As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança em AWS App Mesh
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores de terceiros testam e verificam regularmente a eficácia da nossa segurança como parte dos [programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade que se aplicam ao AWS App Mesh, consulte [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/). O App Mesh é responsável por fornecer configurações seguras aos proxies locais, incluindo segredos como chaves privadas de certificados TLS.
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo:
+ A confidencialidade dos dados, os requisitos da sua empresa e as leis e regulamentações aplicáveis.
+ A configuração de segurança do plano de dados do App Mesh, incluindo a configuração dos grupos de segurança que permitem que o tráfego passe entre serviços em sua VPC.
+ A configuração dos seus recursos computacionais associados ao App Mesh.
+ As políticas do IAM associadas aos seus recursos computacionais e qual configuração elas podem recuperar do ambiente de gerenciamento do App Mesh.
Esta documentação ajuda a entender como aplicar o modelo de responsabilidade compartilhada ao usar o App Mesh. Os tópicos a seguir mostram como configurar o App Mesh para atender aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus recursos do App Mesh.
**Princípio de segurança do App Mesh**
Os clientes devem ser capazes de ajustar a segurança conforme a extensão necessária. A plataforma não deve impedir que sejam mais seguros. Os recursos da plataforma são seguros por padrão.
**Topics**
+ [Transport Layer Security (TLS)](tls.md)
+ [Autenticação TLS mútua](mutual-tls.md)
+ [Como AWS App Mesh funciona com o IAM](security-iam.md)
+ [Registrando chamadas de AWS App Mesh API usando AWS CloudTrail](logging-using-cloudtrail.md)
+ [Proteção de dados em AWS App Mesh](data-protection.md)
+ [Validação de conformidade para AWS App Mesh](compliance.md)
+ [Segurança da infraestrutura em AWS App Mesh](infrastructure-security.md)
+ [Resiliência em AWS App Mesh](disaster-recovery-resiliency.md)
+ [Análise de configuração e vulnerabilidade em AWS App Mesh](configuration-vulnerability-analysis.md)
# Transport Layer Security (TLS)
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
No App Mesh, o Transport Layer Security (TLS) criptografa a comunicação entre os proxies Envoy implantados em recursos computacionais que são representados no App Mesh por endpoints de malha, como e [Nós virtuais](virtual_nodes.md) e [Gateways virtuais](virtual_gateways.md). O proxy negocia e encerra o TLS. Quando o proxy é implantado com um aplicação, o código do aplicação não é responsável por negociar uma sessão TLS. O proxy negocia o TLS em nome da sua aplicação.
O App Mesh permite que você forneça o certificado TLS ao proxy das seguintes formas:
+ Um certificado privado do AWS Certificate Manager (ACM) emitido por um Autoridade de Certificação Privada da AWS (CA Privada da AWS).
+ Um certificado armazenado no sistema de arquivos local de um nó virtual emitido por sua própria autoridade de certificação (CA)
+ Um certificado fornecido por um endpoint do Secrets Discovery Service (SDS) pelo soquete de domínio Unix local.
O [Autorização do Envoy Proxy](proxy-authorization.md) deve ser habilitado para o proxy Envoy implantado representado por um endpoint de malha. Recomendamos que, ao habilitar a autorização de proxy, restrinja o acesso somente ao endpoint de malha para o qual você está habilitando a criptografia.
## Requisitos de certificado
Um dos nomes alternativos do assunto (SANs) no certificado deve corresponder a critérios específicos, dependendo de como o serviço real representado por um endpoint de malha é descoberto.
+ **DNS** — Um dos certificados SANs deve corresponder ao valor fornecido nas configurações de descoberta do serviço DNS. Para uma aplicação com o nome de descoberta de serviços `mesh-endpoint.apps.local`, você pode criar um certificado correspondente a esse nome ou um certificado com o curinga `*.apps.local`.
+ **AWS Cloud Map**— Um dos certificados SANs deve corresponder ao valor fornecido nas configurações AWS Cloud Map de descoberta de serviços usando o formato`service-name.namespace-name`. Para um aplicativo com as configurações de descoberta de AWS Cloud Map serviço de ServiceName e `mesh-endpoint` `apps.local` NamespaceName, você pode criar um certificado que corresponda ao `mesh-endpoint.apps.local` nome ou um certificado com o caractere curinga. `*.apps.local.`
Para ambos os mecanismos de descoberta, se nenhum certificado SANs corresponder às configurações de descoberta do serviço DNS, a conexão entre os Enviados falhará com a seguinte mensagem de erro, conforme vista do Envoy do cliente.
```
TLS error: 268435581:SSL routines:OPENSSL_internal:CERTIFICATE_VERIFY_FAILED
```
## Certificados de autenticação TLS
O App Mesh oferece suporte a várias fontes de certificados ao usar a autenticação TLS.
**CA Privada da AWS**
O certificado deve ser armazenado no ACM na mesma região e conta da AWS do endpoint de malha que usará o certificado. O certificado da CA não precisa estar na mesma AWS conta, mas ainda precisa estar na mesma região do endpoint de malha. Se você não tiver um CA privada da AWS, deverá [criar um](https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCreateCa.html) antes de solicitar um certificado dele. Para obter mais informações sobre como solicitar um certificado de um existente CA Privada da AWS usando o ACM, consulte [Solicitar um certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html). O certificado não pode ser público.
O privado CAs que você usa para políticas de cliente TLS deve ser usuário CAs root.
Para configurar um nó virtual com certificados e CAs de CA Privada da AWS, o principal (como um usuário ou uma função) que você usa para chamar o App Mesh precisa ter as seguintes permissões do IAM:
+ Para qualquer certificado que você adiciona à configuração TLS de um receptor, a entidade principal deve ter a permissão `acm:DescribeCertificate`.
+ Para qualquer política de cliente CAs configurada em uma política de cliente TLS, o diretor deve ter a `acm-pca:DescribeCertificateAuthority` permissão.
Compartilhar CAs com outras contas pode dar a essas contas privilégios não intencionais à CA. Recomendamos o uso de políticas baseadas em recursos para restringir o acesso a apenas `acm-pca:DescribeCertificateAuthority` e `acm-pca:GetCertificateAuthorityCertificate` para contas que não precisam emitir certificados da CA.
