Envoy 프록시 권한 부여

프록시 권한 부여는 Amazon ECS 태스크 내에서 실행되거나, Amazon EKS에서 실행되는 Kubernetes 포드에서 실행되거나, Amazon EC2 인스턴스에서 실행되는 Envoy 프록시가 App Mesh Envoy Management Service에서 하나 이상의 메시 엔드포인트의 구성을 읽을 수 있는 권한을 부여합니다. 2021년 4월 26일 이전에 이미 Envoy가 App Mesh 엔드포인트에 연결된 고객 계정의 경우 전송 계층 보안(TLS)을 사용하는 가상 노드와 가상 게이트웨이(TLS 사용 여부는 관계없음)에 프록시 권한 부여가 필요합니다. 2021년 4월 26일 이후에 Envoy를 App Mesh 엔드포인트에 연결하려는 고객 계정의 경우 모든 App Mesh 기능에 프록시 권한 부여가 필요합니다. 모든 고객 계정에서 TLS를 사용하지 않더라도 모든 가상 노드에 대해 프록시 인증을 활성화하여 특정 리소스에 대한 권한 부여를 위해 IAM을 사용하여 안전하고 일관된 환경을 구현하는 것이 좋습니다. 프록시 인증을 위해서는 IAM 정책에 appmesh:StreamAggregatedResources 권한이 지정되어야 합니다. 이 정책은 IAM 역할에 연결되어야 하고, IAM 역할은 프록시를 호스팅하는 컴퓨팅 리소스에 연결되어야 합니다.

IAM 정책 생성

서비스 메시의 모든 메시 엔드포인트에서 모든 메시 엔드포인트의 구성을 읽을 수 있게 하려면 IAM 역할 생성으로 건너뜁니다. 개별 메시 엔드포인트에서 구성을 읽을 수 있는 메시 엔드포인트를 제한하려면 하나 이상의 IAM 정책을 생성해야 합니다. 구성을 읽을 수 있는 메시 엔드포인트를 특정 컴퓨팅 리소스에서 실행되는 Envoy 프록시로만 제한하는 것이 좋습니다. IAM 정책을 생성하고 정책에 appmesh:StreamAggregatedResources 권한을 추가합니다. 다음 예제 정책은 이름이 serviceBv1 및 serviceBv2이고 서비스 메시에서 읽을 수 있는 가상 노드의 구성을 허용합니다. 서비스 메시에 정의된 다른 가상 노드의 구성은 읽을 수 없습니다. IAM 정책 생성 및 편집에 대한 자세한 내용은 IAM 정책 생성 및 IAM 정책 편집을 참조하세요.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "appmesh:StreamAggregatedResources",
            "Resource": [
                "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1",
                "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2"
            ]
        }
    ]
}

각각이 서로 다른 메시 엔드포인트에 대한 액세스를 제한하는 정책을 여러 개 만들 수 있습니다.

IAM 역할 생성

서비스 메시의 모든 메시 엔드포인트에서 모든 메시 엔드포인트의 구성을 읽을 수 있게 하려면 IAM 역할을 하나만 생성하면 됩니다. 개별 메시 엔드포인트에서 구성을 읽을 수 있는 메시 엔드포인트를 제한하려면 이전 단계에서 생성한 각 정책에 대한 역할을 생성해야 합니다. 프록시가 실행되는 컴퓨팅 리소스에 대한 지침을 완료하세요.

• Amazon EKS — 단일 역할을 사용하려는 경우 클러스터를 생성할 때 생성되어 작업자 노드에 할당된 기존 역할을 사용할 수 있습니다. 여러 역할을 사용하려면 클러스터가 클러스터의 서비스 계정에 대한 IAM 역할 활성화에 정의된 요구 사항을 충족해야 합니다. IAM 역할을 생성하고 역할을 Kubernetes 서비스 계정과 연결합니다. 자세한 내용은 서비스 계정에 대한 IAM 역할 및 정책 생성 및 서비스 계정의 IAM 역할 지정을 참조하세요.

• Amazon ECS — AWS 서비스를 선택하고, Elastic Container Service를 선택한 다음, IAM 역할을 생성할 때 Elastic Container Service 태스크 사용 사례를 선택합니다.

• Amazon EC2 – AWS 서비스를 선택하고 EC2를 선택한 다음, IAM 역할을 생성할 때 EC2 사용 사례를 선택합니다. 이 방법은 Amazon EC2 인스턴스에서 직접 프록시를 호스팅하든 인스턴스에서 실행되는 Kubernetes에서 호스팅하든 관계없이 적용됩니다.

IAM 역할 생성 방법에 대한 자세한 내용은 AWS 서비스에 대한 역할 생성을 참조하세요.

