Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Otorisasi Proxy Utusan
<a name="proxy-authorization"></a>

**penting**  
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect). 

Otorisasi proxy mengotorisasi proxy [Envoy](envoy.md) yang berjalan dalam tugas Amazon ECS, di pod Kubernetes yang berjalan di Amazon EKS, atau berjalan pada instance Amazon EC2 untuk membaca konfigurasi satu atau beberapa titik akhir mesh dari Layanan Manajemen Utusan App Mesh. Untuk akun pelanggan yang sudah memiliki Utusan yang terhubung ke titik akhir App Mesh mereka sebelum 26/04/2021, otorisasi proxy diperlukan untuk node virtual yang menggunakan [Transport Layer Security (TLS) dan untuk gateway virtual (dengan atau tanpa TLS)](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html). Untuk akun pelanggan yang ingin menghubungkan Utusan ke titik akhir App Mesh mereka setelah 26/04/2021, otorisasi proxy diperlukan untuk semua kemampuan App Mesh. Disarankan untuk semua akun pelanggan untuk mengaktifkan otorisasi proxy untuk semua node virtual, bahkan jika mereka tidak menggunakan TLS, untuk memiliki pengalaman yang aman dan konsisten menggunakan IAM untuk otorisasi ke sumber daya tertentu. Otorisasi proxy mengharuskan `appmesh:StreamAggregatedResources` izin ditentukan dalam kebijakan IAM. Kebijakan harus dilampirkan ke peran IAM, dan peran IAM tersebut harus dilampirkan ke sumber daya komputasi tempat Anda meng-host proxy.

## Buat kebijakan IAM
<a name="create-iam-policy"></a>

Jika Anda ingin semua titik akhir mesh di mesh layanan dapat membaca konfigurasi untuk semua titik akhir mesh, lewati ke. [Buat peran IAM](#create-iam-role) Jika Anda ingin membatasi titik akhir mesh yang konfigurasi dapat dibaca oleh titik akhir mesh individual, maka Anda perlu membuat satu atau lebih kebijakan IAM. Membatasi titik akhir mesh yang konfigurasi dapat dibaca dari hanya proxy Envoy yang berjalan pada sumber daya komputasi tertentu direkomendasikan. Buat kebijakan IAM dan tambahkan `appmesh:StreamAggregatedResources` izin ke kebijakan. Contoh kebijakan berikut memungkinkan konfigurasi node virtual bernama `serviceBv1` dan `serviceBv2` dibaca dalam mesh layanan. Konfigurasi tidak dapat dibaca untuk node virtual lain yang ditentukan dalam mesh layanan. Untuk informasi selengkapnya tentang membuat atau mengedit kebijakan IAM, lihat [Membuat Kebijakan IAM dan Mengedit Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "appmesh:StreamAggregatedResources",
            "Resource": [
                "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1",
                "arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2"
            ]
        }
    ]
}
```

------

Anda dapat membuat beberapa kebijakan, dengan setiap kebijakan membatasi akses ke titik akhir mesh yang berbeda. 

## Buat peran IAM
<a name="create-iam-role"></a>

Jika Anda ingin semua titik akhir mesh di mesh layanan dapat membaca konfigurasi untuk semua titik akhir mesh, maka Anda hanya perlu membuat satu peran IAM. Jika Anda ingin membatasi titik akhir mesh tempat konfigurasi dapat dibaca oleh titik akhir mesh individual, maka Anda perlu membuat peran untuk setiap kebijakan yang Anda buat pada langkah sebelumnya. Lengkapi instruksi untuk sumber daya komputasi yang dijalankan proxy.
