Utilisation de maillages partagés

Vous pouvez partager vos maillages App Mesh entre différents AWS comptes à l'aide du AWS Resource Access Manager service. Un maillage partagé permet aux ressources créées par différents AWS comptes de communiquer entre elles dans le même maillage.

Un AWS compte peut être le propriétaire d'une ressource maillée, un consommateur de maillage, ou les deux. Les consommateurs peuvent créer des ressources dans un maillage partagé avec leur compte. Les propriétaires peuvent créer des ressources dans n'importe quel maillage que possède le compte. Le propriétaire d'un maillage peut partager un maillage avec les types de consommateurs de maillage suivants.

• AWS Comptes spécifiques à l'intérieur ou à l'extérieur de son organisation dans AWS Organizations

• Une unité organisationnelle au sein de son organisation dans AWS Organizations

• Toute son organisation en AWS Organizations

Pour une end-to-end présentation du partage d'un maillage, voir Présentation du maillage entre comptes sur GitHub.

Octroi d'autorisations pour partager des maillages

Lorsque vous partagez des maillages entre comptes, des autorisations sont requises pour que le principal IAM partage le maillage et des autorisations au niveau des ressources pour le maillage lui-même.

Octroi de l'autorisation de partager un maillage

Un ensemble minimal d'autorisations est requis pour qu'un directeur IAM puisse partager un maillage. Nous vous recommandons d'utiliser les politiques IAM AWSResourceAccessManagerFullAccess gérées AWSAppMeshFullAccess et les politiques IAM pour vous assurer que vos principaux IAM disposent des autorisations requises pour partager et utiliser des maillages partagés.

Si vous utilisez une politique IAM personnalisée, les appmesh:DeleteMeshPolicy actions appmesh:PutMeshPolicyappmesh:GetMeshPolicy, et sont obligatoires. Il s'agit d'actions IAM avec autorisation uniquement. Si ces autorisations ne sont pas accordées à un principal IAM, une erreur se produira lors de la tentative de partage du maillage à l'aide du AWS RAM service.

Pour plus d'informations sur la manière dont le AWS Resource Access Manager service utilise IAM, consultez la section Comment AWS RAM utilise IAM dans le guide de l'AWS Resource Access Manager utilisateur.

Octroi d'autorisations pour un maillage

Un maillage partagé possède les autorisations suivantes.

• Les consommateurs peuvent répertorier et décrire toutes les ressources d'un maillage partagé avec le compte.

• Les propriétaires peuvent répertorier et décrire toutes les ressources de tous les maillages que possède le compte.

• Les propriétaires et les consommateurs peuvent modifier les ressources d'un maillage créé par le compte, mais ils ne peuvent pas modifier les ressources créées par un autre compte.

• Les consommateurs peuvent supprimer n'importe quelle ressource d'un maillage créé par le compte.

• Les propriétaires peuvent supprimer n'importe quelle ressource d'un maillage créée par n'importe quel compte.

• Les ressources du propriétaire ne peuvent faire référence qu'à d'autres ressources du même compte. Par exemple, un nœud virtuel ne peut faire référence AWS Cloud Map qu'à un AWS Certificate Manager certificat qui se trouve dans le même compte que le propriétaire du nœud virtuel.

• Les propriétaires et les consommateurs peuvent connecter un proxy Envoy à App Mesh en tant que nœud virtuel détenu par le compte.

• Les propriétaires peuvent créer des passerelles virtuelles et des routes de passerelle virtuelles.

• Les propriétaires et les consommateurs peuvent répertorier les tags et baliser/détaguer les ressources dans un maillage créé par le compte. Ils ne peuvent pas répertorier les tags et baliser/détaguer les ressources dans un maillage qui n'est pas créé par le compte.

Les maillages partagés utilisent une autorisation basée sur des politiques. Un maillage est partagé avec un ensemble fixe d'autorisations. Ces autorisations sont sélectionnées pour être ajoutées à une politique de ressources, et une stratégie IAM facultative peut également être sélectionnée en fonction de l'utilisateur/du rôle IAM. L'intersection des autorisations autorisées dans ces politiques, moins les autorisations explicitement refusées, détermine l'accès du principal au maillage.

