListVirtualRouters

• appmesh:ListRoutes

• appmesh:ListVirtualServices

• appmesh:DescribeMesh

• appmesh:DescribeVirtualNode

• appmesh:DescribeVirtualRouter

• appmesh:DescribeRoute

• appmesh:DescribeVirtualService

• appmesh:DeleteVirtualNode

• appmesh:DeleteVirtualRouter

• appmesh:DeleteRoute

• appmesh:DeleteVirtualService

• appmesh:TagResource

• appmesh:UntagResource

Voraussetzungen für das Teilen von Meshes

Um ein Mesh gemeinsam nutzen zu können, müssen Sie die folgenden Voraussetzungen erfüllen.

• Sie müssen das Mesh in Ihrem AWS Konto besitzen. Sie können ein Mesh, das mit Ihnen geteilt wurde, nicht teilen.

• Um ein Mesh mit Ihrer Organisation oder einer Organisationseinheit in zu teilen AWS Organizations, müssen Sie das Teilen mit aktivieren AWS Organizations. Weitere Informationen finden Sie unter Freigabe für AWS Organizations aktivieren im AWS RAM -Benutzerhandbuch.

• Ihre Services müssen in einer Amazon-VPC bereitgestellt werden, die über eine gemeinsame Konnektivität für alle Konten verfügt, die die Mesh-Ressourcen enthalten, die Sie miteinander kommunizieren möchten. Eine Möglichkeit, Netzwerkkonnektivität gemeinsam zu nutzen, besteht darin, alle Dienste, die Sie in Ihrem Mesh verwenden möchten, in einem gemeinsam genutzten Subnetz bereitzustellen. Weitere Informationen und Einschränkungen finden Sie unter Ein Subnetz gemeinsam nutzen.

• Dienste müssen über DNS oder auffindbar sein. AWS Cloud Map Weitere Informationen zur Diensterkennung finden Sie unter Virtuelle Knoten.

Zugehörige Services

Mesh Sharing ist in AWS Resource Access Manager (AWS RAM) integriert. AWS RAM ist ein Dienst, mit dem Sie Ihre AWS Ressourcen mit einem beliebigen AWS Konto oder über dieses teilen können AWS Organizations. Mit können Sie Ressourcen AWS RAM, die Ihnen gehören, gemeinsam nutzen, indem Sie eine gemeinsame Nutzung erstellen. Eine Ressourcenfreigabe legt die freizugebenden Ressourcen und die Konsumenten fest, für die sie freigegeben werden sollen. Bei Verbrauchern kann es sich um einzelne AWS Konten, Organisationseinheiten oder eine gesamte Organisation handeln AWS Organizations.

Weitere Informationen zu AWS RAM finden Sie im AWS RAM Benutzerhandbuch.

Ein Mesh teilen

Durch die gemeinsame Nutzung eines Meshs können Mesh-Ressourcen, die von verschiedenen Konten erstellt wurden, im selben Mesh miteinander kommunizieren. Sie können nur ein Mesh teilen, das Sie besitzen. Um ein Netz gemeinsam zu nutzen, müssen Sie es zu einer gemeinsam genutzten Ressource hinzufügen. Eine Ressourcenfreigabe ist eine AWS RAM Ressource, mit der Sie Ihre Ressourcen für mehrere AWS Konten gemeinsam nutzen können. Eine Ressourcenfreigabe gibt die Ressourcen an, die gemeinsam genutzt werden sollen, und die Verbraucher, mit denen sie geteilt werden. Wenn Sie ein Mesh über die Amazon Linux-Konsole teilen, fügen Sie es zu einer vorhandenen Ressourcenfreigabe hinzu. Um das Mesh zu einer neuen Ressourcenfreigabe hinzuzufügen, erstellen Sie die Ressourcenfreigabe mithilfe der AWS RAM Konsole.

Wenn Sie Teil einer Organisation in Ihrer Organisation sind AWS Organizations und die gemeinsame Nutzung innerhalb Ihrer Organisation aktiviert ist, kann Verbrauchern in Ihrer Organisation automatisch Zugriff auf das gemeinsam genutzte Mesh gewährt werden. Andernfalls erhalten Verbraucher eine Einladung, dem Resource Share beizutreten, und erhalten nach Annahme der Einladung Zugriff auf das gemeinsame Mesh.

Sie können ein Mesh, das Ihnen gehört, über die AWS RAM Konsole oder das teilen AWS CLI.

Um ein Mesh, das Ihnen gehört, über die AWS RAM Konsole zu teilen

Anweisungen finden Sie im AWS RAM Benutzerhandbuch unter Creating a Resource Share. Wenn Sie einen Ressourcentyp auswählen, wählen Sie Netze und dann das Netz aus, das Sie gemeinsam nutzen möchten. Wenn keine Netze aufgeführt sind, erstellen Sie zuerst ein Netz. Weitere Informationen finden Sie unter Servicegitter erstellen.

