Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS App Mesh
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra AWS te e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori di terze parti testano e verificano regolarmente l'efficacia della sicurezza come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità che si applicano a AWS App Mesh, consulta [Servizi coperti dal programma di conformitàAWS](https://aws.amazon.com/compliance/services-in-scope/). App Mesh è responsabile della fornitura sicura della configurazione ai proxy locali, inclusi segreti come le chiavi private dei certificati TLS.
+ **Sicurezza nel cloud: la** tua responsabilità è determinata dal AWS servizio che utilizzi. Sei responsabile anche di altri fattori, tra cui:
+ La sensibilità dei dati, i requisiti aziendali e le leggi e i regolamenti applicabili.
+ La configurazione di sicurezza del piano dati App Mesh, inclusa la configurazione dei gruppi di sicurezza che consentono il passaggio del traffico tra i servizi all'interno del tuo VPC.
+ La configurazione delle risorse di calcolo associate ad App Mesh.
+ Le policy IAM associate alle tue risorse di calcolo e la configurazione che possono recuperare dal piano di controllo App Mesh.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi App Mesh. I seguenti argomenti mostrano come configurare App Mesh per soddisfare i tuoi obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse App Mesh.
**Principio di sicurezza App Mesh**
I clienti dovrebbero essere in grado di regolare la sicurezza nella misura necessaria. La piattaforma non dovrebbe impedire loro di essere più sicuri. Le funzionalità della piattaforma sono sicure per impostazione predefinita.
**Topics**
+ [Transport Layer Security (TLS)](tls.md)
+ [Autenticazione TLS reciproca](mutual-tls.md)
+ [Come AWS App Mesh funziona con IAM](security-iam.md)
+ [Registrazione delle chiamate AWS App Mesh API utilizzando AWS CloudTrail](logging-using-cloudtrail.md)
+ [Protezione dei dati in AWS App Mesh](data-protection.md)
+ [Convalida della conformità per AWS App Mesh](compliance.md)
+ [Sicurezza dell'infrastruttura in AWS App Mesh](infrastructure-security.md)
+ [Resilienza in AWS App Mesh](disaster-recovery-resiliency.md)
+ [Analisi della configurazione e della vulnerabilità in AWS App Mesh](configuration-vulnerability-analysis.md)
# Transport Layer Security (TLS)
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
In App Mesh, Transport Layer Security (TLS) crittografa la comunicazione tra i proxy Envoy distribuiti su risorse di elaborazione rappresentate in App Mesh da endpoint mesh, come e. [Nodi virtuali](virtual_nodes.md) [Gateway virtuali](virtual_gateways.md) Il proxy negozia e termina TLS. Quando il proxy viene distribuito con un'applicazione, il codice dell'applicazione non è responsabile della negoziazione di una sessione TLS. Il proxy negozia TLS per conto dell'applicazione.
App Mesh consente di fornire il certificato TLS al proxy nei seguenti modi:
+ Un certificato privato di AWS Certificate Manager (ACM) rilasciato da un AWS Autorità di certificazione privata (AWS Private CA).
+ Un certificato memorizzato nel file system locale di un nodo virtuale emesso dalla propria autorità di certificazione (CA)
+ Un certificato fornito da un endpoint Secrets Discovery Service (SDS) tramite Unix Domain Socket locale.
[Autorizzazione Envoy Proxy](proxy-authorization.md)deve essere abilitato per il proxy Envoy distribuito rappresentato da un endpoint mesh. Quando abiliti l'autorizzazione proxy, ti consigliamo di limitare l'accesso solo all'endpoint mesh per cui stai abilitando la crittografia.
## Requisiti del certificato
Uno dei nomi alternativi del soggetto (SANs) sul certificato deve soddisfare criteri specifici, a seconda di come viene scoperto il servizio effettivo rappresentato da un endpoint mesh.
+ **DNS**: uno dei certificati SANs deve corrispondere al valore fornito nelle impostazioni di rilevamento del servizio DNS. Per un'applicazione con il nome di rilevamento del servizio`mesh-endpoint.apps.local`, è possibile creare un certificato corrispondente a quel nome o un certificato con la wild card. `*.apps.local`
+ **AWS Cloud Map**— Uno dei certificati SANs deve corrispondere al valore fornito nelle impostazioni di individuazione del AWS Cloud Map servizio utilizzando il formato`service-name.namespace-name`. Per un'applicazione con le AWS Cloud Map impostazioni di rilevamento dei servizi di `mesh-endpoint` ServiceName e `apps.local` NameSpaceName, è possibile creare un certificato corrispondente al `mesh-endpoint.apps.local` nome o un certificato con la wild card `*.apps.local.`
Per entrambi i meccanismi di rilevamento, se nessuno dei certificati SANs corrisponde alle impostazioni di rilevamento del servizio DNS, la connessione tra Envoys fallisce e viene visualizzato il seguente messaggio di errore, visualizzato dal client Envoy.
```
TLS error: 268435581:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED
```
## Certificati di autenticazione TLS
App Mesh supporta più fonti per i certificati quando si utilizza l'autenticazione TLS.
**AWS Private CA**
Il certificato deve essere archiviato in ACM nella stessa regione e nello stesso AWS account dell'endpoint mesh che utilizzerà il certificato. Non è necessario che il certificato della CA si trovi nello stesso AWS account, ma deve comunque trovarsi nella stessa regione dell'endpoint mesh. Se non ne hai uno CA privata AWS, devi [crearne uno](https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreateCa.html) prima di poterne richiedere un certificato. Per ulteriori informazioni sulla richiesta di un certificato da un ACM esistente che AWS Private CA utilizza ACM, consulta [Richiedere un certificato privato](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html). Il certificato non può essere un certificato pubblico.
L'utente privato CAs utilizzato per le politiche del client TLS deve essere un utente CAs root.
Per configurare un nodo virtuale con certificati e CAs da AWS Private CA, il principale (come un utente o un ruolo) che usi per chiamare App Mesh deve disporre delle seguenti autorizzazioni IAM:
+ Per tutti i certificati aggiunti alla configurazione TLS di un listener, il principale deve disporre dell'autorizzazione. `acm:DescribeCertificate`
+ Per qualsiasi politica client CAs configurata in base a TLS, il principale deve disporre dell'autorizzazione. `acm-pca:DescribeCertificateAuthority`
La condivisione CAs con altri account può conferire a tali account privilegi involontari alla CA. Si consiglia di utilizzare politiche basate sulle risorse per limitare l'accesso solo `acm-pca:DescribeCertificateAuthority` agli account che non devono emettere certificati dalla CA. `acm-pca:GetCertificateAuthorityCertificate`
Puoi aggiungere queste autorizzazioni a una policy IAM esistente collegata a un principale o creare un nuovo principale e una nuova policy e allegare la policy al principale. Per ulteriori informazioni, consulta [Modifica delle politiche IAM, Creazione delle politiche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) e [Aggiunta delle autorizzazioni di identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console).
Paghi una tariffa mensile per il funzionamento di ciascuno AWS Private CA finché non lo elimini. Paghi anche i certificati privati che emetti ogni mese e i certificati privati che esporti. Per ulteriori informazioni, consulta la sezione [Prezzi di AWS Certificate Manager](https://aws.amazon.com//certificate-manager/pricing/).
Quando abiliti [l'autorizzazione proxy](proxy-authorization.md) per l'Envoy Proxy rappresentato da un endpoint mesh, al ruolo IAM che utilizzi devono essere assegnate le seguenti autorizzazioni IAM:
+ Per tutti i certificati configurati sul listener di un nodo virtuale, il ruolo deve disporre dell'autorizzazione. `acm:ExportCertificate`
+ Per qualsiasi politica CAs configurata su un client TLS, il ruolo deve disporre dell'`acm-pca:GetCertificateAuthorityCertificate`autorizzazione.
**File system**
È possibile distribuire certificati a Envoy utilizzando il file system. È possibile farlo rendendo disponibili la catena di certificati e la chiave privata corrispondente nel percorso del file. In questo modo, queste risorse sono raggiungibili dal proxy sidecar Envoy.
**Secret Discovery Service (SDS) di Envoy**
Envoy recupera segreti come i certificati TLS da un endpoint specifico tramite il protocollo Secrets Discovery. [Per ulteriori informazioni su questo protocollo, consulta la documentazione SDS di Envoy.](https://www.envoyproxy.io/docs/envoy/latest/configuration/security/secret)
App Mesh configura il proxy Envoy per utilizzare un Unix Domain Socket locale al proxy per fungere da endpoint SDS (Secret Discovery Service) quando SDS funge da origine per i certificati e le catene di certificati. È possibile configurare il percorso di questo endpoint utilizzando la variabile di ambiente. `APPMESH_SDS_SOCKET_PATH`
Local Secrets Discovery Service che utilizza Unix Domain Socket è supportato sul proxy App Mesh Envoy versione 1.15.1.0 e successive.
