Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans AWS App Mesh
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à AWS App Mesh, veuillez consulter [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/) (français non garanti). App Mesh est chargé de fournir en toute sécurité la configuration aux proxys locaux, y compris les secrets tels que les clés privées des certificats TLS.
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d'autres facteurs, notamment :
+ La sensibilité de vos données, les exigences de votre entreprise et les lois et réglementations applicables.
+ La configuration de sécurité du plan de données App Mesh, y compris la configuration des groupes de sécurité qui permettent au trafic de passer entre les services au sein de votre VPC.
+ La configuration de vos ressources de calcul associées à App Mesh.
+ Les politiques IAM associées à vos ressources de calcul et la configuration qu'elles sont autorisées à récupérer depuis le plan de contrôle App Mesh.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation d'App Mesh. Les rubriques suivantes expliquent comment configurer App Mesh pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos ressources App Mesh.
**Principe de sécurité de l'App Mesh**
Les clients doivent être en mesure de régler la sécurité selon leurs besoins. La plate-forme ne doit pas les empêcher d'être plus sécurisés. Les fonctionnalités de la plateforme sont sécurisées par défaut.
**Topics**
+ [Protocole TLS (Transport Layer Security)](tls.md)
+ [Authentification TLS mutuelle](mutual-tls.md)
+ [Comment AWS App Mesh fonctionne avec IAM](security-iam.md)
+ [Journalisation des appels AWS App Mesh d'API à l'aide AWS CloudTrail](logging-using-cloudtrail.md)
+ [Protection des données dans AWS App Mesh](data-protection.md)
+ [Validation de conformité pour AWS App Mesh](compliance.md)
+ [Sécurité de l'infrastructure dans AWS App Mesh](infrastructure-security.md)
+ [Résilience dans AWS App Mesh](disaster-recovery-resiliency.md)
+ [Analyse de configuration et de vulnérabilité dans AWS App Mesh](configuration-vulnerability-analysis.md)
# Protocole TLS (Transport Layer Security)
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Dans App Mesh, Transport Layer Security (TLS) chiffre les communications entre les proxys Envoy déployés sur les ressources informatiques représentées dans App Mesh par des points de terminaison du maillage, tels que et. [Nœuds virtuels](virtual_nodes.md) [Passerelles virtuelles](virtual_gateways.md) Le proxy négocie et met fin au protocole TLS. Lorsque le proxy est déployé avec une application, le code de votre application n'est pas responsable de la négociation d'une session TLS. Le proxy négocie le protocole TLS pour le compte de votre application.
App Mesh vous permet de fournir le certificat TLS au proxy de la manière suivante :
+ Un certificat privé de AWS Certificate Manager (ACM) émis par un AWS Autorité de certification privée (AWS CA privée).
+ Certificat stocké sur le système de fichiers local d'un nœud virtuel émis par votre propre autorité de certification (CA)
+ Certificat fourni par un point de terminaison SDS (Secrets Discovery Service) via un socket de domaine Unix local.
[Autorisation Envoy Proxy](proxy-authorization.md)doit être activé pour le proxy Envoy déployé représenté par un point de terminaison maillé. Lorsque vous activez l'autorisation du proxy, nous vous recommandons de restreindre l'accès uniquement au point de terminaison maillé pour lequel vous activez le chiffrement.
## Exigences du certificat
L'un des noms alternatifs du sujet (SANs) figurant sur le certificat doit répondre à des critères spécifiques, en fonction de la manière dont le service réel représenté par un point de terminaison du maillage est découvert.
+ **DNS** — L'un des certificats SANs doit correspondre à la valeur fournie dans les paramètres de découverte du service DNS. Pour une application portant le nom Service Discovery`mesh-endpoint.apps.local`, vous pouvez créer un certificat correspondant à ce nom ou un certificat avec le caractère générique`*.apps.local`.
+ **AWS Cloud Map**— L'un des certificats SANs doit correspondre à la valeur fournie dans les paramètres de découverte du AWS Cloud Map service à l'aide du format`service-name.namespace-name`. Pour une application dont les paramètres de découverte de AWS Cloud Map service sont ServiceName `mesh-endpoint` et NamespaceName`apps.local`, vous pouvez créer un certificat correspondant au nom `mesh-endpoint.apps.local` ou un certificat avec le caractère générique `*.apps.local.`
Pour les deux mécanismes de découverte, si aucun certificat ne SANs correspond aux paramètres de découverte du service DNS, la connexion entre Envoys échoue avec le message d'erreur suivant, comme indiqué par le client Envoy.
```
TLS error: 268435581:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED
```
## Certificats d'authentification TLS
App Mesh prend en charge plusieurs sources de certificats lors de l'utilisation de l'authentification TLS.
**AWS CA privée**
Le certificat doit être stocké dans ACM dans la même région et dans le même AWS compte que le point de terminaison du maillage qui utilisera le certificat. Le certificat de l'autorité de certification ne doit pas nécessairement se trouver dans le même AWS compte, mais il doit tout de même se trouver dans la même région que le point de terminaison du maillage. Si vous n'en avez pas Autorité de certification privée AWS, vous devez en [créer un](https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreateCa.html) avant de pouvoir lui demander un certificat. Pour plus d'informations sur la demande d'un certificat auprès d'un utilisateur AWS CA privée ACM existant, consultez la section [Demander un certificat privé](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html). Le certificat ne peut pas être un certificat public.
Le privé CAs que vous utilisez pour les politiques du client TLS doit être un utilisateur CAs root.
Pour configurer un nœud virtuel avec des certificats et CAs depuis AWS CA privée, le principal (tel qu'un utilisateur ou un rôle) que vous utilisez pour appeler App Mesh doit disposer des autorisations IAM suivantes :
+ Pour tous les certificats que vous ajoutez à la configuration TLS d'un écouteur, le principal doit disposer de l'`acm:DescribeCertificate`autorisation.
+ Pour toute politique CAs configurée sur un client TLS, le principal doit avoir l'`acm-pca:DescribeCertificateAuthority`autorisation.
Le partage CAs avec d'autres comptes peut conférer à ces comptes des privilèges involontaires à l'autorité de certification. Nous recommandons d'utiliser des politiques basées sur les ressources afin de restreindre l'accès aux seuls `acm-pca:DescribeCertificateAuthority` comptes qui n'ont pas besoin d'émettre de certificats auprès de l'autorité de certification. `acm-pca:GetCertificateAuthorityCertificate`
Vous pouvez ajouter ces autorisations à une stratégie IAM existante attachée à un principal ou créer un nouveau principal et une nouvelle stratégie et associer la stratégie au principal. Pour plus d'informations, consultez les sections [Modification des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html), [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) et [Ajout d'autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console).
Vous payez des frais mensuels pour le fonctionnement de chacune d'elles AWS CA privée jusqu'à ce que vous les supprimiez. Vous payez également pour les certificats privés que vous émettez chaque mois et pour les certificats privés que vous exportez. Pour plus d’informations, consultez [Tarification d’AWS Certificate Manager](https://aws.amazon.com//certificate-manager/pricing/).
Lorsque vous activez l'[autorisation de proxy](proxy-authorization.md) pour le proxy Envoy représenté par un point de terminaison maillé, les autorisations IAM suivantes doivent être attribuées au rôle IAM que vous utilisez :
+ Pour tous les certificats configurés sur l'écouteur d'un nœud virtuel, le rôle doit disposer de l'`acm:ExportCertificate`autorisation.
+ Pour toute politique de client CAs configurée sur une base TLS, le rôle doit disposer de l'`acm-pca:GetCertificateAuthorityCertificate`autorisation.
**Système de fichiers**
Vous pouvez distribuer des certificats à Envoy à l'aide du système de fichiers. Vous pouvez le faire en rendant la chaîne de certificats et la clé privée correspondante disponibles sur le chemin du fichier. De cette façon, ces ressources sont accessibles depuis le proxy du sidecar Envoy.
**Service de découverte secrète (SDS) d'Envoy**
Envoy récupère des secrets tels que des certificats TLS à partir d'un point de terminaison spécifique via le protocole Secrets Discovery. Pour plus d'informations sur ce protocole, consultez la [documentation SDS](https://www.envoyproxy.io/docs/envoy/latest/configuration/security/secret) d'Envoy.
App Mesh configure le proxy Envoy pour qu'il utilise un socket de domaine Unix local au proxy pour servir de point de terminaison du Secret Discovery Service (SDS) lorsque le SDS sert de source pour vos certificats et chaînes de certificats. Vous pouvez configurer le chemin d'accès à ce point de terminaison à l'aide de la variable d'`APPMESH_SDS_SOCKET_PATH`environnement.
Le service Local Secrets Discovery utilisant un socket de domaine Unix est pris en charge sur les versions 1.15.1.0 et ultérieures du proxy App Mesh Envoy.