Você pode adicionar essas permissões à uma política do IAM existente que está anexada a uma entidade principal ou criar uma nova entidade principal e uma nova política e anexar a política à entidade principal. Para obter mais informações, consulte [Edição de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html), [criação de políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) e [adição de permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console).
Você paga uma taxa mensal pela operação de cada um CA Privada da AWS até excluí-lo. Você paga também pelos certificados privados que emite a cada mês e pelos certificados privados que exporta. Para obter mais informações, consulte [Preços do AWS Certificate Manager](https://aws.amazon.com//certificate-manager/pricing/).
Ao ativar a [autorização de proxy](proxy-authorization.md) para o Envoy Proxy que um endpoint de malha representa, o perfil do IAM que você usa deve receber as seguintes permissões do IAM:
+ Para qualquer certificado configurado no receptor de um nó virtual, a função deve ter a permissão `acm:ExportCertificate`.
+ Para qualquer CAs configuração em uma política de cliente TLS, a função deve ter a `acm-pca:GetCertificateAuthorityCertificate` permissão.
**Sistema de arquivos**
Você pode distribuir certificados para o Envoy usando o sistema de arquivos. É possível fazer isso disponibilizando a cadeia de certificados e a chave privada correspondente disponível no caminho do arquivo. Dessa forma, esses recursos podem ser acessados pelo proxy do Envoy sidecar.
**Envoy’s Secret Discovery Service (SDS)**
O Envoy busca segredos, como certificados TLS, de um endpoint específico por meio do protocolo Secrets Discovery. Para obter mais informações sobre esse protocolo, consulte a [documentação do SDS](https://www.envoyproxy.io/docs/envoy/latest/configuration/security/secret) do Envoy.
O App Mesh configura o proxy Envoy para usar um soquete de domínio Unix Local ao proxy como o endpoint do Secret Discovery Service (SDS) quando o SDS é usado como a fonte para seus certificados e cadeias de certificados. Você pode configurar o caminho para esse endpoint usando a variável de ambiente `APPMESH_SDS_SOCKET_PATH`.
O Secrets Discovery Service local usando o soquete de domínio Unix é compatível com o proxy App Mesh Envoy versão 1.15.1.0 e posterior.
O App Mesh oferece suporte ao protocolo V2 SDS usando gRPC.
**Integração com o SPIFFE Runtime Environment (SPIRE)**
É possível usar qualquer implementação secundária da API do SDS, incluindo cadeias de ferramentas existentes, como o [SPIFFE Runtime Environment (SPIRE](https://github.com/spiffe/spire)). O SPIRE foi projetado para permitir a implantação da autenticação de TLS mútuo entre várias workloads em sistemas distribuídos. Ele atesta a identidade das workloads em tempo de execução. O SPIRE também fornece chaves e certificados específicos para workloads, de curta duração e com rotação automática diretamente para workloads.
Você deve configurar o atendente SPIRE como um provedor de SDS para o Envoy. Permita que ele forneça diretamente ao Envoy o material essencial necessário para fornecer autenticação de TLS mútuo. Execute agentes SPIRE em sidecars próximos aos proxies Envoy. O atendente se encarrega de regenerar as chaves e certificados de curta duração, conforme necessário. O atendente atesta o Envoy e determina quais identidades de serviço e certificados de CA devem ser disponibilizados ao Envoy quando o Envoy se conecta ao servidor SDS exposto pelo agente SPIRE.
Durante esse processo, as identidades de serviço e os certificados CA são alternados e as atualizações são transmitidas de volta ao Envoy. O Envoy as aplica imediatamente às novas conexões sem interrupções ou tempo de inatividade e sem que as chaves privadas cheguem ao sistema de arquivos.
## Como o App Mesh configura os Envoys para negociar o TLS
O App Mesh usa a configuração do endpoint de malha do cliente e do servidor ao determinar como configurar a comunicação entre os Envoys em uma malha.
**Com as políticas do cliente**
Quando uma política de cliente impõe o uso do TLS e uma das portas na política do cliente corresponde à porta da política do servidor, a política do cliente é usada para configurar o contexto de validação do TLS do cliente. Por exemplo, se a política de cliente de um gateway virtual corresponder à política de servidor de um nó virtual, a negociação de TLS será tentada entre os proxies usando as configurações definidas na política de cliente do gateway virtual. Se a política do cliente não corresponder à porta da política do servidor, o TLS entre os proxies poderá ou não ser negociado, dependendo das configurações de TLS da política do servidor.
**Sem políticas de cliente**
Se o cliente não tiver configurado uma política de cliente ou se a política do cliente não corresponder à porta do servidor, o App Mesh usará o servidor para determinar se deve ou não negociar o TLS do cliente e como. Por exemplo, se um gateway virtual não tiver especificado uma política de cliente e um nó virtual não tiver configurado o encerramento do TLS, o TLS não será negociado entre os proxies. Se um cliente não tiver especificado uma política de cliente correspondente e um servidor tiver sido configurado com os modos TLS `STRICT` ou `PERMISSIVE`, os proxies serão configurados para negociar o TLS. Dependendo de como os certificados foram fornecidos para o encerramento do TLS, o seguinte comportamento adicional se aplica.
+ **Certificados TLS gerenciados pelo ACM**: quando um servidor configura o encerramento do TLS usando um certificado gerenciado pelo ACM, o App Mesh configura automaticamente os clientes para negociar o TLS e validar o certificado em relação à CA do usuário raiz ao qual o certificado está vinculado.
+ **Certificados TLS baseados em arquivos**: quando um servidor configura o encerramento do TLS usando um certificado do sistema de arquivos local do proxy, o App Mesh configura automaticamente um cliente para negociar o TLS, mas o certificado do servidor não é validado.
**Nomes alternativos do assunto**
Opcionalmente, você pode especificar uma lista de nomes alternativos de assunto (SANs) nos quais confiar. SANs deve estar no formato FQDN ou URI. Se SANs forem fornecidos, o Envoy verifica se o nome alternativo do assunto do certificado apresentado corresponde a um dos nomes desta lista.
Se você não especificar SANs no endpoint da malha de terminação, o proxy Envoy desse nó não verifica a SAN em um certificado de cliente de mesmo nível. Se você não especificar SANs no endpoint de malha de origem, a SAN no certificado fornecido pelo endpoint de terminação deverá corresponder à configuração de descoberta do serviço de endpoint de malha.
