使用共享。 - Amazon App Mesh
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用共享。

重要

此功能在中国区域中不可用。

共享网格允许不同账户创建的资源在同一个网格中相互通信。

Amazon Identity and Access Management账户可以是网格资源所有者、网格使用者,或者两者兼而有之。消费者可以在网格中创建与其账户共享的资源。所有者可以在账户拥有的任何网格中创建资源。网格所有者可以与以下类型的网格使用者共享网格:

  • Amazon 中的拥有者企业内部或外部的特定 Amazon Organizations 账户

  • 中的所有者组织内部的组织单位Amazon Organizations

  • 中的整个所有者组织Amazon Organizations

有关共享网格的详细说明,请参阅跨账户网格遍历 GitHub。 end-to-end

共享网格权限

共享网格具有以下权限:

  • 消费者可以列出和描述网格中与账户共享的所有资源。

  • 所有者可以列出和描述账户拥有的任何网格中的所有资源。

  • 所有者和使用者可以修改账户创建的网格中的资源,但他们不能修改其他账户创建的资源。

  • 消费者可以删除账户创建的网格中的任何资源。

  • 所有者可以删除网格中任何账户创建的任何资源。

  • 所有者的资源只能引用同一账户中的其他资源。例如,虚拟节点只能引Amazon Cloud Map用与虚拟节点所有者在同一个账户中的Amazon Certificate Manager证书。

  • 所有者和消费者可以将 Envoy 代理作为账户拥有的虚拟节点连接到 App Mesh。

  • 所有者可以创建虚拟网关和虚拟网关路由。

共享网格从支持账户级允许所有授权迁移到基于策略的授权。此次推出之前共享的任何网格都使用前一种策略,而在此推出之后共享的任何网格都使用后一种策略。

通过基于策略的授权,可以与一组固定权限共享网格。选择这些权限将添加到资源策略中,也可以基于 IAM 用户/角色选择可选的 IAM 策略。这些策略中允许的权限交集,减去任何被拒绝的显式权限,决定了委托人对网格的访问权限。

资源策略中添加的权限集是固定的,由Amazon Resource Access Manager (Amazon RAM) 确定:

  • appmesh:CreateVirtualNode

  • appmesh:CreateVirtualRouter

  • appmesh:CreateRoute

  • appmesh:CreateVirtualService

  • appmesh:UpdateVirtualNode

  • appmesh:UpdateVirtualRouter

  • appmesh:UpdateRoute

  • appmesh:UpdateVirtualService

  • appmesh:ListVirtualNodes

  • appmesh:ListVirtualRouters

  • appmesh:ListRoutes

  • appmesh:ListVirtualServices

  • appmesh:DescribeMesh

  • appmesh:DescribeVirtualNode

  • appmesh:DescribeVirtualRouter

  • appmesh:DescribeRoute

  • appmesh:DescribeVirtualService

  • appmesh:DeleteVirtualNode

  • appmesh:DeleteVirtualRouter

  • appmesh:DeleteRoute

  • appmesh:DeleteVirtualService

注意

此集合不包括某些权限,例如appmesh:TagResources。如果需要appmesh:TagResources访问权限,我们可以将您的账户映射到账户级别的允许所有授权策略,直到我们启动对的支持appmesh:TagResources

共享网格的先决条件

要共享 Mesh,必须满足以下先决条件。

  • 您必须拥有Amazon账户中的网格。无法共享已与您共享已与您共享已与您共享已共享。

  • 要与您的组织或内的组织或内的Amazon Organizations组织单位共享与共享Amazon Organizations。有关更多信息,请参阅《Amazon RAM 用户指南》中的允许与 Amazon Organizations 共享。

  • 您的服务必须部署在 Amazon VPC 中,该账户之间具有共享连接,其中包括您想要相互通信的网状资源。共享网络连接的一种方法是将要在网格中使用的所有服务部署到共享子网。有关更多信息和限制,请参阅共享子网

