Autormation du proxy Envoy

L'autorisation de proxy autorise le proxy Envoy exécuté dans le cadre d'une tâche Amazon ECS, dans un pod Kubernetes exécuté sur Amazon EKS ou sur une instance Amazon EC2 à lire la configuration d'un ou de plusieurs points de terminaison de maillage à partir du service de gestion App Mesh Envoy. Pour les comptes clients dont les Envoys étaient déjà connectés à leur point de terminaison App Mesh avant le 26 avril 2021, une autorisation de proxy est requise pour les nœuds virtuels utilisant le protocole TLS (Transport Layer Security) et pour les passerelles virtuelles (avec ou sans TLS). Pour les comptes clients qui souhaitent connecter Envoys à leur point de terminaison App Mesh après le 26 avril 2021, une autorisation de proxy est requise pour toutes les fonctionnalités d'App Mesh. Il est recommandé à tous les comptes clients d'activer l'autorisation par proxy pour tous les nœuds virtuels, même s'ils n'utilisent pas le protocole TLS, afin de bénéficier d'une expérience sécurisée et cohérente en utilisant IAM pour l'autorisation de ressources spécifiques. L'autorisation du proxy nécessite que l'appmesh:StreamAggregatedResourcesautorisation soit spécifiée dans une politique IAM. La politique doit être associée à un rôle IAM, et ce rôle IAM doit être associé à la ressource de calcul sur laquelle vous hébergez le proxy.

Créer une politique IAM

Si vous souhaitez que tous les points d'extrémité du maillage d'un maillage de service puissent lire la configuration de tous les points d'extrémité du maillage, passez directement àCréez un rôle IAM. Si vous souhaitez limiter les points de terminaison du maillage à partir desquels la configuration peut être lue par des points de terminaison de maillage individuels, vous devez créer une ou plusieurs politiques IAM. Il est recommandé de limiter les points de terminaison du maillage à partir desquels la configuration peut être lue uniquement au proxy Envoy s'exécutant sur des ressources de calcul spécifiques. Créez une stratégie IAM et ajoutez l'appmesh:StreamAggregatedResourcesautorisation à la stratégie. L'exemple de politique suivant permet de configurer les nœuds virtuels nommésserviceBv1 et deserviceBv2 les lire dans un maillage de service. La configuration ne peut être lue pour aucun autre nœud virtuel défini dans le maillage de service. Pour plus d'informations sur la création ou la modification d'une stratégie IAM, consultez Création de stratégies IAM, consultez Création de stratégies IAM et Création de stratégies IAM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "appmesh:StreamAggregatedResources",
            "Resource": [
                "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1",
                "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2"
            ]
        }
    ]
}

Vous pouvez créer plusieurs politiques, chaque politique restreignant l'accès aux différents points de terminaison du maillage.

Créez un rôle IAM

Si vous souhaitez que tous les points de terminaison d'un maillage de service puissent lire la configuration de tous les points de terminaison du maillage, il vous suffit de créer un seul rôle IAM. Si vous souhaitez limiter les points d'extrémité du maillage à partir desquels la configuration peut être lue par des points de terminaison de maillage individuels, vous devez créer un rôle pour chaque politique que vous avez créée à l'étape précédente. Suivez les instructions relatives à la ressource de calcul sur laquelle le proxy s'exécute.

• Amazon EKS — Si vous souhaitez utiliser un seul rôle, vous pouvez utiliser le rôle existant qui a été créé et attribué aux nœuds de travail lorsque vous avez créé votre cluster. Pour utiliser plusieurs rôles, votre cluster doit répondre aux exigences définies dans Activation des rôles IAM pour les rôles IAM pour les comptes de service sur votre cluster. Créez les rôles IAM et associez-les à des comptes de service Kubernetes. Pour plus d'informations, consultez Création d'un rôle et d'une politique IAM pour votre compte de service et Spécification d'un rôle IAM pour votre compte de service.

• Amazon ECS : sélectionnez un AWSservice, sélectionnez Elastic Container Service, puis sélectionnez le cas d'utilisation d'Elastic Container Service Task lors de la création de votre rôle IAM.

• Amazon EC2 : sélectionnez le AWSservice, sélectionnez EC2, puis sélectionnez le cas d'utilisation d'EC2 lors de la création de votre rôle IAM. Cela s'applique, que vous hébergiez le proxy directement sur une instance Amazon EC2 ou sur Kubernetes, exécuté sur une instance.