App Mesh prend en charge le protocole V2 SDS à l'aide de gRPC.
**Intégration à l'environnement d'exécution SPIFFE (SPIRE)**
Vous pouvez utiliser n'importe quelle implémentation parallèle de l'API SDS, y compris les chaînes d'outils existantes telles que [SPIFFE Runtime Environment (SPIRE](https://github.com/spiffe/spire)). SPIRE est conçu pour permettre le déploiement de l'authentification TLS mutuelle entre plusieurs charges de travail dans des systèmes distribués. Il atteste l'identité des charges de travail au moment de l'exécution. SPIRE fournit également des clés et des certificats spécifiques aux charges de travail, de courte durée et en rotation automatique directement vers les charges de travail.
Vous devez configurer l'agent SPIRE en tant que fournisseur SDS pour Envoy. Permettez-lui de fournir directement à Envoy le matériel clé dont il a besoin pour fournir une authentification TLS mutuelle. Exécutez les agents SPIRE dans des sidecars situés à côté des proxys Envoy. L'agent se charge de régénérer les clés et les certificats éphémères selon les besoins. L'agent atteste Envoy et détermine les identités de service et les certificats CA qu'il doit mettre à la disposition d'Envoy lorsqu'Envoy se connecte au serveur SDS exposé par l'agent SPIRE.
Au cours de ce processus, les identités de service et les certificats CA font l'objet d'une rotation, et les mises à jour sont renvoyées à Envoy. Envoy les applique immédiatement aux nouvelles connexions, sans interruption ni interruption et sans que les clés privées ne touchent le système de fichiers.
## Comment App Mesh configure Envoys pour négocier le TLS
App Mesh utilise la configuration des points de terminaison du maillage du client et du serveur pour déterminer comment configurer la communication entre les envoyés dans un maillage.
**Avec les politiques du client**
Lorsqu'une politique client impose l'utilisation du protocole TLS et que l'un des ports de la politique client correspond au port de la stratégie du serveur, la stratégie client est utilisée pour configurer le contexte de validation TLS du client. Par exemple, si la politique client d'une passerelle virtuelle correspond à la politique de serveur d'un nœud virtuel, une négociation TLS sera tentée entre les proxys en utilisant les paramètres définis dans la politique client de la passerelle virtuelle. Si la politique du client ne correspond pas au port de la politique du serveur, le protocole TLS entre les proxys peut être négocié ou non, en fonction des paramètres TLS de la politique du serveur.
**Sans politiques relatives aux clients**
Si le client n'a pas configuré de politique client ou si celle-ci ne correspond pas au port du serveur, App Mesh utilisera le serveur pour déterminer s'il convient ou non de négocier le protocole TLS avec le client, et comment. Par exemple, si une passerelle virtuelle n'a pas spécifié de politique client et qu'un nœud virtuel n'a pas configuré la terminaison TLS, le protocole TLS ne sera pas négocié entre les proxys. Si aucun client n'a spécifié de politique client correspondante et qu'un serveur a été configuré avec les modes `STRICT` TLS`PERMISSIVE`, les proxys seront configurés pour négocier le protocole TLS. En fonction de la manière dont les certificats ont été fournis pour la terminaison du protocole TLS, le comportement supplémentaire suivant s'applique.
+ **Certificats TLS gérés par ACM** — Lorsqu'un serveur a configuré la terminaison TLS à l'aide d'un certificat géré par ACM, App Mesh configure automatiquement les clients pour négocier le protocole TLS et valider le certificat auprès de l'autorité de certification de l'utilisateur racine à laquelle le certificat est lié.
+ **Certificats TLS basés sur des fichiers** : lorsqu'un serveur a configuré la terminaison TLS à l'aide d'un certificat issu du système de fichiers local du proxy, App Mesh configure automatiquement un client pour négocier le protocole TLS, mais le certificat du serveur n'est pas validé.
**Noms alternatifs du sujet**
Vous pouvez éventuellement spécifier une liste de noms alternatifs de sujets (SANs) auxquels vous pouvez faire confiance. SANs doit être au format FQDN ou URI. S' SANs ils sont fournis, Envoy vérifie que le nom alternatif du sujet du certificat présenté correspond à l'un des noms de cette liste.
Si vous ne spécifiez pas SANs le point de terminaison du maillage, le proxy Envoy pour ce nœud ne vérifie pas le SAN sur un certificat client homologue. Si vous ne spécifiez pas SANs le point de terminaison d'origine, le SAN du certificat fourni par le point de terminaison doit correspondre à la configuration du service de découverte du point de terminaison du point de terminaison.
Pour plus d'informations, consultez App Mesh [TLS : Exigences relatives aux certificats](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html#virtual-node-tls-prerequisites).
Vous ne pouvez utiliser un caractère générique que SANs si la politique client pour TLS est définie sur. `not enforced` Si la politique client du nœud virtuel ou de la passerelle virtuelle du client est configurée pour appliquer le protocole TLS, il ne peut pas accepter un SAN générique.
## Vérifier le chiffrement
Une fois que vous avez activé le protocole TLS, vous pouvez interroger le proxy Envoy pour confirmer que les communications sont cryptées. Le proxy Envoy émet des statistiques sur les ressources qui peuvent vous aider à déterminer si votre communication TLS fonctionne correctement. Par exemple, le proxy Envoy enregistre des statistiques sur le nombre de handshakes TLS réussis qu'il a négociés pour un point de terminaison de maillage spécifié. Déterminez le nombre de handshakes TLS réussis pour un point de terminaison de maillage nommé à l'`my-mesh-endpoint`aide de la commande suivante.
```
curl -s 'http://my-mesh-endpoint.apps.local:9901/stats' | grep ssl.handshake
```
Dans l'exemple de sortie renvoyé suivant, il y a eu trois poignées de main pour le point de terminaison du maillage. La communication est donc cryptée.
```
listener.0.0.0.0_15000.ssl.handshake: 3
```
Le proxy Envoy émet également des statistiques lorsque la négociation TLS échoue. Déterminez s'il y a eu des erreurs TLS pour le point de terminaison du maillage.
```
curl -s 'http://my-mesh-endpoint.apps.local:9901/stats' | grep -e "ssl.*\(fail\|error\)"
```
Dans l'exemple renvoyé, aucune erreur n'a été détectée pour plusieurs statistiques. La négociation TLS a donc réussi.
```
listener.0.0.0.0_15000.ssl.connection_error: 0
listener.0.0.0.0_15000.ssl.fail_verify_cert_hash: 0
listener.0.0.0.0_15000.ssl.fail_verify_error: 0
listener.0.0.0.0_15000.ssl.fail_verify_no_cert: 0
listener.0.0.0.0_15000.ssl.ssl.fail_verify_san: 0
```
Pour plus d'informations sur les statistiques Envoy TLS, consultez [Envoy Listener](https://www.envoyproxy.io/docs/envoy/latest/configuration/listeners/stats) Statistics.
## Renouvellement des certificats
**AWS CA privée**
Lorsque vous renouvelez un certificat auprès d'ACM, le certificat renouvelé est automatiquement distribué à vos proxys connectés dans les 35 minutes suivant la fin du renouvellement. Nous vous recommandons d'utiliser le renouvellement géré pour renouveler automatiquement les certificats à l'approche de la fin de leur période de validité. Pour plus d'informations, consultez la section [Gestion du renouvellement des certificats émis par Amazon par ACM](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) dans le guide de l' AWS Certificate Manager utilisateur.
**Votre propre certificat**
Lorsque vous utilisez un certificat issu du système de fichiers local, Envoy ne le recharge pas automatiquement lorsqu'il est modifié. Vous pouvez redémarrer ou redéployer le processus Envoy pour charger un nouveau certificat. Vous pouvez également placer un nouveau certificat sur un chemin de fichier différent et mettre à jour la configuration du nœud virtuel ou de la passerelle avec ce chemin de fichier.
## Configurer les charges de travail Amazon ECS pour utiliser l'authentification TLS avec AWS App Mesh
Vous pouvez configurer votre maillage pour utiliser l'authentification TLS. Assurez-vous que les certificats sont disponibles pour les sidecars proxy Envoy que vous ajoutez à vos charges de travail. Vous pouvez associer un volume EBS ou EFS à votre sidecar Envoy, ou vous pouvez stocker et récupérer des certificats depuis Secrets Manager AWS .
+ Si vous utilisez la distribution de certificats basée sur des fichiers, attachez un volume EBS ou EFS à votre sidecar Envoy. Assurez-vous que le chemin d'accès au certificat et à la clé privée correspond à celui configuré dans AWS App Mesh.
+ Si vous utilisez une distribution basée sur le SDS, ajoutez un sidecar qui implémente l'API SDS d'Envoy avec accès au certificat.