App Mesh supporta il protocollo SDS V2 utilizzando gRPC.
**Integrazione con SPIFFE Runtime Environment (SPIRE)**
[Puoi utilizzare qualsiasi implementazione collaterale dell'API SDS, comprese le toolchain esistenti come SPIFFE Runtime Environment (SPIRE).](https://github.com/spiffe/spire) SPIRE è progettato per consentire l'implementazione dell'autenticazione TLS reciproca tra più carichi di lavoro in sistemi distribuiti. Attesta l'identità dei carichi di lavoro in fase di esecuzione. SPIRE fornisce inoltre chiavi e certificati specifici per i carichi di lavoro, di breve durata e con rotazione automatica direttamente ai carichi di lavoro.
È necessario configurare l'agente SPIRE come provider SDS per Envoy. Consentitegli di fornire direttamente a Envoy il materiale chiave di cui ha bisogno per fornire l'autenticazione TLS reciproca. Esegui gli agenti SPIRE nei sidecar accanto ai proxy Envoy. L'agente si occupa della rigenerazione delle chiavi e dei certificati di breve durata, se necessario. L'agente attesta Envoy e determina quali identità di servizio e certificati CA deve rendere disponibili a Envoy quando Envoy si connette al server SDS esposto dall'agente SPIRE.
Durante questo processo, le identità di servizio e i certificati CA vengono ruotati e gli aggiornamenti vengono trasmessi in streaming a Envoy. Envoy li applica immediatamente alle nuove connessioni senza interruzioni o tempi di inattività e senza che le chiavi private tocchino mai il file system.
## In che modo App Mesh configura Envoys per negoziare TLS
App Mesh utilizza la configurazione degli endpoint mesh sia del client che del server per determinare come configurare la comunicazione tra Envoys in una mesh.
**Con le politiche dei clienti**
Quando una politica client impone l'uso di TLS e una delle porte nella politica del client corrisponde alla politica della porta del server, la politica del client viene utilizzata per configurare il contesto di convalida TLS del client. Ad esempio, se la politica client di un gateway virtuale corrisponde alla politica del server di un nodo virtuale, verrà tentata la negoziazione TLS tra i proxy utilizzando le impostazioni definite nella politica client del gateway virtuale. Se la politica del client non corrisponde alla politica della porta del server, il TLS tra i proxy può essere negoziato o meno, a seconda delle impostazioni TLS della politica del server.
**Senza politiche client**
Se il client non ha configurato una politica client o la politica del client non corrisponde alla porta del server, App Mesh utilizzerà il server per determinare se negoziare o meno TLS dal client e come. Ad esempio, se un gateway virtuale non ha specificato una policy client e un nodo virtuale non ha configurato la terminazione TLS, TLS non verrà negoziato tra i proxy. Se un client non ha specificato una politica client corrispondente e un server è stato configurato con le modalità TLS `STRICT` oppure`PERMISSIVE`, i proxy verranno configurati per negoziare TLS. A seconda di come sono stati forniti i certificati per la terminazione TLS, si applica il seguente comportamento aggiuntivo.
+ **Certificati TLS gestiti da ACM**: quando un server ha configurato la terminazione TLS utilizzando un certificato gestito da ACM, App Mesh configura automaticamente i client per negoziare TLS e convalidare il certificato rispetto alla CA dell'utente root a cui è collegato il certificato.
+ **Certificati TLS basati su file**: quando un server ha configurato la terminazione TLS utilizzando un certificato del file system locale del proxy, App Mesh configura automaticamente un client per negoziare TLS, ma il certificato del server non viene convalidato.
**Nomi alternativi dei soggetti**
Facoltativamente, puoi specificare un elenco di nomi alternativi dei soggetti (SANs) di cui fidarti. SANs deve essere nel formato FQDN o URI. Se SANs forniti, Envoy verifica che il nome alternativo del soggetto del certificato presentato corrisponda a uno dei nomi in questo elenco.
Se non lo si specifica SANs sull'endpoint mesh di terminazione, il proxy Envoy per quel nodo non verifica la SAN su un certificato peer client. Se non si specifica SANs sull'endpoint mesh di origine, il SAN sul certificato fornito dall'endpoint terminante deve corrispondere alla configurazione di rilevamento del servizio di endpoint mesh.
Per ulteriori informazioni, consulta App Mesh [TLS: requisiti del certificato](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html#virtual-node-tls-prerequisites).
Puoi usare wildcard solo SANs se la politica del client per TLS è impostata su. `not enforced` Se la policy client per il nodo virtuale o il gateway virtuale del client è configurata per applicare TLS, non può accettare una SAN wildcard.
## Verifica la crittografia
Dopo aver abilitato TLS, puoi interrogare il proxy Envoy per confermare che la comunicazione sia crittografata. Il proxy Envoy emette statistiche sulle risorse che possono aiutarti a capire se la tua comunicazione TLS funziona correttamente. Ad esempio, il proxy Envoy registra le statistiche sul numero di handshake TLS riusciti che ha negoziato per un endpoint mesh specificato. Determina il numero di handshake TLS riusciti per un endpoint mesh denominato con il comando seguente. `my-mesh-endpoint`
```
curl -s 'http://my-mesh-endpoint.apps.local:9901/stats' | grep ssl.handshake
```
Nell'esempio seguente, l'output restituito è che c'erano tre handshake per l'endpoint mesh, quindi la comunicazione è crittografata.
```
listener.0.0.0.0_15000.ssl.handshake: 3
```
Il proxy Envoy emette anche statistiche quando la negoziazione TLS fallisce. Determina se si sono verificati errori TLS per l'endpoint mesh.
```
curl -s 'http://my-mesh-endpoint.apps.local:9901/stats' | grep -e "ssl.*\(fail\|error\)"
```
Nell'esempio restituito dall'output, non ci sono stati errori per diverse statistiche, quindi la negoziazione TLS è riuscita.
```
listener.0.0.0.0_15000.ssl.connection_error: 0
listener.0.0.0.0_15000.ssl.fail_verify_cert_hash: 0
listener.0.0.0.0_15000.ssl.fail_verify_error: 0
listener.0.0.0.0_15000.ssl.fail_verify_no_cert: 0
listener.0.0.0.0_15000.ssl.ssl.fail_verify_san: 0
```
[Per ulteriori informazioni sulle statistiche di Envoy TLS, vedere Envoy Listener Statistics.](https://www.envoyproxy.io/docs/envoy/latest/configuration/listeners/stats)
## Rinnovo del certificato
**AWS Private CA**
Quando rinnovi un certificato con ACM, il certificato rinnovato verrà distribuito automaticamente ai proxy collegati entro 35 minuti dal completamento del rinnovo. Ti consigliamo di utilizzare il rinnovo gestito per rinnovare automaticamente i certificati verso la fine del periodo di validità. Per ulteriori informazioni, consulta [Managed Renewal per i certificati emessi da Amazon di ACM](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) nella Guida per l' AWS Certificate Manager utente.
**Il tuo certificato**
Quando si utilizza un certificato del file system locale, Envoy non ricaricherà automaticamente il certificato quando viene modificato. È possibile riavviare o ridistribuire il processo Envoy per caricare un nuovo certificato. È inoltre possibile inserire un certificato più recente in un percorso di file diverso e aggiornare la configurazione del nodo virtuale o del gateway con quel percorso di file.
## Configura i carichi di lavoro Amazon ECS per utilizzare l'autenticazione TLS con AWS App Mesh
Puoi configurare la tua mesh per utilizzare l'autenticazione TLS. Assicurati che i certificati siano disponibili per i sidecar proxy Envoy che aggiungi ai tuoi carichi di lavoro. Puoi collegare un volume EBS o EFS al tuo sidecar Envoy oppure puoi archiviare e recuperare i certificati da Secrets Manager. AWS
+ Se utilizzi la distribuzione di certificati basata su file, collega un volume EBS o EFS al sidecar Envoy. Assicurati che il percorso del certificato e della chiave privata corrisponda a quello configurato in. AWS App Mesh
+ Se utilizzi una distribuzione basata su SDS, aggiungi un sidecar che implementa l'API SDS di Envoy con accesso al certificato.
**Nota**
SPIRE non è supportato su Amazon ECS.
## Configura i carichi di lavoro Kubernetes per utilizzare l'autenticazione TLS con AWS App Mesh
Puoi configurare il AWS App Mesh Controller for Kubernetes per abilitare l'autenticazione TLS per i backend e i listener dei servizi di nodi e gateway virtuali. Assicurati che i certificati siano disponibili per i sidecar proxy Envoy che aggiungi ai tuoi carichi di lavoro. Puoi vedere un esempio per ogni tipo di distribuzione nella sezione [dettagliata di Autenticazione TLS](https://docs.aws.amazon.com/app-mesh/latest/userguide/mutual-tls.html#mtls-walkthrough) reciproca.
