Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Keamanan di AWS App Mesh
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak akan lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.
Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Auditor pihak ketiga menguji dan memverifikasi efektivitas keamanan kami sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari program kepatuhan yang berlaku di AWS App Mesh, lihat [Cakupan Layanan Menurut Program Kepatuhan AWS](https://aws.amazon.com/compliance/services-in-scope/). App Mesh bertanggung jawab untuk mengirimkan konfigurasi secara aman ke proxy lokal, termasuk rahasia seperti kunci pribadi sertifikat TLS.
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor-faktor lain termasuk:
+ Sensitivitas data Anda, persyaratan perusahaan Anda, dan hukum dan peraturan yang berlaku.
+ Konfigurasi keamanan pesawat data App Mesh, termasuk konfigurasi grup keamanan yang memungkinkan lalu lintas lewat antar layanan dalam VPC Anda.
+ Konfigurasi sumber daya komputasi Anda yang terkait dengan App Mesh.
+ Kebijakan IAM yang terkait dengan sumber daya komputasi Anda dan konfigurasi apa yang diizinkan untuk diambil dari bidang kontrol App Mesh.
Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan App Mesh. Topik berikut menunjukkan cara mengonfigurasi App Mesh untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya App Mesh Anda.
**Prinsip keamanan App Mesh**
Pelanggan harus dapat menyesuaikan keamanan sejauh yang mereka butuhkan. Platform seharusnya tidak menghalangi mereka agar tidak lebih aman. Fitur platform aman secara default.
**Topics**
+ [Keamanan Lapisan Pengangkutan (TLS)](tls.md)
+ [Autentikasi TLS bersama](mutual-tls.md)
+ [Bagaimana AWS App Mesh bekerja dengan IAM](security-iam.md)
+ [Logging panggilan AWS App Mesh API menggunakan AWS CloudTrail](logging-using-cloudtrail.md)
+ [Perlindungan data di AWS App Mesh](data-protection.md)
+ [Validasi kepatuhan untuk AWS App Mesh](compliance.md)
+ [Keamanan infrastruktur di AWS App Mesh](infrastructure-security.md)
+ [Ketahanan di AWS App Mesh](disaster-recovery-resiliency.md)
+ [Konfigurasi dan analisis kerentanan di AWS App Mesh](configuration-vulnerability-analysis.md)
# Keamanan Lapisan Pengangkutan (TLS)
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak akan lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Di App Mesh, Transport Layer Security (TLS) mengenkripsi komunikasi antara proxy Envoy yang digunakan pada sumber daya komputasi yang direpresentasikan dalam App Mesh oleh titik akhir mesh, seperti dan. [Node virtual](virtual_nodes.md) [Gerbang virtual](virtual_gateways.md) Proxy menegosiasikan dan mengakhiri TLS. Ketika proxy digunakan dengan aplikasi, kode aplikasi Anda tidak bertanggung jawab untuk menegosiasikan sesi TLS. Proxy menegosiasikan TLS atas nama aplikasi Anda.
App Mesh memungkinkan Anda memberikan sertifikat TLS ke proxy dengan cara berikut:
+ Sertifikat pribadi dari AWS Certificate Manager (ACM) yang dikeluarkan oleh AWS Private Certificate Authority (AWS Private CA).
+ Sertifikat yang disimpan pada sistem file lokal dari node virtual yang dikeluarkan oleh otoritas sertifikat (CA) Anda sendiri
+ Sertifikat yang disediakan oleh titik akhir Secrets Discovery Service (SDS) di atas Unix Domain Socket lokal.
[Otorisasi Proxy Utusan](proxy-authorization.md)harus diaktifkan untuk proxy Utusan yang diterapkan yang diwakili oleh titik akhir mesh. Kami menyarankan bahwa ketika Anda mengaktifkan otorisasi proxy, Anda membatasi akses hanya ke titik akhir mesh yang Anda aktifkan enkripsi.
## Persyaratan sertifikat
Salah satu Nama Alternatif Subjek (SANs) pada sertifikat harus sesuai dengan kriteria tertentu, tergantung pada bagaimana layanan aktual yang diwakili oleh titik akhir mesh ditemukan.
+ **DNS** — Salah satu sertifikat SANs harus sesuai dengan nilai yang diberikan dalam pengaturan penemuan layanan DNS. Untuk aplikasi dengan nama penemuan layanan`mesh-endpoint.apps.local`, Anda dapat membuat sertifikat yang cocok dengan nama itu, atau sertifikat dengan kartu liar`*.apps.local`.
+ **AWS Cloud Map**— Salah satu sertifikat SANs harus sesuai dengan nilai yang diberikan dalam pengaturan penemuan AWS Cloud Map layanan menggunakan format`service-name.namespace-name`. Untuk aplikasi dengan pengaturan penemuan AWS Cloud Map layanan ServiceName dan `mesh-endpoint` `apps.local` NameSpaceName, Anda dapat membuat sertifikat yang cocok dengan `mesh-endpoint.apps.local` nama, atau sertifikat dengan kartu liar `*.apps.local.`
Untuk kedua mekanisme penemuan, jika tidak ada sertifikat yang SANs cocok dengan pengaturan penemuan layanan DNS, koneksi antara Utusan gagal dengan pesan galat berikut, seperti yang terlihat dari Utusan klien.
```
TLS error: 268435581:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED
```
## Sertifikat otentikasi TLS
App Mesh mendukung beberapa sumber untuk sertifikat saat menggunakan otentikasi TLS.
**AWS Private CA**
Sertifikat harus disimpan di ACM di Wilayah yang sama dan AWS akun sebagai titik akhir mesh yang akan menggunakan sertifikat. Sertifikat CA tidak harus berada di AWS akun yang sama, tetapi masih harus berada di Wilayah yang sama dengan titik akhir mesh. Jika Anda tidak memiliki AWS Private CA, maka Anda harus [membuatnya](https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreateCa.html) sebelum Anda dapat meminta sertifikat darinya. Untuk informasi selengkapnya tentang meminta sertifikat dari ACM yang sudah ada AWS Private CA , lihat [Meminta Sertifikat Pribadi](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html). Sertifikat tidak dapat berupa sertifikat publik.
Privat CAs yang Anda gunakan untuk kebijakan klien TLS harus pengguna CAs root.
Untuk mengonfigurasi node virtual dengan sertifikat dan CAs dari AWS Private CA, prinsipal (seperti pengguna atau peran) yang Anda gunakan untuk memanggil App Mesh harus memiliki izin IAM berikut:
+ Untuk sertifikat apa pun yang Anda tambahkan ke konfigurasi TLS pendengar, kepala sekolah harus memiliki izin. `acm:DescribeCertificate`
+ Untuk setiap yang CAs dikonfigurasi pada kebijakan klien TLS, kepala sekolah harus memiliki `acm-pca:DescribeCertificateAuthority` izin.
Berbagi CAs dengan akun lain dapat memberikan akun-akun tersebut hak istimewa yang tidak diinginkan kepada CA. Sebaiknya gunakan kebijakan berbasis sumber daya untuk membatasi akses ke akun yang adil `acm-pca:DescribeCertificateAuthority` dan `acm-pca:GetCertificateAuthorityCertificate` untuk akun yang tidak perlu mengeluarkan sertifikat dari CA.
Anda dapat menambahkan izin ini ke kebijakan IAM yang sudah ada yang dilampirkan pada prinsipal atau membuat prinsipal dan kebijakan baru dan melampirkan kebijakan tersebut ke prinsipal. Untuk informasi selengkapnya, lihat [Mengedit Kebijakan IAM, Membuat Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), dan [Menambahkan Izin Identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console).
Anda membayar biaya bulanan untuk pengoperasian masing-masing AWS Private CA sampai Anda menghapusnya. Anda juga membayar sertifikat pribadi yang Anda terbitkan setiap bulan dan sertifikat pribadi yang Anda ekspor. Untuk informasi selengkapnya, silakan lihat [Harga AWS Certificate Manager](https://aws.amazon.com//certificate-manager/pricing/).
Saat Anda mengaktifkan [otorisasi proxy](proxy-authorization.md) untuk Proxy Utusan yang diwakili oleh titik akhir mesh, peran IAM yang Anda gunakan harus diberi izin IAM berikut:
+ Untuk sertifikat apa pun yang dikonfigurasi pada pendengar node virtual, peran harus memiliki `acm:ExportCertificate` izin.
+ Untuk setiap yang CAs dikonfigurasi pada kebijakan klien TLS, peran harus memiliki `acm-pca:GetCertificateAuthorityCertificate` izin.
**Sistem file**
Anda dapat mendistribusikan sertifikat ke Utusan menggunakan sistem file. Anda dapat melakukan ini dengan membuat rantai sertifikat dan kunci pribadi yang sesuai tersedia di jalur file. Dengan begitu, sumber daya ini dapat dijangkau dari proxy sespan Utusan.
**Layanan Penemuan Rahasia Utusan (SDS)**
Utusan mengambil rahasia seperti sertifikat TLS dari titik akhir tertentu melalui protokol Secrets Discovery. Untuk informasi selengkapnya tentang protokol ini, lihat dokumentasi [SDS](https://www.envoyproxy.io/docs/envoy/latest/configuration/security/secret) Envoy.
App Mesh mengonfigurasi proxy Envoy untuk menggunakan Unix Domain Socket yang lokal ke proxy untuk berfungsi sebagai titik akhir Secret Discovery Service (SDS) saat SDS berfungsi sebagai sumber sertifikat dan rantai sertifikat Anda. Anda dapat mengonfigurasi jalur ke titik akhir ini dengan menggunakan variabel `APPMESH_SDS_SOCKET_PATH` lingkungan.
Layanan Penemuan Rahasia Lokal menggunakan Unix Domain Socket didukung pada proxy App Mesh Envoy versi 1.15.1.0 dan yang lebih baru.
App Mesh mendukung protokol V2 SDS menggunakan gRPC.