  • 服务必须可通过 DNS 或Amazon Cloud Map. 有关服务发现的更多信息,请参阅虚拟节点

网格共享与Amazon Resource Access Manager (Amazon RAM) 集成。 Amazon RAM是一项使您能够与任何Amazon账户或通过以下方式共享Amazon资源的服务Amazon Organizations。利用 Amazon RAM,您可通过创建资源共享来共享您拥有的资源。资源共享指定要共享的资源以及与之共享资源的使用者。使用者可以是单个 Amazon 账户或 Amazon Organizations 中的组织部门或整个组织。

有关 Amazon RAM 的更多信息,请参阅 Amazon RAM 用户指南

共享网格

共享网格使不同账户创建的网格资源能够在同一个网格中相互通信。只能共享自己拥有的 “已共享” 一个网格。要共享 Mesh,必须将它添加到资源共享。资源共享是一项 Amazon RAM 资源,可让您跨 Amazon 账户共享资源。资源共享指定要共享的资源以及与您共享这些资源的使用者。在使用 Amazon Linux 控制台共享 Amazon Linux 控制台共享一个网格时,必须将它添加到现有资源共享。要将网格添加到新的资源共享,使用Amazon RAM控制台创建资源共享。

如果您是中某组织的一部分Amazon Organizations并且已在您的组织中启用共享,组织中的使用者可以自动获得对共享共享。否则,使用者会收到加入资源共享,并在接受邀请后获得对共享共享。

您可以使用Amazon RAM控制台或共享自己拥有的Amazon CLI。

使用Amazon RAM控制台共享您拥有您拥有的

有关说明,请参阅Amazon RAM用户指南中的创建资源共享。选择资源类型时,选择网格,然后选择要共享的网格。如果未列出网格,请先创建网格。有关更多信息,请参阅创建服务网格

使用控制台共享您拥有的Amazon CLI

使用 create-resource-share 命令。对于该--resource-arns选项,请指定要共享要共享您要共享ARN 共享您要共享您要共享您要共享您要共享您要共享您要共享

取消共享共享已共享

取消共享网格时,App Mesh 会禁用该网格以前的使用者进一步访问该网格。但是,App Mesh 不会删除消费者创建的资源。取消共享网格后,只有网格所有者才能访问和删除资源。App Mesh 阻止在网格中拥有资源的账户在网格取消共享后接收配置信息。App Mesh 还防止在网格中拥有资源的任何其他账户从非共享网格接收配置信息。只有网格的拥有者可以取消共享。

要取消共享您拥有的已共享,必须从资源共享。您可以使用 Amazon RAM 控制台或 Amazon CLI 以执行该操作。

使用Amazon RAM控制台取消共享您拥有的共享

有关说明,请参阅Amazon RAM用户指南中的更新资源共享

使用取消共享您拥有的共享Amazon CLI

使用 disassociate-resource-share 命令。

标识共享共享

拥有者和使用者可以使用 Amazon Linux 控制台和标识共享已共享。Amazon CLI

使用 Amazon Linux 控制台标识共享已共享
  1. 通过 https://console.aws.amazon.com/appmesh/ 打开 App Mesh 控制台。

  2. 从左侧导航中选择 Meshes。网格所有者列中列出了每个网格的网格所有者的账户 ID。

  3. 从左侧导航栏中选择虚拟服务虚拟路由器虚拟节点。您可以看到每个资源的网格所有者和资源所有者的账户 ID。

要识别共享网格,请使用Amazon CLI

使用aws appmesh list resource命令,例如aws appmesh list-meshes。该命令返回您拥有的、与您共享您拥有的、与您共享的。该meshOwner属性显示的Amazon账户 IDmeshOwner,该resourceOwner属性显示资源所有者的Amazon账户 ID。对任何网格资源运行的任何命令都会返回这些属性。

您附加到共享 Mesh 的用户定义标签仅适用于您的Amazon Web Services 账户。它们不适用于与之共享网格的其他账户。拒绝访问另一个账户中的网格的aws appmesh list-tags-for-resource命令。

计费和计量

共享网格不会产生额外的费用。

实例配额

无论谁在网格中创建了资源,网格的所有配额也适用于共享网格。只有网格所有者才能请求增加配额。有关更多信息,请参阅App Mesh 服务配额:该Amazon Resource Access Manager服务也有配额。有关更多信息,请参阅 Service Quotas