기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Envoy 프록시 권한 부여
프록시 권한 부여는 Amazon ECS 태스크 내에서 실행되거나, Amazon EKS에서 실행되는 Kubernetes 포드에서 실행되거나, Amazon EC2 인스턴스에서 실행되는 Envoy 프록시가 App Mesh Envoy Management Service에서 하나 이상의 메시 엔드포인트의 구성을 읽을 수 있는 권한을 부여합니다. 2021년 4월 26일 이전에 이미 Envoy가 App Mesh 엔드포인트에 연결된 고객 계정의 경우 전송 계층 보안(TLS)을 사용하는 가상 노드와 가상 게이트웨이(TLS 사용 여부는 관계없음)에 프록시 권한 부여가 필요합니다. 2021년 4월 26일 이후에 Envoy를 App Mesh 엔드포인트에 연결하려는 고객 계정의 경우 모든 App Mesh 기능에 프록시 권한 부여가 필요합니다. 모든 고객 계정에서 TLS를 사용하지 않더라도 모든 가상 노드에 대해 프록시 인증을 활성화하여 특정 리소스에 대한 권한 부여를 위해 IAM을 사용하여 안전하고 일관된 환경을 구현하는 것이 좋습니다. 프록시 인증을 위해서는 IAM 정책에 appmesh:StreamAggregatedResources
권한이 지정되어야 합니다. 이 정책은 IAM 역할에 연결되어야 하고, IAM 역할은 프록시를 호스팅하는 컴퓨팅 리소스에 연결되어야 합니다.
IAM 정책 생성
서비스 메시의 모든 메시 엔드포인트에서 모든 메시 엔드포인트의 구성을 읽을 수 있게 하려면 IAM 역할 생성으로 건너뜁니다. 개별 메시 엔드포인트에서 구성을 읽을 수 있는 메시 엔드포인트를 제한하려면 하나 이상의 IAM 정책을 생성해야 합니다. 구성을 읽을 수 있는 메시 엔드포인트를 특정 컴퓨팅 리소스에서 실행되는 Envoy 프록시로만 제한하는 것이 좋습니다. IAM 정책을 생성하고 정책에 appmesh:StreamAggregatedResources
권한을 추가합니다. 다음 예제 정책은 이름이 serviceBv1
및 serviceBv2
이고 서비스 메시에서 읽을 수 있는 가상 노드의 구성을 허용합니다. 서비스 메시에 정의된 다른 가상 노드의 구성은 읽을 수 없습니다. IAM 정책 생성 및 편집에 대한 자세한 내용은 IAM 정책 생성 및 IAM 정책 편집을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "appmesh:StreamAggregatedResources", "Resource": [ "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1", "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2" ] } ] }
각각이 서로 다른 메시 엔드포인트에 대한 액세스를 제한하는 정책을 여러 개 만들 수 있습니다.
IAM 역할 생성
서비스 메시의 모든 메시 엔드포인트에서 모든 메시 엔드포인트의 구성을 읽을 수 있게 하려면 IAM 역할을 하나만 생성하면 됩니다. 개별 메시 엔드포인트에서 구성을 읽을 수 있는 메시 엔드포인트를 제한하려면 이전 단계에서 생성한 각 정책에 대한 역할을 생성해야 합니다. 프록시가 실행되는 컴퓨팅 리소스에 대한 지침을 완료하세요.
-
Amazon EKS — 단일 역할을 사용하려는 경우 클러스터를 생성할 때 생성되어 작업자 노드에 할당된 기존 역할을 사용할 수 있습니다. 여러 역할을 사용하려면 클러스터가 클러스터의 서비스 계정에 대한 IAM 역할 활성화에 정의된 요구 사항을 충족해야 합니다. IAM 역할을 생성하고 역할을 Kubernetes 서비스 계정과 연결합니다. 자세한 내용은 서비스 계정에 대한 IAM 역할 및 정책 생성 및 서비스 계정의 IAM 역할 지정을 참조하세요.
-
Amazon ECS — AWS 서비스를 선택하고, Elastic Container Service를 선택한 다음, IAM 역할을 생성할 때 Elastic Container Service 태스크 사용 사례를 선택합니다.
-
Amazon EC2 – AWS 서비스를 선택하고 EC2를 선택한 다음, IAM 역할을 생성할 때 EC2 사용 사례를 선택합니다. 이 방법은 Amazon EC2 인스턴스에서 직접 프록시를 호스팅하든 인스턴스에서 실행되는 Kubernetes에서 호스팅하든 관계없이 적용됩니다.
IAM 역할 생성 방법에 대한 자세한 내용은 AWS 서비스에 대한 역할 생성을 참조하세요.
IAM 정책 연결
서비스 메시의 모든 메시 엔드포인트에서 모든 메시 엔드포인트의 구성을 읽을 수 있게 하려면 AWSAppMeshEnvoyAccess
관리형 IAM 정책을 이전 단계에서 생성한 IAM 역할에 연결합니다. 개별 메시 엔드포인트에서 구성을 읽을 수 있는 메시 엔드포인트를 제한하려면 생성한 각 정책을 생성한 각 역할에 연결합니다. 사용자 지정 또는 관리형 IAM 정책을 IAM 역할에 연결하는 방법에 대한 자세한 내용은 IAM ID 권한 추가를 참조하세요.
IAM 역할 연결
각 IAM 역할을 적절한 컴퓨팅 리소스에 연결합니다.
-
Amazon EKS — 작업자 노드에 연결된 역할에 정책을 연결한 경우 이 단계를 건너뛸 수 있습니다. 별도의 역할을 생성한 경우 각 역할을 별도의 Kubernetes 서비스 계정에 할당하고 각 서비스 계정을 Envoy 프록시가 포함된 개별 Kubernetes 포드 배포 사양에 할당합니다. 자세한 내용은 Amazon EKS 사용 설명서의 서비스 계정에 대한 IAM 역할 지정 및 Kubernetes 설명서의 포드에 대한 서비스 계정 구성
을 참조하세요. -
Amazon ECS — Envoy 프록시가 포함된 태스크 정의에 Amazon ECS 태스크 역할을 연결합니다. 태스크는 EC2 또는 Fargate 시작 유형으로만 배포할 수 있습니다. Amazon ECS 태스크 역할을 생성하여 태스크에 연결하는 방법에 대한 자세한 내용은 태스크에 대한 IAM 역할 지정을 참조하세요.
-
Amazon EC2 — IAM 역할은 Envoy 프록시를 호스팅하는 Amazon EC2 인스턴스에 연결되어야 합니다. Amazon EC2 인스턴스에 역할을 연결하는 방법에 대한 자세한 내용은 IAM 역할을 생성했으며 이제 해당 역할을 EC2 인스턴스에 할당하려고 함
을 참조하세요.
권한 확인
컴퓨팅 서비스 이름 중 하나를 선택하여 프록시를 호스팅하는 컴퓨팅 리소스에 appmesh:StreamAggregatedResources
권한이 할당되었는지 확인합니다.