Para obter mais informações, consulte App Mesh [TLS: requisitos de certificado](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html#virtual-node-tls-prerequisites).
Você só pode usar o caractere curinga SANs se a política do cliente para TLS estiver definida como. `not enforced` Se a política de cliente para o nó virtual ou gateway virtual do cliente estiver configurada para aplicar o TLS, ela não poderá aceitar um SAN curinga.
## Verifique a criptografia
Depois de habilitar o TLS, você pode consultar o proxy Envoy para confirmar se a comunicação está criptografada. O proxy Envoy emite estatísticas sobre recursos que podem ajudá-lo a entender se sua comunicação TLS está trabalhando corretamente. Por exemplo, o proxy Envoy registra estatísticas sobre o número de handshakes TLS bem-sucedidos que ele negociou para um endpoint de malha especificado. Determine quantos handshakes TLS bem-sucedidos ocorreram para um endpoint de malha nomeado `my-mesh-endpoint` com o comando a seguir.
```
curl -s 'http://my-mesh-endpoint.apps.local:9901/stats' | grep ssl.handshake
```
Na saída retornada do exemplo a seguir, houve três handshakes para o endpoint de malha, portanto, a comunicação é criptografada.
```
listener.0.0.0.0_15000.ssl.handshake: 3
```
O proxy Envoy também emite estatísticas quando a negociação do TLS está falhando. Determine se houve erros de TLS no endpoint da malha.
```
curl -s 'http://my-mesh-endpoint.apps.local:9901/stats' | grep -e "ssl.*\(fail\|error\)"
```
Na saída retornada do exemplo, não houve nenhum erro em várias estatísticas, então a negociação do TLS foi bem-sucedida.
```
listener.0.0.0.0_15000.ssl.connection_error: 0
listener.0.0.0.0_15000.ssl.fail_verify_cert_hash: 0
listener.0.0.0.0_15000.ssl.fail_verify_error: 0
listener.0.0.0.0_15000.ssl.fail_verify_no_cert: 0
listener.0.0.0.0_15000.ssl.ssl.fail_verify_san: 0
```
Para obter mais informações sobre as estatísticas do Envoy TLS, consulte [Estatísticas do receptor Envoy](https://www.envoyproxy.io/docs/envoy/latest/configuration/listeners/stats).
## Renovação de certificado
**CA Privada da AWS**
Quando você renova um certificado com o ACM, o certificado renovado será distribuído automaticamente aos seus proxies conectados dentro de 35 minutos após a conclusão da renovação. Recomendamos usar a renovação gerenciada para renovar automaticamente os certificados perto do final do período de validade. Para obter mais informações, consulte [Renovação gerenciada para certificados emitidos pela Amazon do ACM no Guia](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html) do AWS Certificate Manager usuário.
**Seu próprio certificado**
Ao usar um certificado do sistema de arquivos local, o Envoy não recarregará automaticamente o certificado quando ele for alterado. Você pode reiniciar ou reimplantar o processo Envoy para carregar um novo certificado. É possível também colocar um certificado mais novo em um caminho de arquivo diferente e atualizar a configuração do nó virtual ou do gateway com esse caminho de arquivo.
## Configure as cargas de trabalho do Amazon ECS para usar a autenticação TLS com AWS App Mesh
Você pode configurar sua malha para usar a autenticação TLS. Certifique-se de que os certificados estejam disponíveis para os sidecars do proxy do Envoy que você adiciona aos workloads. Você pode anexar um volume EBS ou EFS ao seu sidecar do Envoy ou pode armazenar e recuperar certificados do AWS Secrets Manager.
+ Se você estiver usando distribuição de certificados baseada em arquivos, conecte um volume do EBS ou do EFS ao seu sidecar do Envoy. Certifique-se de que o caminho para o certificado e a chave privada corresponda ao que está configurado em AWS App Mesh.
+ Se você estiver usando a distribuição baseada em SDS, adicione um sidecar que implemente a API SDS do Envoy com acesso ao certificado.
**nota**
O SPIRE não é compatível com o Amazon ECS.
## Configure as cargas de trabalho do Kubernetes para usar a autenticação TLS com AWS App Mesh
Você pode configurar o AWS App Mesh Controller for Kubernetes para habilitar a autenticação TLS para back-ends e ouvintes do serviço de nó virtual e gateway virtual. Certifique-se de que os certificados estejam disponíveis para os sidecars do proxy do Envoy que você adiciona aos workloads. É possível ver um exemplo para cada tipo de distribuição na seção [passo a passo](https://docs.aws.amazon.com/app-mesh/latest/userguide/mutual-tls.html#mtls-walkthrough) da Mutual TLS Authentication.
+ Se você estiver usando distribuição de certificados baseada em arquivos, conecte um volume do EBS ou do EFS ao seu sidecar do Envoy. Certifique-se de que o caminho para o certificado e a chave privada corresponda ao configurado no controlador. Como alternativa, é possível usar um Kubernetes Secret montado no sistema de arquivos.
+ Se estiver usando a distribuição baseada em SDS, deverá configurar um provedor de SDS local de nó que implemente a API SDS do Envoy. O Envoy chegará até lá via UDS. Para habilitar o suporte a mTLS baseado em SDS no AppMesh controlador EKS, defina o `enable-sds` sinalizador como `true` e forneça o caminho UDS do provedor de SDS local para o controlador por meio do sinalizador. `sds-uds-path` Se usa o Helm, configure-os como parte da instalação do seu controlador:
```
--set sds.enabled=true
```
**nota**
Não é possível usar o SPIRE para distribuir seus certificados se estiver usando o Amazon Elastic Kubernetes Service (Amazon EKS) no modo Fargate.
# Autenticação TLS mútua
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
A autenticação TLS (Transport Layer Security) mútua é um componente opcional do TLS que oferece autenticação bidirecional entre pares. A autenticação de TLS mútuo adiciona uma camada de segurança sobre o TLS e permite que seus serviços verifiquem o cliente que está fazendo a conexão.
O cliente na relação cliente-servidor também fornece um certificado X.509 durante o processo de negociação da sessão. O servidor usa esse certificado para identificar e autenticar o cliente. Esse processo ajuda a verificar se o certificado foi emitido por uma autoridade de certificação (CA) confiável e se o certificado é válido. Ele também usa o Nome Alternativo do Assunto (SAN) no certificado para identificar o cliente.
