Utilizzo di mesh condivise - AWS App Mesh
Concessione delle autorizzazioni per condividere le meshPrerequisiti per la condivisione delle meshServizi correlatiCondivisione di una reteAnnullamento della condivisione di una mesh condivisaIdentificare una mesh condivisaFatturazione e misurazioneQuote di istanze

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di mesh condivise

Puoi condividere le tue mesh App Mesh tra più AWS account utilizzando il AWS Resource Access Manager servizio. Una mesh condivisa consente alle risorse create da AWS account diversi di comunicare tra loro nella stessa mesh.

Un AWS account può essere il proprietario di una risorsa mesh, un consumatore mesh o entrambi. I consumatori possono creare risorse in una mesh condivisa con il proprio account. I proprietari possono creare risorse in qualsiasi mesh di proprietà dell'account. Il proprietario di una mesh può condividere una mesh con i seguenti tipi di consumatori di mesh.

  • AWS Account specifici all'interno o all'esterno della sua organizzazione in AWS Organizations

  • Un'unità organizzativa all'interno della propria organizzazione in AWS Organizations

  • La sua intera organizzazione in AWS Organizations

Per una guida end-to-end dettagliata sulla condivisione di una mesh, consulta la guida sulla rete mesh su GitHub più account.

Concessione delle autorizzazioni per condividere le mesh

Quando si condividono le mesh tra account, sono necessarie le autorizzazioni per il principale IAM che condivide la mesh e le autorizzazioni a livello di risorsa necessarie per la mesh stessa.

Concessione dell'autorizzazione alla condivisione di una mesh

È richiesto un set minimo di autorizzazioni affinché un principale IAM condivida una mesh. Ti consigliamo di utilizzare AWSAppMeshFullAccess e AWSResourceAccessManagerFullAccess gestire le policy IAM per garantire che i tuoi responsabili IAM dispongano delle autorizzazioni necessarie per condividere e utilizzare mesh condivise.

Se utilizzi una policy IAM personalizzata, sono necessarie le appmesh:PutMeshPolicy appmesh:DeleteMeshPolicy azioni e appmesh:GetMeshPolicy le relative azioni. Si tratta di azioni IAM che richiedono solo l'autorizzazione. Se a un principale IAM non sono concesse queste autorizzazioni, si verificherà un errore durante il tentativo di condividere la mesh utilizzando il servizio. AWS RAM

Per ulteriori informazioni sul modo in cui il AWS Resource Access Manager servizio utilizza IAM, consulta How AWS RAM uses IAM nella Guida per l'AWS Resource Access Manager utente.

Concessione delle autorizzazioni per una mesh

Una mesh condivisa dispone delle seguenti autorizzazioni.

  • I consumatori possono elencare e descrivere tutte le risorse in una mesh condivisa con l'account.

  • I proprietari possono elencare e descrivere tutte le risorse in qualsiasi mesh di proprietà dell'account.

  • I proprietari e i consumatori possono modificare le risorse in una mesh creata dall'account, ma non possono modificare le risorse create da altri account.

  • I consumatori possono eliminare qualsiasi risorsa in una mesh creata dall'account.

  • I proprietari possono eliminare qualsiasi risorsa in una mesh creata da qualsiasi account.

  • Le risorse del proprietario possono fare riferimento solo ad altre risorse dello stesso account. Ad esempio, un nodo virtuale può fare riferimento AWS Cloud Map solo a un AWS Certificate Manager certificato che si trova nello stesso account del proprietario del nodo virtuale.

  • I proprietari e i consumatori possono connettere un proxy Envoy ad App Mesh come nodo virtuale di proprietà dell'account.

  • I proprietari possono creare gateway virtuali e percorsi di gateway virtuali.

  • I proprietari e i consumatori possono elencare i tag e possono taggare/rimuovere i tag dalle risorse in una mesh creata dall'account. Non possono elencare tag e risorse tag/rimuovere tag in una mesh che non sono state create dall'account.