**Note**
SPIRE n'est pas pris en charge sur Amazon ECS.
## Configurer les charges de travail Kubernetes pour utiliser l'authentification TLS avec AWS App Mesh
Vous pouvez configurer le AWS App Mesh Controller for Kubernetes pour activer l'authentification TLS pour les backends et les écouteurs des services de nœuds virtuels et de passerelle virtuelle. Assurez-vous que les certificats sont disponibles pour les sidecars proxy Envoy que vous ajoutez à vos charges de travail. Vous trouverez un exemple pour chaque type de distribution dans la section de [présentation de](https://docs.aws.amazon.com/app-mesh/latest/userguide/mutual-tls.html#mtls-walkthrough) l'authentification TLS mutuelle.
+ Si vous utilisez la distribution de certificats basée sur des fichiers, attachez un volume EBS ou EFS à votre sidecar Envoy. Assurez-vous que le chemin d'accès au certificat et à la clé privée correspond à celui configuré dans le contrôleur. Vous pouvez également utiliser un secret Kubernetes monté sur le système de fichiers.
+ Si vous utilisez une distribution basée sur SDS, vous devez configurer un fournisseur SDS local de nœuds qui implémente l'API SDS d'Envoy. Envoy l'atteindra via UDS. Pour activer la prise en charge des MTLs basés sur le SDS dans le AppMesh contrôleur EKS, définissez l'`enable-sds`indicateur sur `true` et fournissez le chemin UDS du fournisseur SDS local au contrôleur via l'indicateur. `sds-uds-path` Si vous utilisez helm, vous devez les configurer dans le cadre de l'installation de votre contrôleur :
```
--set sds.enabled=true
```
**Note**
Vous ne pourrez pas utiliser SPIRE pour distribuer vos certificats si vous utilisez Amazon Elastic Kubernetes Service (Amazon EKS) en mode Fargate.
# Authentification TLS mutuelle
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
L'authentification mutuelle TLS (Transport Layer Security) est un composant facultatif du protocole TLS qui offre une authentification bidirectionnelle entre pairs. L'authentification TLS mutuelle ajoute une couche de sécurité par rapport au protocole TLS et permet à vos services de vérifier le client qui établit la connexion.
Dans la relation client-serveur, le client fournit également un certificat X.509 pendant le processus de négociation de session. Le serveur utilise ce certificat pour identifier et authentifier le client. Ce processus permet de vérifier si le certificat est émis par une autorité de certification (CA) fiable et s'il s'agit d'un certificat valide. Il utilise également le nom alternatif du sujet (SAN) figurant sur le certificat pour identifier le client.
Vous pouvez activer l'authentification TLS mutuelle pour tous les protocoles pris en charge par AWS App Mesh. Il s'agit de TCP, HTTP/1.1, HTTP/2, gRPC.
**Note**
À l'aide d'App Mesh, vous pouvez configurer l'authentification TLS mutuelle pour les communications entre les proxys Envoy à partir de vos services. Cependant, les communications entre vos applications et les proxys Envoy ne sont pas cryptées.
## Certificats d'authentification TLS mutuels
AWS App Mesh prend en charge deux sources de certificats possibles pour l'authentification TLS mutuelle. Les certificats client dans une politique client TLS et la validation du serveur dans une configuration TLS d'écouteur peuvent être obtenus auprès de :
+ **Système de fichiers :** certificats provenant du système de fichiers local du proxy Envoy en cours d'exécution. Pour distribuer des certificats à Envoy, vous devez fournir des chemins de fichiers pour la chaîne de certificats et une clé privée vers l'API App Mesh.
+ **Service de découverte secrète (SDS) d'Envoy :** des Bring-your-own sidecars qui implémentent le SDS et autorisent l'envoi de certificats à Envoy. Ils incluent l'environnement d'exécution SPIFFE (SPIRE).
**Important**
App Mesh ne stocke pas les certificats ou les clés privées utilisés pour l'authentification TLS mutuelle. Au lieu de cela, Envoy les stocke en mémoire.
## Configurer les points de terminaison du maillage
Configurez l'authentification TLS mutuelle pour vos points de terminaison maillés, tels que les nœuds virtuels ou les passerelles. Ces points de terminaison fournissent des certificats et spécifient des autorités fiables.
Pour ce faire, vous devez fournir des certificats X.509 à la fois pour le client et pour le serveur, et définir explicitement les certificats d'autorité de confiance dans le contexte de validation de la terminaison et de l'origine du protocole TLS.
**La confiance à l'intérieur d'un maillage**
Les certificats côté serveur sont configurés dans les écouteurs Virtual Node (terminaison TLS), et les certificats côté client sont configurés dans les backends du service Virtual Nodes (origine TLS). Comme alternative à cette configuration, vous pouvez définir une politique client par défaut pour tous les backends de services d'un nœud virtuel, puis, si nécessaire, vous pouvez remplacer cette politique pour des backends spécifiques selon les besoins. Les passerelles virtuelles ne peuvent être configurées qu'avec une politique client par défaut qui s'applique à tous ses backends.
Vous pouvez configurer la confiance entre différents maillages en activant l'authentification TLS mutuelle pour le trafic entrant sur les passerelles virtuelles pour les deux maillages.
**Confiance en dehors d'un maillage**
Spécifiez les certificats côté serveur dans l'écouteur Virtual Gateway pour la terminaison TLS. Configurez le service externe qui communique avec votre passerelle virtuelle pour présenter les certificats côté client. Les certificats doivent être dérivés de l'une des mêmes autorités de certification (CAs) que les certificats côté serveur utilisent sur l'écouteur Virtual Gateway pour la création du protocole TLS.
## Migrer les services vers l'authentification TLS mutuelle
Suivez ces directives pour maintenir la connectivité lors de la migration de vos services existants dans App Mesh vers l'authentification TLS mutuelle.
**Migration des services communiquant en texte brut**
1. Activer le `PERMISSIVE` mode pour la configuration TLS sur le point de terminaison du serveur. Ce mode permet au trafic en texte brut de se connecter au point de terminaison.
1. Configurez l'authentification TLS mutuelle sur votre serveur, en spécifiant le certificat du serveur, la chaîne de confiance et éventuellement le certificat de confiance SANs.
1. Vérifiez que la communication s'effectue via une connexion TLS.
1. Configurez l'authentification TLS mutuelle sur vos clients, en spécifiant le certificat client, la chaîne de confiance et éventuellement le certificat de confiance SANs.
1. `STRICT`Mode d'activation pour la configuration TLS sur le serveur.
**Migration des services communiquant via TLS**
1. Configurez les paramètres TLS mutuels sur vos clients, en spécifiant le certificat client et éventuellement le certificat de confiance SANs. Le certificat client n'est envoyé à son serveur principal qu'une fois que le serveur principal l'a demandé.
1. Configurez les paramètres TLS mutuels sur votre serveur, en spécifiant la chaîne de confiance et éventuellement la chaîne de confiance SANs. Pour cela, votre serveur demande un certificat client.
## Vérification de l'authentification TLS mutuelle
Vous pouvez vous référer à la documentation [Transport Layer Security : Verify encryption](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html#verify-encryption) pour savoir exactement comment Envoy émet les statistiques relatives au TLS. Pour l'authentification TLS mutuelle, vous devez vérifier les statistiques suivantes :
+ `ssl.handshake`
+ `ssl.no_certificate`
+ `ssl.fail_verify_no_cert`
+ `ssl.fail_verify_san`
Les deux exemples de statistiques suivants montrent ensemble que les connexions TLS réussies aboutissant au nœud virtuel proviennent toutes d'un client qui a fourni un certificat.
```
listener.0.0.0.0_15000.ssl.handshake: 3
```
```
listener.0.0.0.0_15000.ssl.no_certificate: 0
```
L'exemple de statistique suivant montre que les connexions entre un nœud client virtuel (ou passerelle) et un nœud virtuel principal ont échoué. Le nom alternatif du sujet (SAN) présenté dans le certificat du serveur ne correspond à aucun des noms SANs approuvés par le client.
```
cluster.cds_egress_my-mesh_my-backend-node_http_9080.ssl.fail_verify_san: 5
```
## Procédures pas à pas de l'authentification TLS mutuelle App Mesh
+ [Procédure pas à pas de l'authentification TLS mutuelle](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-mutual-tls-file-provided) : cette procédure explique comment utiliser l'App Mesh CLI pour créer une application couleur avec authentification TLS mutuelle.
+ [Procédure pas à pas basée sur Amazon EKS Mutual TLS SDS](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-k8s-mtls-sds-based) : cette présentation explique comment utiliser l'authentification mutuelle basée sur TLS SDS avec Amazon EKS et SPIFFE Runtime Environment (SPIRE).