+ **Amazon EKS** — Jika Anda ingin menggunakan peran singe, Anda dapat menggunakan peran yang ada yang dibuat dan ditetapkan ke node pekerja saat membuat klaster. Untuk menggunakan beberapa peran, klaster Anda harus memenuhi persyaratan yang ditentukan dalam [Mengaktifkan Peran IAM untuk Akun Layanan di Cluster Anda](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html). Buat peran IAM dan kaitkan peran dengan akun layanan Kubernetes. Untuk informasi selengkapnya, lihat [Membuat Peran dan Kebijakan IAM untuk Akun Layanan Anda](https://docs.aws.amazon.com/eks/latest/userguide/create-service-account-iam-policy-and-role.html) dan [Menentukan Peran IAM untuk Akun Layanan Anda](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html).
+ **Amazon ECS** — Pilih **AWS layanan, pilih Layanan** **Kontainer Elastis**, lalu pilih kasus penggunaan **Tugas Layanan Kontainer Elastis** saat membuat peran IAM Anda.
+ **Amazon EC2** — Pilih **AWS layanan,** pilih **EC2**, lalu pilih kasus penggunaan **EC2** saat membuat peran IAM Anda. Ini berlaku baik Anda meng-host proxy secara langsung di instans Amazon EC2 atau di Kubernetes yang berjalan pada sebuah instance.

Untuk informasi selengkapnya tentang cara membuat peran IAM, lihat [Membuat Peran untuk AWS Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).

## Lampirkan kebijakan IAM
<a name="attach-iam-policy"></a>

Jika Anda ingin semua titik akhir mesh di mesh layanan dapat membaca konfigurasi untuk semua titik akhir mesh, lampirkan kebijakan IAM `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` terkelola ke peran IAM yang Anda buat pada langkah sebelumnya. Jika Anda ingin membatasi titik akhir mesh tempat konfigurasi dapat dibaca oleh titik akhir mesh individual, lampirkan setiap kebijakan yang Anda buat ke setiap peran yang Anda buat. Untuk informasi selengkapnya tentang melampirkan kebijakan IAM kustom atau terkelola ke peran IAM, lihat [Menambahkan Izin Identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console). 

## Lampirkan peran IAM
<a name="attach-role"></a>

Lampirkan setiap peran IAM ke sumber daya komputasi yang sesuai:
+ **Amazon EKS** — Jika Anda melampirkan kebijakan ke peran yang dilampirkan ke node pekerja Anda, Anda dapat melewati langkah ini. Jika Anda membuat peran terpisah, tetapkan setiap peran ke akun layanan Kubernetes yang terpisah, dan tetapkan setiap akun layanan ke spesifikasi penerapan pod Kubernetes individual yang menyertakan proxy Envoy. Untuk informasi selengkapnya, lihat [Menentukan Peran IAM untuk Akun Layanan Anda](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html) di *Panduan Pengguna Amazon EKS* dan [Mengonfigurasi Akun Layanan untuk Pod](https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/) dalam dokumentasi Kubernetes.
+ **Amazon ECS** — Lampirkan Peran Tugas Amazon ECS ke definisi tugas yang menyertakan proxy Utusan. Tugas dapat digunakan dengan tipe peluncuran EC2 atau Fargate. Untuk informasi selengkapnya tentang cara membuat Peran Tugas Amazon ECS dan melampirkannya ke tugas, lihat [Menentukan Peran IAM untuk](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html#create_task_iam_policy_and_role) Tugas Anda.
+ **Amazon EC2** — Peran IAM harus dilampirkan ke instans Amazon EC2 yang menghosting proxy Envoy. Untuk informasi selengkapnya tentang cara melampirkan peran ke instans Amazon EC2, lihat [Saya telah membuat peran IAM, dan sekarang saya ingin menetapkannya ke](https://aws.amazon.com/premiumsupport/knowledge-center/assign-iam-role-ec2-instance) instans EC2.

## Konfirmasikan izin
<a name="confirm-permission"></a>

Konfirmasikan bahwa `appmesh:StreamAggregatedResources` izin ditetapkan ke sumber daya komputasi tempat Anda meng-host proxy dengan memilih salah satu nama layanan komputasi.