**Mengintegrasikan dengan SPIFFE Runtime Environment (SPIRE)**
Anda dapat menggunakan implementasi sidecar apa pun dari SDS API, termasuk toolchain yang ada seperti [SPIFFE Runtime Environment (SPIRE)](https://github.com/spiffe/spire). SPIRE dirancang untuk memungkinkan penyebaran otentikasi TLS timbal balik antara beberapa beban kerja dalam sistem terdistribusi. Ini membuktikan identitas beban kerja saat runtime. SPIRE juga memberikan kunci dan sertifikat khusus beban kerja, berumur pendek, dan otomatis berputar langsung ke beban kerja.
Anda harus mengonfigurasi Agen SPIRE sebagai penyedia SDS untuk Utusan. Izinkan untuk secara langsung memasok Utusan dengan materi utama yang dibutuhkan untuk memberikan otentikasi TLS timbal balik. Jalankan SPIRE Agents di sidecars di sebelah proxy Utusan. Agen menangani pembuatan kembali kunci dan sertifikat berumur pendek sesuai kebutuhan. Agen membuktikan Utusan dan menentukan identitas layanan dan sertifikat CA mana yang harus disediakan untuk Utusan ketika Utusan terhubung ke server SDS yang diekspos oleh Agen SPIRE.
Selama proses ini, identitas layanan dan sertifikat CA diputar, dan pembaruan dialirkan kembali ke Envoy. Utusan segera menerapkannya ke koneksi baru tanpa gangguan atau downtime dan tanpa kunci pribadi yang pernah menyentuh sistem file.
## Bagaimana App Mesh mengonfigurasi Utusan untuk menegosiasikan TLS
App Mesh menggunakan konfigurasi titik akhir mesh dari klien dan server saat menentukan cara mengonfigurasi komunikasi antara Utusan dalam mesh.
**Dengan kebijakan klien**
Ketika kebijakan klien menerapkan penggunaan TLS, dan salah satu port dalam kebijakan klien cocok dengan port kebijakan server, kebijakan klien digunakan untuk mengonfigurasi konteks validasi TLS klien. Misalnya, jika kebijakan klien gateway virtual cocok dengan kebijakan server node virtual, negosiasi TLS akan dicoba antara proxy menggunakan pengaturan yang ditentukan dalam kebijakan klien gateway virtual. Jika kebijakan klien tidak cocok dengan port kebijakan server, TLS antara proxy mungkin atau mungkin tidak dinegosiasikan, tergantung pada pengaturan TLS kebijakan server.
**Tanpa kebijakan klien**
Jika klien belum mengonfigurasi kebijakan klien, atau kebijakan klien tidak cocok dengan port server, App Mesh akan menggunakan server untuk menentukan apakah akan menegosiasikan TLS dari klien atau tidak, dan bagaimana caranya. Misalnya, jika gateway virtual belum menentukan kebijakan klien, dan node virtual belum mengonfigurasi penghentian TLS, TLS tidak akan dinegosiasikan antara proxy. Jika klien belum menentukan kebijakan klien yang cocok, dan server telah dikonfigurasi dengan mode TLS `STRICT` atau`PERMISSIVE`, proxy akan dikonfigurasi untuk menegosiasikan TLS. Bergantung pada bagaimana sertifikat telah disediakan untuk penghentian TLS, perilaku tambahan berikut berlaku.
+ **Sertifikat TLS yang dikelola ACM** — Ketika server telah mengonfigurasi penghentian TLS menggunakan sertifikat yang dikelola ACM, App Mesh secara otomatis mengonfigurasi klien untuk menegosiasikan TLS dan memvalidasi sertifikat terhadap CA pengguna root yang dirantai sertifikat tersebut.
+ **Sertifikat TLS berbasis file** — Ketika server telah mengonfigurasi penghentian TLS menggunakan sertifikat dari sistem file lokal proxy, App Mesh secara otomatis mengonfigurasi klien untuk menegosiasikan TLS, tetapi sertifikat server tidak divalidasi.
**Nama alternatif subjek**
Anda dapat secara opsional menentukan daftar Nama Alternatif Subjek (SANs) untuk dipercaya. SANs harus dalam format FQDN atau URI. Jika SANs disediakan, Utusan memverifikasi bahwa Nama Alternatif Subjek dari sertifikat yang disajikan cocok dengan salah satu nama dalam daftar ini.
Jika Anda tidak menentukan SANs titik akhir mesh terminating, proxy Envoy untuk node tersebut tidak memverifikasi SAN pada sertifikat klien rekan. Jika Anda tidak menentukan SANs titik akhir mesh asal, SAN pada sertifikat yang disediakan oleh titik akhir penghentian harus cocok dengan konfigurasi penemuan layanan titik akhir mesh.
Untuk informasi selengkapnya, lihat App Mesh [TLS: Persyaratan sertifikat](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html#virtual-node-tls-prerequisites).
Anda hanya dapat menggunakan wildcard SANs jika kebijakan klien untuk TLS disetel ke. `not enforced` Jika kebijakan klien untuk node virtual klien atau gateway virtual dikonfigurasi untuk menerapkan TLS, maka kebijakan tersebut tidak dapat menerima wildcard SAN.
## Verifikasi enkripsi
Setelah mengaktifkan TLS, Anda dapat menanyakan proxy Utusan untuk mengonfirmasi bahwa komunikasi dienkripsi. Proxy utusan memancarkan statistik tentang sumber daya yang dapat membantu Anda memahami apakah komunikasi TLS Anda berfungsi dengan baik. Misalnya, proxy Envoy mencatat statistik tentang jumlah jabat tangan TLS yang berhasil dinegosiasikan untuk titik akhir mesh tertentu. Tentukan berapa banyak jabat tangan TLS yang berhasil ada untuk titik akhir mesh bernama `my-mesh-endpoint` dengan perintah berikut.
```
curl -s 'http://my-mesh-endpoint.apps.local:9901/stats' | grep ssl.handshake
```
Dalam contoh berikut mengembalikan output, ada tiga jabat tangan untuk titik akhir mesh, sehingga komunikasi dienkripsi.
```
listener.0.0.0.0_15000.ssl.handshake: 3
```
Proxy utusan juga memancarkan statistik ketika negosiasi TLS gagal. Tentukan apakah ada kesalahan TLS untuk titik akhir mesh.
```
curl -s 'http://my-mesh-endpoint.apps.local:9901/stats' | grep -e "ssl.*\(fail\|error\)"
```
Dalam contoh output yang dikembalikan, tidak ada kesalahan untuk beberapa statistik, sehingga negosiasi TLS berhasil.
```
listener.0.0.0.0_15000.ssl.connection_error: 0
listener.0.0.0.0_15000.ssl.fail_verify_cert_hash: 0
listener.0.0.0.0_15000.ssl.fail_verify_error: 0
listener.0.0.0.0_15000.ssl.fail_verify_no_cert: 0
listener.0.0.0.0_15000.ssl.ssl.fail_verify_san: 0
```
Untuk informasi selengkapnya tentang statistik Envoy TLS, lihat Statistik Pendengar [Utusan](https://www.envoyproxy.io/docs/envoy/latest/configuration/listeners/stats).
## Perpanjangan sertifikat
**AWS Private CA**
Saat Anda memperbarui sertifikat dengan ACM, sertifikat yang diperbarui akan didistribusikan secara otomatis ke proxy Anda yang terhubung dalam waktu 35 menit setelah perpanjangan selesai. Sebaiknya gunakan perpanjangan terkelola untuk memperbarui sertifikat secara otomatis mendekati akhir masa berlakunya. Untuk informasi selengkapnya, lihat [Pembaruan Terkelola untuk Sertifikat yang Diterbitkan Amazon ACM di Panduan Pengguna](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html). AWS Certificate Manager
**Sertifikat Anda sendiri**
Saat menggunakan sertifikat dari sistem file lokal, Utusan tidak akan memuat ulang sertifikat secara otomatis saat berubah. Anda dapat memulai ulang atau menerapkan kembali proses Utusan untuk memuat sertifikat baru. Anda juga dapat menempatkan sertifikat yang lebih baru di jalur file yang berbeda dan memperbarui node virtual atau konfigurasi gateway dengan jalur file tersebut.
## Konfigurasikan beban kerja Amazon ECS untuk menggunakan otentikasi TLS AWS App Mesh
Anda dapat mengonfigurasi mesh Anda untuk menggunakan otentikasi TLS. Pastikan sertifikat tersedia untuk sidecar proxy Envoy yang Anda tambahkan ke beban kerja Anda. Anda dapat melampirkan volume EBS atau EFS ke sespan Envoy Anda, atau Anda dapat menyimpan dan mengambil sertifikat dari Secrets Manager. AWS
+ Jika Anda menggunakan distribusi sertifikat berbasis file, lampirkan volume EBS atau EFS ke sespan Envoy Anda. Pastikan jalur ke sertifikat dan kunci pribadi cocok dengan yang dikonfigurasi AWS App Mesh.
+ Jika Anda menggunakan distribusi berbasis SDS, tambahkan sespan yang mengimplementasikan SDS API Envoy dengan akses ke sertifikat.
**catatan**
SPIRE tidak didukung di Amazon ECS.
## Konfigurasikan beban kerja Kubernetes untuk menggunakan otentikasi TLS dengan AWS App Mesh
Anda dapat mengonfigurasi AWS App Mesh Controller untuk Kubernetes untuk mengaktifkan otentikasi TLS untuk backend dan pendengar layanan virtual node dan gateway virtual. Pastikan sertifikat tersedia untuk sidecar proxy Envoy yang Anda tambahkan ke beban kerja Anda. Anda dapat melihat contoh untuk setiap jenis distribusi di bagian [panduan](https://docs.aws.amazon.com/app-mesh/latest/userguide/mutual-tls.html#mtls-walkthrough) Mutual TLS Authentication.