+ [Procédure pas à pas basée sur des fichiers TLS mutuels Amazon EKS](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-k8s-mtls-file-based) : cette présentation explique comment utiliser l'authentification mutuelle basée sur des fichiers TLS avec Amazon EKS et SPIFFE Runtime Environment (SPIRE).
# Comment AWS App Mesh fonctionne avec IAM
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources App Mesh. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment AWS App Mesh fonctionne avec IAM](security_iam_service-with-iam.md)
+ [AWS App Mesh exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md)
+ [AWS politiques gérées pour App Mesh](security-iam-awsmanpol.md)
+ [Utilisation de rôles liés à un service pour App Mesh](using-service-linked-roles.md)
+ [Autorisation Envoy Proxy](proxy-authorization.md)
+ [Résolution des problèmes AWS App Mesh d'identité et d'accès](security_iam_troubleshoot.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes AWS App Mesh d'identité et d'accès](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment AWS App Mesh fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [AWS App Mesh exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Listes de contrôle d'accès (ACLs)
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment AWS App Mesh fonctionne avec IAM
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Avant d'utiliser IAM pour gérer l'accès à App Mesh, vous devez connaître les fonctionnalités IAM disponibles avec App Mesh. Pour obtenir une vue d'ensemble de la façon dont App Mesh et les autres AWS services fonctionnent avec IAM, consultez la section [AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le guide de l'utilisateur *IAM*.
**Topics**
+ [Politiques basées sur l'identité App Mesh](#security_iam_service-with-iam-id-based-policies)
+ [Politiques basées sur les ressources App Mesh](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisation basée sur les tags App Mesh](#security_iam_service-with-iam-tags)
+ [Rôles IAM d'App Mesh](#security_iam_service-with-iam-roles)
## Politiques basées sur l'identité App Mesh
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. App Mesh prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions politiques dans App Mesh utilisent le préfixe suivant avant l'action :`appmesh:`. Par exemple, pour autoriser une personne à répertorier les maillages d'un compte avec l'opération `appmesh:ListMeshes` API, vous devez inclure l'`appmesh:ListMeshes`action dans sa politique. Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`.
Pour spécifier plusieurs actions dans une seule instruction, séparez-les par des virgules, comme suit :
```
"Action": [
"appmesh:ListMeshes",
"appmesh:ListVirtualNodes"
]
```
Vous pouvez aussi préciser plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Describe`, incluez l’action suivante.
```
"Action": "appmesh:Describe*"
```
Pour consulter la liste des actions App Mesh, consultez la section [Actions définies par AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions) dans le *guide de l'utilisateur IAM*.
### Ressources
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
La `mesh` ressource App Mesh possède l'ARN suivant.
```
arn:${Partition}:appmesh:${Region}:${Account}:mesh/${MeshName}
```
Pour plus d'informations sur le format de ARNs, consultez [Amazon Resource Names (ARNs) et AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Par exemple, pour spécifier le maillage nommé *apps* dans la *Region-code* région dans votre instruction, utilisez l'ARN suivant.
```
arn:aws:appmesh:Region-code:111122223333:mesh/apps
```
Pour spécifier toutes les instances qui appartiennent à un compte spécifique, utilisez le caractère générique (\$1).
```
"Resource": "arn:aws:appmesh:Region-code:111122223333:mesh/*"
```
Certaines actions App Mesh, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (\$1).
```
"Resource": "*"
```
De nombreuses actions de l'API App Mesh impliquent plusieurs ressources. Par exemple, `CreateRoute` crée une route avec une cible de nœud virtuel, de sorte qu'un utilisateur IAM doit être autorisé à utiliser la route et le nœud virtuel. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules.
```
"Resource": [
"arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualRouter/serviceB/route/*",
"arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualNode/serviceB"
]
```
Pour consulter la liste des types de ressources App Mesh et leurs caractéristiques ARNs, consultez la section [Ressources définies par AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-resources-for-iam-policies) dans le *guide de l'utilisateur IAM*. Pour savoir grâce à quelles actions vous pouvez spécifier l’ARN de chaque ressource, consultez [Actions définies par AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions).
### Clés de condition
App Mesh prend en charge l'utilisation de certaines clés de condition globales. Pour afficher toutes les clés de condition globales AWS , consultez la rubrique [Clés de contexte de condition globale AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *Guide de l’utilisateur IAM*. Pour consulter la liste des clés de condition globales prises en charge par App Mesh, consultez la section [Clés de condition correspondantes AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-policy-keys) dans le *guide de l'utilisateur IAM*. Pour savoir quelles actions et ressources vous pouvez utiliser avec une clé de condition, consultez la section [Actions définies par AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions).
### Exemples
Pour consulter des exemples de politiques basées sur l'identité App Mesh, consultez. [AWS App Mesh exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md)
## Politiques basées sur les ressources App Mesh
App Mesh ne prend pas en charge les politiques basées sur les ressources. Toutefois, si vous utilisez le service AWS Resource Access Manager (AWS RAM) pour partager un maillage entre les AWS services, une politique basée sur les ressources est appliquée à votre maillage par le AWS RAM service. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations pour un maillage](sharing.md#sharing-permissions-resource).
## Autorisation basée sur les tags App Mesh
Vous pouvez associer des tags aux ressources App Mesh ou transmettre des tags dans une demande à App Mesh. Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `appmesh:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Pour plus d'informations sur le balisage des ressources App Mesh, consultez la section Ressources de [balisage AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html).
Pour visualiser un exemple de politique basée sur l’identité permettant de limiter l’accès à une ressource en fonction des balises de cette ressource, consultez [Création de maillages App Mesh avec des balises restreintes](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags).
## Rôles IAM d'App Mesh
Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une entité de votre AWS compte qui dispose d'autorisations spécifiques.
### Utilisation d'informations d'identification temporaires avec App Mesh
Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
App Mesh prend en charge l'utilisation d'informations d'identification temporaires.
### Rôles liés à un service
Les [rôles liés aux](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s’affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
App Mesh prend en charge les rôles liés aux services. Pour plus d'informations sur la création ou la gestion des rôles liés au service App Mesh, consultez. [Utilisation de rôles liés à un service pour App Mesh](using-service-linked-roles.md)
### Rôles du service
Cette fonction permet à un service d’endosser une [fonction du service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service s’affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu’un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.
App Mesh ne prend pas en charge les rôles de service.
# AWS App Mesh exemples de politiques basées sur l'identité
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Par défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou à modifier des ressources App Mesh. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces politiques aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations.
Pour savoir comment créer une stratégie IAM basée sur l'identité à l'aide de ces exemples de documents de stratégie JSON, veuillez consulter [Création de stratégies dans l'onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l'utilisateur IAM*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la console App Mesh](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Création d'un maillage](#policy_example1)
+ [Répertorier et décrire tous les maillages](#policy_example2)
+ [Création de maillages App Mesh avec des balises restreintes](#security_iam_id-based-policy-examples-view-widget-tags)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources App Mesh dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la console App Mesh
Pour accéder à la AWS App Mesh console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les informations relatives aux ressources App Mesh de votre AWS compte. Si vous créez une politique basée sur l'identité qui est plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs et rôles IAM) tributaires de cette politique. Vous pouvez associer la politique `[AWSAppMeshReadOnly](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshReadOnly%24jsonEditor)` gérée aux utilisateurs. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API que vous tentez d’effectuer.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Création d'un maillage
Cet exemple montre comment créer une politique qui permet à un utilisateur de créer un maillage pour un compte, dans n'importe quelle région.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:CreateMesh",
"Resource": "arn:aws:appmesh:*:123456789012:CreateMesh"
}
]
}
```
------
## Répertorier et décrire tous les maillages
Cet exemple montre comment créer une politique permettant à un utilisateur d'accéder en lecture seule à la liste et à la description de tous les maillages.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appmesh:DescribeMesh",
"appmesh:ListMeshes"
],
"Resource": "*"
}
]
}
```
------
## Création de maillages App Mesh avec des balises restreintes
Vous pouvez utiliser des balises dans vos politiques IAM pour contrôler les balises qui peuvent être transmises dans la demande IAM. Vous pouvez spécifier les paires clé-valeur de balise qui peuvent être ajoutées, modifiées ou supprimées d'un utilisateur ou d'un rôle IAM. Cet exemple montre comment créer une politique permettant de créer un maillage, mais uniquement si le maillage est créé avec une balise nommée *teamName* et une valeur de*booksTeam*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:CreateMesh",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/teamName": "booksTeam"
}
}
}
]
}
```
------
Vous pouvez rattacher cette politique aux utilisateurs IAM de votre compte. Si un utilisateur tente de créer un maillage, celui-ci doit inclure une balise nommée `teamName` et une valeur de`booksTeam`. Si le maillage n'inclut pas cette balise et cette valeur, la tentative de création du maillage échoue. Pour plus d'informations, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
# AWS politiques gérées pour App Mesh
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AWSApp MeshServiceRolePolicy
Vous pouvez attacher `AWSAppMeshServiceRolePolicy` à vos entités IAM. Permet d'accéder aux AWS services et aux ressources utilisés ou gérés par AWS App Mesh.