Você pode habilitar a autenticação TLS mútua para todos os protocolos suportados pelo AWS App Mesh. Eles são TCP, HTTP/1.1, HTTP/2, gRPC.
**nota**
Usando o App Mesh, você pode configurar a autenticação de TLS mútuo para comunicações entre proxies Envoy de seus serviços. No entanto, as comunicações entre seus aplicativos e os proxies do Envoy não são criptografadas.
## Certificados de autenticação de TLS mútuo
AWS App Mesh suporta duas fontes de certificado possíveis para autenticação TLS mútua. Os certificados de cliente em uma política de cliente TLS e a validação do servidor em uma configuração TLS de receptor podem ser obtidos de:
+ **Sistema de arquivos:** certificados do sistema de arquivos local do proxy Envoy que está sendo executado. Para distribuir certificados para o Envoy, você precisa fornecer caminhos de arquivo para a cadeia de certificados e a chave privada para a API do App Mesh.
+ **Envoy's Secret Discovery Service (SDS) —** Bring-your-own sidecars que implementam o SDS e permitem que certificados sejam enviados ao Envoy. Eles incluem o SPIFFE Runtime Environment (SPIRE).
**Importante**
O App Mesh não armazena os certificados ou as chaves privadas que são usados para autenticação de TLS mútuo. Em vez disso, o Envoy os armazena na memória.
## Configuração de endpoints de malha
Configure a autenticação de TLS mútuo para seus endpoints de malha, como nós virtuais ou gateways. Esses endpoints fornecem certificados e especificam autoridades confiáveis.
Para fazer isso, você precisa provisionar certificados X.509 para o cliente e para o servidor e definir explicitamente certificados de autoridade confiável no contexto de validação do encerramento do TLS e do TLS de origem.
**Confiança dentro de uma malha**
Os certificados do lado do servidor são configurados nos receptores do nó virtual (encerramento do TLS) e os certificados do lado do cliente são configurados nos back-ends do serviço de nós virtuais (TLS de origem). Como alternativa a essa configuração, você pode definir uma política de cliente padrão para todos os back-ends de serviços de um nó virtual e, se necessário, substituir essa política para back-ends específicos, conforme necessário. Os gateways virtuais só podem ser configurados com uma política de cliente padrão que se aplique a todos os seus back-ends.
Você pode configurar a confiança em diferentes malhas ativando a autenticação de TLS mútuo para tráfego de entrada nos gateways virtuais de ambas as malhas.
**Confiança fora de uma malha**
Especifique certificados do lado do servidor no receptor do Gateway Virtual para o encerramento do TLS. Configure o serviço externo que se comunica com seu Gateway Virtual para apresentar certificados do lado do cliente. Os certificados devem ser derivados de uma das mesmas autoridades de certificação (CAs) que os certificados do lado do servidor usam no ouvinte do Virtual Gateway para originação de TLS.
## Migração de serviços para a autenticação de TLS mútuo
Siga essas diretrizes para manter a conectividade ao migrar seus serviços existentes no App Mesh para a autenticação de TLS mútuo.
**Migração de serviços que se comunicam por texto sem formatação**
1. Ative o modo `PERMISSIVE` para a configuração TLS no endpoint do servidor. Esse modo permite que o tráfego de texto sem formatação se conecte ao endpoint.
1. Configure a autenticação TLS mútua em seu servidor, especificando o certificado do servidor, a cadeia de confiança e, opcionalmente, o confiável. SANs
1. Confirme se a comunicação está acontecendo por meio de uma conexão TLS.
1. Configure a autenticação TLS mútua em seus clientes, especificando o certificado do cliente, a cadeia de confiança e, opcionalmente, o confiável. SANs
1. Ative o modo `STRICT` para a configuração TLS no servidor.
**Migração de serviços que se comunicam por TLS**
1. Defina as configurações de TLS mútuo em seus clientes, especificando o certificado do cliente e, opcionalmente, o confiável. SANs O certificado do cliente não é enviado para seu back-end até que o servidor de back-end o solicite.
1. Defina as configurações de TLS mútuo em seu servidor, especificando a cadeia de confiança e, opcionalmente, a confiável. SANs Para isso, seu servidor solicita um certificado de cliente.
## Verificação da autenticação de TLS mútuo
Você pode consultar a documentação de [Transport Layer Security: Verificação de criptografia](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html#verify-encryption) para ver exatamente como o Envoy emite estatísticas relacionadas ao TLS. Para a autenticação de TLS mútuo, você deve inspecionar as seguintes estatísticas:
+ `ssl.handshake`
+ `ssl.no_certificate`
+ `ssl.fail_verify_no_cert`
+ `ssl.fail_verify_san`
Juntos, os dois exemplos de estatísticas a seguir mostram que as conexões TLS bem-sucedidas que terminaram no nó virtual foram todas originadas de um cliente que forneceu um certificado.
```
listener.0.0.0.0_15000.ssl.handshake: 3
```
```
listener.0.0.0.0_15000.ssl.no_certificate: 0
```
O próximo exemplo de estatística mostra que as conexões de um nó cliente virtual (ou gateway) com um nó virtual de back-end falharam. O nome alternativo do assunto (SAN) apresentado no certificado do servidor não corresponde a nenhum dos SANs confiáveis pelo cliente.
```
cluster.cds_egress_my-mesh_my-backend-node_http_9080.ssl.fail_verify_san: 5
```
## Tutoriais de autenticação de TLS mútuo do App Mesh
+ [Tutorial da autenticação de TLS mútuo](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-mutual-tls-file-provided): este passo a passo descreve como você pode usar a CLI do App Mesh para criar um aplicativo de cor com autenticação de TLS mútuo.
+ [Tutorial baseado em TLS SDS mútuo do Amazon EKS](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-k8s-mtls-sds-based): este passo a passo mostra como você pode usar a autenticação mútua baseada em TLS SDS com o Amazon EKS e o SPIFFE Runtime Environment (SPIRE).
+ [Tutorial baseado em arquivo TLS mútuo do Amazon EKS](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-k8s-mtls-file-based): este passo a passo mostra como você pode usar a autenticação mútua baseada em arquivo TLS com o Amazon EKS e o SPIFFE Runtime Environment (SPIRE).
