Bekerja dengan jerat bersama - AWS App Mesh
Memberikan izin untuk berbagi jeratPrasyarat untuk berbagi jeratLayanan terkaitBerbagi jalaMembatalkan berbagi mesh bersamaMengidentifikasi mesh bersamaTagihan dan pengukuranKuota contoh

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan jerat bersama

Anda dapat membagikan mesh App Mesh di seluruh AWS akun menggunakan AWS Resource Access Manager layanan. Mesh bersama memungkinkan sumber daya yang dibuat oleh AWS akun yang berbeda untuk berkomunikasi satu sama lain dalam mesh yang sama.

AWS Akun dapat berupa pemilik sumber daya mesh, konsumen mesh, atau keduanya. Konsumen dapat membuat sumber daya dalam mesh yang dibagikan dengan akun mereka. Pemilik dapat membuat sumber daya di mesh apa pun yang dimiliki akun. Pemilik mesh dapat berbagi mesh dengan jenis konsumen mesh berikut.

  • AWS Akun tertentu di dalam atau di luar organisasinya di AWS Organizations

  • Unit organisasi di dalam organisasinya di AWS Organizations

  • Seluruh organisasinya di AWS Organizations

Untuk end-to-end berjalan-jalan berbagi mesh, lihat Cross-account mesh walk through on GitHub.

Memberikan izin untuk berbagi jerat

Saat berbagi jerat di seluruh akun, ada izin yang diperlukan untuk prinsipal IAM yang berbagi mesh dan izin tingkat sumber daya yang diperlukan untuk mesh itu sendiri.

Memberikan izin untuk berbagi mesh

Satu set izin minimum diperlukan untuk prinsipal IAM untuk berbagi mesh. Sebaiknya gunakan kebijakan IAM yang AWSResourceAccessManagerFullAccess dikelola AWSAppMeshFullAccess dan dikelola untuk memastikan kepala sekolah IAM Anda memiliki izin yang diperlukan untuk berbagi dan menggunakan mesh bersama.

Jika Anda menggunakan kebijakan IAM kustom, tindakan appmesh:PutMeshPolicyappmesh:GetMeshPolicy, dan appmesh:DeleteMeshPolicy tindakan diperlukan. Ini adalah tindakan IAM khusus izin. Jika prinsipal IAM tidak memiliki izin ini diberikan, kesalahan akan terjadi saat mencoba membagikan mesh menggunakan layanan. AWS RAM

Untuk informasi selengkapnya tentang cara AWS Resource Access Manager layanan menggunakan IAM, lihat Cara AWS RAM menggunakan IAM di AWS Resource Access Manager Panduan Pengguna.

Memberikan izin untuk mesh

Mesh bersama memiliki izin berikut.

  • Konsumen dapat membuat daftar dan mendeskripsikan semua sumber daya dalam mesh yang dibagikan dengan akun.

  • Pemilik dapat membuat daftar dan mendeskripsikan semua sumber daya di mesh mana pun yang dimiliki akun.

  • Pemilik dan konsumen dapat memodifikasi sumber daya dalam mesh yang dibuat akun, tetapi mereka tidak dapat memodifikasi sumber daya yang dibuat akun lain.

  • Konsumen dapat menghapus sumber daya apa pun dalam mesh yang dibuat akun.

  • Pemilik dapat menghapus sumber daya apa pun di mesh yang dibuat akun apa pun.

  • Sumber daya pemilik hanya dapat mereferensikan sumber daya lain di akun yang sama. Misalnya, node virtual hanya dapat referensi AWS Cloud Map atau AWS Certificate Manager sertifikat yang ada di akun yang sama dengan pemilik node virtual.

  • Pemilik dan konsumen dapat menghubungkan proxy Utusan ke App Mesh sebagai simpul virtual yang dimiliki akun tersebut.

  • Pemilik dapat membuat gateway virtual dan rute gateway virtual.

  • Pemilik dan konsumen dapat mencantumkan tag dan dapat menandai/menghapus tag sumber daya dalam mesh yang dibuat akun. Mereka tidak dapat mencantumkan tag dan tag/untag resource di mesh yang tidak dibuat oleh akun.

Shared mesh menggunakan otorisasi berbasis kebijakan. Mesh dibagikan dengan satu set izin tetap. Izin ini dipilih untuk ditambahkan ke kebijakan sumber daya, dan kebijakan IAM opsional juga dapat dipilih berdasarkan pengguna/peran IAM. Perpotongan izin yang diizinkan dalam kebijakan ini, apalagi izin eksplisit yang ditolak, menentukan akses prinsipal ke mesh.