Pour voir les autorisations de cette stratégie, consultez [AWSAppMeshServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshServiceRolePolicy.html) dans le *AWS Guide de référence des stratégies gérées par*.
Pour plus d'informations sur les détails des autorisations pour le`AWSAppMeshServiceRolePolicy`, voir [Autorisations de rôle liées à un service pour App Mesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/using-service-linked-roles.html#slr-permissions).
## AWS politique gérée : AWSApp MeshEnvoyAccess
Vous pouvez attacher `AWSAppMeshEnvoyAccess` à vos entités IAM. Politique d'App Mesh Envoy pour accéder à la configuration des nœuds virtuels.
Pour voir les autorisations de cette stratégie, consultez [AWSAppMeshEnvoyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshEnvoyAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
## AWS politique gérée : AWSApp MeshFullAccess
Vous pouvez attacher `AWSAppMeshFullAccess` à vos entités IAM. Fournit un accès complet au AWS App Mesh APIs et AWS Management Console.
Pour voir les autorisations de cette stratégie, consultez [AWSAppMeshFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshFullAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
## AWS politique gérée : AWSApp MeshPreviewEnvoyAccess
Vous pouvez attacher `AWSAppMeshPreviewEnvoyAccess` à vos entités IAM. Politique d'App Mesh Preview Envoy pour accéder à la configuration des nœuds virtuels.
Pour voir les autorisations de cette stratégie, consultez [AWSAppMeshPreviewEnvoyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshPreviewEnvoyAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
## AWS politique gérée : AWSApp MeshPreviewServiceRolePolicy
Vous pouvez attacher `AWSAppMeshPreviewServiceRolePolicy` à vos entités IAM. Permet d'accéder aux AWS services et aux ressources utilisés ou gérés par AWS App Mesh.
Pour voir les autorisations de cette stratégie, consultez [AWSAppMeshPreviewServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshPreviewServiceRolePolicy.html) dans le *AWS Guide de référence des stratégies gérées par*.
## AWS politique gérée : AWSApp MeshReadOnly
Vous pouvez attacher `AWSAppMeshReadOnly` à vos entités IAM. Fournit un accès en lecture seule au AWS App Mesh APIs et. AWS Management Console
Pour voir les autorisations de cette stratégie, consultez [AWSAppMeshReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshReadOnly.html) dans le *AWS Guide de référence des stratégies gérées par*.
## AWS App Mesh mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées AWS App Mesh depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique du document AWS App Mesh .
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSAppMeshFullAccess](#security-iam-awsmanpol-AWSAppMeshFullAccess)— Politique mise à jour. | Mis `AWSAppMeshFullAccess` à jour pour permettre l'accès au `TagResource` et `UntagResource`APIs. | 24 avril 2024 |
| [AWSAppMeshServiceRolePolicy](#security-iam-awsmanpol-AWSAppMeshServiceRolePolicy), [AWSServiceRoleForAppMesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/using-service-linked-roles.html#slr-permissions)— Politique mise à jour. | Mis à jour `AWSServiceRoleForAppMesh` et `AWSAppMeshServiceRolePolicy` pour permettre l'accès à l' AWS Cloud Map `DiscoverInstancesRevision`API. | 12 octobre 2023 |
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
# Utilisation de rôles liés à un service pour App Mesh
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
AWS App Mesh utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à App Mesh. Les rôles liés aux services sont prédéfinis par App Mesh et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration d'App Mesh, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. App Mesh définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul App Mesh peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos ressources App Mesh, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
## Autorisations de rôle liées à un service pour App Mesh
App Mesh utilise le rôle lié au service nommé **AWSServiceRoleForAppMesh**— Le rôle permet à App Mesh d'appeler AWS des services en votre nom.
Le rôle AWSService RoleForAppMesh lié au service fait confiance au `appmesh.amazonaws.com` service pour assumer le rôle.
**Détails de l'autorisation**
+ `servicediscovery:DiscoverInstances`‐ Permet à App Mesh d'effectuer des actions sur toutes les AWS ressources.
+ `servicediscovery:DiscoverInstancesRevision`‐ Permet à App Mesh d'effectuer des actions sur toutes les AWS ressources.
### AWSServiceRoleForAppMesh
Cette politique inclut les autorisations suivantes :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudMapServiceDiscovery",
"Effect": "Allow",
"Action": [
"servicediscovery:DiscoverInstances",
"servicediscovery:DiscoverInstancesRevision"
],
"Resource": "*"
},
{
"Sid": "ACMCertificateVerification",
"Effect": "Allow",
"Action": [
"acm:DescribeCertificate"
],
"Resource": "*"
}
]
}
```
------
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour en savoir plus, consultez [Service-Linked Role Permissions (autorisations du rôle lié à un service)](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour App Mesh
Si vous avez créé un maillage après le 5 juin 2019 dans l' AWS Management Console AWS API AWS CLI, App Mesh a créé le rôle lié au service pour vous. Pour que le rôle lié à un service ait été créé pour vous, le compte IAM que vous avez utilisé pour créer le maillage doit être associé à la politique [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshFullAccess%24jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshFullAccess%24jsonEditor)IAM ou à une politique contenant l'autorisation. `iam:CreateServiceLinkedRole` Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un maillage, App Mesh crée à nouveau le rôle lié au service pour vous. Si votre compte contient uniquement des maillages créés avant le 5 juin 2019 et que vous souhaitez utiliser le rôle lié à un service avec ces maillages, vous pouvez créer le rôle à l'aide de la console IAM.
Vous pouvez utiliser la console IAM pour créer un rôle lié à un service avec le cas d'utilisation d'**App Mesh**. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du `appmesh.amazonaws.com` service. Pour plus d'informations, consultez [Création d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) dans le *Guide de l'utilisateur IAM*. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
## Modification d'un rôle lié à un service pour App Mesh
App Mesh ne vous permet pas de modifier le rôle AWSService RoleForAppMesh lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour App Mesh
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
**Note**
Si le service App Mesh utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources App Mesh utilisées par AWSService RoleForAppMesh**
1. Supprimez tous les [itinéraires](routes.md) définis pour tous les routeurs du maillage.
1. Supprimez tous les [routeurs virtuels](virtual_routers.md) du maillage.
1. Supprimez tous les [services virtuels](virtual_services.md) du maillage.
1. Supprimez tous les [nœuds virtuels](virtual_nodes.md) du maillage.
1. Supprimez le [maillage](meshes.md).
Effectuez les étapes précédentes pour tous les maillages de votre compte.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSService RoleForAppMesh service. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles liés au service App Mesh
App Mesh prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez la section [App Mesh Endpoints and Quotas](https://docs.aws.amazon.com/general/latest/gr/appmesh.html).
# Autorisation Envoy Proxy
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
L'autorisation du proxy autorise le proxy [Envoy](envoy.md) exécuté dans le cadre d'une tâche Amazon ECS, dans un pod Kubernetes exécuté sur Amazon EKS ou exécuté sur une instance Amazon EC2 à lire la configuration d'un ou plusieurs points de terminaison de maillage à partir du service de gestion App Mesh Envoy. Pour les comptes clients qui ont déjà connecté Envoys à leur point de terminaison App Mesh avant le 26/04/2021, une autorisation de proxy est requise pour les nœuds virtuels qui utilisent le [protocole TLS (Transport Layer Security)](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html) et pour les passerelles virtuelles (avec ou sans TLS). Pour les comptes clients qui souhaitent connecter Envoys à leur point de terminaison App Mesh après le 26/04/2021, une autorisation de proxy est requise pour toutes les fonctionnalités d'App Mesh. Il est recommandé à tous les comptes clients d'activer l'autorisation proxy pour tous les nœuds virtuels, même s'ils n'utilisent pas le protocole TLS, afin de bénéficier d'une expérience sécurisée et cohérente en utilisant IAM pour l'autorisation de ressources spécifiques. L'autorisation du proxy nécessite que l'`appmesh:StreamAggregatedResources`autorisation soit spécifiée dans une politique IAM. La politique doit être attachée à un rôle IAM, et ce rôle IAM doit être attaché à la ressource de calcul sur laquelle vous hébergez le proxy.