# Como AWS App Mesh funciona com o IAM
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (fazer login) e *autorizado* (ter permissões) para usar recursos do App Mesh. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
**Topics**
+ [Público](#security_iam_audience)
+ [Autenticação com identidades](#security_iam_authentication)
+ [Gerenciar o acesso usando políticas](#security_iam_access-manage)
+ [Como AWS App Mesh funciona com o IAM](security_iam_service-with-iam.md)
+ [AWS App Mesh exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md)
+ [AWS políticas gerenciadas para App Mesh](security-iam-awsmanpol.md)
+ [Usar funções vinculadas ao serviço do App Mesh](using-service-linked-roles.md)
+ [Autorização do Envoy Proxy](proxy-authorization.md)
+ [Solução de problemas AWS App Mesh de identidade e acesso](security_iam_troubleshoot.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas AWS App Mesh de identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como AWS App Mesh funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [AWS App Mesh exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Usuários e grupos do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciar o acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recursos
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
# Como AWS App Mesh funciona com o IAM
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Antes de usar o IAM para gerenciar o acesso ao App Mesh, você precisa saber quais recursos do IAM estão disponíveis para uso com o App Mesh. Para ter uma visão geral de como o App Mesh e outros AWS serviços funcionam com o IAM, consulte [AWS Serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
**Topics**
+ [Políticas baseadas em identidade do App Mesh](#security_iam_service-with-iam-id-based-policies)
+ [Políticas baseadas em recursos do App Mesh](#security_iam_service-with-iam-resource-based-policies)
+ [Autorização baseada em tags do App Mesh](#security_iam_service-with-iam-tags)
+ [Perfis do IAM do App Mesh](#security_iam_service-with-iam-roles)
## Políticas baseadas em identidade do App Mesh
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. O App Mesh oferece suporte a ações, recursos e chaves de condição específicos. Para conhecer todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As ações de políticas no App Mesh usam o seguinte prefixo antes da ação: `appmesh:`. Por exemplo, para conceder permissão para alguém listar malhas de uma conta com a operação da API `appmesh:ListMeshes`, inclua a ação `appmesh:ListMeshes` na política da pessoa. As instruções de política devem incluir um elemento `Action` ou `NotAction`.
Para especificar várias ações em uma única declaração, separe-as com vírgulas, conforme a seguir.
```
"Action": [
"appmesh:ListMeshes",
"appmesh:ListVirtualNodes"
]
```
Você também pode especificar várias ações utilizando caracteres curinga (\$1). Por exemplo, para especificar todas as ações que começam com a palavra `Describe`, inclua a ação a seguir:
```
"Action": "appmesh:Describe*"
```
Para ver uma lista de ações do App Mesh, consulte [Ações definidas pelo AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions) no *Manual do usuário do IAM*.
### Recursos
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.
```
"Resource": "*"
```
O recurso App Mesh do `mesh` tem o seguinte ARN.
```
arn:${Partition}:appmesh:${Region}:${Account}:mesh/${MeshName}
```
Para obter mais informações sobre o formato de ARNs, consulte [Amazon Resource Names (ARNs) e AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Por exemplo, para especificar a malha nomeada *apps* na *Region-code* Região em sua declaração, use o seguinte ARN.
```
arn:aws:appmesh:Region-code:111122223333:mesh/apps
```
Para especificar todas as instâncias que pertencem a uma conta específica, use o caractere curinga (\$1).
```
"Resource": "arn:aws:appmesh:Region-code:111122223333:mesh/*"
```
Algumas ações do App Mesh, como as ações para a criação de recursos, não podem ser executadas em um recurso específico. Nesses casos, é necessário utilizar o caractere curinga (\$1).
```
"Resource": "*"
```
Muitas ações da App Mesh API envolvem vários recursos. Por exemplo, a `CreateRoute` cria uma rota com um destino de nó virtual, portanto, um usuário do IAM deve ter permissões para usar a rota e o nó virtual. Para especificar vários recursos em uma única instrução, separe-os ARNs com vírgulas.
```
"Resource": [
"arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualRouter/serviceB/route/*",
"arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualNode/serviceB"
]
```
Para ver uma lista dos tipos de recursos do App Mesh e seus ARNs, consulte [Resources Defined by AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-resources-for-iam-policies) no *Guia do usuário do IAM*. Para saber com quais ações é possível especificar o ARN de cada recurso, consulte [Ações definidas pelo AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions).
### Chaves de condição
O App Mesh oferece suporte ao uso de algumas chaves de condição globais. Para ver todas as chaves de condição globais da AWS , consulte [Chaves de contexto de condição globais da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*. Para ver uma lista das chaves de condição globais que o App Mesh suporta, consulte [Chaves de condição para AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-policy-keys) no *Guia do usuário do IAM*. Para saber com quais ações e recursos você pode usar com uma chave de condição, consulte [Ações definidas por AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions).
### Exemplos
Para visualizar exemplos de políticas baseadas em identidade do App Mesh, consulte [AWS App Mesh exemplos de políticas baseadas em identidade](security_iam_id-based-policy-examples.md).
## Políticas baseadas em recursos do App Mesh
O App Mesh não oferece suporte a políticas baseadas em recursos. No entanto, se você usar o serviço AWS Resource Access Manager (AWS RAM) para compartilhar uma malha entre AWS serviços, uma política baseada em recursos será aplicada à sua malha pelo AWS RAM serviço. Para obter mais informações, consulte [Concedendo permissões para uma malha](sharing.md#sharing-permissions-resource).
## Autorização baseada em tags do App Mesh
Você pode anexar tags a recursos do App Mesh ou passar tags em uma solicitação ao App Mesh. Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `appmesh:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`. Para obter mais informações sobre como marcar recursos do App Mesh, consulte Como [marcar AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) recursos.
Para visualizar um exemplo de política baseada em identidade para limitar o acesso a um recurso baseado em tags desse recurso, consulte [Criação de malhas do App Mesh com tags restritas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags).
## Perfis do IAM do App Mesh
Uma [função do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma entidade dentro da sua AWS conta que tem permissões específicas.
### Usar credenciais temporárias com o App Mesh
É possível usar credenciais temporárias para fazer login com federação, assumir um perfil do IAM ou assumir um perfil entre contas. Você obtém credenciais de segurança temporárias chamando operações de AWS STS API, como [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
O App Mesh oferece suporte ao uso de credenciais temporárias.