------
#### [ Amazon EKS ]

Kebijakan kustom dapat ditetapkan ke peran yang ditetapkan ke node pekerja, ke masing-masing pod, atau keduanya. Namun, disarankan agar Anda menetapkan kebijakan hanya pada masing-masing pod, sehingga Anda dapat membatasi akses pod individual ke titik akhir mesh individual. Jika kebijakan dilampirkan ke peran yang ditetapkan ke node pekerja, pilih tab **Amazon EC2**, dan selesaikan langkah-langkah yang ditemukan di sana untuk instance node pekerja Anda. Untuk menentukan peran IAM mana yang ditetapkan ke pod Kubernetes, selesaikan langkah-langkah berikut.

1. Lihat detail penerapan Kubernetes yang menyertakan pod yang ingin Anda konfirmasikan bahwa akun layanan Kubernetes telah ditetapkan. Perintah berikut menampilkan detail untuk penyebaran bernama*my-deployment*.

   ```
   kubectl describe deployment my-deployment
   ```

   Dalam output yang dikembalikan perhatikan nilai di sebelah kanan`Service Account:`. Jika baris yang dimulai dengan `Service Account:` tidak ada, maka akun layanan Kubernetes kustom saat ini tidak ditetapkan ke penerapan. Anda harus menetapkan satu. Untuk informasi selengkapnya, lihat [Mengatur Service Account untuk Pod](https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/) dalam dokumentasi Kubernetes.

1. Lihat detail akun layanan yang dikembalikan pada langkah sebelumnya. Perintah berikut menampilkan rincian akun layanan bernama*my-service-account*.

   ```
   kubectl describe serviceaccount my-service-account
   ```

   Asalkan akun layanan Kubernetes dikaitkan dengan AWS Identity and Access Management peran, salah satu baris yang dikembalikan akan terlihat mirip dengan contoh berikut.

   ```
   Annotations:         eks.amazonaws.com/role-arn=arn:aws:iam::123456789012:role/my-deployment
   ```

   Pada contoh sebelumnya `my-deployment` adalah nama peran IAM yang dikaitkan dengan akun layanan. Jika output akun layanan tidak berisi baris yang mirip dengan contoh di atas, maka akun layanan Kubernetes tidak terkait dengan AWS Identity and Access Management akun dan Anda perlu mengaitkannya ke akun. Untuk informasi selengkapnya, lihat [Menentukan Peran IAM untuk Akun Layanan Anda](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html). 

1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Di navigasi kiri, pilih **Peran**. Pilih nama peran IAM yang Anda catat di langkah sebelumnya.

1. Konfirmasikan bahwa kebijakan kustom yang Anda buat sebelumnya, atau kebijakan `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` terkelola tercantum. Jika tidak ada kebijakan yang dilampirkan, [lampirkan kebijakan IAM](#attach-iam-policy) ke peran IAM. Jika Anda ingin melampirkan kebijakan IAM khusus tetapi tidak memilikinya, maka Anda perlu [membuat kebijakan IAM khusus dengan izin](#create-iam-policy) yang diperlukan. Jika kebijakan IAM khusus dilampirkan, pilih kebijakan tersebut dan konfirmasikan bahwa kebijakan tersebut berisi`"Action": "appmesh:StreamAggregatedResources"`. Jika tidak, maka Anda perlu menambahkan izin itu ke kebijakan IAM khusus Anda. Anda juga dapat mengonfirmasi bahwa Nama Sumber Daya Amazon (ARN) yang sesuai untuk titik akhir mesh tertentu terdaftar. Jika tidak ARNs terdaftar, Anda dapat mengedit kebijakan untuk menambah, menghapus, atau mengubah daftar ARNs. Untuk informasi selengkapnya, lihat [Mengedit Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) dan[Buat kebijakan IAM](#create-iam-policy).