## Créer une politique IAM
Si vous souhaitez que tous les points de terminaison d'un maillage de service puissent lire la configuration de tous les points de terminaison du maillage, passez à. [Créez un rôle IAM](#create-iam-role) Si vous souhaitez limiter le nombre de points d'extrémité de maillage à partir desquels la configuration peut être lue par des points de terminaison de maillage individuels, vous devez créer une ou plusieurs politiques IAM. Il est recommandé de limiter les points de terminaison du maillage à partir desquels la configuration peut être lue au seul proxy Envoy exécuté sur des ressources de calcul spécifiques. Créez une stratégie IAM et ajoutez-y l'`appmesh:StreamAggregatedResources`autorisation. L'exemple de politique suivant permet de configurer les nœuds virtuels nommés `serviceBv1` et `serviceBv2` à lire dans un maillage de services. La configuration ne peut être lue pour aucun autre nœud virtuel défini dans le maillage de service. Pour plus d'informations sur la création ou la modification d'une stratégie IAM, consultez les sections [Création de politiques IAM et Modification de politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:StreamAggregatedResources",
"Resource": [
"arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1",
"arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2"
]
}
]
}
```
------
Vous pouvez créer plusieurs politiques, chaque politique limitant l'accès aux différents points de terminaison du maillage.
## Créez un rôle IAM
Si vous souhaitez que tous les points de terminaison d'un maillage de service puissent lire la configuration de tous les points de terminaison de maillage, il vous suffit de créer un seul rôle IAM. Si vous souhaitez limiter les points de terminaison de maillage à partir desquels la configuration peut être lue par des points de terminaison de maillage individuels, vous devez créer un rôle pour chaque politique que vous avez créée à l'étape précédente. Suivez les instructions relatives à la ressource de calcul sur laquelle le proxy s'exécute.
+ **Amazon EKS** — Si vous souhaitez utiliser un rôle unique, vous pouvez utiliser le rôle existant qui a été créé et attribué aux nœuds de travail lorsque vous avez créé votre cluster. Pour utiliser plusieurs rôles, votre cluster doit répondre aux exigences définies dans [Activation des rôles IAM pour les comptes de service sur votre cluster](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html). Créez les rôles IAM et associez-les aux comptes de service Kubernetes. Pour plus d'informations, consultez [Création d'un rôle et d'une politique IAM pour votre compte de service](https://docs.aws.amazon.com/eks/latest/userguide/create-service-account-iam-policy-and-role.html) et [Spécification d'un rôle IAM pour votre compte de service](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html).
+ **Amazon ECS** — Sélectionnez le **AWS service,** sélectionnez **Elastic Container Service**, puis sélectionnez le cas d'utilisation d'**Elastic Container Service Task** lors de la création de votre rôle IAM.
+ **Amazon EC2** — Sélectionnez le **AWS service, sélectionnez **EC2**,** puis sélectionnez le cas d'utilisation **EC2** lors de la création de votre rôle IAM. Cela s'applique que vous hébergiez le proxy directement sur une instance Amazon EC2 ou sur Kubernetes exécuté sur une instance.
Pour plus d'informations sur la création d'un rôle IAM, consultez la section [Création d'un rôle pour un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).
## Attacher une politique IAM
Si vous souhaitez que tous les points de terminaison d'un maillage de service puissent lire la configuration de tous les points de terminaison de maillage, associez la politique IAM `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` gérée au rôle IAM que vous avez créé à l'étape précédente. Si vous souhaitez limiter le nombre de points de terminaison de maillage à partir desquels la configuration peut être lue par des points de terminaison de maillage individuels, associez chaque politique que vous avez créée à chaque rôle que vous avez créé. Pour plus d'informations sur l'attachement d'une politique IAM personnalisée ou gérée à un rôle IAM, consultez la section [Ajout d'autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console).
## Attacher un rôle IAM
Associez chaque rôle IAM à la ressource de calcul appropriée :
+ **Amazon EKS** — Si vous avez associé la politique au rôle associé à vos nœuds de travail, vous pouvez ignorer cette étape. Si vous avez créé des rôles distincts, attribuez chaque rôle à un compte de service Kubernetes distinct et attribuez chaque compte de service à une spécification de déploiement de pods Kubernetes individuelle qui inclut le proxy Envoy. Pour plus d'informations, consultez [Spécifier un rôle IAM pour votre compte de service](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html) dans le *guide de l'utilisateur Amazon EKS* et [Configurer les comptes de service pour les pods](https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/) dans la documentation Kubernetes.
+ **Amazon ECS** — Attachez un rôle de tâche Amazon ECS à la définition de tâche qui inclut le proxy Envoy. La tâche peut être déployée avec le type de lancement EC2 ou Fargate. Pour plus d'informations sur la façon de créer un rôle de tâche Amazon ECS et de l'associer à une tâche, consultez [Spécifier un rôle IAM pour vos tâches](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html#create_task_iam_policy_and_role).
+ **Amazon EC2** — Le rôle IAM doit être attaché à l'instance Amazon EC2 qui héberge le proxy Envoy. Pour plus d'informations sur la façon d'attacher un rôle à une instance Amazon EC2, consultez [J'ai créé un rôle IAM et je souhaite maintenant l'attribuer à une](https://aws.amazon.com/premiumsupport/knowledge-center/assign-iam-role-ec2-instance) instance EC2.
## Confirmer l'autorisation
Vérifiez que l'`appmesh:StreamAggregatedResources`autorisation est attribuée à la ressource de calcul sur laquelle vous hébergez le proxy en sélectionnant l'un des noms de service de calcul.
------
#### [ Amazon EKS ]
Une politique personnalisée peut être attribuée au rôle attribué aux nœuds de travail, aux modules individuels, ou aux deux. Il est toutefois recommandé d'attribuer la politique uniquement à des pods individuels, afin de pouvoir restreindre l'accès de chaque module à des points de terminaison de maillage individuels. Si la politique est attachée au rôle attribué aux nœuds de travail, sélectionnez l'onglet **Amazon EC2** et suivez les étapes qui s'y trouvent pour vos instances de nœuds de travail. Pour déterminer quel rôle IAM est attribué à un pod Kubernetes, procédez comme suit.
1. Consultez les détails d'un déploiement Kubernetes qui inclut le pod auquel vous souhaitez confirmer l'attribution d'un compte de service Kubernetes. La commande suivante affiche les détails d'un déploiement nommé*my-deployment*.
```
kubectl describe deployment my-deployment
```
Dans la sortie renvoyée, notez la valeur à droite de`Service Account:`. Si aucune ligne commençant par `Service Account:` n'existe, aucun compte de service Kubernetes personnalisé n'est actuellement attribué au déploiement. Vous devrez en attribuer un. Pour plus d'informations, consultez [Configurer des comptes de service pour les pods](https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/) dans la documentation Kubernetes.
1. Consultez les détails du compte de service renvoyé à l'étape précédente. La commande suivante affiche les détails d'un compte de service nommé*my-service-account*.
```
kubectl describe serviceaccount my-service-account
```
À condition que le compte de service Kubernetes soit associé à un Gestion des identités et des accès AWS rôle, l'une des lignes renvoyées ressemblera à l'exemple suivant.
```
Annotations: eks.amazonaws.com/role-arn=arn:aws:iam::123456789012:role/my-deployment
```
Dans l'exemple précédent, `my-deployment` il s'agit du nom du rôle IAM auquel le compte de service est associé. Si la sortie du compte de service ne contient pas de ligne similaire à l'exemple ci-dessus, le compte de service Kubernetes n'est pas associé à un Gestion des identités et des accès AWS compte et vous devez l'associer à un compte. Pour de plus amples informations, consultez [Spécification d'un rôle IAM pour votre compte de service](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html).
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le menu de navigation de gauche, sélectionnez **Rôles**. Sélectionnez le nom du rôle IAM que vous avez noté à l'étape précédente.
1. Vérifiez que la stratégie personnalisée que vous avez créée précédemment ou que la politique `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` gérée est répertoriée. Si aucune stratégie n'est attachée, [associez une stratégie IAM](#attach-iam-policy) au rôle IAM. Si vous souhaitez associer une stratégie IAM personnalisée mais que vous n'en avez pas, vous devez [créer une stratégie IAM personnalisée](#create-iam-policy) avec les autorisations requises. Si une stratégie IAM personnalisée est jointe, sélectionnez-la et vérifiez qu'elle contient`"Action": "appmesh:StreamAggregatedResources"`. Si ce n'est pas le cas, vous devez ajouter cette autorisation à votre politique IAM personnalisée. Vous pouvez également vérifier que le nom de ressource Amazon (ARN) approprié pour un point de terminaison de maillage spécifique est répertorié. Si aucune ARNs n'est répertoriée, vous pouvez modifier la politique pour ajouter, supprimer ou modifier la liste ARNs. Pour plus d'informations, consultez [Modifier les politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) et[Créer une politique IAM](#create-iam-policy).