IAM 정책 연결

서비스 메시의 모든 메시 엔드포인트에서 모든 메시 엔드포인트의 구성을 읽을 수 있게 하려면 AWSAppMeshEnvoyAccess 관리형 IAM 정책을 이전 단계에서 생성한 IAM 역할에 연결합니다. 개별 메시 엔드포인트에서 구성을 읽을 수 있는 메시 엔드포인트를 제한하려면 생성한 각 정책을 생성한 각 역할에 연결합니다. 사용자 지정 또는 관리형 IAM 정책을 IAM 역할에 연결하는 방법에 대한 자세한 내용은 IAM ID 권한 추가를 참조하세요.

IAM 역할 연결

각 IAM 역할을 적절한 컴퓨팅 리소스에 연결합니다.

• Amazon EKS — 작업자 노드에 연결된 역할에 정책을 연결한 경우 이 단계를 건너뛸 수 있습니다. 별도의 역할을 생성한 경우 각 역할을 별도의 Kubernetes 서비스 계정에 할당하고 각 서비스 계정을 Envoy 프록시가 포함된 개별 Kubernetes 포드 배포 사양에 할당합니다. 자세한 내용은 Amazon EKS 사용 설명서의 서비스 계정에 대한 IAM 역할 지정 및 Kubernetes 설명서의 포드에 대한 서비스 계정 구성을 참조하세요.

• Amazon ECS — Envoy 프록시가 포함된 태스크 정의에 Amazon ECS 태스크 역할을 연결합니다. 태스크는 EC2 또는 Fargate 시작 유형으로만 배포할 수 있습니다. Amazon ECS 태스크 역할을 생성하여 태스크에 연결하는 방법에 대한 자세한 내용은 태스크에 대한 IAM 역할 지정을 참조하세요.

• Amazon EC2 — IAM 역할은 Envoy 프록시를 호스팅하는 Amazon EC2 인스턴스에 연결되어야 합니다. Amazon EC2 인스턴스에 역할을 연결하는 방법에 대한 자세한 내용은 IAM 역할을 생성했으며 이제 해당 역할을 EC2 인스턴스에 할당하려고 함을 참조하세요.

권한 확인

컴퓨팅 서비스 이름 중 하나를 선택하여 프록시를 호스팅하는 컴퓨팅 리소스에 appmesh:StreamAggregatedResources 권한이 할당되었는지 확인합니다.

Amazon EKS

사용자 지정 정책은 작업자 노드나 개별 포드 또는 둘 다에 할당된 역할에 할당될 수 있습니다. 하지만 개별 포드에 대한 액세스를 개별 메시 엔드포인트로 제한할 수 있도록 개별 포드에만 정책을 할당하는 것이 좋습니다. 정책이 작업자 노드에 할당된 역할에 연결된 경우 Amazon EC2 탭을 선택하고 작업자 노드 인스턴스에 대한 단계를 완료하세요. Kubernetes 포드에 할당되는 IAM 역할을 확인하려면 다음 단계를 완료하세요.

1. Kubernetes 서비스 계정이 할당되었는지 확인하려는 포드가 포함된 Kubernetes 배포의 세부 정보를 확인하세요. 다음 명령은 이름이 my-deployment인 배포에 대한 세부 정보를 확인합니다.

   kubectl describe deployment my-deployment

   반환된 출력에서 Service Account: 오른쪽에 있는 값을 기록해 둡니다. Service Account:로 시작하는 줄이 없는 경우 사용자 지정 Kubernetes 서비스 계정이 현재 배포에 할당되지 않은 것입니다. 이 계정을 하나 할당해야 합니다. 자세한 내용은 Kubernetes 문서의 포드용 서비스 계정 구성을 참조하세요.

2. 이전 단계에서 반환한 서비스 계정의 세부 정보를 확인하세요. 다음 명령을 실행하면 my-service-account라는 서비스 계정의 세부 정보가 표시됩니다.

   kubectl describe serviceaccount my-service-account

   Kubernetes 서비스 계정이 AWS Identity and Access Management 역할에 연결되어 있는 경우 반환되는 줄 중 하나는 다음 예와 비슷합니다.

   Annotations:         eks.amazonaws.com/role-arn=arn:aws:iam::123456789012:role/my-deployment

   이전 예제 my-deployment는 서비스 계정과 연결된 IAM 역할의 이름입니다. 서비스 계정 출력에 위 예제와 비슷한 줄이 없으면 Kubernetes 서비스 계정이 AWS Identity and Access Management 계정에 연결되어 있지 않으므로 계정에 연결해야 합니다. 자세한 내용은 서비스 계정을 위한 IAM 역할 지정을 참조하세요.

3. AWS Management Console에 로그인하고 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

4. 왼쪽 탐색 창에서 역할을 선택합니다. 이전 단계에서 적어 놓은 IAM 역할의 이름을 선택합니다.