Le mesh condivise utilizzano un'autorizzazione basata su policy. Una mesh viene condivisa con un set fisso di autorizzazioni. Queste autorizzazioni vengono selezionate per essere aggiunte a una politica delle risorse e una policy IAM opzionale può anche essere selezionata in base all'utente/ruolo IAM. L'intersezione delle autorizzazioni consentite in queste policy, meno le autorizzazioni esplicite negate, determina l'accesso del principale alla rete.

Quando si condivide una mesh, il AWS Resource Access Manager servizio crea una policy gestita denominata AWSRAMDefaultPermissionAppMesh e la associa all'App Mesh che fornisce le seguenti autorizzazioni.

  • appmesh:CreateVirtualNode

  • appmesh:CreateVirtualRouter

  • appmesh:CreateRoute

  • appmesh:CreateVirtualService

  • appmesh:UpdateVirtualNode

  • appmesh:UpdateVirtualRouter

  • appmesh:UpdateRoute

  • appmesh:UpdateVirtualService

  • appmesh:ListVirtualNodes

  • appmesh:ListVirtualRouters

  • appmesh:ListRoutes

  • appmesh:ListVirtualServices

  • appmesh:DescribeMesh

  • appmesh:DescribeVirtualNode

  • appmesh:DescribeVirtualRouter

  • appmesh:DescribeRoute

  • appmesh:DescribeVirtualService

  • appmesh:DeleteVirtualNode

  • appmesh:DeleteVirtualRouter

  • appmesh:DeleteRoute

  • appmesh:DeleteVirtualService

  • appmesh:TagResource

  • appmesh:UntagResource

Prerequisiti per la condivisione delle mesh

Per condividere una mesh, è necessario soddisfare i seguenti prerequisiti.

  • Devi essere il proprietario della mesh del tuo AWS account. Non puoi condividere una mesh che è stata condivisa con te.

  • Per condividere una mesh con la propria organizzazione o un'unità organizzativa AWS Organizations, è necessario abilitare la condivisione con AWS Organizations. Per ulteriori informazioni, consulta Abilita la condivisione con AWS Organizations nella Guida per l'utente AWS RAM .

  • I tuoi servizi devono essere distribuiti in un Amazon VPC con connettività condivisa tra gli account che includono le risorse mesh con cui desideri comunicare tra loro. Un modo per condividere la connettività di rete consiste nel distribuire tutti i servizi che desideri utilizzare nella rete mesh in una sottorete condivisa. Per ulteriori informazioni e limitazioni, consulta Condivisione di una sottorete.

  • I servizi devono essere rilevabili tramite DNS o. AWS Cloud Map Per ulteriori informazioni sulla scoperta dei servizi, consulta Nodi virtuali.

La condivisione della rete si integra con AWS Resource Access Manager (AWS RAM). AWS RAM è un servizio che ti consente di condividere AWS le tue risorse con qualsiasi AWS account o tramite AWS Organizations. Con AWS RAM, condividi le risorse di tua proprietà creando una condivisione di risorse. Una condivisione delle risorse specifica le risorse da condividere e gli utenti con cui condividerle. I consumatori possono essere singoli AWS account, unità organizzative o un'intera organizzazione AWS Organizations.

Per ulteriori informazioni in merito AWS RAM, consulta la Guida AWS RAM per l'utente.

Condivisione di una rete

La condivisione di una mesh consente alle risorse mesh create da account diversi di comunicare tra loro all'interno della stessa mesh. Puoi condividere solo una mesh di tua proprietà. Per condividere una mesh, è necessario aggiungerla a una condivisione di risorse. Una condivisione di risorse è una AWS RAM risorsa che consente di condividere le risorse tra AWS account. Una condivisione di risorse specifica le risorse da condividere e i consumatori con cui vengono condivise. Quando condividi una mesh utilizzando la console Amazon Linux, la aggiungi a una condivisione di risorse esistente. Per aggiungere la mesh a una nuova condivisione di risorse, crea la condivisione di risorse utilizzando la AWS RAM console.

Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, ai consumatori dell'organizzazione può essere concesso automaticamente l'accesso alla rete mesh condivisa. In caso contrario, i consumatori ricevono un invito a partecipare alla condivisione di risorse e ottengono l'accesso alla mesh condivisa dopo aver accettato l'invito.

