Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autormation du proxy Envoy
L'autorisation de proxy autorise le proxy Envoy exécuté dans le cadre d'une tâche Amazon ECS, dans un pod Kubernetes exécuté sur Amazon EKS ou sur une instance Amazon EC2 à lire la configuration d'un ou de plusieurs points de terminaison de maillage à partir du service de gestion App Mesh Envoy. Pour les comptes clients dont les Envoys étaient déjà connectés à leur point de terminaison App Mesh avant le 26 avril 2021, une autorisation de proxy est requise pour les nœuds virtuels utilisant le protocole TLS (Transport Layer Security) et pour les passerelles virtuelles (avec ou sans TLS). Pour les comptes clients qui souhaitent connecter Envoys à leur point de terminaison App Mesh après le 26 avril 2021, une autorisation de proxy est requise pour toutes les fonctionnalités d'App Mesh. Il est recommandé à tous les comptes clients d'activer l'autorisation par proxy pour tous les nœuds virtuels, même s'ils n'utilisent pas le protocole TLS, afin de bénéficier d'une expérience sécurisée et cohérente en utilisant IAM pour l'autorisation de ressources spécifiques. L'autorisation du proxy nécessite que l'appmesh:StreamAggregatedResources
autorisation soit spécifiée dans une politique IAM. La politique doit être associée à un rôle IAM, et ce rôle IAM doit être associé à la ressource de calcul sur laquelle vous hébergez le proxy.
Créer une politique IAM
Si vous souhaitez que tous les points d'extrémité du maillage d'un maillage de service puissent lire la configuration de tous les points d'extrémité du maillage, passez directement àCréez un rôle IAM. Si vous souhaitez limiter les points de terminaison du maillage à partir desquels la configuration peut être lue par des points de terminaison de maillage individuels, vous devez créer une ou plusieurs politiques IAM. Il est recommandé de limiter les points de terminaison du maillage à partir desquels la configuration peut être lue uniquement au proxy Envoy s'exécutant sur des ressources de calcul spécifiques. Créez une stratégie IAM et ajoutez l'appmesh:StreamAggregatedResources
autorisation à la stratégie. L'exemple de politique suivant permet de configurer les nœuds virtuels nommésserviceBv1
et deserviceBv2
les lire dans un maillage de service. La configuration ne peut être lue pour aucun autre nœud virtuel défini dans le maillage de service. Pour plus d'informations sur la création ou la modification d'une stratégie IAM, consultez Création de stratégies IAM, consultez Création de stratégies IAM et Création de stratégies IAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "appmesh:StreamAggregatedResources", "Resource": [ "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1", "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2" ] } ] }
Vous pouvez créer plusieurs politiques, chaque politique restreignant l'accès aux différents points de terminaison du maillage.
Créez un rôle IAM
Si vous souhaitez que tous les points de terminaison d'un maillage de service puissent lire la configuration de tous les points de terminaison du maillage, il vous suffit de créer un seul rôle IAM. Si vous souhaitez limiter les points d'extrémité du maillage à partir desquels la configuration peut être lue par des points de terminaison de maillage individuels, vous devez créer un rôle pour chaque politique que vous avez créée à l'étape précédente. Suivez les instructions relatives à la ressource de calcul sur laquelle le proxy s'exécute.
-
Amazon EKS — Si vous souhaitez utiliser un seul rôle, vous pouvez utiliser le rôle existant qui a été créé et attribué aux nœuds de travail lorsque vous avez créé votre cluster. Pour utiliser plusieurs rôles, votre cluster doit répondre aux exigences définies dans Activation des rôles IAM pour les rôles IAM pour les comptes de service sur votre cluster. Créez les rôles IAM et associez-les à des comptes de service Kubernetes. Pour plus d'informations, consultez Création d'un rôle et d'une politique IAM pour votre compte de service et Spécification d'un rôle IAM pour votre compte de service.
-
Amazon ECS : sélectionnez un AWSservice, sélectionnez Elastic Container Service, puis sélectionnez le cas d'utilisation d'Elastic Container Service Task lors de la création de votre rôle IAM.
-
Amazon EC2 : sélectionnez le AWSservice, sélectionnez EC2, puis sélectionnez le cas d'utilisation d'EC2 lors de la création de votre rôle IAM. Cela s'applique, que vous hébergiez le proxy directement sur une instance Amazon EC2 ou sur Kubernetes, exécuté sur une instance.
Pour plus d'informations sur la façon de créer un rôle IAM, consultez Création d'un rôle pour unAWS service.
Attachement d'une stratégie IAM
Si vous souhaitez que tous les points de terminaison d'un maillage de service puissent lire la configuration de tous les points de terminaison du maillage, associez la politique IAMAWSAppMeshEnvoyAccess
gérée au rôle IAM que vous avez créé à l'étape précédente. Si vous souhaitez limiter les points de terminaison du maillage à partir desquels la configuration peut être lue par des points de terminaison de maillage individuels, associez chaque politique que vous avez créée à chaque rôle que vous avez créé. Pour plus d'informations sur l'association d'une politique IAM personnalisée ou gérée à un rôle IAM, consultez la section Ajout d'autorisations d'identité IAM.
Attachement d'un rôle IAM
Associez chaque rôle IAM à la ressource de calcul appropriée :
-
Amazon EKS : si vous avez associé la politique au rôle associé à vos nœuds de travail, vous pouvez ignorer cette étape. Si vous avez créé des rôles distincts, attribuez chaque rôle à un compte de service Kubernetes distinct et attribuez chaque compte de service à une spécification de déploiement de pod Kubernetes individuelle qui inclut le proxy Envoy. Pour plus d'informations, consultez la section Définition d'un rôle IAM pour votre compte de service dans le guide de l'utilisateur Amazon EKS et la section Configuration de comptes de service pour les pods
dans la documentation Kubernetes. -
Amazon ECS : associez un rôle de tâche Amazon ECS à la définition de tâche qui inclut le proxy Envoy. La tâche peut être déployée avec le type de lancement EC2 ou Fargate. Pour plus d'informations sur la façon de créer un rôle de tâche Amazon ECS et de l'associer à une tâche, consultez Spécifier un rôle IAM pour vos tâches.
-
Amazon EC2 — Le rôle IAM doit être associé à l'instance Amazon EC2 qui héberge le proxy Envoy. Pour plus d'informations sur la manière d'associer un rôle à une instance Amazon EC2, consultez J'ai créé un rôle IAM et je souhaite maintenant l'attribuer à une instance EC2
.
Confirmation de l'autorisation
Vérifiez que l'appmesh:StreamAggregatedResources
autorisation est attribuée à la ressource de calcul sur laquelle vous hébergez le proxy en sélectionnant l'un des noms de service de calcul.