5. 이전에 생성한 사용자 지정 정책 또는 AWSAppMeshEnvoyAccess 관리형 정책이 나열되어 있는지 확인합니다. 두 정책이 모두 연결되지 않은 경우 IAM 정책을 IAM 역할에 연결합니다. 사용자 지정 IAM 정책을 연결하려고 하는데 이 정책이 아직 없는 경우에는 필요한 권한이 있는 사용자 지정 IAM 정책을 생성해야 합니다. 사용자 지정 IAM 정책이 연결된 경우 해당 정책을 선택하고 정책에 "Action": "appmesh:StreamAggregatedResources"가 포함되어 있는지 확인합니다. 그렇지 않은 경우 사용자 지정 IAM 정책에 해당 권한을 추가해야 합니다. 또한 특정 메시 엔드포인트에 대한 적절한 Amazon 리소스 이름(ARN)이 나열되어 있는지 확인할 수 있습니다. 나열된 ARN이 없는 경우 정책을 편집하여 나열된 ARN을 추가, 제거 또는 변경할 수 있습니다. 자세한 내용은 IAM 정책 편집 및 IAM 정책 생성 섹션을 참조하세요.

6. Envoy 프록시가 포함된 각 Kubernetes 포드에 대해 이전 단계를 반복합니다.

Amazon ECS

1. Amazon ECS 콘솔에서 태스크 정의를 선택합니다.

2. Amazon ECS 태스크를 선택합니다.

3. 태스크 정의 이름 페이지에서 태스크 정의를 선택합니다.

4. 태스크 정의 페이지에서 태스크 역할 오른쪽에 있는 IAM 역할 이름의 링크를 선택합니다. IAM 역할이 목록에 없는 경우 IAM 역할을 생성하고 태스크 정의를 업데이트하여 태스크에 연결해야 합니다.

5. 요약 페이지의 권한 탭에서 이전에 생성한 사용자 지정 정책 또는 AWSAppMeshEnvoyAccess 관리형 정책이 나열되어 있는지 확인합니다. 두 정책이 모두 연결되지 않은 경우 IAM 정책을 IAM 역할에 연결합니다. 사용자 지정 IAM 정책을 연결하려고 하는데 이 정책이 아직 없는 경우에는 사용자 지정 IAM 정책을 생성해야 합니다. 사용자 지정 IAM 정책이 연결된 경우 해당 정책을 선택하고 정책에 "Action": "appmesh:StreamAggregatedResources"가 포함되어 있는지 확인합니다. 그렇지 않은 경우 사용자 지정 IAM 정책에 해당 권한을 추가해야 합니다. 또한 특정 메시 엔드포인트에 대한 적절한 Amazon 리소스 이름(ARN)이 나열되어 있는지 확인할 수 있습니다. 나열된 ARN이 없는 경우 정책을 편집하여 나열된 ARN을 추가, 제거 또는 변경할 수 있습니다. 자세한 내용은 IAM 정책 편집 및 IAM 정책 생성 섹션을 참조하세요.

6. Envoy 프록시가 포함된 각 태스크 정의에 대해 이전 단계를 반복합니다.

Amazon EC2

1. Amazon EC2 콘솔의 왼쪽 탐색 창에서 인스턴스를 선택합니다.

2. Envoy 프록시를 호스팅하는 인스턴스 중 하나를 선택합니다.

3. 설명 탭에서 IAM 역할 오른쪽에 있는 IAM 역할 이름 링크를 선택합니다. IAM 역할이 목록에 없는 경우 IAM 역할을 생성해야 합니다.

4. 요약 페이지의 권한 탭에서 이전에 생성한 사용자 지정 정책 또는 AWSAppMeshEnvoyAccess 관리형 정책이 나열되어 있는지 확인합니다. 두 정책이 모두 연결되지 않은 경우 IAM 정책을 IAM 역할에 연결합니다. 사용자 지정 IAM 정책을 연결하려고 하는데 이 정책이 아직 없는 경우에는 사용자 지정 IAM 정책을 생성해야 합니다. 사용자 지정 IAM 정책이 연결된 경우 해당 정책을 선택하고 정책에 "Action": "appmesh:StreamAggregatedResources"가 포함되어 있는지 확인합니다. 그렇지 않은 경우 사용자 지정 IAM 정책에 해당 권한을 추가해야 합니다. 또한 특정 메시 엔드포인트에 대한 적절한 Amazon 리소스 이름(ARN)이 나열되어 있는지 확인할 수 있습니다. 나열된 ARN이 없는 경우 정책을 편집하여 나열된 ARN을 추가, 제거 또는 변경할 수 있습니다. 자세한 내용은 IAM 정책 편집 및 IAM 정책 생성 섹션을 참조하세요.

5. Envoy 프록시를 호스팅하는 각 인스턴스에 대해 이전 단계를 반복합니다.