+ Se utilizzi la distribuzione di certificati basata su file, collega un volume EBS o EFS al sidecar Envoy. Assicurati che il percorso del certificato e della chiave privata corrisponda a quello configurato nel controller. In alternativa, puoi utilizzare un Kubernetes Secret montato sul file system.
+ Se utilizzi una distribuzione basata su SDS, devi configurare un provider SDS locale del nodo che implementi l'API SDS di Envoy. Envoy lo raggiungerà tramite UDS. Per abilitare il supporto MTL basato su SDS nel AppMesh controller EKS, imposta il `enable-sds` flag su `true` e fornisci il percorso UDS del provider SDS locale al controller tramite il flag. `sds-uds-path` Se usi helm, li imposti come parte dell'installazione del controller:
```
--set sds.enabled=true
```
**Nota**
Non potrai utilizzare SPIRE per distribuire i tuoi certificati se utilizzi Amazon Elastic Kubernetes Service (Amazon EKS) in modalità Fargate.
# Autenticazione TLS reciproca
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS verrà interrotto il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
L'autenticazione reciproca TLS (Transport Layer Security) è un componente opzionale di TLS che offre l'autenticazione peer bidirezionale. L'autenticazione TLS reciproca aggiunge un livello di sicurezza rispetto a TLS e consente ai servizi di verificare il client che effettua la connessione.
Il client nella relazione client-server fornisce anche un certificato X.509 durante il processo di negoziazione della sessione. Il server utilizza questo certificato per identificare e autenticare il client. Questo processo consente di verificare se il certificato è emesso da un'autorità di certificazione (CA) affidabile e se il certificato è valido. Utilizza inoltre il Subject Alternative Name (SAN) sul certificato per identificare il client.
È possibile abilitare l'autenticazione TLS reciproca per tutti i protocolli supportati da AWS App Mesh. Sono TCP, HTTP/1.1, HTTP/2, gRPC.
**Nota**
Utilizzando App Mesh, puoi configurare l'autenticazione TLS reciproca per le comunicazioni tra i proxy Envoy dei tuoi servizi. Tuttavia, le comunicazioni tra le applicazioni e i proxy Envoy non sono crittografate.
## Certificati di autenticazione TLS reciproca
AWS App Mesh supporta due possibili fonti di certificati per l'autenticazione TLS reciproca. I certificati client in una politica client TLS e la convalida del server in una configurazione TLS del listener possono provenire da:
+ **File system:** certificati dal file system locale del proxy Envoy in esecuzione. Per distribuire i certificati a Envoy, devi fornire i percorsi dei file per la catena di certificati e la chiave privata all'API App Mesh.
+ **Secret Discovery Service (SDS) di Envoy: Bring-your-own sidecar che implementano l'SDS** e consentono l'invio di certificati a Envoy. Includono lo SPIFFE Runtime Environment (SPIRE).
**Importante**
App Mesh non archivia i certificati o le chiavi private utilizzati per l'autenticazione TLS reciproca. Invece, Envoy li archivia in memoria.
## Configura gli endpoint mesh
Configura l'autenticazione TLS reciproca per gli endpoint mesh, come nodi o gateway virtuali. Questi endpoint forniscono certificati e specificano autorità affidabili.
A tale scopo, è necessario fornire certificati X.509 sia per il client che per il server e definire in modo esplicito i certificati di autorità attendibili nel contesto di convalida sia della terminazione TLS che dell'origine TLS.
**Fiducia all'interno di una rete**
I certificati lato server sono configurati nei listener Virtual Node (terminazione TLS) e i certificati lato client sono configurati nei backend del servizio Virtual Nodes (origine TLS). In alternativa a questa configurazione, è possibile definire una politica client predefinita per tutti i servizi di backend di un nodo virtuale e quindi, se necessario, sovrascrivere questa politica per backend specifici in base alle esigenze. I gateway virtuali possono essere configurati solo con una politica client predefinita che si applica a tutti i relativi backend.
È possibile configurare la fiducia tra diverse mesh abilitando l'autenticazione TLS reciproca per il traffico in entrata sui gateway virtuali per entrambe le mesh.
**Fiducia al di fuori di una rete**
Specificate i certificati lato server nel listener Virtual Gateway per la terminazione TLS. Configura il servizio esterno che comunica con il tuo Virtual Gateway per presentare certificati lato client. I certificati devono essere derivati da una delle stesse autorità di certificazione (CAs) utilizzate dai certificati lato server sul listener Virtual Gateway per l'origine di TLS.
## Migra i servizi all'autenticazione TLS reciproca
Segui queste linee guida per mantenere la connettività durante la migrazione dei servizi esistenti all'interno di App Mesh all'autenticazione TLS reciproca.
**Servizi di migrazione che comunicano tramite testo non crittografato**
1. Abilita `PERMISSIVE` la modalità per la configurazione TLS sull'endpoint del server. Questa modalità consente al traffico in testo semplice di connettersi all'endpoint.
1. Configura l'autenticazione TLS reciproca sul tuo server, specificando il certificato del server, la catena di fiducia e, facoltativamente, il certificato affidabile. SANs
1. Conferma che la comunicazione avvenga tramite una connessione TLS.
1. Configura l'autenticazione TLS reciproca sui tuoi client, specificando il certificato del client, la catena di fiducia e, facoltativamente, il certificato affidabile. SANs
1. Abilita `STRICT` la modalità per la configurazione TLS sul server.
**Servizi di migrazione che comunicano tramite TLS**
1. Configura le impostazioni TLS reciproche sui tuoi client, specificando il certificato del client e, facoltativamente, il certificato affidabile. SANs Il certificato client viene inviato al backend solo dopo che il server di backend lo richiede.
1. Configura le impostazioni TLS reciproche sul tuo server, specificando la catena di fiducia e, facoltativamente, quella affidabile. SANs A tal fine, il server richiede un certificato client.
## Verifica dell'autenticazione TLS reciproca
Puoi fare riferimento alla documentazione sulla [crittografia Transport Layer Security: Verify](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html#verify-encryption) per vedere in che modo esattamente Envoy emette le statistiche relative a TLS. Per l'autenticazione TLS reciproca, è necessario controllare le seguenti statistiche:
+ `ssl.handshake`
+ `ssl.no_certificate`
+ `ssl.fail_verify_no_cert`
+ `ssl.fail_verify_san`
I due esempi di statistiche seguenti mostrano insieme che le connessioni TLS riuscite che terminano verso il nodo virtuale hanno tutte avuto origine da un client che ha fornito un certificato.
```
listener.0.0.0.0_15000.ssl.handshake: 3
```
```
listener.0.0.0.0_15000.ssl.no_certificate: 0
```
Il prossimo esempio di statistica mostra che le connessioni da un nodo client virtuale (o gateway) a un nodo virtuale di backend non sono riuscite. Il Subject Alternative Name (SAN) presentato nel certificato del server non corrisponde a nessuno dei nomi SANs considerati attendibili dal client.
```
cluster.cds_egress_my-mesh_my-backend-node_http_9080.ssl.fail_verify_san: 5
```
## Procedure dettagliate per l'autenticazione TLS reciproca di App Mesh
+ [Procedura dettagliata di autenticazione TLS reciproca](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-mutual-tls-file-provided): questa procedura dettagliata descrive come utilizzare l'App Mesh CLI per creare un'app a colori con autenticazione TLS reciproca.
+ [Procedura dettagliata basata su Mutual TLS SDS di Amazon EKS: questa procedura dettagliata](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-k8s-mtls-sds-based) mostra come utilizzare l'autenticazione reciproca basata su TLS SDS con Amazon EKS e SPIFFE Runtime Environment (SPIRE).
+ [Procedura dettagliata basata su file TLS reciproco di Amazon EKS: questa procedura dettagliata](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-k8s-mtls-file-based) mostra come utilizzare l'autenticazione reciproca basata su file TLS con Amazon EKS e SPIFFE Runtime Environment (SPIRE).