Pour plus d'informations sur la façon de créer un rôle IAM, consultez Création d'un rôle pour unAWS service.

Attachement d'une stratégie IAM

Si vous souhaitez que tous les points de terminaison d'un maillage de service puissent lire la configuration de tous les points de terminaison du maillage, associez la politique IAMAWSAppMeshEnvoyAccess gérée au rôle IAM que vous avez créé à l'étape précédente. Si vous souhaitez limiter les points de terminaison du maillage à partir desquels la configuration peut être lue par des points de terminaison de maillage individuels, associez chaque politique que vous avez créée à chaque rôle que vous avez créé. Pour plus d'informations sur l'association d'une politique IAM personnalisée ou gérée à un rôle IAM, consultez la section Ajout d'autorisations d'identité IAM.

Attachement d'un rôle IAM

Associez chaque rôle IAM à la ressource de calcul appropriée :

• Amazon EKS : si vous avez associé la politique au rôle associé à vos nœuds de travail, vous pouvez ignorer cette étape. Si vous avez créé des rôles distincts, attribuez chaque rôle à un compte de service Kubernetes distinct et attribuez chaque compte de service à une spécification de déploiement de pod Kubernetes individuelle qui inclut le proxy Envoy. Pour plus d'informations, consultez la section Définition d'un rôle IAM pour votre compte de service dans le guide de l'utilisateur Amazon EKS et la section Configuration de comptes de service pour les pods dans la documentation Kubernetes.

• Amazon ECS : associez un rôle de tâche Amazon ECS à la définition de tâche qui inclut le proxy Envoy. La tâche peut être déployée avec le type de lancement EC2 ou Fargate. Pour plus d'informations sur la façon de créer un rôle de tâche Amazon ECS et de l'associer à une tâche, consultez Spécifier un rôle IAM pour vos tâches.

• Amazon EC2 — Le rôle IAM doit être associé à l'instance Amazon EC2 qui héberge le proxy Envoy. Pour plus d'informations sur la manière d'associer un rôle à une instance Amazon EC2, consultez J'ai créé un rôle IAM et je souhaite maintenant l'attribuer à une instance EC2.

Confirmation de l'autorisation

Vérifiez que l'appmesh:StreamAggregatedResourcesautorisation est attribuée à la ressource de calcul sur laquelle vous hébergez le proxy en sélectionnant l'un des noms de service de calcul.

Amazon EKS

Une politique personnalisée peut être attribuée au rôle attribué aux nœuds de travail, à des pods individuels, ou aux deux. Il est toutefois recommandé d'attribuer la politique uniquement à des espaces individuels, afin de pouvoir restreindre l'accès de chaque espace à des points de terminaison du maillage individuels. Si la politique est associée au rôle attribué aux nœuds de travail, sélectionnez l'onglet Amazon EC2 et suivez les étapes qui s'y trouvent pour vos instances de nœuds de travail. Pour déterminer quel rôle IAM est attribué à un pod Kubernetes, procédez comme suit.

1. Consultez les détails d'un déploiement Kubernetes qui inclut le pod auquel vous souhaitez confirmer qu'un compte de service Kubernetes est attribué. La commande suivante permet d'afficher les détails d'un déploiement nommé my-deployment.

   kubectl describe deployment my-deployment

   Dans la sortie renvoyée, notez la valeur située à droite deService Account:. Si aucune ligne commençant parService Account: n'existe, aucun compte de service Kubernetes personnalisé n'est actuellement attribué au déploiement. Vous aurez besoin d'en attribuer un. Pour plus d'informations, consultez Configurer des comptes de service pour les pods dans la documentation Kubernetes.

2. Consultez les détails du service renvoyé à l'étape précédente. La commande suivante permet d'afficher les détails d'un compte de service nommé my-service-account.

   kubectl describe serviceaccount my-service-account

   À condition que le compte de service Kubernetes soit associé à unAWS Identity and Access Management rôle, l'une des lignes renvoyées ressemblera à l'exemple suivant.

   Annotations:         eks.amazonaws.com/role-arn=arn:aws:iam::123456789012:role/my-deployment

   Dans l'exemplemy-deployment précédent, le nom du rôle IAM auquel le compte de service est associé. Si la sortie du compte de service ne contient pas de ligne similaire à l'exemple ci-dessus, le compte de service Kubernetes n'est pas associé à unAWS Identity and Access Management compte et vous devez l'associer à un compte. Pour de plus amples informations, consultez Spécification d'un rôle IAM pour votre compte de service.

3. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

4. Sélectionnez Rôles dans le volet de navigation de gauche. Sélectionnez le nom du rôle IAM que vous avez noté lors d'une étape précédente.

5. Vérifiez que la politique personnalisée que vous avez créée précédemment ou que la politiqueAWSAppMeshEnvoyAccess gérée est répertoriée. Si aucune stratégie n'est associée, associez une stratégie IAM au rôle IAM. Si vous souhaitez associer une politique IAM personnalisée mais que vous n'en avez pas, vous devez créer une stratégie IAM personnalisée avec les autorisations requises. Si une stratégie IAM personnalisée est jointe, sélectionnez-la et confirmez qu'elle contient"Action": "appmesh:StreamAggregatedResources". Si ce n'est pas le cas, vous devez ajouter cette autorisation à votre politique IAM personnalisée. Vous pouvez également vérifier que l'Amazon Resource (ARN) approprié pour un point de maillage (ARN) approprié pour un point de maillage spécifique. Si aucun ARN n'est répertorié, vous pouvez modifier la politique pour ajouter, supprimer ou modifier les ARN répertoriés. Pour plus d'informations, consultez Modifier les stratégies IAM etCréer une politique IAM .

6. Répétez les étapes précédentes pour chaque pod Kubernetes contenant le proxy Envoy.

Amazon ECS

1. Dans la console Amazon ECS, choisissez Task Definitions.

2. Sélectionnez votre tâche Amazon ECS.

3. Sur la page Nom de la définition de la tâche, sélectionnez votre définition de tâche.

4. Sur la page Définition de la tâche, sélectionnez le lien du nom du rôle IAM qui se trouve à droite du rôle de tâche. Si aucun rôle IAM n'est répertorié, vous devez créer un rôle IAM et l'associer à votre tâche en mettant à jour votre définition de tâche.

5. Sur la page Résumé, dans l'onglet Autorisations, confirmez que la politique personnalisée que vous avez créée précédemment ou que la politiqueAWSAppMeshEnvoyAccess gérée est répertoriée. Si aucune stratégie n'est associée, associez une stratégie IAM au rôle IAM. Si vous souhaitez associer une politique IAM personnalisée mais que vous n'en avez pas, vous devez créer la politique IAM personnalisée. Si une stratégie IAM personnalisée est jointe, sélectionnez-la et confirmez qu'elle contient"Action": "appmesh:StreamAggregatedResources". Si ce n'est pas le cas, vous devez ajouter cette autorisation à votre politique IAM personnalisée. Vous pouvez également vérifier que l'Amazon Resource (ARN) approprié pour un maillage spécifique est répertorié. Si aucun ARN n'est répertorié, vous pouvez modifier la politique pour ajouter, supprimer ou modifier les ARN répertoriés. Pour plus d'informations, consultez Modifier les stratégies IAM etCréer une politique IAM .

6. Répétez les étapes précédentes pour chaque définition de tâche contenant le proxy Envoy.

Amazon EC2

1. Sélectionnez Instances dans le panneau de navigation de gauche.

2. Sélectionnez l'une de vos instances qui héberge le proxy Envoy.

3. Dans l'onglet Description, sélectionnez le lien du nom du rôle IAM situé à droite du rôle IAM. Si aucun rôle IAM n'est répertorié, vous devez en créer un.

4. Sur la page Résumé, dans l'onglet Autorisations, confirmez que la politique personnalisée que vous avez créée précédemment ou que la politiqueAWSAppMeshEnvoyAccess gérée est répertoriée. Si aucune stratégie n'est associée, associez la stratégie IAM au rôle IAM. Si vous souhaitez associer une politique IAM personnalisée mais que vous n'en avez pas, vous devez créer la politique IAM personnalisée. Si une stratégie IAM personnalisée est jointe, sélectionnez-la et confirmez qu'elle contient"Action": "appmesh:StreamAggregatedResources". Si ce n'est pas le cas, vous devez ajouter cette autorisation à votre politique IAM personnalisée. Vous pouvez également vérifier que l'Amazon Resource (ARN) approprié pour un maillage spécifique est répertorié. Si aucun ARN n'est répertorié, vous pouvez modifier la politique pour ajouter, supprimer ou modifier les ARN répertoriés. Pour plus d'informations, consultez Modifier les stratégies IAM etCréer une politique IAM .

5. Répétez les étapes précédentes pour chaque instance sur laquelle vous hébergez le proxy Envoy.