### Perfis vinculados ao serviço
[As funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permitem que AWS os serviços acessem recursos em outros serviços para concluir uma ação em seu nome. Os perfis vinculados a serviço aparecem em sua conta do IAM e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para perfis vinculados a serviço.
O App Mesh é compatível com funções vinculadas ao serviço. Para obter detalhes sobre como criar ou gerenciar funções vinculadas ao serviço do App Mesh, consulte [Usar funções vinculadas ao serviço do App Mesh](using-service-linked-roles.md).
### Perfis de serviço
Esse atributo permite que um serviço assuma um [perfil de serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) em seu nome. O perfil permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. Os perfis de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso significa que um administrador do IAM pode alterar as permissões para esse perfil. Porém, fazer isso pode alterar a funcionalidade do serviço.
O App Mesh não suporta funções de serviço.
# AWS App Mesh exemplos de políticas baseadas em identidade
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Por padrão, os usuários e os perfis do IAM não têm permissão para criar ou modificar recursos do App Mesh. Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS AWS CLI, ou. Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [Práticas recomendadas de política](#security_iam_service-with-iam-policy-best-practices)
+ [Usar o console do App Mesh](#security_iam_id-based-policy-examples-console)
+ [Permitir que os usuários visualizem suas próprias permissões](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Crie uma malha](#policy_example1)
+ [Liste e descreva todas as malhas](#policy_example2)
+ [Criação de malhas do App Mesh com tags restritas](#security_iam_id-based-policy-examples-view-widget-tags)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do App Mesh em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Usar o console do App Mesh
Para acessar o AWS App Mesh console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos do App Mesh em sua AWS conta. Se você criar uma política baseada em identidade que seja mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis do IAM) com essa política. É possível anexar a política gerenciada `[AWSAppMeshReadOnly](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshReadOnly%24jsonEditor)` aos usuários. Para obter mais informações, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente às ações que correspondem à operação da API que você está tentando executar.
## Permitir que os usuários visualizem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Crie uma malha
Este exemplo mostra como você pode criar uma política que permita que um usuário crie uma malha para uma conta, em qualquer região.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:CreateMesh",
"Resource": "arn:aws:appmesh:*:123456789012:CreateMesh"
}
]
}
```
------
## Liste e descreva todas as malhas
Este exemplo mostra como você pode criar uma política que permita a um usuário acesso para listar ou descrever todos as malhas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"appmesh:DescribeMesh",
"appmesh:ListMeshes"
],
"Resource": "*"
}
]
}
```
------
## Criação de malhas do App Mesh com tags restritas
É possível usar tags em suas políticas do IAM para controlar quais tags podem ser transmitidas na solicitação do IAM. É possível especificar quais pares de chave e valor de tag podem ser adicionados, alterados ou removidos de um usuário do IAM ou de um perfil do IAM . Este exemplo mostra como você pode criar uma política que permita criar uma malha, mas somente se a malha for criada com uma tag chamada *teamName* e um valor de*booksTeam*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:CreateMesh",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/teamName": "booksTeam"
}
}
}
]
}
```
------
É possível anexar essa política aos usuários do IAM na sua conta. Se um usuário tentar criar uma malha, a malha deverá incluir uma tag chamada `teamName` e um valor de `booksTeam`. Se a malha não incluir essa tag e esse valor, a tentativa de criar a malha falhará. Para obter mais informações, consulte [IAM JSON Policy Elements: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (Elementos da política JSON do IAM: Condição) no *Guia do usuário do IAM*.
# AWS políticas gerenciadas para App Mesh
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.
Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.
Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) for lançada ou novas operações de API forem disponibilizadas para serviços existentes.
Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
## AWS política gerenciada: AWSApp MeshServiceRolePolicy
É possível anexar `AWSAppMeshServiceRolePolicy` às entidades do IAM. Permite o acesso aos AWS serviços e recursos usados ou gerenciados por AWS App Mesh.
Para visualizar as permissões para esta política, consulte [AWSAppMeshServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshServiceRolePolicy.html) na *Referência de políticas gerenciadas pela AWS *.
Para obter informações sobre os detalhes da permissão para o `AWSAppMeshServiceRolePolicy`, consulte [Permissões de funções vinculadas ao serviço para o App Mesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/using-service-linked-roles.html#slr-permissions).
## AWS política gerenciada: AWSApp MeshEnvoyAccess
É possível anexar `AWSAppMeshEnvoyAccess` às entidades do IAM. Política do App Mesh Envoy para acessar a configuração de nó virtual.
Para visualizar as permissões para esta política, consulte [AWSAppMeshEnvoyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshEnvoyAccess.html) na *Referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AWSApp MeshFullAccess
É possível anexar `AWSAppMeshFullAccess` às entidades do IAM. Fornece acesso total ao AWS App Mesh APIs Console de gerenciamento da AWS e.
Para visualizar as permissões para esta política, consulte [AWSAppMeshFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshFullAccess.html) na *Referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AWSApp MeshPreviewEnvoyAccess
É possível anexar `AWSAppMeshPreviewEnvoyAccess` às entidades do IAM. Política do App Mesh Preview Envoy para acessar a configuração de nó virtual.
Para visualizar as permissões para esta política, consulte [AWSAppMeshPreviewEnvoyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshPreviewEnvoyAccess.html) na *Referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AWSApp MeshPreviewServiceRolePolicy
É possível anexar `AWSAppMeshPreviewServiceRolePolicy` às entidades do IAM. Permite o acesso aos AWS serviços e recursos usados ou gerenciados por AWS App Mesh.
Para visualizar as permissões para esta política, consulte [AWSAppMeshPreviewServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshPreviewServiceRolePolicy.html) na *Referência de políticas gerenciadas pela AWS *.
## AWS política gerenciada: AWSApp MeshReadOnly
É possível anexar `AWSAppMeshReadOnly` às entidades do IAM. Fornece acesso somente para leitura ao e. AWS App Mesh APIs Console de gerenciamento da AWS
Para visualizar as permissões para esta política, consulte [AWSAppMeshReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAppMeshReadOnly.html) na *Referência de políticas gerenciadas pela AWS *.
