本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用共享。
重要
此功能在中国区域中不可用。
共享网格允许不同账户创建的资源在同一个网格中相互通信。
Amazon Identity and Access Management账户可以是网格资源所有者、网格使用者,或者两者兼而有之。消费者可以在网格中创建与其账户共享的资源。所有者可以在账户拥有的任何网格中创建资源。网格所有者可以与以下类型的网格使用者共享网格:
-
Amazon 中的拥有者企业内部或外部的特定 Amazon Organizations 账户
-
中的所有者组织内部的组织单位Amazon Organizations
-
中的整个所有者组织Amazon Organizations
有关共享网格的详细说明,请参阅跨账户网格遍
共享网格权限
共享网格具有以下权限:
-
消费者可以列出和描述网格中与账户共享的所有资源。
-
所有者可以列出和描述账户拥有的任何网格中的所有资源。
-
所有者和使用者可以修改账户创建的网格中的资源,但他们不能修改其他账户创建的资源。
-
消费者可以删除账户创建的网格中的任何资源。
-
所有者可以删除网格中任何账户创建的任何资源。
-
所有者的资源只能引用同一账户中的其他资源。例如,虚拟节点只能引Amazon Cloud Map用与虚拟节点所有者在同一个账户中的Amazon Certificate Manager证书。
-
所有者和消费者可以将 Envoy 代理作为账户拥有的虚拟节点连接到 App Mesh。
-
所有者可以创建虚拟网关和虚拟网关路由。
-
所有者和使用者可以列出标签,也可以标记/取消账户创建的网格中的资源。他们无法在网格中列出标签和标记/取消标记不是账户创建的资源。
共享网格从支持账户级允许所有授权迁移到基于策略的授权。此次推出之前共享的任何网格都使用前一种策略,而在此推出之后共享的任何网格都使用后一种策略。
通过基于策略的授权,可以与一组固定权限共享网格。选择这些权限将添加到资源策略中,也可以基于 IAM 用户/角色选择可选的 IAM 策略。这些策略中允许的权限交集,减去任何被拒绝的显式权限,决定了委托人对网格的访问权限。
资源策略中添加的权限集是固定的,由Amazon Resource Access Manager (Amazon RAM) 确定:
-
appmesh:CreateVirtualNode -
appmesh:CreateVirtualRouter -
appmesh:CreateRoute -
appmesh:CreateVirtualService -
appmesh:UpdateVirtualNode -
appmesh:UpdateVirtualRouter -
appmesh:UpdateRoute -
appmesh:UpdateVirtualService -
appmesh:ListVirtualNodes -
appmesh:ListVirtualRouters -
appmesh:ListRoutes -
appmesh:ListVirtualServices -
appmesh:DescribeMesh -
appmesh:DescribeVirtualNode -
appmesh:DescribeVirtualRouter -
appmesh:DescribeRoute -
appmesh:DescribeVirtualService -
appmesh:DeleteVirtualNode -
appmesh:DeleteVirtualRouter -
appmesh:DeleteRoute -
appmesh:DeleteVirtualService
注意
此集合不包括某些权限,例如appmesh:TagResources。如果需要appmesh:TagResources访问权限,我们可以将您的账户映射到账户级别的允许所有授权策略,直到我们启动对的支持appmesh:TagResources。
共享网格的先决条件
要共享一个网格,必须满足以下先决条件。
-
您必须拥有Amazon账户中的网格。无法共享已与您共享的网格。
-
要与您的组织或内的组织部门共享网格Amazon Organizations,必须允许与共享Amazon Organizations。有关更多信息,请参阅《Amazon RAM 用户指南》中的允许与 Amazon Organizations 共享。
-
您的服务必须部署在 Amazon VPC 中,该账户之间具有共享连接,其中包括您想要相互通信的网状资源。共享网络连接的一种方法是将要在网格中使用的所有服务部署到共享子网。有关更多信息和限制,请参阅共享子网。