+ Jika Anda menggunakan distribusi sertifikat berbasis file, lampirkan volume EBS atau EFS ke sespan Envoy Anda. Pastikan jalur ke sertifikat dan kunci pribadi cocok dengan yang dikonfigurasi di pengontrol. Atau, Anda dapat menggunakan Kubernetes Secret yang dipasang pada sistem file.
+ Jika Anda menggunakan distribusi berbasis SDS, Anda harus menyiapkan penyedia SDS lokal node yang mengimplementasikan API SDS Envoy. Utusan akan mencapainya melalui UDS. Untuk mengaktifkan dukungan mTL berbasis SDS di AppMesh pengontrol EKS, atur `enable-sds` flag ke `true` dan berikan jalur UDS penyedia SDS lokal ke pengontrol melalui bendera. `sds-uds-path` Jika Anda menggunakan helm, Anda mengatur ini sebagai bagian dari instalasi controller Anda:
```
--set sds.enabled=true
```
**catatan**
Anda tidak akan dapat menggunakan SPIRE untuk mendistribusikan sertifikat Anda jika Anda menggunakan Amazon Elastic Kubernetes Service (Amazon EKS) dalam mode Fargate.
# Autentikasi TLS bersama
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak akan lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Otentikasi Mutual TLS (Transport Layer Security) adalah komponen opsional TLS yang menawarkan otentikasi peer dua arah. Mutual TLS otentikasi menambahkan lapisan keamanan melalui TLS dan memungkinkan layanan Anda untuk memverifikasi klien yang membuat koneksi.
Klien dalam hubungan client-server juga menyediakan sertifikat X.509 selama proses negosiasi sesi. Server menggunakan sertifikat ini untuk mengidentifikasi dan mengotentikasi klien. Proses ini membantu memverifikasi apakah sertifikat dikeluarkan oleh otoritas sertifikat tepercaya (CA) dan apakah sertifikat tersebut adalah sertifikat yang valid. Ini juga menggunakan Nama Alternatif Subjek (SAN) pada sertifikat untuk mengidentifikasi klien.
Anda dapat mengaktifkan otentikasi TLS timbal balik untuk semua protokol yang didukung oleh. AWS App Mesh Mereka adalah TCP, HTTP/1.1, HTTP/2, gRPC.
**catatan**
Menggunakan App Mesh, Anda dapat mengonfigurasi otentikasi TLS timbal balik untuk komunikasi antara proxy Utusan dari layanan Anda. Namun, komunikasi antara aplikasi Anda dan proxy Utusan tidak terenkripsi.
## Sertifikat otentikasi TLS timbal balik
AWS App Mesh mendukung dua sumber sertifikat yang mungkin untuk otentikasi TLS timbal balik. Sertifikat klien dalam Kebijakan Klien TLS dan validasi server dalam konfigurasi TLS pendengar dapat bersumber dari:
+ **Sistem File—** Sertifikat dari sistem file lokal proxy Utusan yang sedang dijalankan. Untuk mendistribusikan sertifikat ke Envoy, Anda harus menyediakan jalur file untuk rantai sertifikat dan kunci pribadi ke App Mesh API.
+ **Envoy's Secret Discovery Service (SDS) —** Bring-your-own sidecars yang menerapkan SDS dan memungkinkan sertifikat dikirim ke Envoy. Mereka termasuk SPIFFE Runtime Environment (SPIRE).
**penting**
App Mesh tidak menyimpan sertifikat atau kunci pribadi yang digunakan untuk otentikasi TLS bersama. Sebaliknya, Utusan menyimpannya dalam memori.
## Konfigurasikan titik akhir mesh
Konfigurasikan otentikasi TLS timbal balik untuk titik akhir mesh Anda, seperti node virtual atau gateway. Titik akhir ini memberikan sertifikat dan menentukan otoritas tepercaya.
Untuk melakukan ini, Anda perlu menyediakan sertifikat X.509 untuk klien dan server, dan secara eksplisit mendefinisikan sertifikat otoritas tepercaya dalam konteks validasi penghentian TLS dan originasi TLS.
**Percaya di dalam jala**
Sertifikat sisi server dikonfigurasi dalam pendengar Virtual Node (penghentian TLS), dan sertifikat sisi klien dikonfigurasi dalam backend layanan Virtual Nodes (originasi TLS). Sebagai alternatif untuk konfigurasi ini, Anda dapat menentukan kebijakan klien default untuk semua layanan backend dari node virtual, dan kemudian, jika diperlukan, Anda dapat mengganti kebijakan ini untuk backend tertentu sesuai kebutuhan. Virtual Gateways hanya dapat dikonfigurasi dengan kebijakan klien default yang berlaku untuk semua backend-nya.
Anda dapat mengonfigurasi kepercayaan di berbagai jerat dengan mengaktifkan otentikasi TLS timbal balik untuk lalu lintas masuk di Gateway Virtual untuk kedua jerat.
**Percaya di luar jaring**
Tentukan sertifikat sisi server di pendengar Virtual Gateway untuk penghentian TLS. Konfigurasikan layanan eksternal yang berkomunikasi dengan Virtual Gateway Anda untuk menyajikan sertifikat sisi klien. Sertifikat harus berasal dari salah satu otoritas sertifikat (CAs) yang sama yang digunakan sertifikat sisi server pada pendengar Virtual Gateway untuk originasi TLS.
## Migrasikan layanan ke otentikasi TLS bersama
Ikuti panduan ini untuk menjaga konektivitas saat memigrasikan layanan yang ada dalam App Mesh ke autentikasi TLS bersama.
**Migrasi layanan yang berkomunikasi melalui plaintext**
1. Aktifkan `PERMISSIVE` mode untuk konfigurasi TLS pada titik akhir server. Mode ini memungkinkan lalu lintas teks biasa untuk terhubung ke titik akhir.
1. Konfigurasikan otentikasi TLS timbal balik di server Anda, tentukan sertifikat server, rantai kepercayaan, dan opsional yang terpercaya. SANs
1. Konfirmasikan komunikasi terjadi melalui koneksi TLS.
1. Konfigurasikan otentikasi TLS timbal balik pada klien Anda, tentukan sertifikat klien, rantai kepercayaan, dan opsional tepercaya. SANs
1. Aktifkan `STRICT` mode untuk konfigurasi TLS di server.
**Migrasi layanan yang berkomunikasi melalui TLS**
1. Konfigurasikan pengaturan TLS timbal balik pada klien Anda, tentukan sertifikat klien dan opsional yang tepercaya. SANs Sertifikat klien tidak dikirim ke backend sampai setelah server backend memintanya.
1. Konfigurasikan pengaturan TLS timbal balik di server Anda, tentukan rantai kepercayaan dan opsional yang tepercaya. SANs Untuk ini, server Anda meminta sertifikat klien.
## Memverifikasi otentikasi TLS timbal balik
Anda dapat merujuk ke dokumentasi [Transport Layer Security: Verify encryption](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html#verify-encryption) untuk melihat bagaimana tepatnya Envoy memancarkan statistik terkait TLS. Untuk otentikasi TLS timbal balik, Anda harus memeriksa statistik berikut:
+ `ssl.handshake`
+ `ssl.no_certificate`
+ `ssl.fail_verify_no_cert`
+ `ssl.fail_verify_san`
Dua contoh statistik berikut bersama-sama menunjukkan bahwa koneksi TLS yang berhasil berakhir ke node virtual semuanya berasal dari klien yang memberikan sertifikat.
```
listener.0.0.0.0_15000.ssl.handshake: 3
```
```
listener.0.0.0.0_15000.ssl.no_certificate: 0
```
Contoh statistik berikutnya menunjukkan bahwa koneksi dari node klien virtual (atau gateway) ke node virtual backend gagal. Nama Alternatif Subjek (SAN) yang disajikan dalam sertifikat server tidak cocok dengan yang SANs dipercaya oleh klien.
```
cluster.cds_egress_my-mesh_my-backend-node_http_9080.ssl.fail_verify_san: 5
```
## Panduan otentikasi TLS timbal balik App Mesh
+ Panduan [otentikasi TLS Mutual: Panduan](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-mutual-tls-file-provided) ini menjelaskan bagaimana Anda dapat menggunakan App Mesh CLI untuk membangun aplikasi berwarna dengan otentikasi TLS timbal balik.
+ Panduan berbasis [Amazon EKS mutual TLS SDS: Panduan ini menunjukkan bagaimana Anda dapat menggunakan otentikasi berbasis](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-k8s-mtls-sds-based) TLS SDS timbal balik dengan Amazon EKS dan SPIFFE Runtime Environment (SPIRE).
+ Panduan [berbasis file TLS timbal balik Amazon EKS: Panduan ini menunjukkan bagaimana Anda dapat menggunakan otentikasi berbasis](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-k8s-mtls-file-based) file TLS timbal balik dengan Amazon EKS dan SPIFFE Runtime Environment (SPIRE).
# Bagaimana AWS App Mesh bekerja dengan IAM
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diotorisasi* (memiliki izin) untuk menggunakan sumber daya App Mesh. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.
**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana AWS App Mesh bekerja dengan IAM](security_iam_service-with-iam.md)
+ [AWS App Mesh contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
+ [AWS kebijakan terkelola untuk App Mesh](security-iam-awsmanpol.md)
+ [Menggunakan peran terkait layanan untuk App Mesh](using-service-linked-roles.md)
+ [Otorisasi Proxy Utusan](proxy-authorization.md)
+ [Memecahkan masalah AWS App Mesh identitas dan akses](security_iam_troubleshoot.md)
## Audiens
Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda berdasarkan peran Anda:
+ **Pengguna layanan** - minta izin dari administrator Anda jika Anda tidak dapat mengakses fitur (lihat [Memecahkan masalah AWS App Mesh identitas dan akses](security_iam_troubleshoot.md))
+ **Administrator layanan** - tentukan akses pengguna dan mengirimkan permintaan izin (lihat [Bagaimana AWS App Mesh bekerja dengan IAM](security_iam_service-with-iam.md))
+ **Administrator IAM** - tulis kebijakan untuk mengelola akses (lihat [AWS App Mesh contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md))
## Mengautentikasi dengan identitas
Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.
Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.
Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.
### Akun AWS pengguna root
Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*.
### Pengguna dan grup IAM
*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.
### Peran IAM
*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
## Mengelola akses menggunakan kebijakan
Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.
Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.
Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.
### Kebijakan berbasis identitas
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.
### Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.
Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.
### Daftar kontrol akses (ACLs)
Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.
### Jenis-jenis kebijakan lain
AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.
### Berbagai jenis kebijakan
Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.
# Bagaimana AWS App Mesh bekerja dengan IAM
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Sebelum Anda menggunakan IAM untuk mengelola akses ke App Mesh, Anda harus memahami fitur IAM apa yang tersedia untuk digunakan dengan App Mesh. Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja App Mesh dan AWS layanan lainnya dengan IAM, lihat [AWS Layanan yang Bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
**Topics**
+ [Kebijakan berbasis identitas App Mesh](#security_iam_service-with-iam-id-based-policies)
+ [Kebijakan berbasis sumber daya App Mesh](#security_iam_service-with-iam-resource-based-policies)
+ [Otorisasi berdasarkan tag App Mesh](#security_iam_service-with-iam-tags)
+ [Peran IAM App Mesh](#security_iam_service-with-iam-roles)
## Kebijakan berbasis identitas App Mesh
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. App Mesh mendukung tindakan, sumber daya, dan kunci kondisi tertentu. Untuk mempelajari semua elemen yang Anda gunakan dalam kebijakan JSON, lihat [Referensi Elemen Kebijakan JSON IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Tindakan
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Tindakan kebijakan di App Mesh menggunakan awalan berikut sebelum tindakan:`appmesh:`. Misalnya, untuk memberikan izin kepada seseorang untuk membuat daftar jerat di akun dengan operasi `appmesh:ListMeshes` API, Anda menyertakan `appmesh:ListMeshes` tindakan tersebut dalam kebijakan mereka. Pernyataan kebijakan harus memuat elemen `Action` atau `NotAction`.
Untuk menentukan beberapa tindakan dalam satu pernyataan, pisahkan tindakan dengan koma seperti berikut:
```
"Action": [
"appmesh:ListMeshes",
"appmesh:ListVirtualNodes"
]
```
Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Misalnya, untuk menentukan semua tindakan yang dimulai dengan kata `Describe`, sertakan tindakan berikut.
```
"Action": "appmesh:Describe*"
```
Untuk melihat daftar tindakan App Mesh, lihat [Tindakan yang Ditentukan oleh AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions) dalam *Panduan Pengguna IAM*.
### Sumber daya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
`mesh`Sumber daya App Mesh memiliki ARN berikut.
```
arn:${Partition}:appmesh:${Region}:${Account}:mesh/${MeshName}
```
Untuk informasi selengkapnya tentang format ARNs, lihat [Amazon Resource Names (ARNs) dan Ruang Nama AWS Layanan](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Misalnya, untuk menentukan mesh bernama *apps* di *Region-code* Wilayah dalam pernyataan Anda, gunakan ARN berikut.
```
arn:aws:appmesh:Region-code:111122223333:mesh/apps
```
Untuk menentukan semua instance milik akun tertentu, gunakan wildcard (\$1).
```
"Resource": "arn:aws:appmesh:Region-code:111122223333:mesh/*"
```
Beberapa tindakan App Mesh, seperti untuk membuat sumber daya, tidak dapat dilakukan pada sumber daya tertentu. Dalam kasus tersebut, Anda harus menggunakan wildcard (\$1).
```
"Resource": "*"
```
Banyak tindakan App Mesh API melibatkan banyak sumber daya. Misalnya, `CreateRoute` membuat rute dengan target node virtual, sehingga pengguna IAM harus memiliki izin untuk menggunakan rute dan node virtual. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma.
```
"Resource": [
"arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualRouter/serviceB/route/*",
"arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualNode/serviceB"
]
```
Untuk melihat daftar jenis resource App Mesh dan jenis resource ARNs, lihat [Resources Defined by AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-resources-for-iam-policies) dalam *Panduan Pengguna IAM*. Untuk mempelajari tindakan mana yang dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang Ditentukan oleh AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions).
### Kunci syarat
App Mesh mendukung penggunaan beberapa tombol kondisi global. Untuk melihat semua kunci syarat global AWS , lihat [Kunci Konteks Syarat Global AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dalam *Panduan Pengguna IAM*. Untuk melihat daftar kunci kondisi global yang didukung App Mesh, lihat [Kunci Kondisi untuk AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-policy-keys) *Panduan Pengguna IAM*. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan dengan kunci kondisi, lihat [Tindakan yang Ditentukan oleh AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions).
### Contoh
Untuk melihat contoh kebijakan berbasis identitas App Mesh, lihat. [AWS App Mesh contoh kebijakan berbasis identitas](security_iam_id-based-policy-examples.md)
## Kebijakan berbasis sumber daya App Mesh
App Mesh tidak mendukung kebijakan berbasis sumber daya. Namun, jika Anda menggunakan layanan AWS Resource Access Manager (AWS RAM) untuk berbagi mesh di seluruh AWS layanan, kebijakan berbasis sumber daya diterapkan ke mesh Anda oleh layanan. AWS RAM Untuk informasi selengkapnya, lihat [Memberikan izin untuk mesh](sharing.md#sharing-permissions-resource).
## Otorisasi berdasarkan tag App Mesh
Anda dapat melampirkan tag ke resource App Mesh atau meneruskan tag dalam permintaan ke App Mesh. Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `appmesh:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`. Untuk informasi selengkapnya tentang menandai resource App Mesh, lihat [Menandai AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) Sumber Daya.
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke sumber daya berdasarkan tag pada sumber daya tersebut, lihat [Membuat jerat App Mesh dengan tag terbatas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags).
## Peran IAM App Mesh
[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah entitas dalam AWS akun Anda yang memiliki izin tertentu.
### Menggunakan kredensil sementara dengan App Mesh
Anda dapat menggunakan kredensial sementara untuk masuk dengan gabungan, menjalankan IAM role, atau menjalankan peran lintas akun. Anda memperoleh kredensil keamanan sementara dengan memanggil operasi AWS STS API seperti [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)atau. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
App Mesh mendukung penggunaan kredensil sementara.
### Peran terkait layanan
[Peran terkait AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) memungkinkan layanan mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran terkait layanan muncul di akun IAM Anda dan dimiliki oleh layanan tersebut. Administrator IAM dapat melihat tetapi tidak dapat mengedit izin untuk peran terkait layanan.
App Mesh mendukung peran terkait layanan. Untuk detail tentang membuat atau mengelola peran terkait layanan App Mesh, lihat. [Menggunakan peran terkait layanan untuk App Mesh](using-service-linked-roles.md)
### Peran layanan
Fitur ini memungkinkan layanan untuk menerima [peran layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) atas nama Anda. Peran ini mengizinkan layanan untuk mengakses sumber daya di layanan lain untuk menyelesaikan tindakan atas nama Anda. Peran layanan muncul di akun IAM Anda dan dimiliki oleh akun tersebut. Ini berarti administrator IAM dapat mengubah izin untuk peran ini. Namun, melakukan hal itu dapat merusak fungsionalitas layanan.
App Mesh tidak mendukung peran layanan.
# AWS App Mesh contoh kebijakan berbasis identitas
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Secara default, pengguna dan peran IAM tidak memiliki izin untuk membuat atau memodifikasi resource App Mesh. Mereka juga tidak dapat melakukan tugas menggunakan Konsol Manajemen AWS, AWS CLI, atau AWS API. Administrator IAM harus membuat kebijakan IAM yang memberikan izin kepada pengguna dan peran untuk melakukan operasi API tertentu pada sumber daya yang diperlukan. Administrator kemudian harus melampirkan kebijakan tersebut ke pengguna IAM atau grup yang memerlukan izin tersebut.
Untuk mempelajari cara membuat kebijakan berbasis identitas IAM menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat Kebijakan pada Tab JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dalam *Panduan Pengguna IAM*.
**Topics**
+ [Praktik terbaik kebijakan](#security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol App Mesh](#security_iam_id-based-policy-examples-console)
+ [Izinkan para pengguna untuk melihat izin mereka sendiri](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Buat mesh](#policy_example1)
+ [Buat daftar dan jelaskan semua jerat](#policy_example2)
+ [Membuat jerat App Mesh dengan tag terbatas](#security_iam_id-based-policy-examples-view-widget-tags)
## Praktik terbaik kebijakan
Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus resource App Mesh di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.
Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.
## Menggunakan konsol App Mesh
Untuk mengakses AWS App Mesh konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya App Mesh di AWS akun Anda. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tersebut tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna IAM atau peran) dengan kebijakan tersebut. Anda dapat melampirkan kebijakan `[AWSAppMeshReadOnly](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshReadOnly%24jsonEditor)` terkelola ke pengguna. Untuk informasi selengkapnya, lihat [Menambahkan Izin ke Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai alternatif, hanya izinkan akses ke tindakan yang cocok dengan operasi API yang sedang Anda coba lakukan.
