Kebijakan berbasis identitas App Mesh Kebijakan berbasis sumber daya App Mesh Otorisasi berdasarkan tag App Mesh IAMPeran App Mesh

Bagaimana AWS App Mesh bekerja dengan IAM

penting

Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak akan lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini Migrasi dari AWS App Mesh ke Amazon ECS Service Connect.

Sebelum Anda menggunakan IAM untuk mengelola akses ke App Mesh, Anda harus memahami IAM fitur apa yang tersedia untuk digunakan dengan App Mesh. Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja App Mesh dan AWS layanan lainnyaIAM, lihat AWS Layanan yang Bekerja dengan IAM di Panduan IAM Pengguna.

Kebijakan berbasis identitas App Mesh

Dengan kebijakan IAM berbasis identitas, Anda dapat menentukan tindakan dan sumber daya yang diizinkan atau ditolak serta kondisi di mana tindakan diizinkan atau ditolak. App Mesh mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam JSON kebijakan, lihat Referensi Elemen IAM JSON Kebijakan di Panduan IAM Pengguna.

Tindakan

Administrator dapat menggunakan AWS JSON kebijakan untuk menentukan siapa yang memiliki akses ke apa. Yaitu, principal dapat melakukan tindakan pada suatu sumber daya, dan dalam suatu syarat.

ActionElemen JSON kebijakan menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam kebijakan. Tindakan kebijakan biasanya memiliki nama yang sama dengan AWS API operasi terkait. Ada beberapa pengecualian, seperti tindakan khusus izin yang tidak memiliki operasi yang cocok. API Ada juga beberapa operasi yang memerlukan beberapa tindakan dalam suatu kebijakan. Tindakan tambahan ini disebut tindakan dependen.

Menyertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.

Tindakan kebijakan di App Mesh menggunakan awalan berikut sebelum tindakan:appmesh:. Misalnya, untuk memberikan izin kepada seseorang untuk membuat daftar jerat di akun dengan appmesh:ListMeshes API operasi, Anda menyertakan appmesh:ListMeshes tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen Action atau NotAction.

Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan tindakan dengan koma seperti berikut:


"Action": [
      "appmesh:ListMeshes",
      "appmesh:ListVirtualNodes"
]

Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (*). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata Describe, sertakan tindakan berikut.


"Action": "appmesh:Describe*"

Untuk melihat daftar tindakan App Mesh, lihat Tindakan yang Ditentukan oleh AWS App Mesh di Panduan IAM Pengguna.

Sumber daya

Elemen Resource JSON kebijakan menentukan objek atau objek yang tindakan tersebut berlaku. Pernyataan harus menyertakan elemen Resource atau NotResource. Sebagai praktik terbaik, tentukan sumber daya menggunakan Amazon Resource Name (ARN). Anda dapat melakukan ini untuk tindakan yang mendukung jenis sumber daya tertentu, yang dikenal sebagai izin tingkat sumber daya.

Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, misalnya operasi pencantuman, gunakan wildcard (*) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.


"Resource": "*"

meshSumber daya App Mesh memiliki yang berikut iniARN.


arn:${Partition}:appmesh:${Region}:${Account}:mesh/${MeshName}

Untuk informasi selengkapnya tentang formatARNs, lihat Amazon Resource Names (ARNs) dan Ruang Nama AWS Layanan.

Misalnya, untuk menentukan mesh bernama apps di Region-code Wilayah dalam pernyataan Anda, gunakan yang berikut iniARN.


arn:aws:appmesh:Region-code:111122223333:mesh/apps

Untuk menentukan semua instance milik akun tertentu, gunakan wildcard (*).


"Resource": "arn:aws:appmesh:Region-code:111122223333:mesh/*"

Beberapa tindakan App Mesh, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (*).


"Resource": "*"

Banyak API tindakan App Mesh melibatkan banyak sumber daya. Misalnya, CreateRoute membuat rute dengan target node virtual, sehingga IAM pengguna harus memiliki izin untuk menggunakan rute dan node virtual. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.


"Resource": [
      "arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualRouter/serviceB/route/*",
      "arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualNode/serviceB"
]

Untuk melihat daftar jenis resource App Mesh dan jenis resourceARNs, lihat Resources Defined by AWS App Mesh di Panduan IAM Pengguna. Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat Tindakan yang Ditentukan oleh AWS App Mesh.

Kunci syarat

App Mesh mendukung penggunaan beberapa tombol kondisi global. Untuk melihat semua kunci kondisi AWS global, lihat Kunci Konteks Kondisi AWS Global di Panduan IAM Pengguna. Untuk melihat daftar kunci kondisi global yang didukung App Mesh, lihat Kunci Kondisi AWS App Mesh di Panduan IAM Pengguna. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan dengan kunci kondisi, lihat Tindakan yang Ditentukan oleh AWS App Mesh.

Contoh

Untuk melihat contoh kebijakan berbasis identitas App Mesh, lihat. AWS App Mesh contoh kebijakan berbasis identitas

Kebijakan berbasis sumber daya App Mesh

App Mesh tidak mendukung kebijakan berbasis sumber daya. Namun, jika Anda menggunakan layanan AWS Resource Access Manager (AWS RAM) untuk berbagi mesh di seluruh AWS layanan, kebijakan berbasis sumber daya diterapkan ke mesh Anda oleh layanan. AWS RAM Untuk informasi selengkapnya, lihat Memberikan izin untuk mesh.

Otorisasi berdasarkan tag App Mesh

Anda dapat melampirkan tag ke resource App Mesh atau meneruskan tag dalam permintaan ke App Mesh. Untuk mengendalikan akses berdasarkan tag, berikan informasi tentang tag di elemen kondisi dari kebijakan menggunakan kunci kondisi appmesh:ResourceTag/key-name, aws:RequestTag/key-name, atau aws:TagKeys. Untuk informasi selengkapnya tentang menandai resource App Mesh, lihat Menandai AWS Sumber Daya.

Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tag pada sumber daya tersebut, lihat Membuat jerat App Mesh dengan tag terbatas.

IAMPeran App Mesh

IAMPeran adalah entitas dalam AWS akun Anda yang memiliki izin khusus.

Menggunakan kredensi sementara dengan App Mesh

Anda dapat menggunakan kredensi sementara untuk masuk dengan federasi, mengambil IAM peran, atau untuk mengambil peran lintas akun. Anda memperoleh kredensi keamanan sementara dengan memanggil AWS STS API operasi seperti AssumeRoleatau. GetFederationToken

App Mesh mendukung penggunaan kredensi sementara.

Peran terkait layanan

Peran terkait AWS layanan memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di IAM akun Anda dan dimiliki oleh layanan. IAMAdministrator dapat melihat tetapi tidak mengedit izin untuk peran terkait layanan.

App Mesh mendukung peran terkait layanan. Untuk detail tentang membuat atau mengelola peran terkait layanan App Mesh, lihat. Menggunakan peran terkait layanan untuk App Mesh

Peran layanan

Fitur ini memungkinkan layanan untuk menerima peran layanan atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di IAM akun Anda dan dimiliki oleh akun. Ini berarti bahwa IAM administrator dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.

App Mesh tidak mendukung peran layanan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Pengelolaan identitas dan akses

Contoh Kebijakan Berbasis Identitas