Puoi condividere una mesh di tua proprietà utilizzando la AWS RAM console o il AWS CLI.

Per condividere una mesh di tua proprietà utilizzando la AWS RAM console

Per istruzioni, consulta Creazione di una condivisione di risorse nella Guida AWS RAM per l'utente. Quando selezioni un tipo di risorsa, seleziona Mesh, quindi seleziona la mesh che desideri condividere. Se non è elencata alcuna mesh, create prima una mesh. Per ulteriori informazioni, consulta Creazione di una mesh di servizi.

Per condividere una mesh di tua proprietà, usa il AWS CLI

Utilizza il comando create-resource-share. Per l'--resource-arnsopzione, specificate l'ARN della mesh che desiderate condividere.

Annullamento della condivisione di una mesh condivisa

Quando annulli la condivisione di una mesh, App Mesh disabilita l'ulteriore accesso alla mesh da parte degli ex utenti della mesh. Tuttavia, App Mesh non elimina le risorse create dai consumatori. Dopo che la mesh non è condivisa, solo il proprietario della mesh può accedere alle risorse ed eliminarle. App Mesh impedisce all'account che possedeva le risorse nella mesh di ricevere informazioni di configurazione dopo che la mesh non è stata condivisa. App Mesh impedisce inoltre a qualsiasi altro account con risorse nella mesh di ricevere informazioni di configurazione da una mesh non condivisa. Solo il proprietario della mesh può annullarne la condivisione.

Per annullare la condivisione di una mesh condivisa di tua proprietà, devi rimuoverla dalla condivisione di risorse. Puoi farlo utilizzando la AWS RAM console o il AWS CLI.

Per annullare la condivisione di una mesh condivisa di tua proprietà utilizzando la console AWS RAM

Per istruzioni, consulta Aggiornamento di una condivisione di risorse nella Guida per l'AWS RAM utente.

Per annullare la condivisione di una mesh condivisa di tua proprietà, utilizza il AWS CLI

Utilizza il comando disassociate-resource-share.

Identificare una mesh condivisa

Proprietari e consumatori possono identificare mesh e risorse mesh condivise utilizzando la console Amazon Linux e AWS CLI

Per identificare una mesh condivisa utilizzando la console Amazon Linux

  1. Apri la console App Mesh all'indirizzo https://console.aws.amazon.com/appmesh/.

  2. Dalla barra di navigazione a sinistra, seleziona Meshes. L'ID dell'account del proprietario della mesh per ogni mesh è elencato nella colonna Proprietario della mesh.

  3. Dalla barra di navigazione a sinistra, seleziona Servizi virtuali, Router virtuali o Nodi virtuali. Vengono visualizzati l'ID dell'account del proprietario della rete Mesh e il proprietario della risorsa per ciascuna risorsa.

Per identificare una mesh condivisa utilizzando il AWS CLI

Usate il aws appmesh list resource comando, ad esempioaws appmesh list-meshes. Il comando restituisce le mesh che possiedi e le mesh condivise con te. La meshOwner proprietà mostra l'ID dell' AWS account meshOwner e la resourceOwner proprietà mostra l'ID dell' AWS account del proprietario della risorsa. Qualsiasi comando eseguito su qualsiasi risorsa mesh restituisce queste proprietà.

I tag definiti dall'utente che alleghi a una mesh condivisa sono disponibili solo per i tuoi Account AWS. Non sono disponibili per gli altri account con cui è condivisa la mesh. Al aws appmesh list-tags-for-resource comando per una mesh in un altro account viene negato l'accesso.

Fatturazione e misurazione

Non sono previsti costi per la condivisione di una rete.

Quote di istanze

Tutte le quote per una mesh si applicano anche alle mesh condivise, indipendentemente da chi ha creato le risorse nella mesh. Solo il proprietario di una mesh può richiedere aumenti delle quote. Per ulteriori informazioni, consulta Quotazioni di App Mesh Controller. Il AWS Resource Access Manager servizio prevede anche delle quote. Per ulteriori informazioni, consulta Service Quotas.