# Come AWS App Mesh funziona con IAM
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS interromperà il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non sarà più possibile accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (dispone delle autorizzazioni) a utilizzare le risorse App Mesh. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come AWS App Mesh funziona con IAM](security_iam_service-with-iam.md)
+ [AWS App Mesh esempi di politiche basate sull'identità](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per App Mesh](security-iam-awsmanpol.md)
+ [Utilizzo di ruoli collegati ai servizi per App Mesh](using-service-linked-roles.md)
+ [Autorizzazione Envoy Proxy](proxy-authorization.md)
+ [Risoluzione dei problemi relativi AWS App Mesh all'identità e all'accesso](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi AWS App Mesh all'identità e all'accesso](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come AWS App Mesh funziona con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [AWS App Mesh esempi di politiche basate sull'identità](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Elenchi di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come AWS App Mesh funziona con IAM
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS verrà interrotto il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non sarà più possibile accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Prima di utilizzare IAM per gestire l'accesso ad App Mesh, è necessario comprendere quali funzionalità IAM sono disponibili per l'uso con App Mesh. Per avere una visione di alto livello di come App Mesh e altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
**Topics**
+ [Criteri basati sull'identità App Mesh](#security_iam_service-with-iam-id-based-policies)
+ [Criteri basati sulle risorse App Mesh](#security_iam_service-with-iam-resource-based-policies)
+ [Autorizzazione basata sui tag App Mesh](#security_iam_service-with-iam-tags)
+ [Ruoli App Mesh IAM](#security_iam_service-with-iam-roles)
## Criteri basati sull'identità App Mesh
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. App Mesh supporta azioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta [Documentazione di riferimento degli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l'utente IAM*.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le azioni politiche in App Mesh utilizzano il seguente prefisso prima dell'azione:`appmesh:`. Ad esempio, per concedere a qualcuno il permesso di elencare le mesh in un account con l'operazione `appmesh:ListMeshes` API, includi l'`appmesh:ListMeshes`azione nella sua politica. Le istruzioni della policy devono includere un elemento `Action` o `NotAction`.
Per specificare più operazioni in una singola istruzione, separarle con una virgola come mostrato di seguito.
```
"Action": [
"appmesh:ListMeshes",
"appmesh:ListVirtualNodes"
]
```
Puoi specificare più operazioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le operazioni che iniziano con la parola `Describe`, includi la seguente operazione.
```
"Action": "appmesh:Describe*"
```
Per visualizzare un elenco di azioni App Mesh, consulta [Actions Defined by AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions) nella *IAM User Guide*.
### Resources
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
La `mesh` risorsa App Mesh ha il seguente ARN.
```
arn:${Partition}:appmesh:${Region}:${Account}:mesh/${MeshName}
```
Per ulteriori informazioni sul formato di ARNs, consulta [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Ad esempio, per specificare la mesh denominata *apps* nella *Region-code* regione nella dichiarazione, utilizzare il seguente ARN.
```
arn:aws:appmesh:Region-code:111122223333:mesh/apps
```
Per specificare tutte le istanze database che appartengono a un account specifico, utilizza il carattere jolly (\$1).
```
"Resource": "arn:aws:appmesh:Region-code:111122223333:mesh/*"
```
Alcune azioni App Mesh, come quelle per la creazione di risorse, non possono essere eseguite su una risorsa specifica. In questi casi, è necessario utilizzare il carattere jolly (\$1).
```
"Resource": "*"
```
Molte azioni dell'API App Mesh coinvolgono più risorse. Ad esempio, `CreateRoute` crea una route con un target di nodo virtuale, quindi un utente IAM deve disporre delle autorizzazioni per utilizzare la route e il nodo virtuale. Per specificare più risorse in una singola istruzione, separale ARNs con virgole.
```
"Resource": [
"arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualRouter/serviceB/route/*",
"arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualNode/serviceB"
]
```
Per visualizzare un elenco dei tipi di risorse App Mesh e relativi ARNs, consulta [Resources Defined by AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-resources-for-iam-policies) nella *IAM User Guide*. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta [Operazioni definite da AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions).
### Chiavi di condizione
App Mesh supporta l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione globali di AWS , consulta [Chiavi di contesto delle condizioni globali di AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) nella *Guida per l'utente IAM*. Per visualizzare un elenco delle chiavi di condizione globali supportate da App Mesh, consulta [Condition Keys per AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-policy-keys) nella *IAM User Guide*. Per sapere con quali azioni e risorse puoi utilizzare con una chiave di condizione, consulta [Actions Defined by AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions).
### Esempi
Per visualizzare esempi di policy basate sull'identità di App Mesh, vedere. [AWS App Mesh esempi di politiche basate sull'identità](security_iam_id-based-policy-examples.md)
## Criteri basati sulle risorse App Mesh
App Mesh non supporta le politiche basate sulle risorse. Tuttavia, se utilizzi il servizio AWS Resource Access Manager (AWS RAM) per condividere una mesh tra AWS servizi, il servizio applica alla rete mesh una policy basata sulle risorse. AWS RAM Per ulteriori informazioni, consulta [Concessione delle autorizzazioni per una mesh](sharing.md#sharing-permissions-resource).
## Autorizzazione basata sui tag App Mesh
Puoi allegare tag alle risorse App Mesh o passare i tag in una richiesta ad App Mesh. Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `appmesh:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`. Per ulteriori informazioni sull'etichettatura delle risorse App Mesh, consulta [Tagging AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) Resources.
Per visualizzare una policy basata sulle identità di esempio per limitare l'accesso a una risorsa basata su tag su tale risorsa, consulta [Creazione di mesh App Mesh con tag limitati](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags).
## Ruoli App Mesh IAM
Un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) è un'entità all'interno del tuo AWS account che dispone di autorizzazioni specifiche.
### Utilizzo di credenziali temporanee con App Mesh
È possibile utilizzare credenziali temporanee per effettuare l'accesso con la federazione, assumere un ruolo IAM o un ruolo multi-account. È possibile ottenere credenziali di sicurezza temporanee chiamando operazioni AWS STS API come [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)o. [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)
App Mesh supporta l'utilizzo di credenziali temporanee.
### Ruoli collegati ai servizi
[I ruoli collegati ai](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS servizi consentono ai servizi di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account IAM e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.
App Mesh supporta ruoli collegati ai servizi. Per informazioni dettagliate sulla creazione o la gestione di ruoli collegati al servizio App Mesh, vedere. [Utilizzo di ruoli collegati ai servizi per App Mesh](using-service-linked-roles.md)
### Ruoli dei servizi
Questa funzionalità consente a un servizio di assumere un [ruolo di servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) per conto dell'utente. Questo ruolo consente al servizio di accedere alle risorse in altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.
App Mesh non supporta i ruoli di servizio.
# AWS App Mesh esempi di politiche basate sull'identità
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS interromperà il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non sarà più possibile accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse App Mesh. Inoltre, non possono eseguire attività utilizzando l' AWS API Console di gestione AWS AWS CLI, o. Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi allegare queste policy a utenti o IAM che richiedono tali autorizzazioni.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy nella scheda JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) nella *Guida per l'utente IAM*.
**Topics**
+ [Best practice delle policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console App Mesh](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Crea una mesh](#policy_example1)
+ [Elenca e descrivi tutte le mesh](#policy_example2)
+ [Creazione di mesh App Mesh con tag limitati](#security_iam_id-based-policy-examples-view-widget-tags)
## Best practice delle policy
Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse App Mesh nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console App Mesh
Per accedere alla AWS App Mesh console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse App Mesh nel tuo AWS account. Se crei una policy basata su identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti e ruoli IAM) associate a tale policy. È possibile allegare la politica `[AWSAppMeshReadOnly](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshReadOnly%24jsonEditor)` gestita agli utenti. Per ulteriori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l'utente IAM*.
Non è necessario consentire autorizzazioni minime per la console per gli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è possibile accedere solo alle operazioni che soddisfano l'operazione API che stai cercando di eseguire.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Crea una mesh
Questo esempio mostra come creare una politica che consenta a un utente di creare una mesh per un account, in qualsiasi regione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:CreateMesh",
"Resource": "arn:aws:appmesh:*:123456789012:CreateMesh"
}
]
}
```
------
## Elenca e descrivi tutte le mesh
Questo esempio mostra come è possibile creare una politica che consenta a un utente di accedere in sola lettura all'elenco e alla descrizione di tutte le mesh.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appmesh:DescribeMesh",
"appmesh:ListMeshes"
],
"Resource": "*"
}
]
}
```
------
## Creazione di mesh App Mesh con tag limitati
Puoi utilizzare i tag nelle tue policy IAM per controllare quali tag possono essere passati nella richiesta IAM. Puoi specificare quali coppie chiave-valore di tag possono essere aggiunte, modificate o rimosse da un utente o ruolo IAM. Questo esempio mostra come è possibile creare una policy che consenta la creazione di una mesh, ma solo se la mesh viene creata con un tag denominato *teamName* e un valore di. *booksTeam*
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:CreateMesh",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/teamName": "booksTeam"
}
}
}
]
}
```
------
Puoi allegare questa policy agli utenti IAM nel tuo account. Se un utente tenta di creare una mesh, la mesh deve includere un tag denominato `teamName` e un valore di`booksTeam`. Se la mesh non include questo tag e questo valore, il tentativo di creare la mesh fallisce. Per ulteriori informazioni, consulta la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l'utente di IAM*.