Saat berbagi mesh, AWS Resource Access Manager layanan akan membuat kebijakan terkelola bernama AWSRAMDefaultPermissionAppMesh dan mengaitkannya dengan App Mesh Anda yang menyediakan izin berikut.

  • appmesh:CreateVirtualNode

  • appmesh:CreateVirtualRouter

  • appmesh:CreateRoute

  • appmesh:CreateVirtualService

  • appmesh:UpdateVirtualNode

  • appmesh:UpdateVirtualRouter

  • appmesh:UpdateRoute

  • appmesh:UpdateVirtualService

  • appmesh:ListVirtualNodes

  • appmesh:ListVirtualRouters

  • appmesh:ListRoutes

  • appmesh:ListVirtualServices

  • appmesh:DescribeMesh

  • appmesh:DescribeVirtualNode

  • appmesh:DescribeVirtualRouter

  • appmesh:DescribeRoute

  • appmesh:DescribeVirtualService

  • appmesh:DeleteVirtualNode

  • appmesh:DeleteVirtualRouter

  • appmesh:DeleteRoute

  • appmesh:DeleteVirtualService

  • appmesh:TagResource

  • appmesh:UntagResource

Prasyarat untuk berbagi jerat

Untuk berbagi jala, Anda harus memenuhi prasyarat berikut.

  • Anda harus memiliki mesh di AWS akun Anda. Anda tidak dapat berbagi mesh yang telah dibagikan dengan Anda.

  • Untuk berbagi mesh dengan organisasi Anda atau unit organisasi di AWS Organizations, Anda harus mengaktifkan berbagi dengan AWS Organizations. Untuk informasi selengkapnya, lihat Mengaktifkan Berbagi dengan AWS Organizations di Panduan AWS RAM Pengguna.

  • Layanan Anda harus digunakan di VPC Amazon yang memiliki konektivitas bersama di seluruh akun yang menyertakan sumber daya mesh yang ingin Anda komunikasikan satu sama lain. Salah satu cara untuk berbagi konektivitas jaringan adalah dengan menyebarkan semua layanan yang ingin Anda gunakan di mesh Anda ke subnet bersama. Untuk informasi dan batasan selengkapnya, lihat Berbagi Subnet.

  • Layanan harus dapat ditemukan melalui DNS atau. AWS Cloud Map Untuk informasi selengkapnya tentang penemuan layanan, lihat Node virtual.

Berbagi mesh terintegrasi dengan AWS Resource Access Manager (AWS RAM). AWS RAM adalah layanan yang memungkinkan Anda untuk berbagi AWS sumber daya Anda dengan AWS akun apa pun atau melalui AWS Organizations. Dengan AWS RAM, Anda berbagi sumber daya yang Anda miliki dengan membuat pembagian sumber daya. Pembagian sumber daya menentukan sumber daya yang akan dibagikan, dan konsumen yang akan dibagikan. Konsumen dapat berupa AWS akun individu, atau unit organisasi atau seluruh organisasi di dalamnya AWS Organizations.

Untuk informasi selengkapnya AWS RAM, lihat Panduan AWS RAM Pengguna.

Berbagi jala

Berbagi mesh memungkinkan sumber daya mesh yang dibuat oleh akun yang berbeda untuk berkomunikasi satu sama lain dalam mesh yang sama. Anda hanya dapat berbagi mesh yang Anda miliki. Untuk berbagi mesh, Anda harus menambahkannya ke berbagi sumber daya. Berbagi sumber daya adalah AWS RAM sumber daya yang memungkinkan Anda berbagi sumber daya di seluruh AWS akun. Pembagian sumber daya menentukan sumber daya untuk dibagikan dan konsumen dengan siapa mereka dibagikan. Saat Anda berbagi mesh menggunakan konsol Amazon Linux, Anda menambahkannya ke pembagian sumber daya yang ada. Untuk menambahkan mesh ke pembagian sumber daya baru, buat pembagian sumber daya menggunakan AWS RAM konsol.

Jika Anda bagian dari organisasi AWS Organizations dan berbagi dalam organisasi Anda diaktifkan, konsumen di organisasi Anda dapat secara otomatis diberikan akses ke mesh bersama. Jika tidak, konsumen menerima undangan untuk bergabung dengan pembagian sumber daya dan diberikan akses ke mesh bersama setelah menerima undangan.