## AWS App Mesh atualizações nas políticas AWS gerenciadas
Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS App Mesh desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed de RSS na página Histórico do documento do AWS App Mesh .
| Alteração | Descrição | Data |
| --- | --- | --- |
| [AWSAppMeshFullAccess](#security-iam-awsmanpol-AWSAppMeshFullAccess)— Política atualizada. | Atualizado `AWSAppMeshFullAccess` para permitir o acesso ao `TagResource` `UntagResource` APIs e. | 24 de abril de 2024 |
| [AWSAppMeshServiceRolePolicy](#security-iam-awsmanpol-AWSAppMeshServiceRolePolicy), [AWSServiceRoleForAppMesh](https://docs.aws.amazon.com/app-mesh/latest/userguide/using-service-linked-roles.html#slr-permissions)— Política atualizada. | Atualizado `AWSServiceRoleForAppMesh` e `AWSAppMeshServiceRolePolicy` para permitir o acesso à AWS Cloud Map `DiscoverInstancesRevision` API. | 12 de outubro de 2023 |
Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:
+ Usuários e grupos em Centro de Identidade do AWS IAM:
Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.
+ Usuários gerenciados no IAM com provedor de identidades:
Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*.
+ Usuários do IAM:
+ Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*.
+ (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
# Usar funções vinculadas ao serviço do App Mesh
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
AWS App Mesh usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). A função vinculada ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao App Mesh. As funções vinculadas ao serviço são predefinidas pelo App Mesh e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração do App Mesh porque você não precisa adicionar as permissões necessárias manualmente. O App Mesh define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o App Mesh pode assumir suas funções. As permissões definidas incluem as políticas de confiança e de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso protege seus recursos do App Mesh, pois você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Permissões de função vinculada ao serviço do App Mesh
O App Mesh usa a função vinculada ao serviço chamada **AWSServiceRoleForAppMesh**— A função permite que o App Mesh chame AWS serviços em seu nome.
A função AWSService RoleForAppMesh vinculada ao serviço confia no `appmesh.amazonaws.com` serviço para assumir a função.
**Detalhes de permissões**
+ `servicediscovery:DiscoverInstances`: permite que o App Mesh conclua ações em todos os recursos da AWS .
+ `servicediscovery:DiscoverInstancesRevision`‐ Permite que o App Mesh conclua ações em todos os AWS recursos.
### AWSServiceRoleForAppMesh
Esta política inclui as seguintes permissões:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudMapServiceDiscovery",
"Effect": "Allow",
"Action": [
"servicediscovery:DiscoverInstances",
"servicediscovery:DiscoverInstancesRevision"
],
"Resource": "*"
},
{
"Sid": "ACMCertificateVerification",
"Effect": "Allow",
"Action": [
"acm:DescribeCertificate"
],
"Resource": "*"
}
]
}
```
------
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para saber mais, consulte [Permissões de Função Vinculadas ao Serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.
## Criar uma função vinculada ao serviço do App Mesh
Se você criou uma malha depois de 5 de junho de 2019 na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, o App Mesh criou a função vinculada ao serviço para você. Para a função vinculada ao serviço ter sido criada para você, a conta do IAM que você usou para criar a malha deve ter a política do IAM [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshFullAccess%24jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshFullAccess%24jsonEditor) anexada ou uma política anexada que contivesse a permissão `iam:CreateServiceLinkedRole`. Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria uma malha, o App Mesh cria uma função vinculada ao serviço para você novamente. Se sua conta contiver apenas malhas criadas antes de 5 de junho de 2019 e você quiser usar a função vinculada ao serviço com essas malhas, poderá criar a função usando o console do IAM.
Você pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de uso do **App Mesh**. Na AWS CLI ou na AWS API, crie uma função vinculada ao serviço com o nome do `appmesh.amazonaws.com` serviço. Para obter mais informações, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Guia do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
## Editar uma função vinculada ao serviço do App Mesh
O App Mesh não permite que você edite a função AWSService RoleForAppMesh vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluir uma função vinculada ao serviço do App Mesh
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
**nota**
Se o serviço App Mesh estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Para excluir os recursos do App Mesh usados pelo AWSService RoleForAppMesh**
1. Exclua todas as [rotas](routes.md) definidas para todos os roteadores na malha.
1. Exclua todos os [roteadores virtuais](virtual_routers.md) na malha.
1. Exclua todos os [serviços virtuais](virtual_services.md) na malha.
1. Exclua todos os [nós virtuais](virtual_nodes.md) na malha.
1. Exclua a [malha](meshes.md).
Conclua as etapas anteriores para todas as malhas em sua conta.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForAppMesh vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões compatíveis com funções vinculadas ao serviço do App Mesh
O App Mesh oferece suporte a funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Endpoints e cotas do App Mesh](https://docs.aws.amazon.com/general/latest/gr/appmesh.html).
# Autorização do Envoy Proxy
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
A autorização de proxy autoriza o proxy [Envoy](envoy.md) em execução em uma tarefa do Amazon ECS, em um pod Kubernetes em execução no Amazon EKS, ou em execução em uma instância do Amazon EC2, a ler a configuração de um ou mais endpoints de malha do serviço de gerenciamento do App Mesh Envoy. Para contas de clientes que já têm Envoys conectados ao endpoint do App Mesh antes de 26/04/2021, a autorização de proxy é necessária para nós virtuais que usam [Transport Layer Security (TLS)](https://docs.aws.amazon.com/app-mesh/latest/userguide/tls.html) e para gateways virtuais (com ou sem TLS). Para contas de clientes que desejam conectar os Envoys ao endpoint do App Mesh após 26/04/2021, a autorização de proxy é necessária para todos os recursos do App Mesh. É recomendável que todas as contas de clientes habilitem a autorização de proxy para todos os nós virtuais, mesmo que não usem TLS, para ter uma experiência segura e consistente usando o IAM para autorização de recursos específicos. A autorização do proxy exige que a permissão `appmesh:StreamAggregatedResources` seja especificada em uma política do IAM. A política deve ser anexada a um perfil do IAM, e esse perfil do IAM deve ser anexado ao recurso computacional no qual você host o proxy.