Um ein Netz, das Ihnen gehört, gemeinsam zu nutzen, verwenden Sie den AWS CLI

Verwenden Sie den create-resource-share-Befehl. Geben Sie für die --resource-arns Option den ARN des Meshs an, das Sie teilen möchten.

Die gemeinsame Nutzung eines gemeinsam genutzten Meshs aufheben

Wenn Sie die gemeinsame Nutzung eines Meshs rückgängig machen, deaktiviert App Mesh den weiteren Zugriff auf das Mesh durch ehemalige Nutzer des Meshs. App Mesh löscht jedoch nicht die von den Verbrauchern erstellten Ressourcen. Nachdem die gemeinsame Nutzung des Meshs aufgehoben wurde, kann nur der Mesh-Besitzer auf die Ressourcen zugreifen und sie löschen. App Mesh verhindert, dass das Konto, das Ressourcen im Mesh besaß, Konfigurationsinformationen empfängt, nachdem das Mesh nicht mehr gemeinsam genutzt wurde. App Mesh verhindert auch, dass andere Konten mit Ressourcen im Mesh Konfigurationsinformationen von einem nicht gemeinsam genutzten Mesh erhalten. Nur der Besitzer des Meshs kann die gemeinsame Nutzung rückgängig machen.

Um die gemeinsame Nutzung eines Meshs, dessen Eigentümer Sie sind, rückgängig zu machen, müssen Sie es aus der Ressourcenfreigabe entfernen. Sie können dies mit der AWS RAM Konsole oder dem AWS CLI tun.

Um die Freigabe eines gemeinsam genutzten Meshs, das Sie besitzen, mithilfe der AWS RAM Konsole rückgängig zu machen

Eine Anleitung dazu finden Sie im AWS RAM Benutzerhandbuch unter Aktualisieren einer gemeinsam genutzten Ressource.

Um die gemeinsame Nutzung eines Netzes rückgängig zu machen, dessen Eigentümer Sie sind, verwenden Sie AWS CLI

Verwenden Sie den disassociate-resource-share-Befehl.

Identifizieren eines gemeinsam genutzten Netzes

Eigentümer und Verbraucher können gemeinsam genutzte Meshes und Mesh-Ressourcen mithilfe der Amazon Linux-Konsole identifizieren und AWS CLI

So identifizieren Sie ein gemeinsam genutztes Mesh mithilfe der Amazon Linux-Konsole

1. Öffnen Sie die App Mesh Mesh-Konsole unter https://console.aws.amazon.com/appmesh/.

2. Wählen Sie in der linken Navigationsleiste Meshes aus. Die Konto-ID des Mesh-Besitzers für jedes Mesh ist in der Spalte Mesh-Besitzer aufgeführt.

3. Wählen Sie in der linken Navigationsleiste Virtuelle Dienste, Virtuelle Router oder Virtuelle Knoten aus. Sie sehen die Konto-ID für den Mesh-Besitzer und den Ressourcenbesitzer für jede der Ressourcen.

Um ein gemeinsam benutztes Mesh zu identifizieren, verwenden Sie AWS CLI

Verwenden Sie den aws appmesh list resource Befehl, z. aws appmesh list-meshes B. Der Befehl gibt die Netze zurück, die Sie besitzen, und die Netze, die mit Ihnen gemeinsam genutzt werden. Die meshOwner Eigenschaft zeigt die AWS Konto-ID von meshOwner und die resourceOwner Eigenschaft zeigt die AWS Konto-ID des Ressourcenbesitzers. Jeder Befehl, der für eine Mesh-Ressource ausgeführt wird, gibt diese Eigenschaften zurück.

Die benutzerdefinierten Tags, die Sie einem gemeinsam genutzten Netz zuordnen, sind nur für Sie verfügbar AWS-Konto. Sie sind für die anderen Konten, mit denen das Mesh geteilt wird, nicht verfügbar. Dem aws appmesh list-tags-for-resource Befehl für ein Mesh in einem anderen Konto wurde der Zugriff verweigert.

Fakturierung und Messung

Für die gemeinsame Nutzung eines Meshs fallen keine Gebühren an.

Kontingente für Instanzen

Alle Kontingente für ein Mesh gelten auch für gemeinsam genutzte Meshes, unabhängig davon, wer Ressourcen im Mesh erstellt hat. Nur ein Mesh-Besitzer kann eine Erhöhung der Quote beantragen. Weitere Informationen finden Sie unter App Mesh service quotas. Der AWS Resource Access Manager Dienst hat auch Kontingente. Weitere Informationen finden Sie unter Service Quotas.