# AWS politiche gestite per App Mesh
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS interromperà il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Una policy AWS gestita è una policy autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AWSApp MeshServiceRolePolicy
È possibile collegare `AWSAppMeshServiceRolePolicy` alle entità IAM. Consente l'accesso ai AWS servizi e alle risorse utilizzati o gestiti da AWS App Mesh.
Per vedere le autorizzazioni per questa policy, consulta [AWSAppMeshServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshServiceRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
Per informazioni sui dettagli delle autorizzazioni per`AWSAppMeshServiceRolePolicy`, vedi [Autorizzazioni ai ruoli collegati ai servizi per App Mesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/using-service-linked-roles.html#slr-permissions).
## AWS politica gestita: AWSApp MeshEnvoyAccess
È possibile collegare `AWSAppMeshEnvoyAccess` alle entità IAM. Policy di App Mesh Envoy per l'accesso alla configurazione dei nodi virtuali.
Per vedere le autorizzazioni per questa policy, consulta [AWSAppMeshEnvoyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshEnvoyAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: AWSApp MeshFullAccess
È possibile collegare `AWSAppMeshFullAccess` alle entità IAM. Fornisce accesso completo a AWS App Mesh APIs e Console di gestione AWS.
Per vedere le autorizzazioni per questa policy, consulta [AWSAppMeshFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshFullAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: AWSApp MeshPreviewEnvoyAccess
È possibile collegare `AWSAppMeshPreviewEnvoyAccess` alle entità IAM. Politica di App Mesh Preview Envoy per l'accesso alla configurazione dei nodi virtuali.
Per vedere le autorizzazioni per questa policy, consulta [AWSAppMeshPreviewEnvoyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshPreviewEnvoyAccess.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: AWSApp MeshPreviewServiceRolePolicy
È possibile collegare `AWSAppMeshPreviewServiceRolePolicy` alle entità IAM. Consente l'accesso ai AWS servizi e alle risorse utilizzati o gestiti da AWS App Mesh.
Per vedere le autorizzazioni per questa policy, consulta [AWSAppMeshPreviewServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshPreviewServiceRolePolicy.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS politica gestita: AWSApp MeshReadOnly
È possibile collegare `AWSAppMeshReadOnly` alle entità IAM. Fornisce accesso in sola lettura a and. AWS App Mesh APIs Console di gestione AWS
Per vedere le autorizzazioni per questa policy, consulta [AWSAppMeshReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshReadOnly.html) nella * Guida di riferimento sulle policy gestite da AWS *.
## AWS App Mesh aggiornamenti alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite AWS App Mesh da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivi il feed RSS nella pagina della cronologia dei documenti di AWS App Mesh .
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [AWSAppMeshFullAccess](#security-iam-awsmanpol-AWSAppMeshFullAccess)— Politica aggiornata. | Aggiornato `AWSAppMeshFullAccess` per consentire l'accesso a `TagResource` e `UntagResource`APIs. | 24 aprile 2024 |
| [AWSAppMeshServiceRolePolicy](#security-iam-awsmanpol-AWSAppMeshServiceRolePolicy), [AWSServiceRoleForAppMesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/using-service-linked-roles.html#slr-permissions)— Politica aggiornata. | Aggiornato `AWSServiceRoleForAppMesh` e `AWSAppMeshServiceRolePolicy` per consentire l'accesso all' AWS Cloud Map `DiscoverInstancesRevision`API. | 12 ottobre 2023 |
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
# Utilizzo di ruoli collegati ai servizi per App Mesh
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS verrà interrotto il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
AWS App Mesh utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato al servizio è un tipo unico di ruolo IAM collegato direttamente ad App Mesh. I ruoli collegati ai servizi sono predefiniti da App Mesh e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
Un ruolo collegato al servizio semplifica la configurazione di App Mesh perché non è necessario aggiungere manualmente le autorizzazioni necessarie. App Mesh definisce le autorizzazioni dei suoi ruoli collegati al servizio e, se non diversamente definito, solo App Mesh può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi le tue risorse App Mesh perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate al servizio per App Mesh
App Mesh utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForAppMesh**: il ruolo consente a App Mesh di chiamare AWS i servizi per tuo conto.
Il ruolo AWSService RoleForAppMesh collegato al servizio si fida che il `appmesh.amazonaws.com` servizio assuma il ruolo.
**Dettagli dell’autorizzazione**
+ `servicediscovery:DiscoverInstances`‐ Consente ad App Mesh di completare azioni su tutte le AWS risorse.
+ `servicediscovery:DiscoverInstancesRevision`‐ Consente ad App Mesh di completare azioni su tutte le AWS risorse.
### AWSServiceRoleForAppMesh
Questa policy include le seguenti autorizzazioni:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudMapServiceDiscovery",
"Effect": "Allow",
"Action": [
"servicediscovery:DiscoverInstances",
"servicediscovery:DiscoverInstancesRevision"
],
"Resource": "*"
},
{
"Sid": "ACMCertificateVerification",
"Effect": "Allow",
"Action": [
"acm:DescribeCertificate"
],
"Resource": "*"
}
]
}
```
------
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
## Creazione di un ruolo collegato al servizio per App Mesh
Se hai creato una mesh dopo il 5 giugno 2019 nell' AWS API Console di gestione AWS, App Mesh ha creato il ruolo collegato al servizio per te. AWS CLI Affinché il ruolo collegato al servizio sia stato creato automaticamente, all'account IAM che hai utilizzato per creare la mesh deve essere associata la policy [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshFullAccess%24jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshFullAccess%24jsonEditor)IAM o una policy associata che contenesse l'autorizzazione. `iam:CreateServiceLinkedRole` Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei una mesh, App Mesh crea nuovamente il ruolo collegato al servizio per te. Se il tuo account contiene solo mesh create prima del 5 giugno 2019 e desideri utilizzare il ruolo collegato al servizio con tali mesh, puoi creare il ruolo utilizzando la console IAM.
Puoi utilizzare la console IAM per creare un ruolo collegato al servizio con lo use case **App Mesh**. Nella AWS CLI o nell' AWS API, crea un ruolo collegato al servizio con il nome del servizio. `appmesh.amazonaws.com` Per ulteriori informazioni, consulta [Creazione di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) nella *Guida per l'utente IAM*. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.
## Modifica di un ruolo collegato al servizio per App Mesh
App Mesh non consente di modificare il ruolo AWSService RoleForAppMesh collegato al servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per App Mesh
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il servizio App Mesh utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare le risorse App Mesh utilizzate da AWSService RoleForAppMesh**
1. Elimina tutti i [percorsi](routes.md) definiti per tutti i router nella mesh.
1. Elimina tutti i [router virtuali](virtual_routers.md) nella mesh.
1. Eliminare tutti i [servizi virtuali](virtual_services.md) nella mesh.
1. Eliminare tutti [i nodi virtuali](virtual_nodes.md) nella mesh.
1. Eliminare la [mesh](meshes.md).
Completa i passaggi precedenti per tutte le mesh del tuo account.
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al AWSService RoleForAppMesh servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
## Regioni supportate per i ruoli collegati al servizio App Mesh
App Mesh supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [App Mesh Endpoints and Quotas](https://docs.aws.amazon.com/general/latest/gr/appmesh.html).
# Autorizzazione Envoy Proxy
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS verrà interrotto il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non sarà più possibile accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
L'autorizzazione proxy autorizza il proxy [Envoy](envoy.md) in esecuzione all'interno di un'attività Amazon ECS, in un pod Kubernetes in esecuzione su Amazon EKS o in esecuzione su un'istanza Amazon EC2 per leggere la configurazione di uno o più endpoint mesh dall'App Mesh Envoy Management Service. Per gli account dei clienti che hanno già Envoys connessi al proprio endpoint App Mesh prima del 26/04/2021, è richiesta l'autorizzazione proxy per i nodi virtuali che utilizzano [Transport Layer Security (TLS) e per i gateway virtuali (con o senza TLS)](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html). Per gli account cliente che desiderano connettere Envoys al proprio endpoint App Mesh dopo il 26/04/2021, è richiesta l'autorizzazione proxy per tutte le funzionalità App Mesh. Si consiglia a tutti gli account cliente di abilitare l'autorizzazione proxy per tutti i nodi virtuali, anche se non utilizzano TLS, per avere un'esperienza sicura e coerente con IAM per l'autorizzazione a risorse specifiche. L'autorizzazione proxy richiede che l'`appmesh:StreamAggregatedResources`autorizzazione sia specificata in una policy IAM. La policy deve essere associata a un ruolo IAM e tale ruolo IAM deve essere collegato alla risorsa di elaborazione su cui è ospitato il proxy.