## Izinkan para pengguna untuk melihat izin mereka sendiri
Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Buat mesh
Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan yang memungkinkan pengguna membuat mesh untuk akun, di Wilayah mana pun.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:CreateMesh",
"Resource": "arn:aws:appmesh:*:123456789012:CreateMesh"
}
]
}
```
------
## Buat daftar dan jelaskan semua jerat
Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan yang memungkinkan akses hanya-baca pengguna ke daftar dan menjelaskan semua mesh.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appmesh:DescribeMesh",
"appmesh:ListMeshes"
],
"Resource": "*"
}
]
}
```
------
## Membuat jerat App Mesh dengan tag terbatas
Anda dapat menggunakan tag di kebijakan IAM untuk mengontrol tag apa yang bisa diberikan di permintaan IAM. Anda dapat menentukan pasangan nilai kunci tag mana yang dapat ditambahkan, diubah, atau dihapus dari pengguna atau peran IAM. Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan yang memungkinkan pembuatan mesh, tetapi hanya jika mesh dibuat dengan tag bernama *teamName* dan nilai*booksTeam*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:CreateMesh",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/teamName": "booksTeam"
}
}
}
]
}
```
------
Anda dapat melampirkan kebijakan ini ke pengguna IAM di akun Anda. Jika pengguna mencoba membuat mesh, mesh harus menyertakan tag bernama `teamName` dan nilai`booksTeam`. Jika mesh tidak menyertakan tag dan nilai ini, upaya untuk membuat mesh gagal. Untuk informasi selengkapnya, lihat [Elemen kebijakan IAM JSON: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
# AWS kebijakan terkelola untuk App Mesh
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak akan lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.
Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.
Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.
Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.
## AWS kebijakan terkelola: AWSApp MeshServiceRolePolicy
Anda dapat melampirkan `AWSAppMeshServiceRolePolicy` ke entitas IAM Anda. Memungkinkan akses ke AWS Layanan dan sumber daya yang digunakan atau dikelola oleh AWS App Mesh.
Untuk melihat izin kebijakan ini, lihat [AWSAppMeshServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshServiceRolePolicy.html)di *Referensi Kebijakan AWS Terkelola*.
Untuk informasi tentang detail izin`AWSAppMeshServiceRolePolicy`, lihat Izin [Peran Tertaut Layanan untuk App Mesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/using-service-linked-roles.html#slr-permissions).
## AWS kebijakan terkelola: AWSApp MeshEnvoyAccess
Anda dapat melampirkan `AWSAppMeshEnvoyAccess` ke entitas IAM Anda. Kebijakan App Mesh Envoy untuk mengakses konfigurasi node virtual.
Untuk melihat izin kebijakan ini, lihat [AWSAppMeshEnvoyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshEnvoyAccess.html)di *Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: AWSApp MeshFullAccess
Anda dapat melampirkan `AWSAppMeshFullAccess` ke entitas IAM Anda. Menyediakan akses penuh ke AWS App Mesh APIs dan Konsol Manajemen AWS.
Untuk melihat izin kebijakan ini, lihat [AWSAppMeshFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshFullAccess.html)di *Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: AWSApp MeshPreviewEnvoyAccess
Anda dapat melampirkan `AWSAppMeshPreviewEnvoyAccess` ke entitas IAM Anda. Kebijakan Utusan Pratinjau App Mesh untuk mengakses konfigurasi node virtual.
Untuk melihat izin kebijakan ini, lihat [AWSAppMeshPreviewEnvoyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshPreviewEnvoyAccess.html)di *Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: AWSApp MeshPreviewServiceRolePolicy
Anda dapat melampirkan `AWSAppMeshPreviewServiceRolePolicy` ke entitas IAM Anda. Memungkinkan akses ke AWS Layanan dan sumber daya yang digunakan atau dikelola oleh AWS App Mesh.
Untuk melihat izin kebijakan ini, lihat [AWSAppMeshPreviewServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshPreviewServiceRolePolicy.html)di *Referensi Kebijakan AWS Terkelola*.
## AWS kebijakan terkelola: AWSApp MeshReadOnly
Anda dapat melampirkan `AWSAppMeshReadOnly` ke entitas IAM Anda. Menyediakan akses hanya-baca ke dan. AWS App Mesh APIs Konsol Manajemen AWS
Untuk melihat izin kebijakan ini, lihat [AWSAppMeshReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshReadOnly.html)di *Referensi Kebijakan AWS Terkelola*.
## AWS App Mesh pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola AWS App Mesh sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman Riwayat dokumen AWS App Mesh .
| Perubahan | Deskripsi | Date |
| --- | --- | --- |
| [AWSAppMeshFullAccess](#security-iam-awsmanpol-AWSAppMeshFullAccess)— Kebijakan yang diperbarui. | Diperbarui `AWSAppMeshFullAccess` untuk memungkinkan akses ke `TagResource` dan `UntagResource`APIs. | April 24, 2024 |
| [AWSAppMeshServiceRolePolicy](#security-iam-awsmanpol-AWSAppMeshServiceRolePolicy), [AWSServiceRoleForAppMesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/using-service-linked-roles.html#slr-permissions)— Kebijakan yang diperbarui. | Diperbarui `AWSServiceRoleForAppMesh` dan `AWSAppMeshServiceRolePolicy` untuk memungkinkan akses ke AWS Cloud Map `DiscoverInstancesRevision` API. | 12 Oktober 2023 |
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
# Menggunakan peran terkait layanan untuk App Mesh
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak akan lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
AWS App Mesh menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke App Mesh. Peran terkait layanan telah ditentukan sebelumnya oleh App Mesh dan menyertakan semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan App Mesh lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. App Mesh mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya App Mesh yang dapat mengambil perannya. Izin-izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah terlebih dahulu menghapus sumber dayanya yang terkait. Ini melindungi sumber daya App Mesh karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk App Mesh
App Mesh menggunakan peran terkait layanan bernama **AWSServiceRoleForAppMesh**— Peran ini memungkinkan App Mesh memanggil AWS layanan atas nama Anda.
Peran AWSService RoleForAppMesh terkait layanan mempercayai `appmesh.amazonaws.com` layanan untuk mengambil peran tersebut.
**Detail izin**
+ `servicediscovery:DiscoverInstances`- Memungkinkan App Mesh untuk menyelesaikan tindakan pada semua AWS sumber daya.
+ `servicediscovery:DiscoverInstancesRevision`- Memungkinkan App Mesh untuk menyelesaikan tindakan pada semua AWS sumber daya.
### AWSServiceRoleForAppMesh
Kebijakan ini mencakup izin berikut:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudMapServiceDiscovery",
"Effect": "Allow",
"Action": [
"servicediscovery:DiscoverInstances",
"servicediscovery:DiscoverInstancesRevision"
],
"Resource": "*"
},
{
"Sid": "ACMCertificateVerification",
"Effect": "Allow",
"Action": [
"acm:DescribeCertificate"
],
"Resource": "*"
}
]
}
```
------
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, silakan lihat [Izin Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk App Mesh
Jika Anda membuat mesh setelah 5 Juni 2019 di Konsol Manajemen AWS, the AWS CLI, atau AWS API, App Mesh membuat peran terkait layanan untuk Anda. Agar peran terkait layanan telah dibuat untuk Anda, akun IAM yang Anda gunakan untuk membuat mesh harus memiliki kebijakan [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshFullAccess%24jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshFullAccess%24jsonEditor)IAM yang dilampirkan padanya, atau kebijakan yang dilampirkan padanya yang berisi izin. `iam:CreateServiceLinkedRole` Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat mesh, App Mesh membuat peran terkait layanan untuk Anda lagi. Jika akun Anda hanya berisi jerat yang dibuat sebelum 5 Juni 2019 dan Anda ingin menggunakan peran terkait layanan dengan jerat tersebut, maka Anda dapat membuat peran menggunakan konsol IAM.
Anda dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan kasus penggunaan **App Mesh**. Di AWS CLI atau AWS API, buat peran terkait layanan dengan nama `appmesh.amazonaws.com` layanan. Untuk informasi lebih lanjut, lihat [Membuat Peran yang Terhubung dengan Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) di *Panduan Pengguna IAM*. Jika Anda menghapus peran tertaut layanan ini, Anda dapat mengulang proses yang sama untuk membuat peran tersebut lagi.
## Mengedit peran terkait layanan untuk App Mesh
App Mesh tidak memungkinkan Anda mengedit peran AWSService RoleForAppMesh terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk App Mesh
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.
**catatan**
Jika layanan App Mesh menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
**Untuk menghapus resource App Mesh yang digunakan oleh AWSService RoleForAppMesh**
1. Hapus semua [rute](routes.md) yang ditentukan untuk semua router di mesh.
1. Hapus semua [router virtual](virtual_routers.md) di mesh.
1. Hapus semua [layanan virtual](virtual_services.md) di mesh.
1. Hapus semua [node virtual](virtual_nodes.md) di mesh.
1. Hapus [jala](meshes.md).
Selesaikan langkah-langkah sebelumnya untuk semua jerat di akun Anda.
**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleForAppMesh terkait layanan. Untuk informasi selengkapnya, silakan lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.
## Wilayah yang Didukung untuk peran terkait layanan App Mesh
App Mesh mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [Titik Akhir dan Kuota App Mesh](https://docs.aws.amazon.com/general/latest/gr/appmesh.html).
# Otorisasi Proxy Utusan
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Otorisasi proxy mengotorisasi proxy [Envoy](envoy.md) yang berjalan dalam tugas Amazon ECS, di pod Kubernetes yang berjalan di Amazon EKS, atau berjalan pada instance Amazon EC2 untuk membaca konfigurasi satu atau beberapa titik akhir mesh dari Layanan Manajemen Utusan App Mesh. Untuk akun pelanggan yang sudah memiliki Utusan yang terhubung ke titik akhir App Mesh mereka sebelum 26/04/2021, otorisasi proxy diperlukan untuk node virtual yang menggunakan [Transport Layer Security (TLS) dan untuk gateway virtual (dengan atau tanpa TLS)](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html). Untuk akun pelanggan yang ingin menghubungkan Utusan ke titik akhir App Mesh mereka setelah 26/04/2021, otorisasi proxy diperlukan untuk semua kemampuan App Mesh. Disarankan untuk semua akun pelanggan untuk mengaktifkan otorisasi proxy untuk semua node virtual, bahkan jika mereka tidak menggunakan TLS, untuk memiliki pengalaman yang aman dan konsisten menggunakan IAM untuk otorisasi ke sumber daya tertentu. Otorisasi proxy mengharuskan `appmesh:StreamAggregatedResources` izin ditentukan dalam kebijakan IAM. Kebijakan harus dilampirkan ke peran IAM, dan peran IAM tersebut harus dilampirkan ke sumber daya komputasi tempat Anda meng-host proxy.