Anda dapat berbagi mesh yang Anda miliki menggunakan AWS RAM konsol atau AWS CLI.

Untuk berbagi mesh yang Anda miliki menggunakan AWS RAM konsol

Untuk petunjuknya, lihat Membuat Pembagian Sumber Daya di Panduan AWS RAM Pengguna. Saat Anda memilih jenis sumber daya, pilih Meshes, lalu pilih mesh yang ingin Anda bagikan. Jika tidak ada jerat yang terdaftar, buat mesh terlebih dahulu. Untuk informasi selengkapnya, lihat Membuat mesh layanan.

Untuk berbagi mesh yang Anda miliki menggunakan AWS CLI

Gunakan perintah create-resource-share. Untuk --resource-arns opsi, tentukan ARN dari mesh yang ingin Anda bagikan.

Membatalkan berbagi mesh bersama

Saat Anda melepaskan jala, App Mesh menonaktifkan akses lebih lanjut ke mesh oleh mantan konsumen mesh. Namun, App Mesh tidak menghapus sumber daya yang dibuat oleh konsumen. Setelah mesh tidak dibagi, hanya pemilik mesh yang dapat mengakses dan menghapus sumber daya. App Mesh mencegah akun yang memiliki sumber daya di mesh menerima informasi konfigurasi setelah mesh tidak dibagikan. App Mesh juga mencegah akun lain dengan sumber daya di mesh menerima informasi konfigurasi dari mesh yang tidak dibagikan. Hanya pemilik jala yang dapat membatalkan bagiannya.

Untuk membatalkan berbagi mesh bersama yang Anda miliki, Anda harus menghapusnya dari pembagian sumber daya. Anda dapat melakukan ini menggunakan AWS RAM konsol atau AWS CLI.

Untuk membatalkan berbagi mesh bersama yang Anda miliki menggunakan konsol AWS RAM

Untuk petunjuk, lihat Memperbarui Pembagian Sumber Daya di Panduan AWS RAM Pengguna.

Untuk membatalkan berbagi mesh bersama yang Anda miliki menggunakan AWS CLI

Gunakan perintah disassociate-resource-share.

Mengidentifikasi mesh bersama

Pemilik dan konsumen dapat mengidentifikasi mesh bersama dan sumber daya mesh menggunakan konsol Amazon Linux dan AWS CLI

Untuk mengidentifikasi mesh bersama menggunakan konsol Amazon Linux

  1. Buka konsol App Mesh di https://console.aws.amazon.com/appmesh/.

  2. Dari navigasi kiri, pilih Meshes. ID akun pemilik mesh untuk setiap mesh tercantum di kolom pemilik Mesh.

  3. Dari navigasi kiri, pilih Layanan virtual, router virtual, atau node Virtual. Anda melihat ID akun untuk pemilik Mesh dan pemilik Sumber Daya untuk setiap sumber daya.

Untuk mengidentifikasi mesh bersama menggunakan AWS CLI

Gunakan aws appmesh list resource perintah, sepertiaws appmesh list-meshes. Perintah mengembalikan jerat yang Anda miliki dan jerat yang dibagikan dengan Anda. meshOwnerProperti menampilkan ID AWS akun meshOwner dan resourceOwner properti menunjukkan ID AWS akun pemilik sumber daya. Perintah apa pun yang dijalankan terhadap sumber daya mesh apa pun mengembalikan properti ini.

Tag yang ditentukan pengguna yang Anda lampirkan ke mesh bersama hanya tersedia untuk Anda Akun AWS. Mereka tidak tersedia untuk akun lain yang digunakan bersama mesh. aws appmesh list-tags-for-resourcePerintah untuk mesh di akun lain ditolak aksesnya.

Tagihan dan pengukuran

Tidak ada biaya untuk berbagi jala.

Kuota contoh

Semua kuota untuk mesh juga berlaku untuk jerat bersama, terlepas dari siapa yang membuat sumber daya di mesh. Hanya pemilik mesh yang dapat meminta kenaikan kuota. Untuk informasi selengkapnya, lihat App Mesh kuota layanan App Mesh Mesh Jaring Aplikasi. AWS Resource Access Manager Layanan ini juga memiliki kuota. Untuk informasi selengkapnya, lihat Service Quotas.