## Creare una policy IAM
Se desideri che tutti gli endpoint mesh in una service mesh siano in grado di leggere la configurazione di tutti gli endpoint mesh, passa a. [Creazione di un ruolo IAM](#create-iam-role) Se desideri limitare gli endpoint mesh da cui la configurazione può essere letta dai singoli endpoint mesh, devi creare una o più policy IAM. Si consiglia di limitare gli endpoint mesh da cui è possibile leggere la configurazione al solo proxy Envoy in esecuzione su risorse di elaborazione specifiche. Crea una policy IAM e aggiungi l'`appmesh:StreamAggregatedResources`autorizzazione alla policy. La seguente policy di esempio consente di configurare i nodi virtuali denominati `serviceBv1` e `serviceBv2` di leggerli in una service mesh. La configurazione non può essere letta per nessun altro nodo virtuale definito nella service mesh. Per ulteriori informazioni sulla creazione o la modifica di una policy IAM, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) e [Modifica di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:StreamAggregatedResources",
"Resource": [
"arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1",
"arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2"
]
}
]
}
```
------
Puoi creare più policy, ognuna delle quali limita l'accesso a diversi endpoint mesh.
## Creazione di un ruolo IAM
Se desideri che tutti gli endpoint mesh in una service mesh siano in grado di leggere la configurazione di tutti gli endpoint mesh, devi solo creare un ruolo IAM. Se desideri limitare gli endpoint mesh da cui la configurazione può essere letta dai singoli endpoint mesh, devi creare un ruolo per ogni policy creata nel passaggio precedente. Completa le istruzioni per la risorsa di calcolo su cui viene eseguito il proxy.
+ **Amazon EKS**: se desideri utilizzare un solo ruolo, puoi utilizzare il ruolo esistente che è stato creato e assegnato ai nodi di lavoro al momento della creazione del cluster. Per utilizzare più ruoli, il cluster deve soddisfare i requisiti definiti in [Abilitazione dei ruoli IAM per gli account di servizio sul cluster](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html). Crea i ruoli IAM e associali agli account di servizio Kubernetes. Per ulteriori informazioni, consulta [Creazione di un ruolo e di una policy IAM per il tuo account di servizio](https://docs.aws.amazon.com/eks/latest/userguide/create-service-account-iam-policy-and-role.html) e [Specificazione di un ruolo IAM per](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html) il tuo account di servizio.
+ **Amazon ECS**: seleziona il **AWS servizio,** seleziona **Elastic Container Service**, quindi seleziona lo use case **Elastic Container Service Task** quando crei il tuo ruolo IAM.
+ **Amazon EC2**: seleziona il **AWS servizio, seleziona **EC2**,** quindi seleziona lo use case **EC2** quando crei il tuo ruolo IAM. Questo vale sia che il proxy sia ospitato direttamente su un'istanza Amazon EC2 o su Kubernetes in esecuzione su un'istanza.
Per ulteriori informazioni su come creare un ruolo IAM, consulta [Creating a Role for an Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console). AWS
## Allega la policy IAM
Se desideri che tutti gli endpoint mesh in una service mesh siano in grado di leggere la configurazione di tutti gli endpoint mesh, collega la policy IAM `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` gestita al ruolo IAM creato in un passaggio precedente. Se desideri limitare gli endpoint mesh da cui la configurazione può essere letta dai singoli endpoint mesh, collega ogni policy che hai creato a ciascun ruolo che hai creato. Per ulteriori informazioni su come allegare una policy IAM personalizzata o gestita a un ruolo IAM, consulta [Aggiungere autorizzazioni di identità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console).
## Allega il ruolo IAM
Collega ogni ruolo IAM alla risorsa di elaborazione appropriata:
+ **Amazon EKS**: se hai collegato la policy al ruolo associato ai nodi di lavoro, puoi saltare questo passaggio. Se hai creato ruoli separati, assegna ogni ruolo a un account di servizio Kubernetes separato e assegna ogni account di servizio a una specifica di implementazione del singolo pod Kubernetes che include il proxy Envoy. Per ulteriori informazioni, consulta [Specificazione di un ruolo IAM per il tuo account di servizio](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html) nella *Guida per l'utente di Amazon EKS* e [Configurazione degli account di servizio per i pod](https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/) nella documentazione di Kubernetes.
+ **Amazon ECS**: associa un Task Role di Amazon ECS alla definizione dell'attività che include il proxy Envoy. L'attività può essere implementata con il tipo di lancio EC2 o Fargate. Per ulteriori informazioni su come creare un Task Role Amazon ECS e associarlo a un'attività, consulta [Specificing an IAM Role for your](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html#create_task_iam_policy_and_role) Tasks.
+ **Amazon EC2**: il ruolo IAM deve essere collegato all'istanza Amazon EC2 che ospita il proxy Envoy. Per ulteriori informazioni su come associare un ruolo a un'istanza Amazon EC2, consulta [Ho creato un ruolo IAM e ora voglio assegnarlo a un'](https://aws.amazon.com/premiumsupport/knowledge-center/assign-iam-role-ec2-instance)istanza EC2.
## Conferma l'autorizzazione
Conferma che l'`appmesh:StreamAggregatedResources`autorizzazione sia assegnata alla risorsa di calcolo su cui ospiti il proxy selezionando uno dei nomi dei servizi di calcolo.
------
#### [ Amazon EKS ]
È possibile assegnare una policy personalizzata al ruolo assegnato ai nodi di lavoro, ai singoli pod o a entrambi. Si consiglia tuttavia di assegnare la policy solo ai singoli pod, in modo da limitare l'accesso dei singoli pod ai singoli endpoint mesh. Se la policy è associata al ruolo assegnato ai nodi di lavoro, seleziona la scheda **Amazon EC2** e completa i passaggi disponibili per le istanze del nodo di lavoro. Per determinare quale ruolo IAM è assegnato a un pod Kubernetes, completa i seguenti passaggi.
1. Visualizza i dettagli di una distribuzione Kubernetes che include il pod a cui desideri confermare l'assegnazione di un account di servizio Kubernetes. Il comando seguente visualizza i dettagli di una distribuzione denominata. *my-deployment*
```
kubectl describe deployment my-deployment
```
Nell'output restituito annota il valore a destra di`Service Account:`. Se `Service Account:` non esiste una riga che inizia con, un account di servizio Kubernetes personalizzato non è attualmente assegnato alla distribuzione. Dovrai assegnarne uno. Per ulteriori informazioni, consultare [Configurare gli account di servizio per i pod](https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/) nella documentazione di Kubernetes.
1. Visualizza i dettagli dell'account di servizio restituito nel passaggio precedente. Il comando seguente visualizza i dettagli di un account di servizio denominato*my-service-account*.
```
kubectl describe serviceaccount my-service-account
```
A condizione che l'account del servizio Kubernetes sia associato a un AWS Identity and Access Management ruolo, una delle righe restituite sarà simile all'esempio seguente.
```
Annotations: eks.amazonaws.com/role-arn=arn:aws:iam::123456789012:role/my-deployment
```
Nell'esempio precedente `my-deployment` è riportato il nome del ruolo IAM a cui è associato l'account di servizio. Se l'output dell'account di servizio non contiene una riga simile all'esempio precedente, l'account del servizio Kubernetes non è associato a un AWS Identity and Access Management account e devi associarlo a uno. Per ulteriori informazioni, consulta [Specificare un ruolo IAM per l'account di servizio](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html).
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Nella barra di navigazione a sinistra, seleziona **Ruoli**. Seleziona il nome del ruolo IAM che hai annotato in un passaggio precedente.
1. Verifica che sia elencata la policy personalizzata che hai creato in precedenza o la policy `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` gestita. Se nessuna policy è allegata, [allega una policy IAM](#attach-iam-policy) al ruolo IAM. Se desideri allegare una policy IAM personalizzata ma non ne hai una, devi [creare una policy IAM personalizzata](#create-iam-policy) con le autorizzazioni richieste. Se è allegata una policy IAM personalizzata, seleziona la policy e conferma che la contiene`"Action": "appmesh:StreamAggregatedResources"`. In caso contrario, devi aggiungere tale autorizzazione alla tua politica IAM personalizzata. Puoi anche confermare che sia elencato l'Amazon Resource Name (ARN) appropriato per uno specifico endpoint mesh. Se non ARNs ne è elencato nessuno, puoi modificare la policy per aggiungere, rimuovere o modificare l'elenco. ARNs Per ulteriori informazioni, consulta [Modifica delle politiche IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) e[Creare una policy IAM](#create-iam-policy).