## Buat kebijakan IAM
Jika Anda ingin semua titik akhir mesh di mesh layanan dapat membaca konfigurasi untuk semua titik akhir mesh, lewati ke. [Buat peran IAM](#create-iam-role) Jika Anda ingin membatasi titik akhir mesh yang konfigurasi dapat dibaca oleh titik akhir mesh individual, maka Anda perlu membuat satu atau lebih kebijakan IAM. Membatasi titik akhir mesh yang konfigurasi dapat dibaca dari hanya proxy Envoy yang berjalan pada sumber daya komputasi tertentu direkomendasikan. Buat kebijakan IAM dan tambahkan `appmesh:StreamAggregatedResources` izin ke kebijakan. Contoh kebijakan berikut memungkinkan konfigurasi node virtual bernama `serviceBv1` dan `serviceBv2` dibaca dalam mesh layanan. Konfigurasi tidak dapat dibaca untuk node virtual lain yang ditentukan dalam mesh layanan. Untuk informasi selengkapnya tentang membuat atau mengedit kebijakan IAM, lihat [Membuat Kebijakan IAM dan Mengedit Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:StreamAggregatedResources",
"Resource": [
"arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1",
"arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2"
]
}
]
}
```
------
Anda dapat membuat beberapa kebijakan, dengan setiap kebijakan membatasi akses ke titik akhir mesh yang berbeda.
## Buat peran IAM
Jika Anda ingin semua titik akhir mesh di mesh layanan dapat membaca konfigurasi untuk semua titik akhir mesh, maka Anda hanya perlu membuat satu peran IAM. Jika Anda ingin membatasi titik akhir mesh tempat konfigurasi dapat dibaca oleh titik akhir mesh individual, maka Anda perlu membuat peran untuk setiap kebijakan yang Anda buat pada langkah sebelumnya. Lengkapi instruksi untuk sumber daya komputasi yang dijalankan proxy.
+ **Amazon EKS** — Jika Anda ingin menggunakan peran singe, Anda dapat menggunakan peran yang ada yang dibuat dan ditetapkan ke node pekerja saat membuat klaster. Untuk menggunakan beberapa peran, klaster Anda harus memenuhi persyaratan yang ditentukan dalam [Mengaktifkan Peran IAM untuk Akun Layanan di Cluster Anda](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html). Buat peran IAM dan kaitkan peran dengan akun layanan Kubernetes. Untuk informasi selengkapnya, lihat [Membuat Peran dan Kebijakan IAM untuk Akun Layanan Anda](https://docs.aws.amazon.com/eks/latest/userguide/create-service-account-iam-policy-and-role.html) dan [Menentukan Peran IAM untuk Akun Layanan Anda](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html).
+ **Amazon ECS** — Pilih **AWS layanan, pilih Layanan** **Kontainer Elastis**, lalu pilih kasus penggunaan **Tugas Layanan Kontainer Elastis** saat membuat peran IAM Anda.
+ **Amazon EC2** — Pilih **AWS layanan,** pilih **EC2**, lalu pilih kasus penggunaan **EC2** saat membuat peran IAM Anda. Ini berlaku baik Anda meng-host proxy secara langsung di instans Amazon EC2 atau di Kubernetes yang berjalan pada sebuah instance.
Untuk informasi selengkapnya tentang cara membuat peran IAM, lihat [Membuat Peran untuk AWS Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).
## Lampirkan kebijakan IAM
Jika Anda ingin semua titik akhir mesh di mesh layanan dapat membaca konfigurasi untuk semua titik akhir mesh, lampirkan kebijakan IAM `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` terkelola ke peran IAM yang Anda buat pada langkah sebelumnya. Jika Anda ingin membatasi titik akhir mesh tempat konfigurasi dapat dibaca oleh titik akhir mesh individual, lampirkan setiap kebijakan yang Anda buat ke setiap peran yang Anda buat. Untuk informasi selengkapnya tentang melampirkan kebijakan IAM kustom atau terkelola ke peran IAM, lihat [Menambahkan Izin Identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console).
## Lampirkan peran IAM
Lampirkan setiap peran IAM ke sumber daya komputasi yang sesuai:
+ **Amazon EKS** — Jika Anda melampirkan kebijakan ke peran yang dilampirkan ke node pekerja Anda, Anda dapat melewati langkah ini. Jika Anda membuat peran terpisah, tetapkan setiap peran ke akun layanan Kubernetes yang terpisah, dan tetapkan setiap akun layanan ke spesifikasi penerapan pod Kubernetes individual yang menyertakan proxy Envoy. Untuk informasi selengkapnya, lihat [Menentukan Peran IAM untuk Akun Layanan Anda](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html) di *Panduan Pengguna Amazon EKS* dan [Mengonfigurasi Akun Layanan untuk Pod](https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/) dalam dokumentasi Kubernetes.
+ **Amazon ECS** — Lampirkan Peran Tugas Amazon ECS ke definisi tugas yang menyertakan proxy Utusan. Tugas dapat digunakan dengan tipe peluncuran EC2 atau Fargate. Untuk informasi selengkapnya tentang cara membuat Peran Tugas Amazon ECS dan melampirkannya ke tugas, lihat [Menentukan Peran IAM untuk](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html#create_task_iam_policy_and_role) Tugas Anda.
+ **Amazon EC2** — Peran IAM harus dilampirkan ke instans Amazon EC2 yang menghosting proxy Envoy. Untuk informasi selengkapnya tentang cara melampirkan peran ke instans Amazon EC2, lihat [Saya telah membuat peran IAM, dan sekarang saya ingin menetapkannya ke](https://aws.amazon.com/premiumsupport/knowledge-center/assign-iam-role-ec2-instance) instans EC2.
## Konfirmasikan izin
Konfirmasikan bahwa `appmesh:StreamAggregatedResources` izin ditetapkan ke sumber daya komputasi tempat Anda meng-host proxy dengan memilih salah satu nama layanan komputasi.
------
#### [ Amazon EKS ]
Kebijakan kustom dapat ditetapkan ke peran yang ditetapkan ke node pekerja, ke masing-masing pod, atau keduanya. Namun, disarankan agar Anda menetapkan kebijakan hanya pada masing-masing pod, sehingga Anda dapat membatasi akses pod individual ke titik akhir mesh individual. Jika kebijakan dilampirkan ke peran yang ditetapkan ke node pekerja, pilih tab **Amazon EC2**, dan selesaikan langkah-langkah yang ditemukan di sana untuk instance node pekerja Anda. Untuk menentukan peran IAM mana yang ditetapkan ke pod Kubernetes, selesaikan langkah-langkah berikut.
1. Lihat detail penerapan Kubernetes yang menyertakan pod yang ingin Anda konfirmasikan bahwa akun layanan Kubernetes telah ditetapkan. Perintah berikut menampilkan detail untuk penyebaran bernama*my-deployment*.
```
kubectl describe deployment my-deployment
```
Dalam output yang dikembalikan perhatikan nilai di sebelah kanan`Service Account:`. Jika baris yang dimulai dengan `Service Account:` tidak ada, maka akun layanan Kubernetes kustom saat ini tidak ditetapkan ke penerapan. Anda harus menetapkan satu. Untuk informasi selengkapnya, lihat [Mengatur Service Account untuk Pod](https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/) dalam dokumentasi Kubernetes.
1. Lihat detail akun layanan yang dikembalikan pada langkah sebelumnya. Perintah berikut menampilkan rincian akun layanan bernama*my-service-account*.
```
kubectl describe serviceaccount my-service-account
```
Asalkan akun layanan Kubernetes dikaitkan dengan AWS Identity and Access Management peran, salah satu baris yang dikembalikan akan terlihat mirip dengan contoh berikut.
```
Annotations: eks.amazonaws.com/role-arn=arn:aws:iam::123456789012:role/my-deployment
```
Pada contoh sebelumnya `my-deployment` adalah nama peran IAM yang dikaitkan dengan akun layanan. Jika output akun layanan tidak berisi baris yang mirip dengan contoh di atas, maka akun layanan Kubernetes tidak terkait dengan AWS Identity and Access Management akun dan Anda perlu mengaitkannya ke akun. Untuk informasi selengkapnya, lihat [Menentukan Peran IAM untuk Akun Layanan Anda](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html).
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di navigasi kiri, pilih **Peran**. Pilih nama peran IAM yang Anda catat di langkah sebelumnya.
1. Konfirmasikan bahwa kebijakan kustom yang Anda buat sebelumnya, atau kebijakan `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` terkelola tercantum. Jika tidak ada kebijakan yang dilampirkan, [lampirkan kebijakan IAM](#attach-iam-policy) ke peran IAM. Jika Anda ingin melampirkan kebijakan IAM khusus tetapi tidak memilikinya, maka Anda perlu [membuat kebijakan IAM khusus dengan izin](#create-iam-policy) yang diperlukan. Jika kebijakan IAM khusus dilampirkan, pilih kebijakan tersebut dan konfirmasikan bahwa kebijakan tersebut berisi`"Action": "appmesh:StreamAggregatedResources"`. Jika tidak, maka Anda perlu menambahkan izin itu ke kebijakan IAM khusus Anda. Anda juga dapat mengonfirmasi bahwa Nama Sumber Daya Amazon (ARN) yang sesuai untuk titik akhir mesh tertentu terdaftar. Jika tidak ARNs terdaftar, Anda dapat mengedit kebijakan untuk menambah, menghapus, atau mengubah daftar ARNs. Untuk informasi selengkapnya, lihat [Mengedit Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) dan[Buat kebijakan IAM](#create-iam-policy).