Lorsque vous partagez un maillage, le AWS Resource Access Manager service crée une politique gérée nommée AWSRAMDefaultPermissionAppMesh et l'associe à votre App Mesh qui fournit les autorisations suivantes.

• appmesh:CreateVirtualNode

• appmesh:CreateVirtualRouter

• appmesh:CreateRoute

• appmesh:CreateVirtualService

• appmesh:UpdateVirtualNode

• appmesh:UpdateVirtualRouter

• appmesh:UpdateRoute

• appmesh:UpdateVirtualService

• appmesh:ListVirtualNodes

• appmesh:ListVirtualRouters

• appmesh:ListRoutes

• appmesh:ListVirtualServices

• appmesh:DescribeMesh

• appmesh:DescribeVirtualNode

• appmesh:DescribeVirtualRouter

• appmesh:DescribeRoute

• appmesh:DescribeVirtualService

• appmesh:DeleteVirtualNode

• appmesh:DeleteVirtualRouter

• appmesh:DeleteRoute

• appmesh:DeleteVirtualService

• appmesh:TagResource

• appmesh:UntagResource

Conditions préalables au partage de maillages

Pour partager un maillage, vous devez remplir les conditions préalables suivantes.

• Vous devez être propriétaire du maillage de votre AWS compte. Vous ne pouvez pas partager un maillage qui a été partagé avec vous.

• Pour partager un maillage avec votre organisation ou une unité organisationnelle AWS Organizations, vous devez activer le partage avec AWS Organizations. Pour plus d’informations, consultez Activation du partage avec AWS Organizations dans le Guide de l’utilisateur AWS RAM .

• Vos services doivent être déployés dans un Amazon VPC doté d'une connectivité partagée entre les comptes qui incluent les ressources maillées que vous souhaitez communiquer entre vous. L'un des moyens de partager la connectivité réseau consiste à déployer tous les services que vous souhaitez utiliser dans votre maillage sur un sous-réseau partagé. Pour plus d'informations et pour connaître les limites, consultez la section Partage d'un sous-réseau.

• Les services doivent être détectables via DNS ou AWS Cloud Map. Pour plus d'informations sur la découverte de services, consultez la section Nœuds virtuels.

Services connexes

Le partage de maillage s'intègre à AWS Resource Access Manager (AWS RAM). AWS RAM est un service qui vous permet de partager vos AWS ressources avec n'importe quel AWS compte ou via AWS Organizations. Avec AWS RAM, vous partagez les ressources que vous possédez en créant un partage de ressources. Un partage de ressources spécifie les ressources à partager, ainsi que les consommateurs avec qui elles seront partagées. Les consommateurs peuvent être AWS des comptes individuels, des unités organisationnelles ou une organisation entière AWS Organizations.

Pour plus d'informations AWS RAM, consultez le guide de AWS RAM l'utilisateur.

Partage d'un maillage

Le partage d'un maillage permet aux ressources de maillage créées par différents comptes de communiquer entre elles dans le même maillage. Vous ne pouvez partager qu'un maillage dont vous êtes le propriétaire. Pour partager un maillage, vous devez l'ajouter à un partage de ressources. Un partage de ressources est une AWS RAM ressource qui vous permet de partager vos ressources entre différents AWS comptes. Un partage de ressources indique les ressources à partager et les consommateurs avec lesquels elles sont partagées. Lorsque vous partagez un maillage à l'aide de la console Amazon Linux, vous l'ajoutez à un partage de ressources existant. Pour ajouter le maillage à un nouveau partage de ressources, créez le partage de ressources à l'aide de la AWS RAM console.

Si vous faites partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé, les consommateurs de votre organisation peuvent accéder automatiquement au maillage partagé. Dans le cas contraire, les consommateurs reçoivent une invitation à rejoindre le partage de ressources et ont accès au maillage partagé après avoir accepté l'invitation.

Vous pouvez partager un maillage dont vous êtes propriétaire à l'aide de la AWS RAM console ou du AWS CLI.