1. Ripeti i passaggi precedenti per ogni pod Kubernetes che contiene il proxy Envoy.
------
#### [ Amazon ECS ]
1. Dalla console Amazon ECS, scegli **Task Definitions**.
1. Seleziona il tuo task Amazon ECS.
1. Nella pagina **Task Definition Name**, seleziona la definizione del task.
1. Nella pagina **Task Definition**, seleziona il link del nome del ruolo IAM che si trova a destra di **Task Role**. Se un ruolo IAM non è elencato, devi [creare un ruolo IAM](#create-iam-role) e collegarlo al tuo task [aggiornando la definizione del task.](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html)
1. Nella pagina di **riepilogo**, nella scheda **Autorizzazioni**, conferma che sia elencata la politica personalizzata creata in precedenza o la politica `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` gestita. Se nessuna policy è allegata, [allega una policy IAM](#attach-iam-policy) al ruolo IAM. Se desideri allegare una policy IAM personalizzata ma non ne hai una, devi [creare la policy IAM personalizzata](#create-iam-policy). Se è allegata una policy IAM personalizzata, seleziona la policy e conferma che la contiene`"Action": "appmesh:StreamAggregatedResources"`. In caso contrario, devi aggiungere tale autorizzazione alla tua politica IAM personalizzata. Puoi anche confermare che sia elencato l'Amazon Resource Name (ARN) appropriato per uno specifico endpoint mesh. Se non ARNs ne sono elencati, puoi modificare la policy per aggiungere, rimuovere o modificare quelli elencati. ARNs Per ulteriori informazioni, consulta [Modifica delle politiche IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html) e[Creare una policy IAM](#create-iam-policy).
1. Ripeti i passaggi precedenti per ogni definizione di attività che contiene il proxy Envoy.
------
#### [ Amazon EC2 ]
1. Dalla console Amazon EC2, seleziona **Istanze nella barra di navigazione** a sinistra.
1. Seleziona una delle tue istanze che ospita il proxy Envoy.
1. **Nella scheda **Descrizione**, seleziona il link del nome del ruolo IAM che si trova a destra del ruolo IAM.** Se un ruolo IAM non è elencato, devi [creare un ruolo IAM](#create-iam-role).
1. Nella pagina di **riepilogo**, nella scheda **Autorizzazioni**, conferma che sia elencata la politica personalizzata creata in precedenza o la politica `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` gestita. Se nessuna policy è allegata, [collega la policy IAM](#attach-iam-policy) al ruolo IAM. Se desideri allegare una policy IAM personalizzata ma non ne hai una, devi [creare la policy IAM personalizzata](#create-iam-policy). Se è allegata una policy IAM personalizzata, seleziona la policy e conferma che la contiene`"Action": "appmesh:StreamAggregatedResources"`. In caso contrario, devi aggiungere tale autorizzazione alla tua politica IAM personalizzata. Puoi anche confermare che sia elencato l'Amazon Resource Name (ARN) appropriato per uno specifico endpoint mesh. Se non ARNs ne sono elencati, puoi modificare la policy per aggiungere, rimuovere o modificare quelli elencati. ARNs Per ulteriori informazioni, consulta [Modifica delle politiche IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) e[Creare una policy IAM](#create-iam-policy).
1. Ripeti i passaggi precedenti per ogni istanza su cui ospiti il proxy Envoy.
------
# Risoluzione dei problemi relativi AWS App Mesh all'identità e all'accesso
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS verrà interrotto il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non sarà più possibile accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con App Mesh e IAM.
**Topics**
+ [Non sono autorizzato a eseguire un'azione in App Mesh](#security_iam_troubleshoot-no-permissions)
+ [Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse App Mesh](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in App Mesh
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L’amministratore è colui che ti ha fornito le credenziali di accesso.
Il seguente errore si verifica quando l'utente `mateojackson` IAM tenta di utilizzare la console per creare un nodo virtuale denominato *my-virtual-node* nella mesh denominata *my-mesh* ma non dispone dell'`appmesh:CreateVirtualNode`autorizzazione.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: appmesh:CreateVirtualNode on resource: arn:aws:appmesh:us-east-1:123456789012:mesh/my-mesh/virtualNode/my-virtual-node
```
In questo caso, Mateo chiede al suo amministratore di aggiornare le sue politiche per consentirgli di creare un nodo virtuale utilizzando l'`appmesh:CreateVirtualNode`azione.
**Nota**
Poiché un nodo virtuale viene creato all'interno di una mesh, l'account di Mateo richiede anche `appmesh:ListMeshes` le azioni `appmesh:DescribeMesh` e per creare il nodo virtuale nella console.
## Voglio consentire a persone esterne al mio AWS account di accedere alle mie risorse App Mesh
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se App Mesh supporta queste funzionalità, consulta[Come AWS App Mesh funziona con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Registrazione delle chiamate AWS App Mesh API utilizzando AWS CloudTrail
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS verrà interrotto il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
AWS App Mesh è integrato con [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), un servizio che fornisce una registrazione delle azioni intraprese da un utente, ruolo o un. Servizio AWS CloudTrail acquisisce tutte le chiamate API per App Mesh come eventi. Le chiamate acquisite includono chiamate dalla console App Mesh e chiamate di codice alle operazioni dell'API App Mesh. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata ad App Mesh, l'indirizzo IP da cui è stata effettuata la richiesta, quando è stata effettuata e dettagli aggiuntivi.
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con le credenziali utente root o utente.
+ Se la richiesta è stata effettuata per conto di un utente del Centro identità IAM.
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro Servizio AWS.
CloudTrail è attivo nel tuo account Account AWS quando crei l'account e hai automaticamente accesso alla **cronologia degli CloudTrail eventi**. La **cronologia CloudTrail degli eventi** fornisce un record visualizzabile, ricercabile, scaricabile e immutabile degli ultimi 90 giorni di eventi di gestione registrati in un. Regione AWS*Per ulteriori informazioni, consulta [Lavorare con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella Guida per l'utente.AWS CloudTrail * Non sono CloudTrail previsti costi per la visualizzazione della **cronologia degli eventi**.
Per una registrazione continua degli eventi degli Account AWS ultimi 90 giorni, crea un trail o un data store di eventi [CloudTrailLake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail sentieri**
Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Tutti i percorsi creati utilizzando il Console di gestione AWS sono multiregionali. È possibile creare un trail per una singola Regione o per più Regioni tramite AWS CLI. La creazione di un percorso multiregionale è consigliata in quanto consente di registrare l'intera attività del proprio Regioni AWS account. Se si crea un trail per una singola Regione, è possibile visualizzare solo gli eventi registrati nella Regione AWS del trail. Per ulteriori informazioni sui trail, consulta [Creating a trail for your Account AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) e [Creating a trail for an organization](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) nella *Guida per l'utente di AWS CloudTrail *.
Puoi inviare gratuitamente una copia dei tuoi eventi di gestione in corso al tuo bucket Amazon S3 CloudTrail creando un percorso, tuttavia ci sono costi di storage di Amazon S3. [Per ulteriori informazioni sui CloudTrail prezzi, consulta la pagina Prezzi.AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) Per informazioni sui prezzi di Amazon S3, consulta [Prezzi di Amazon S3](https://aws.amazon.com/s3/pricing/).
**CloudTrail Archivi di dati sugli eventi di Lake**
*CloudTrail Lake* ti consente di eseguire query basate su SQL sui tuoi eventi. CloudTrail [Lake converte gli eventi esistenti in formato JSON basato su righe in formato Apache ORC.](https://orc.apache.org/) ORC è un formato di archiviazione a colonne ottimizzato per il recupero rapido dei dati. Gli eventi vengono aggregati in *archivi di dati degli eventi*, che sono raccolte di eventi immutabili basate sui criteri selezionati applicando i [selettori di eventi avanzati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). I selettori applicati a un archivio di dati degli eventi controllano quali eventi persistono e sono disponibili per l'esecuzione della query. *Per ulteriori informazioni su CloudTrail Lake, consulta [Working with AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) nella Guida per l'utente.AWS CloudTrail *
CloudTrail Gli archivi e le richieste di dati sugli eventi di Lake comportano dei costi. Quando crei un datastore di eventi, scegli l'[opzione di prezzo](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. [Per ulteriori informazioni sui CloudTrail prezzi, consulta Prezzi.AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/)
## Eventi di gestione App Mesh in CloudTrail
[Gli eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) di gestione forniscono informazioni sulle operazioni di gestione eseguite sulle risorse di Account AWS. Queste operazioni sono definite anche operazioni del piano di controllo (control-plane). Per impostazione predefinita, CloudTrail registra gli eventi di gestione.
AWS App Mesh registra tutte le operazioni del piano di controllo App Mesh come eventi di gestione. Per un elenco delle operazioni del piano di AWS App Mesh controllo a cui App Mesh accede CloudTrail, consulta l'[AWS App Mesh API Reference](https://docs.aws.amazon.com/app-mesh/latest/APIReference/API_Operations.html).
## Esempi di eventi App Mesh
Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'operazione API richiesta, la data e l'ora dell'operazione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia stack ordinata delle chiamate API pubbliche, quindi gli eventi non vengono visualizzati in un ordine specifico.