1. Répétez les étapes précédentes pour chaque pod Kubernetes contenant le proxy Envoy.
------
#### [ Amazon ECS ]
1. Dans la console Amazon ECS, choisissez **Task Definitions**.
1. Sélectionnez votre tâche Amazon ECS.
1. Sur la page **Nom de la définition de tâche**, sélectionnez votre définition de tâche.
1. Sur la page **Définition de tâche**, sélectionnez le lien du nom du rôle IAM situé à droite du **rôle de tâche**. Si aucun rôle IAM n'est répertorié, vous devez [créer un rôle IAM](#create-iam-role) et l'associer à votre tâche en [mettant à jour votre définition de tâche](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html).
1. Sur la page **Résumé**, sous l'onglet **Autorisations**, vérifiez que la stratégie personnalisée que vous avez créée précédemment ou que la politique `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` gérée est répertoriée. Si aucune stratégie n'est attachée, [associez une stratégie IAM](#attach-iam-policy) au rôle IAM. Si vous souhaitez associer une stratégie IAM personnalisée mais que vous n'en avez pas, vous devez [créer la stratégie IAM personnalisée](#create-iam-policy). Si une stratégie IAM personnalisée est jointe, sélectionnez-la et vérifiez qu'elle contient`"Action": "appmesh:StreamAggregatedResources"`. Si ce n'est pas le cas, vous devez ajouter cette autorisation à votre politique IAM personnalisée. Vous pouvez également vérifier que le nom de ressource Amazon (ARN) approprié pour un point de terminaison de maillage spécifique est répertorié. Si aucune ARNs n'est répertoriée, vous pouvez modifier la politique pour ajouter, supprimer ou modifier la liste ARNs. Pour plus d'informations, consultez [Modifier les politiques IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html) et[Créer une politique IAM](#create-iam-policy).
1. Répétez les étapes précédentes pour chaque définition de tâche contenant le proxy Envoy.
------
#### [ Amazon EC2 ]
1. Depuis la console Amazon EC2, sélectionnez **Instances** dans le menu de navigation de gauche.
1. Sélectionnez l'une de vos instances hébergeant le proxy Envoy.
1. Dans l'onglet **Description**, sélectionnez le lien du nom du rôle IAM situé à droite du rôle **IAM**. Si aucun rôle IAM n'est répertorié, vous devez [créer un rôle IAM](#create-iam-role).
1. Sur la page **Résumé**, sous l'onglet **Autorisations**, vérifiez que la stratégie personnalisée que vous avez créée précédemment ou que la politique `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` gérée est répertoriée. Si aucune stratégie n'est attachée, [associez la stratégie IAM](#attach-iam-policy) au rôle IAM. Si vous souhaitez associer une stratégie IAM personnalisée mais que vous n'en avez pas, vous devez [créer la stratégie IAM personnalisée](#create-iam-policy). Si une stratégie IAM personnalisée est jointe, sélectionnez-la et vérifiez qu'elle contient`"Action": "appmesh:StreamAggregatedResources"`. Si ce n'est pas le cas, vous devez ajouter cette autorisation à votre politique IAM personnalisée. Vous pouvez également vérifier que le nom de ressource Amazon (ARN) approprié pour un point de terminaison de maillage spécifique est répertorié. Si aucune ARNs n'est répertoriée, vous pouvez modifier la politique pour ajouter, supprimer ou modifier la liste ARNs. Pour plus d'informations, consultez [Modifier les politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) et[Créer une politique IAM](#create-iam-policy).
1. Répétez les étapes précédentes pour chaque instance sur laquelle vous hébergez le proxy Envoy.
------
# Résolution des problèmes AWS App Mesh d'identité et d'accès
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Utilisez les informations suivantes pour diagnostiquer et résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation d'App Mesh et d'IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans App Mesh](#security_iam_troubleshoot-no-permissions)
+ [Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources App Mesh](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans App Mesh
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni vos informations de connexion.
L'erreur suivante se produit lorsque l'utilisateur `mateojackson` IAM essaie d'utiliser la console pour créer un nœud virtuel nommé *my-virtual-node* dans le maillage nommé *my-mesh* mais n'en a pas l'`appmesh:CreateVirtualNode`autorisation.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: appmesh:CreateVirtualNode on resource: arn:aws:appmesh:us-east-1:123456789012:mesh/my-mesh/virtualNode/my-virtual-node
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre de créer un nœud virtuel à l'aide de l'`appmesh:CreateVirtualNode`action.
**Note**
Comme un nœud virtuel est créé dans un maillage, le compte de Mateo nécessite également les `appmesh:ListMeshes` actions `appmesh:DescribeMesh` et pour créer le nœud virtuel dans la console.
## Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources App Mesh
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si App Mesh prend en charge ces fonctionnalités, consultez[Comment AWS App Mesh fonctionne avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Journalisation des appels AWS App Mesh d'API à l'aide AWS CloudTrail
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
AWS App Mesh est intégré à [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un Service AWS. CloudTrail capture tous les appels d'API pour App Mesh sous forme d'événements. Les appels capturés incluent des appels provenant de la console App Mesh et des appels de code vers les opérations de l'API App Mesh. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à App Mesh, l'adresse IP à partir de laquelle la demande a été faite, la date à laquelle elle a été faite et des informations supplémentaires.
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer :
+ Si la demande a été effectuée avec des informations d’identification d’utilisateur root ou d’utilisateur root.
+ Si la demande a été faite au nom d'un utilisateur du centre d'identité IAM.
+ Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.
+ Si la requête a été effectuée par un autre Service AWS.
CloudTrail est actif dans votre compte Compte AWS lorsque vous créez le compte et vous avez automatiquement accès à l'**historique des CloudTrail événements**. L'**historique des CloudTrail événements** fournit un enregistrement consultable, consultable, téléchargeable et immuable des 90 derniers jours des événements de gestion enregistrés dans un. Région AWS Pour plus d'informations, consultez la section [Utilisation de l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) dans le *guide de AWS CloudTrail l'utilisateur*. La consultation de CloudTrail l'**historique des événements est gratuite**.
Pour un enregistrement continu des événements de vos 90 Compte AWS derniers jours, créez un magasin de données sur les événements de Trail ou [CloudTrailLake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail sentiers**
Un *suivi* permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Tous les sentiers créés à l'aide du AWS Management Console sont multirégionaux. Vous ne pouvez créer un journal de suivi en une ou plusieurs régions à l'aide de l' AWS CLI. Il est recommandé de créer un parcours multirégional, car vous capturez l'activité dans l'ensemble Régions AWS de votre compte. Si vous créez un journal de suivi pour une seule région, il convient de n'afficher que les événements enregistrés dans le journal de suivi pour une seule région Région AWS. Pour plus d'informations sur les journaux de suivi, consultez [Créez un journal de suivi dans vos Compte AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) et [Création d'un journal de suivi pour une organisation](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) dans le *AWS CloudTrail Guide de l'utilisateur*.
Vous pouvez envoyer une copie de vos événements de gestion en cours dans votre compartiment Amazon S3 gratuitement CloudTrail en créant un journal. Toutefois, des frais de stockage Amazon S3 sont facturés. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/). Pour obtenir des informations sur la tarification Amazon S3, consultez [Tarification Amazon S3](https://aws.amazon.com/s3/pricing/).
**CloudTrail Stockages de données sur les événements du lac**
*CloudTrail Lake* vous permet d'exécuter des requêtes SQL sur vos événements. CloudTrail Lake convertit les événements existants au format JSON basé sur les lignes au format [Apache ORC](https://orc.apache.org/). ORC est un format de stockage en colonnes qui est optimisé pour une récupération rapide des données. Les événements sont agrégés dans des *magasins de données d’événement*. Ceux-ci constituent des collections immuables d’événements basées sur des critères que vous sélectionnez en appliquant des [sélecteurs d’événements avancés](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). Les sélecteurs que vous appliquez à un magasin de données d’événement contrôlent les événements qui persistent et que vous pouvez interroger. Pour plus d'informations sur CloudTrail Lake, consultez la section [Travailler avec AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) dans le *guide de AWS CloudTrail l'utilisateur*.
CloudTrail Les stockages et requêtes de données sur les événements de Lake entraînent des coûts. Lorsque vous créez un magasin de données d’événement, vous choisissez l’[option de tarification](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).
## Événements de gestion d'App Mesh dans CloudTrail
[Les événements de gestion](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) fournissent des informations sur les opérations de gestion effectuées sur les ressources de votre Compte AWS. Ils sont également connus sous le nom opérations de plan de contrôle. Par défaut, CloudTrail enregistre les événements de gestion.