1. Ulangi langkah sebelumnya untuk setiap pod Kubernetes yang berisi proxy Envoy.

------
#### [ Amazon ECS ]

1. Dari konsol Amazon ECS, pilih **Definisi Tugas**.

1. Pilih tugas Amazon ECS Anda.

1. Pada halaman **Nama Definisi Tugas**, pilih definisi tugas Anda.

1. Pada halaman **Definisi Tugas**, pilih tautan nama peran IAM yang ada di sebelah kanan **Peran Tugas**. Jika peran IAM tidak terdaftar, maka Anda perlu [membuat peran IAM](#create-iam-role) dan melampirkannya ke tugas Anda dengan [memperbarui definisi tugas Anda](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html).

1. Di halaman **Ringkasan**, pada tab **Izin**, konfirmasikan bahwa kebijakan kustom yang Anda buat sebelumnya, atau kebijakan `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` terkelola tercantum. Jika tidak ada kebijakan yang dilampirkan, [lampirkan kebijakan IAM](#attach-iam-policy) ke peran IAM. Jika Anda ingin melampirkan kebijakan IAM khusus tetapi tidak memilikinya, maka Anda perlu [membuat kebijakan IAM kustom](#create-iam-policy). Jika kebijakan IAM khusus dilampirkan, pilih kebijakan tersebut dan konfirmasikan bahwa kebijakan tersebut berisi`"Action": "appmesh:StreamAggregatedResources"`. Jika tidak, maka Anda perlu menambahkan izin itu ke kebijakan IAM khusus Anda. Anda juga dapat mengonfirmasi bahwa Nama Sumber Daya Amazon (ARN) yang sesuai untuk titik akhir mesh tertentu terdaftar. Jika tidak ARNs terdaftar, Anda dapat mengedit kebijakan untuk menambah, menghapus, atau mengubah daftar ARNs. Untuk informasi selengkapnya, lihat [Mengedit Kebijakan IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html) dan[Buat kebijakan IAM](#create-iam-policy).

1. Ulangi langkah sebelumnya untuk setiap definisi tugas yang berisi proxy Utusan.

------
#### [ Amazon EC2 ]

1. Dari konsol Amazon EC2, pilih **Instans di navigasi** kiri.

1. Pilih salah satu instance Anda yang menghosting proxy Utusan.

1. Di tab **Deskripsi**, pilih tautan nama peran IAM yang ada di sebelah kanan peran **IAM**. Jika peran IAM tidak terdaftar, maka Anda perlu [membuat peran IAM](#create-iam-role).

1. Di halaman **Ringkasan**, pada tab **Izin**, konfirmasikan bahwa kebijakan kustom yang Anda buat sebelumnya, atau kebijakan `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` terkelola tercantum. Jika tidak ada kebijakan yang dilampirkan, [lampirkan kebijakan IAM](#attach-iam-policy) ke peran IAM. Jika Anda ingin melampirkan kebijakan IAM khusus tetapi tidak memilikinya, maka Anda perlu [membuat kebijakan IAM kustom](#create-iam-policy). Jika kebijakan IAM khusus dilampirkan, pilih kebijakan tersebut dan konfirmasikan bahwa kebijakan tersebut berisi`"Action": "appmesh:StreamAggregatedResources"`. Jika tidak, maka Anda perlu menambahkan izin itu ke kebijakan IAM khusus Anda. Anda juga dapat mengonfirmasi bahwa Nama Sumber Daya Amazon (ARN) yang sesuai untuk titik akhir mesh tertentu terdaftar. Jika tidak ARNs terdaftar, Anda dapat mengedit kebijakan untuk menambah, menghapus, atau mengubah daftar ARNs. Untuk informasi selengkapnya, lihat [Mengedit Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) dan[Buat kebijakan IAM](#create-iam-policy).

1. Ulangi langkah sebelumnya untuk setiap instance tempat Anda meng-host proxy Envoy.

------