Pour partager un maillage dont vous êtes propriétaire à l'aide de la AWS RAM console

Pour obtenir des instructions, reportez-vous à la section Création d'un partage de ressources dans le guide de AWS RAM l'utilisateur. Lorsque vous sélectionnez un type de ressource, sélectionnez Maillages, puis sélectionnez le maillage que vous souhaitez partager. Si aucun maillage n'est répertorié, créez d'abord un maillage. Pour plus d’informations, consultez Créer un mesh de services.

Pour partager un maillage dont vous êtes propriétaire à l'aide du AWS CLI

Utilisez la commande create-resource-share. Pour l'--resource-arnsoption, spécifiez l'ARN du maillage que vous souhaitez partager.

Annulation du partage d'un maillage partagé

Lorsque vous annulez le partage d'un maillage, App Mesh désactive l'accès ultérieur au maillage pour les anciens utilisateurs du maillage. Cependant, App Mesh ne supprime pas les ressources créées par les consommateurs. Une fois que le maillage n'est plus partagé, seul le propriétaire du maillage peut accéder aux ressources et les supprimer. App Mesh empêche le compte qui possédait les ressources du maillage de recevoir des informations de configuration une fois le maillage annulé. App Mesh empêche également tout autre compte dont les ressources se trouvent dans le maillage de recevoir des informations de configuration provenant d'un maillage non partagé. Seul le propriétaire du maillage peut annuler son partage.

Pour annuler le partage d'un maillage partagé dont vous êtes le propriétaire, vous devez le supprimer du partage de ressources. Vous pouvez le faire à l'aide de la AWS RAM console ou du AWS CLI.

Pour annuler le partage d'un maillage partagé dont vous êtes propriétaire à l'aide de la console AWS RAM

Pour obtenir des instructions, voir Mettre à jour un partage de ressources dans le guide de AWS RAM l'utilisateur.

Pour annuler le partage d'un maillage partagé dont vous êtes le propriétaire à l'aide du AWS CLI

Utilisez la commande disassociate-resource-share.

Identifier un maillage partagé

Les propriétaires et les consommateurs peuvent identifier les maillages partagés et les ressources de maillage à l'aide de la console Amazon Linux et AWS CLI

Pour identifier un maillage partagé à l'aide de la console Amazon Linux

1. Ouvrez la console App Mesh à l'adresse https://console.aws.amazon.com/appmesh/.

2. Dans le menu de navigation de gauche, sélectionnez Meshes. L'ID de compte du propriétaire du maillage pour chaque maillage est répertorié dans la colonne Propriétaire du maillage.

3. Dans le menu de navigation de gauche, sélectionnez Services virtuels, Routeurs virtuels ou Nœuds virtuels. Vous voyez l'ID de compte du propriétaire du maillage et du propriétaire de la ressource pour chacune des ressources.

Pour identifier un maillage partagé à l'aide du AWS CLI

Utilisez la aws appmesh list resource commande, telle queaws appmesh list-meshes. La commande renvoie les maillages que vous possédez et ceux qui sont partagés avec vous. La meshOwner propriété indique l'ID de AWS compte du propriétaire de la ressource meshOwner et la resourceOwner propriété indique l'ID de AWS compte du propriétaire de la ressource. Toute commande exécutée sur une ressource de maillage renvoie ces propriétés.

Les balises définies par l'utilisateur que vous attachez à un maillage partagé ne sont disponibles que pour votre Compte AWS. Ils ne sont pas disponibles pour les autres comptes avec lesquels le maillage est partagé. L'accès à la aws appmesh list-tags-for-resource commande pour un maillage dans un autre compte est refusé.

Facturation et mesures

Le partage d'un maillage est gratuit.

Quotas d'instances

Tous les quotas d'un maillage s'appliquent également aux maillages partagés, quelle que soit la personne qui a créé les ressources dans le maillage. Seul le propriétaire du maillage peut demander des augmentations de quota. Pour plus d’informations, consultez App Mesh. Le AWS Resource Access Manager service dispose également de quotas. Pour de plus amples informations, veuillez consulter Quotas de service.