-
服务必须可通过 DNS 或Amazon Cloud Map. 有关服务发现的更多信息,请参阅虚拟节点。
相关服务
网格共享与Amazon Resource Access Manager (Amazon RAM) 集成。 Amazon RAM是一项使您能够与任何Amazon账户或通过以下方式共享Amazon资源的服务Amazon Organizations。利用 Amazon RAM,您可通过创建资源共享来共享您拥有的资源。资源共享指定要共享的资源以及与之共享资源的使用者。使用者可以是单个 Amazon 账户或 Amazon Organizations 中的组织部门或整个组织。
有关 Amazon RAM 的更多信息,请参阅 Amazon RAM 用户指南。
共享网格
共享网格使不同账户创建的网格资源能够在同一个网格中相互通信。只能共享自己拥有的已网格。要共享一个网格,必须将它添加到资源共享。资源共享是一项 Amazon RAM 资源,可让您跨 Amazon 账户共享资源。资源共享指定要共享的资源以及与您共享这些资源的使用者。在使用 Amazon Linux 控制台共享一个网格,必须将它添加到现有资源共享。要将网格添加到新的资源共享,请使用Amazon RAM控制台
如果您是中某组织的一部分Amazon Organizations并且已在您的组织中启用共享,组织中的使用者将自动获得对共享网格的访问权限。否则,使用者会收到加入资源共享的邀请,并在接受邀请后获得对共享网格的访问权限。
您可以使用Amazon RAM控制台或共享自己拥有的网格Amazon CLI。
使用Amazon RAM控制台共享您拥有的已网格
有关说明,请参阅Amazon RAM用户指南中的创建资源共享。选择资源类型时,选择网格,然后选择要共享的网格。如果未列出网格,请先创建网格。有关更多信息,请参阅创建服务网格:
使用共享您拥有的已已已已已已已已已已已已已格Amazon CLI
使用 create-resource-share 命令。对于该--resource-arns选项,请指定要共享的网格的 ARN。
将已共享的网格
取消共享网格时,App Mesh 会禁用该网格以前的使用者进一步访问该网格。但是,App Mesh 不会删除消费者创建的资源。取消共享网格后,只有网格所有者才能访问和删除资源。App Mesh 阻止在网格中拥有资源的账户在网格取消共享后接收配置信息。App Mesh 还防止在网格中拥有资源的任何其他账户从非共享网格接收配置信息。只有网格的拥有者可以取消共享。
要取消共享,必须从资源共享中将其删除。您可以使用 Amazon RAM 控制台或 Amazon CLI 以执行该操作。
使用Amazon RAM控制台取消共享您拥有的已已已已已已已已已已已已已已已已
有关说明,请参阅Amazon RAM用户指南中的更新资源共享。
使用取消共享您拥有的已已已已已已已已已已已已已已已已Amazon CLI
使用 disassociate-resource-share 命令。
标识共享的网格
拥有者和使用者可以使用 Amazon Linux 控制台和标识共享的网格和网格Amazon CLI
使用 Amazon Linux 控制台标识共享的网格
-
通过 https://console.aws.amazon.com/appmesh/
打开 App Mesh 控制台。 -
从左侧导航中选择 Meshes。网格所有者列中列出了每个网格的网格所有者的账户 ID。
-
从左侧导航栏中选择虚拟服务、虚拟路由器或虚拟节点。您可以看到每个资源的网格所有者和资源所有者的账户 ID。
要识别共享网格,请使用Amazon CLI
使用aws appmesh list 命令,例如resourceaws appmesh list-meshes。该命令返回您拥有的网格,以及与您共享的网格。该meshOwner属性显示的Amazon账户 IDmeshOwner,该resourceOwner属性显示资源所有者的Amazon账户 ID。对任何网格资源运行的任何命令都会返回这些属性。
您附加到已共享网格的用户定义标签仅适用于您的Amazon Web Services 账户。它们不适用于与之共享网格的其他账户。拒绝访问另一个账户中的网格的aws appmesh list-tags-for-resource命令。
计费和计量
共享网格,不会产生任何网格。
实例配额
无论谁在网格中创建了资源,网格的所有配额也适用于共享网格。只有网格所有者才能请求增加配额。有关更多信息,请参阅App Mesh 服务配额:该Amazon Resource Access Manager服务也有配额。有关更多信息,请参阅 Service Quotas。