1. Ulangi langkah sebelumnya untuk setiap pod Kubernetes yang berisi proxy Envoy.
------
#### [ Amazon ECS ]
1. Dari konsol Amazon ECS, pilih **Definisi Tugas**.
1. Pilih tugas Amazon ECS Anda.
1. Pada halaman **Nama Definisi Tugas**, pilih definisi tugas Anda.
1. Pada halaman **Definisi Tugas**, pilih tautan nama peran IAM yang ada di sebelah kanan **Peran Tugas**. Jika peran IAM tidak terdaftar, maka Anda perlu [membuat peran IAM](#create-iam-role) dan melampirkannya ke tugas Anda dengan [memperbarui definisi tugas Anda](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html).
1. Di halaman **Ringkasan**, pada tab **Izin**, konfirmasikan bahwa kebijakan kustom yang Anda buat sebelumnya, atau kebijakan `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` terkelola tercantum. Jika tidak ada kebijakan yang dilampirkan, [lampirkan kebijakan IAM](#attach-iam-policy) ke peran IAM. Jika Anda ingin melampirkan kebijakan IAM khusus tetapi tidak memilikinya, maka Anda perlu [membuat kebijakan IAM kustom](#create-iam-policy). Jika kebijakan IAM khusus dilampirkan, pilih kebijakan tersebut dan konfirmasikan bahwa kebijakan tersebut berisi`"Action": "appmesh:StreamAggregatedResources"`. Jika tidak, maka Anda perlu menambahkan izin itu ke kebijakan IAM khusus Anda. Anda juga dapat mengonfirmasi bahwa Nama Sumber Daya Amazon (ARN) yang sesuai untuk titik akhir mesh tertentu terdaftar. Jika tidak ARNs terdaftar, Anda dapat mengedit kebijakan untuk menambah, menghapus, atau mengubah daftar ARNs. Untuk informasi selengkapnya, lihat [Mengedit Kebijakan IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html) dan[Buat kebijakan IAM](#create-iam-policy).
1. Ulangi langkah sebelumnya untuk setiap definisi tugas yang berisi proxy Utusan.
------
#### [ Amazon EC2 ]
1. Dari konsol Amazon EC2, pilih **Instans di navigasi** kiri.
1. Pilih salah satu instance Anda yang menghosting proxy Utusan.
1. Di tab **Deskripsi**, pilih tautan nama peran IAM yang ada di sebelah kanan peran **IAM**. Jika peran IAM tidak terdaftar, maka Anda perlu [membuat peran IAM](#create-iam-role).
1. Di halaman **Ringkasan**, pada tab **Izin**, konfirmasikan bahwa kebijakan kustom yang Anda buat sebelumnya, atau kebijakan `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` terkelola tercantum. Jika tidak ada kebijakan yang dilampirkan, [lampirkan kebijakan IAM](#attach-iam-policy) ke peran IAM. Jika Anda ingin melampirkan kebijakan IAM khusus tetapi tidak memilikinya, maka Anda perlu [membuat kebijakan IAM kustom](#create-iam-policy). Jika kebijakan IAM khusus dilampirkan, pilih kebijakan tersebut dan konfirmasikan bahwa kebijakan tersebut berisi`"Action": "appmesh:StreamAggregatedResources"`. Jika tidak, maka Anda perlu menambahkan izin itu ke kebijakan IAM khusus Anda. Anda juga dapat mengonfirmasi bahwa Nama Sumber Daya Amazon (ARN) yang sesuai untuk titik akhir mesh tertentu terdaftar. Jika tidak ARNs terdaftar, Anda dapat mengedit kebijakan untuk menambah, menghapus, atau mengubah daftar ARNs. Untuk informasi selengkapnya, lihat [Mengedit Kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) dan[Buat kebijakan IAM](#create-iam-policy).
1. Ulangi langkah sebelumnya untuk setiap instance tempat Anda meng-host proxy Envoy.
------
# Memecahkan masalah AWS App Mesh identitas dan akses
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan App Mesh dan IAM.
**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di App Mesh](#security_iam_troubleshoot-no-permissions)
+ [Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya App Mesh saya](#security_iam_troubleshoot-cross-account-access)
## Saya tidak berwenang untuk melakukan tindakan di App Mesh
Jika Konsol Manajemen AWS memberitahu Anda bahwa Anda tidak berwenang untuk melakukan tindakan, maka Anda harus menghubungi administrator Anda untuk bantuan. Administrator Anda adalah orang yang memberi Anda kredensial masuk.
Kesalahan berikut terjadi ketika pengguna `mateojackson` IAM mencoba menggunakan konsol untuk membuat node virtual bernama *my-virtual-node* dalam mesh bernama *my-mesh* tetapi tidak memiliki `appmesh:CreateVirtualNode` izin.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: appmesh:CreateVirtualNode on resource: arn:aws:appmesh:us-east-1:123456789012:mesh/my-mesh/virtualNode/my-virtual-node
```
Dalam hal ini, Mateo meminta administratornya untuk memperbarui kebijakannya untuk memungkinkannya membuat simpul virtual menggunakan `appmesh:CreateVirtualNode` tindakan tersebut.
**catatan**
Karena node virtual dibuat dalam mesh, akun Mateo juga memerlukan `appmesh:DescribeMesh` dan `appmesh:ListMeshes` tindakan untuk membuat node virtual di konsol.
## Saya ingin mengizinkan orang di luar AWS akun saya untuk mengakses sumber daya App Mesh saya
Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.
Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah App Mesh mendukung fitur ini, lihat[Bagaimana AWS App Mesh bekerja dengan IAM](security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ *Untuk mempelajari perbedaan antara menggunakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Akses sumber daya lintas akun di IAM di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html).*
# Logging panggilan AWS App Mesh API menggunakan AWS CloudTrail
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak akan lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
AWS App Mesh terintegrasi dengan [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau Layanan AWS. CloudTrail menangkap semua panggilan API untuk App Mesh sebagai peristiwa. Panggilan yang diambil mencakup panggilan dari konsol App Mesh dan panggilan kode ke operasi App Mesh API. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat ke App Mesh, alamat IP dari mana permintaan dibuat, kapan dibuat, dan detail tambahan.
Setiap entri peristiwa atau log berisi informasi tentang entitas yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan berikut hal ini:
+ Baik permintaan tersebut dibuat dengan kredensial pengguna root atau pengguna.
+ Apakah permintaan dibuat atas nama pengguna IAM Identity Center.
+ Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna gabungan.
+ Apakah permintaan tersebut dibuat oleh Layanan AWS lain.
CloudTrail aktif di Anda Akun AWS ketika Anda membuat akun dan Anda secara otomatis memiliki akses ke **riwayat CloudTrail Acara**. **Riwayat CloudTrail Acara menyediakan catatan** yang dapat dilihat, dapat dicari, dapat diunduh, dan tidak dapat diubah dari 90 hari terakhir dari peristiwa manajemen yang direkam dalam file. Wilayah AWS Untuk informasi selengkapnya, lihat [Bekerja dengan riwayat CloudTrail Acara](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) di *Panduan AWS CloudTrail Pengguna*. Tidak ada CloudTrail biaya untuk melihat **riwayat Acara**.
Untuk catatan acara yang sedang berlangsung dalam 90 hari Akun AWS terakhir Anda, buat jejak atau penyimpanan data acara [CloudTrailDanau](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail jalan setapak**
*Jejak* memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Semua jalur yang dibuat menggunakan Konsol Manajemen AWS Multi-region. Anda dapat membuat jalur Single-region atau Multi-region dengan menggunakan. AWS CLI Membuat jejak Multi-wilayah disarankan karena Anda menangkap aktivitas Wilayah AWS di semua akun Anda. Jika Anda membuat jejak wilayah Tunggal, Anda hanya dapat melihat peristiwa yang dicatat di jejak. Wilayah AWS Untuk informasi selengkapnya tentang jejak, lihat [Membuat jejak untuk Anda Akun AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) dan [Membuat jejak untuk organisasi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) di *Panduan AWS CloudTrail Pengguna*.
Anda dapat mengirimkan satu salinan acara manajemen yang sedang berlangsung ke bucket Amazon S3 Anda tanpa biaya CloudTrail dengan membuat jejak, namun, ada biaya penyimpanan Amazon S3. Untuk informasi selengkapnya tentang CloudTrail harga, lihat [AWS CloudTrail Harga](https://aws.amazon.com/cloudtrail/pricing/). Untuk informasi tentang harga Amazon S3, lihat [Harga Amazon S3](https://aws.amazon.com/s3/pricing/).
**CloudTrail Menyimpan data acara danau**
*CloudTrail Lake* memungkinkan Anda menjalankan kueri berbasis SQL pada acara Anda. CloudTrail [Lake mengonversi peristiwa yang ada dalam format JSON berbasis baris ke format Apache ORC.](https://orc.apache.org/) ORC adalah format penyimpanan kolumnar yang dioptimalkan untuk pengambilan data dengan cepat. Peristiwa digabungkan ke dalam *penyimpanan data peristiwa*, yang merupakan kumpulan peristiwa yang tidak dapat diubah berdasarkan kriteria yang Anda pilih dengan menerapkan pemilih acara [tingkat lanjut](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). Penyeleksi yang Anda terapkan ke penyimpanan data acara mengontrol peristiwa mana yang bertahan dan tersedia untuk Anda kueri. Untuk informasi lebih lanjut tentang CloudTrail Danau, lihat [Bekerja dengan AWS CloudTrail Danau](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) di *Panduan AWS CloudTrail Pengguna*.
CloudTrail Penyimpanan data acara danau dan kueri menimbulkan biaya. Saat Anda membuat penyimpanan data acara, Anda memilih [opsi harga](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) yang ingin Anda gunakan untuk penyimpanan data acara. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan peristiwa, dan periode retensi default dan maksimum untuk penyimpanan data acara. Untuk informasi selengkapnya tentang CloudTrail harga, lihat [AWS CloudTrail Harga](https://aws.amazon.com/cloudtrail/pricing/).