AWS App Mesh enregistre toutes les opérations du plan de contrôle App Mesh en tant qu'événements de gestion. Pour obtenir la liste des opérations du plan de AWS App Mesh contrôle auxquelles App Mesh se connecte CloudTrail, consultez la [référence des AWS App Mesh API](https://docs.aws.amazon.com/app-mesh/latest/APIReference/API_Operations.html).
## Exemples d'événements App Mesh
Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'opération d'API demandée, la date et l'heure de l'opération, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics. Les événements n'apparaissent donc pas dans un ordre spécifique.
L'exemple suivant montre une entrée de CloudTrail journal illustrant l'`StreamAggregatedResources`action.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAIOSFODNN7EXAMPLE:d060be4ac3244e05aca4e067bfe241f8",
"arn": "arn:aws:sts::123456789012:assumed-role/Application-TaskIamRole-C20GBLBRLBXE/d060be4ac3244e05aca4e067bfe241f8",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"invokedBy": "appmesh.amazonaws.com"
},
"eventTime": "2021-06-09T23:09:46Z",
"eventSource": "appmesh.amazonaws.com",
"eventName": "StreamAggregatedResources",
"awsRegion": "us-west-2",
"sourceIPAddress": "appmesh.amazonaws.com",
"userAgent": "appmesh.amazonaws.com",
"eventID": "e3c6f4ce-EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails": {
"connectionId": "e3c6f4ce-EXAMPLE",
"nodeArn": "arn:aws:appmesh:us-west-2:123456789012:mesh/CloudTrail-Test/virtualNode/cloudtrail-test-vn",
"eventStatus": "ConnectionEstablished",
"failureReason": ""
},
"eventCategory": "Management"
}
```
Pour plus d'informations sur le contenu des CloudTrail enregistrements, voir [le contenu des CloudTrail enregistrements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html) dans le *Guide de AWS CloudTrail l'utilisateur*.
# Protection des données dans AWS App Mesh
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans AWS App Mesh. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée [AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec App Mesh ou autre Services AWS à l'aide de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
## Chiffrement des données
Vos données sont cryptées lorsque vous utilisez App Mesh.
### Chiffrement au repos
Par défaut, les configurations App Mesh que vous créez sont chiffrées au repos.
### Chiffrement en transit
Les points de terminaison du service App Mesh utilisent le protocole HTTPS. Toutes les communications entre le proxy Envoy et le service de gestion App Mesh Envoy sont cryptées. Si vous avez besoin d'un chiffrement conforme à la norme FIPS pour la communication entre le proxy Envoy et le service de gestion App Mesh Envoy, vous pouvez utiliser une variante FIPS de l'image de conteneur du proxy Envoy. Pour de plus amples informations, veuillez consulter [Image de l'envoyé](envoy.md).
La communication entre les conteneurs au sein des nœuds virtuels n'est pas cryptée, mais ce trafic ne quitte pas l'espace de noms du réseau.
# Validation de conformité pour AWS App Mesh
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Sécurité de l'infrastructure dans AWS App Mesh
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
En tant que service géré, AWS App Mesh il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder à App Mesh via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
Vous pouvez améliorer le niveau de sécurité de votre VPC en configurant App Mesh pour qu'il utilise un point de terminaison VPC d'interface. Pour de plus amples informations, veuillez consulter [Points de terminaison VPC de l'interface App Mesh ()AWS PrivateLink](vpc-endpoints.md).
# Points de terminaison VPC de l'interface App Mesh ()AWS PrivateLink
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Vous pouvez améliorer le niveau de sécurité de votre Amazon VPC en configurant App Mesh pour qu'il utilise un point de terminaison VPC d'interface. Les points de terminaison de l'interface sont alimentés par AWS PrivateLink une technologie qui vous permet d'accéder en privé à App Mesh en APIs utilisant des adresses IP privées. PrivateLinkrestreint tout le trafic réseau entre votre Amazon VPC et App Mesh vers le réseau Amazon.
Vous n'êtes pas obligé de le configurer PrivateLink, mais nous vous recommandons de le faire. Pour plus d'informations sur les points de terminaison VPC PrivateLink et leur interface, consultez la section [Accès aux](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html#what-is-privatelink) services via. AWS PrivateLink
## Considérations relatives aux points de terminaison VPC de l'interface App Mesh
Avant de configurer les points de terminaison VPC de l'interface pour App Mesh, tenez compte des points suivants :
+ Si votre Amazon VPC ne possède pas de passerelle Internet et que vos tâches utilisent le pilote de journal pour envoyer des informations de `awslogs` journal à CloudWatch Logs, vous devez créer un point de terminaison VPC d'interface pour les journaux. CloudWatch Pour plus d'informations, consultez la section [Utilisation CloudWatch des journaux avec les points de terminaison VPC d'interface dans le guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) de l'utilisateur *Amazon CloudWatch Logs*.
+ Les points de terminaison VPC ne prennent pas en charge AWS les demandes interrégionales. Assurez-vous de créer votre point de terminaison dans la même région que celle où vous prévoyez d'envoyer vos appels d'API à App Mesh.
+ Les points de terminaison d'un VPC prennent uniquement en charge le DNS fourni par Amazon via Amazon Route 53. Si vous souhaitez utiliser votre propre DNS, vous pouvez utiliser le transfert DNS conditionnel. Pour en savoir plus, consultez [Jeux d'options DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) dans le *Guide de l'utilisateur Amazon VPC*.
+ Le groupe de sécurité attaché au point de terminaison du VPC doit autoriser les connexions entrantes sur le port 443 depuis le sous-réseau privé de l'Amazon VPC.
**Note**
Le contrôle de l'accès à App Mesh en associant une politique de point de terminaison au point de terminaison VPC (par exemple, en utilisant le nom du service`com.amazonaws.Region.appmesh-envoy-management`) n'est pas pris en charge pour la connexion Envoy.
Pour des considérations et limitations supplémentaires, voir [Considérations relatives à la zone de disponibilité des points de terminaison](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-availability-zones) d'[interface et Propriétés et limites des points de terminaison](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) d'interface.
## Créez le point de terminaison VPC de l'interface pour App Mesh
Pour créer le point de terminaison VPC d'interface pour le service App Mesh, utilisez la procédure de [création d'un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) dans le guide de l'utilisateur Amazon *VPC*. Spécifiez `com.amazonaws.Region.appmesh-envoy-management` le nom du service pour que votre proxy Envoy se connecte au service de gestion Envoy public d'App Mesh et `com.amazonaws.Region.appmesh` pour les opérations de maillage.
**Note**
*Region*représente l'identifiant de région d'une AWS région prise en charge par App Mesh, par exemple `us-east-2` pour la région USA Est (Ohio).
Bien que vous puissiez définir un point de terminaison VPC d'interface pour App Mesh dans toutes les régions où App Mesh est pris en charge, il se peut que vous ne puissiez pas définir un point de terminaison pour toutes les zones de disponibilité de chaque région. Pour savoir quelles zones de disponibilité sont prises en charge avec les points de terminaison VPC d'interface dans une région, utilisez la [describe-vpc-endpoint-services ](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html)commande ou utilisez le. AWS Management Console Par exemple, les commandes suivantes renvoient les zones de disponibilité dans lesquelles vous pouvez déployer des points de terminaison VPC d'interface App Mesh dans la région USA Est (Ohio) :
```
aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh-envoy-management`].AvailabilityZones[]'
```
```
aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh`].AvailabilityZones[]'
```
# Résilience dans AWS App Mesh
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
L'infrastructure AWS mondiale est construite autour des AWS régions et des zones de disponibilité. AWS Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone de disponibilité à l’autre sans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.
App Mesh exécute ses instances de plan de contrôle dans plusieurs zones de disponibilité pour garantir une haute disponibilité. App Mesh détecte et remplace automatiquement les instances du plan de contrôle défaillantes, et fournit des mises à niveau de version automatisées et des correctifs pour ces instances.
## Reprise après sinistre dans AWS App Mesh
Le service App Mesh gère les sauvegardes des données des clients. Vous n'avez rien à faire pour gérer les sauvegardes. Les données sauvegardées sont cryptées.
# Analyse de configuration et de vulnérabilité dans AWS App Mesh
**Important**
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
App Mesh vend une [image de conteneur Docker proxy Envoy](envoy.md) gérée que vous déployez avec vos microservices. App Mesh garantit que l'image du conteneur est corrigée avec les derniers correctifs de vulnérabilité et de performance. App Mesh teste les nouvelles versions du proxy Envoy par rapport à l'ensemble de fonctionnalités App Mesh avant de mettre les images à votre disposition.
Vous devez mettre à jour vos microservices pour utiliser la version actualisée de l'image du conteneur. Voici la dernière version de l'image.
```
840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.34.13.0-prod
```