L'esempio seguente mostra una voce di CloudTrail registro che illustra l'`StreamAggregatedResources`azione.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAIOSFODNN7EXAMPLE:d060be4ac3244e05aca4e067bfe241f8",
"arn": "arn:aws:sts::123456789012:assumed-role/Application-TaskIamRole-C20GBLBRLBXE/d060be4ac3244e05aca4e067bfe241f8",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"invokedBy": "appmesh.amazonaws.com"
},
"eventTime": "2021-06-09T23:09:46Z",
"eventSource": "appmesh.amazonaws.com",
"eventName": "StreamAggregatedResources",
"awsRegion": "us-west-2",
"sourceIPAddress": "appmesh.amazonaws.com",
"userAgent": "appmesh.amazonaws.com",
"eventID": "e3c6f4ce-EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails": {
"connectionId": "e3c6f4ce-EXAMPLE",
"nodeArn": "arn:aws:appmesh:us-west-2:123456789012:mesh/CloudTrail-Test/virtualNode/cloudtrail-test-vn",
"eventStatus": "ConnectionEstablished",
"failureReason": ""
},
"eventCategory": "Management"
}
```
Per informazioni sul contenuto dei CloudTrail record, consultate il [contenuto dei CloudTrail record](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html) nella *Guida per l'AWS CloudTrail utente*.
# Protezione dei dati in AWS App Mesh
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS interromperà il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Il [modello di responsabilità AWS condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) Il si applica alla protezione dei dati in. AWS App Mesh Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [Modello di responsabilità condivisa AWS e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *Blog sulla sicurezza AWS *.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l'autenticazione a più fattori (MFA) con ogni account.
+ Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con App Mesh o altro Servizi AWS utilizzando la console, l'API o AWS SDKs. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
## Crittografia dei dati
I tuoi dati vengono crittografati quando utilizzi App Mesh.
### Crittografia a riposo
Per impostazione predefinita, le configurazioni App Mesh che crei sono crittografate a riposo.
### Crittografia in transito
Gli endpoint del servizio App Mesh utilizzano il protocollo HTTPS. Tutte le comunicazioni tra il proxy Envoy e l'App Mesh Envoy Management Service sono crittografate. Se è necessaria una crittografia conforme a FIPS per la comunicazione tra il proxy Envoy e l'App Mesh Envoy Management Service, è possibile utilizzare una variante FIPS dell'immagine del contenitore proxy Envoy. Per ulteriori informazioni, consulta [Immagine dell'inviato](envoy.md).
La comunicazione tra contenitori all'interno dei nodi virtuali non è crittografata, ma questo traffico non esce dallo spazio dei nomi di rete.
# Convalida della conformità per AWS App Mesh
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS interromperà il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Sicurezza dell'infrastruttura in AWS App Mesh
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS interromperà il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non sarà più possibile accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
In quanto servizio gestito, AWS App Mesh è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere ad App Mesh attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Puoi migliorare il livello di sicurezza del tuo VPC configurando App Mesh per utilizzare un endpoint VPC di interfaccia. Per ulteriori informazioni, consulta [Endpoint VPC con interfaccia App Mesh ()AWS PrivateLink](vpc-endpoints.md).
# Endpoint VPC con interfaccia App Mesh ()AWS PrivateLink
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS verrà interrotto il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Puoi migliorare il livello di sicurezza del tuo Amazon VPC configurando App Mesh per utilizzare un endpoint VPC di interfaccia. Gli endpoint di interfaccia sono alimentati da AWS PrivateLink, una tecnologia che consente di accedere in modo privato ad App Mesh APIs utilizzando indirizzi IP privati. PrivateLinklimita tutto il traffico di rete tra Amazon VPC e App Mesh alla rete Amazon.
La configurazione non è obbligatoria PrivateLink, ma la consigliamo. Per ulteriori informazioni sugli endpoint VPC PrivateLink e sull'interfaccia, consulta [Accesso ai servizi tramite](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html#what-is-privatelink). AWS PrivateLink
## Considerazioni sugli endpoint VPC dell'interfaccia App Mesh
Prima di configurare gli endpoint VPC dell'interfaccia per App Mesh, tieni presente le seguenti considerazioni:
+ Se il tuo Amazon VPC non dispone di un gateway Internet e le tue attività utilizzano il driver di `awslogs` registro per inviare informazioni di log a CloudWatch Logs, devi creare un endpoint VPC di interfaccia per Logs. CloudWatch Per ulteriori informazioni, consulta [Using CloudWatch Logs with Interface VPC](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) Endpoints nella * CloudWatch Amazon* Logs User Guide.
+ Gli endpoint VPC non supportano AWS le richieste interregionali. Assicurati di creare l'endpoint nella stessa regione in cui intendi inviare le chiamate API ad App Mesh.
+ Gli endpoint VPC supportano solo il DNS fornito da Amazon tramite Amazon Route 53. Se si desidera utilizzare il proprio DNS, è possibile usare l'inoltro condizionale sul DNS. Per ulteriori informazioni, consulta [Set opzioni DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) nella *Guida per l'utente di Amazon VPC*.
+ Il gruppo di sicurezza collegato all'endpoint VPC deve consentire le connessioni in entrata sulla porta 443 dalla sottorete privata di Amazon VPC.
**Nota**
Il controllo dell'accesso ad App Mesh allegando una policy dell'endpoint all'endpoint VPC (ad esempio, utilizzando il nome del servizio`com.amazonaws.Region.appmesh-envoy-management`) non è supportato per la connessione Envoy.
[Per ulteriori considerazioni e limitazioni, consulta [Interface Endpoint Availability Zone Considerations e Interface Endpoint Properties](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-availability-zones) and Limitations.](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)
## Crea l'endpoint VPC dell'interfaccia per App Mesh
Per creare l'endpoint VPC di interfaccia per il servizio App Mesh, utilizza la procedura [Creating an Interface Endpoint](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) nella Amazon *VPC* User Guide. Specificate `com.amazonaws.Region.appmesh-envoy-management` il nome del servizio per il vostro proxy Envoy per la connessione al servizio pubblico di gestione Envoy di App Mesh e per le operazioni mesh. `com.amazonaws.Region.appmesh`
**Nota**
*Region*rappresenta l'identificatore della regione per una AWS regione supportata da App Mesh, ad esempio `us-east-2` per la regione Stati Uniti orientali (Ohio).
Sebbene sia possibile definire un endpoint VPC di interfaccia per App Mesh in qualsiasi regione in cui App Mesh è supportato, potresti non essere in grado di definire un endpoint per tutte le zone di disponibilità in ciascuna regione. Per scoprire quali zone di disponibilità sono supportate con gli endpoint VPC di interfaccia in una regione, usa il [describe-vpc-endpoint-services ](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html)comando o usa il. Console di gestione AWS Ad esempio, i seguenti comandi restituiscono le zone di disponibilità in cui è possibile distribuire un endpoint VPC con interfaccia App Mesh all'interno della regione Stati Uniti orientali (Ohio):
```
aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh-envoy-management`].AvailabilityZones[]'
```
```
aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh`].AvailabilityZones[]'
```
# Resilienza in AWS App Mesh
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS interromperà il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
L'infrastruttura AWS globale è costruita attorno a AWS regioni e zone di disponibilità. AWS Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo.
App Mesh esegue le istanze del piano di controllo su più zone di disponibilità per garantire un'elevata disponibilità. App Mesh rileva e sostituisce automaticamente le istanze del piano di controllo non integre e fornisce aggiornamenti di versione e patch automatici per tali istanze.
## Ripristino di emergenza in AWS App Mesh
Il servizio App Mesh gestisce i backup dei dati dei clienti. Non è necessario fare nulla per gestire i backup. I dati di backup sono crittografati.
# Analisi della configurazione e della vulnerabilità in AWS App Mesh
**Importante**
Avviso di fine del supporto: il 30 settembre 2026, AWS verrà interrotto il supporto per. AWS App Mesh Dopo il 30 settembre 2026, non potrai più accedere alla AWS App Mesh console o alle risorse. AWS App Mesh Per ulteriori informazioni, consulta questo post di blog [Migrazione AWS App Mesh da Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
App Mesh fornisce un'[immagine del contenitore Docker proxy Envoy](envoy.md) gestita che distribuisci con i tuoi microservizi. App Mesh garantisce che l'immagine del contenitore sia aggiornata con le ultime patch di vulnerabilità e prestazioni. App Mesh testa le nuove versioni del proxy Envoy rispetto al set di funzionalità App Mesh prima di rendere disponibili le immagini.
È necessario aggiornare i microservizi per utilizzare la versione aggiornata dell'immagine del contenitore. Di seguito è riportata la versione più recente dell'immagine.
```
840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.34.13.0-prod
```