## Acara manajemen App Mesh di CloudTrail
[Acara manajemen](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) memberikan informasi tentang operasi manajemen yang dilakukan pada sumber daya di Anda Akun AWS. Ini juga dikenal sebagai operasi bidang kontrol. Secara default, CloudTrail mencatat peristiwa manajemen.
AWS App Mesh mencatat semua operasi bidang kontrol App Mesh sebagai peristiwa manajemen. Untuk daftar operasi bidang AWS App Mesh kontrol tempat App Mesh log ke log CloudTrail, lihat [Referensi AWS App Mesh API](https://docs.aws.amazon.com/app-mesh/latest/APIReference/API_Operations.html).
## Contoh acara App Mesh
Peristiwa mewakili permintaan tunggal dari sumber manapun dan mencakup informasi tentang operasi API yang diminta, tanggal dan waktu operasi, parameter permintaan, dan sebagainya. CloudTrail file log bukanlah jejak tumpukan yang diurutkan dari panggilan API publik, sehingga peristiwa tidak muncul dalam urutan tertentu.
Contoh berikut menunjukkan entri CloudTrail log yang menunjukkan `StreamAggregatedResources` tindakan.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAIOSFODNN7EXAMPLE:d060be4ac3244e05aca4e067bfe241f8",
"arn": "arn:aws:sts::123456789012:assumed-role/Application-TaskIamRole-C20GBLBRLBXE/d060be4ac3244e05aca4e067bfe241f8",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"invokedBy": "appmesh.amazonaws.com"
},
"eventTime": "2021-06-09T23:09:46Z",
"eventSource": "appmesh.amazonaws.com",
"eventName": "StreamAggregatedResources",
"awsRegion": "us-west-2",
"sourceIPAddress": "appmesh.amazonaws.com",
"userAgent": "appmesh.amazonaws.com",
"eventID": "e3c6f4ce-EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails": {
"connectionId": "e3c6f4ce-EXAMPLE",
"nodeArn": "arn:aws:appmesh:us-west-2:123456789012:mesh/CloudTrail-Test/virtualNode/cloudtrail-test-vn",
"eventStatus": "ConnectionEstablished",
"failureReason": ""
},
"eventCategory": "Management"
}
```
Untuk informasi tentang konten CloudTrail rekaman, lihat [konten CloudTrail rekaman](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html) di *Panduan AWS CloudTrail Pengguna*.
# Perlindungan data di AWS App Mesh
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS App Mesh. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan App Mesh atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.
## Enkripsi data
Data Anda dienkripsi saat menggunakan App Mesh.
### Enkripsi diam
Secara default, konfigurasi App Mesh yang Anda buat dienkripsi saat istirahat.
### Enkripsi bergerak
Titik akhir layanan App Mesh menggunakan protokol HTTPS. Semua komunikasi antara proxy Utusan dan Layanan Manajemen Utusan App Mesh dienkripsi. Jika Anda memerlukan enkripsi yang sesuai dengan FIPS untuk komunikasi antara proxy Utusan dan Layanan Manajemen Utusan App Mesh, ada varian FIPS dari gambar wadah proxy Envoy yang dapat Anda gunakan. Untuk informasi selengkapnya, lihat [Gambar utusan](envoy.md).
Komunikasi antar kontainer dalam node virtual tidak dienkripsi, tetapi lalu lintas ini tidak meninggalkan namespace jaringan.
# Validasi kepatuhan untuk AWS App Mesh
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .
Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).
# Keamanan infrastruktur di AWS App Mesh
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak akan lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Sebagai layanan terkelola, AWS App Mesh dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.
Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses App Mesh melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.
Anda dapat meningkatkan postur keamanan VPC Anda dengan mengonfigurasi App Mesh untuk menggunakan titik akhir VPC antarmuka. Lihat informasi yang lebih lengkap di [Antarmuka App Mesh titik akhir VPC ()AWS PrivateLink](vpc-endpoints.md).
# Antarmuka App Mesh titik akhir VPC ()AWS PrivateLink
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak akan lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Anda dapat meningkatkan postur keamanan VPC Amazon Anda dengan mengonfigurasi App Mesh untuk menggunakan titik akhir VPC antarmuka. Endpoint antarmuka didukung oleh AWS PrivateLink, teknologi yang memungkinkan Anda mengakses App Mesh secara pribadi APIs dengan menggunakan alamat IP pribadi. PrivateLinkmembatasi semua lalu lintas jaringan antara VPC Amazon Anda dan App Mesh ke jaringan Amazon.
Anda tidak diharuskan untuk mengkonfigurasi PrivateLink, tetapi kami merekomendasikannya. Untuk informasi selengkapnya tentang PrivateLink dan antarmuka titik akhir VPC, lihat [Mengakses](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html#what-is-privatelink) Layanan Melalui. AWS PrivateLink
## Pertimbangan untuk titik akhir VPC antarmuka App Mesh
Sebelum Anda mengatur titik akhir VPC antarmuka untuk App Mesh, perhatikan pertimbangan berikut:
+ Jika VPC Amazon Anda tidak memiliki gateway internet dan tugas Anda menggunakan driver `awslogs` log untuk mengirim informasi log ke Log, Anda harus membuat antarmuka VPC endpoint untuk CloudWatch Log. CloudWatch Untuk informasi selengkapnya, lihat [Menggunakan CloudWatch Log dengan Titik Akhir VPC Antarmuka di Panduan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) Pengguna *Amazon CloudWatch Logs*.
+ Titik akhir VPC tidak mendukung AWS permintaan lintas wilayah. Pastikan Anda membuat titik akhir di Wilayah yang sama tempat Anda berencana mengeluarkan panggilan API ke App Mesh.
+ Titik akhir VPC hanya mendukung DNS yang disediakan Amazon melalui Amazon Route 53. Jika Anda ingin menggunakan DNS Anda sendiri, Anda dapat menggunakan penerusan DNS bersyarat. Untuk informasi selengkapnya, lihat [Pengaturan DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) dalam *Panduan Pengguna Amazon VPC*.
+ Grup keamanan yang terpasang pada titik akhir VPC harus mengizinkan koneksi masuk pada port 443 dari subnet pribadi VPC Amazon.
**catatan**
Mengontrol akses ke App Mesh dengan melampirkan kebijakan titik akhir ke titik akhir VPC (misalnya, menggunakan nama layanan`com.amazonaws.Region.appmesh-envoy-management`) tidak didukung untuk koneksi Envoy.
Untuk pertimbangan dan batasan tambahan, lihat [Pertimbangan Zona Ketersediaan Titik Akhir Antarmuka dan Properti dan Batasan](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-availability-zones) [Titik Akhir Antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations).
## Buat titik akhir VPC antarmuka untuk App Mesh
Untuk membuat titik akhir VPC antarmuka untuk layanan App Mesh, gunakan prosedur [Membuat Titik Akhir Antarmuka](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) di Panduan Pengguna Amazon *VPC*. Tentukan `com.amazonaws.Region.appmesh-envoy-management` nama layanan untuk proxy Envoy Anda untuk terhubung ke layanan manajemen Utusan publik App Mesh dan `com.amazonaws.Region.appmesh` untuk operasi mesh.
**catatan**
*Region*mewakili pengenal Wilayah untuk AWS Wilayah yang didukung oleh App Mesh, seperti `us-east-2` untuk Wilayah AS Timur (Ohio).
Meskipun Anda dapat menentukan titik akhir VPC antarmuka untuk App Mesh di Wilayah mana pun di mana App Mesh didukung, Anda mungkin tidak dapat menentukan titik akhir untuk semua Availability Zone di setiap Wilayah. Untuk mengetahui Availability Zones mana yang didukung dengan titik akhir VPC antarmuka di Wilayah, gunakan [describe-vpc-endpoint-services ](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html)perintah atau gunakan. Konsol Manajemen AWS Misalnya, perintah berikut mengembalikan zona ketersediaan tempat Anda dapat menerapkan titik akhir VPC antarmuka App Mesh di Wilayah AS Timur (Ohio):
```
aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh-envoy-management`].AvailabilityZones[]'
```
```
aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh`].AvailabilityZones[]'
```
# Ketahanan di AWS App Mesh
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak akan lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. AWS Wilayah menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang serta mengoperasikan aplikasi dan basis data yang secara otomatis melakukan failover di antara Zona Ketersediaan tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data.
App Mesh menjalankan instance bidang kontrolnya di beberapa Availability Zone untuk memastikan ketersediaan yang tinggi. App Mesh secara otomatis mendeteksi dan mengganti instance bidang kontrol yang tidak sehat, dan menyediakan peningkatan dan penambalan versi otomatis untuk mereka.
## Pemulihan bencana di AWS App Mesh
Layanan App Mesh mengelola backup data pelanggan. Tidak ada yang perlu Anda lakukan untuk mengelola backup. Data yang dicadangkan dienkripsi.
# Konfigurasi dan analisis kerentanan di AWS App Mesh
**penting**
Pemberitahuan akhir dukungan: Pada 30 September 2026, AWS akan menghentikan dukungan untuk. AWS App Mesh Setelah 30 September 2026, Anda tidak akan lagi dapat mengakses AWS App Mesh konsol atau AWS App Mesh sumber daya. Untuk informasi lebih lanjut, kunjungi posting blog ini [Migrasi dari AWS App Mesh ke Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect).
App Mesh menjual [image container Docker proxy Envoy](envoy.md) terkelola yang Anda terapkan dengan layanan mikro Anda. App Mesh memastikan bahwa gambar kontainer ditambal dengan patch kerentanan dan kinerja terbaru. App Mesh menguji rilis proxy Envoy baru terhadap set fitur App Mesh sebelum membuat gambar tersedia untuk Anda.
Anda harus memperbarui layanan mikro Anda untuk menggunakan versi gambar kontainer yang diperbarui. Berikut ini adalah versi terbaru dari gambar.
```
840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.34.13.0-prod
```