## Criar uma política do IAM
Se quiser que todos os endpoints de malha em uma malha de serviços possam ler a configuração de todos os endpoints de malha, pule para [Crie o perfil do IAM](#create-iam-role). Se quiser limitar os endpoints de malha a partir dos quais a configuração pode ser lida por endpoints de malha individuais, é necessário criar uma ou mais políticas do IAM. É recomendável limitar os endpoints de malha dos quais a configuração pode ser lida apenas ao proxy Envoy em execução nos recursos computacionais específicos. Crie uma política do IAM e adicione a permissão `appmesh:StreamAggregatedResources` à política. O exemplo de política a seguir permite a configuração dos nós virtuais nomeados `serviceBv1` e `serviceBv2` a serem lidos em uma malha de serviços. A configuração não pode ser lida para nenhum outro nó virtual definido na malha de serviços. Para obter mais informações sobre como criar e editar uma política do IAM, consulte [Criar política do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) e [Editar política do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "appmesh:StreamAggregatedResources",
"Resource": [
"arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv1",
"arn:aws:appmesh:us-east-1:123456789012:mesh/app1/virtualNode/serviceBv2"
]
}
]
}
```
------
É possível criar várias políticas, sendo que cada política restringe o acesso a diferentes endpoints da malha.
## Crie o perfil do IAM
Se quiser que todos os endpoints de malha em uma malha de serviços possam ler a configuração de todos os endpoints de malha, você só precisa criar um perfil do IAM. Se quiser limitar os endpoints de malha a partir dos quais a configuração pode ser lida por endpoints de malha individuais, é necessário criar um perfil para cada política criada na etapa anterior. Conclua as instruções para o recurso computacional no qual o proxy é executado.
+ **Amazon EKS**: se quiser usar um único perfil, poderá usar o perfil existente que foi criado e atribuído aos nós de processamento ao criar seu cluster. Para usar vários perfis, seu cluster deve atender aos requisitos definidos em [Habilitar perfis do IAM para contas de serviço em seu cluster](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html). Crie os perfis do IAM e os associe às contas de serviço do Kubernetes. Para obter mais informações, consulte [Criação de um perfil do IAM e política para sua conta de serviço](https://docs.aws.amazon.com/eks/latest/userguide/create-service-account-iam-policy-and-role.html) e [Especificação de um perfil do IAM para sua conta de serviço](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html).
+ **Amazon ECS**: selecione **serviço da AWS **, selecione o **Elastic Container Service** e, em seguida, selecione o caso de uso da **tarefa do Elastic Container Service** ao criar seu perfil do IAM.
+ **Amazon EC2**: selecione **serviço da AWS **, selecione **EC2** e, em seguida , selecione o caso de uso do **EC2** ao criar seu perfil do IAM. Isso se aplica se host o proxy diretamente em uma instância do Amazon EC2 ou no Kubernetes em execução em uma instância.
Para obter mais informações sobre como criar uma função do IAM, consulte Como [criar uma função para um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html#roles-creatingrole-service-console).
## Anexar política do IAM
Se quiser que todos os endpoints de malha em uma malha de serviços possam ler a configuração de todos os endpoints de malha, anexe a política do IAM `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` gerenciada ao perfil do IAM que você criou na etapa anterior. Se quiser limitar os endpoints de malha a partir dos quais a configuração pode ser lida por endpoints de malha individuais, anexe cada política que você criou a cada perfil criado. Para obter mais informações sobre como anexar uma política do IAM personalizada ou gerenciada a um perfil do IAM, consulte [Adicionar permissões de identidade do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console).
## Anexar um perfil do IAM
Anexe cada perfil do IAM ao recurso computacional apropriado:
+ **Amazon EKS**: se você anexou a política do perfil associado aos seus nós de processamento, pode pular esta etapa. Se criou perfis separados, atribua cada perfil a uma conta de serviço separada do Kubernetes e atribua cada conta de serviço a uma especificação individual de implantação do pod do Kubernetes que inclua o proxy Envoy. Para obter mais informações, consulte [Especificação de um perfil do IAM para sua conta de serviço](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html) no *Guia do usuário do Amazon EKS* e [Configurar contas de serviço para pods](https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/) na documentação do Kubernetes.
+ **Amazon ECS**: anexe uma função de tarefa do Amazon ECS à definição da tarefa que inclui o proxy Envoy. A tarefa pode ser implantada com o tipo de inicialização EC2 ou Fargate. Para obter mais informações sobre como criar uma função de tarefa do Amazon ECS e anexá-la a uma tarefa, consulte [Especificando um perfil do IAM para suas tarefas](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html#create_task_iam_policy_and_role).
+ **Amazon EC2**: o perfil do IAM deve ser anexado a instância do Amazon EC2 que hospeda o proxy Envoy. Para obter mais informações sobre como anexar uma função a uma instância do Amazon EC2, consulte [Criei um perfil do IAM e agora quero atribuí-lo a uma instância do EC2](https://aws.amazon.com/premiumsupport/knowledge-center/assign-iam-role-ec2-instance).
## Confirmar permissão
Confirme se a permissão `appmesh:StreamAggregatedResources` foi atribuída ao recurso computacional no qual você host o proxy selecionando um dos nomes do serviço de computação.
------
#### [ Amazon EKS ]
Uma política personalizada pode ser atribuída à função atribuída aos nós de processamento, aos pods individuais ou a ambos. No entanto, é recomendável atribuir à política somente em pods individuais, para que você possa restringir o acesso de pods individuais a endpoints de malha individuais. Se a política estiver anexada a função atribuída aos nós de processamento, selecione a guia **Amazon EC2** e conclua as etapas encontradas lá para suas instâncias de nós de processamento. Para determinar qual perfil do IAM é atribuído a um pod do Kubernetes, conclua as etapas a seguir.
1. Veja os detalhes de uma implantação do Kubernetes que inclui o pod ao qual você deseja confirmar se uma conta de serviço do Kubernetes estiver atribuída. O comando a seguir exibe os detalhes de uma implantação chamada*my-deployment*.
```
kubectl describe deployment my-deployment
```
Na saída retornada, observe o valor à direita de `Service Account:`. Se uma linha que começa com `Service Account:` não existir, uma conta de serviço personalizada do Kubernetes não estará atualmente atribuída à implantação. Você precisará atribuí-la. Para obter mais informações, consulte [Configurar contas de serviço para pods](https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/) na documentação do Kubernetes.
1. Veja os detalhes da conta de serviço retornada na etapa anterior. O comando a seguir exibe os detalhes de uma conta de serviço chamada*my-service-account*.
```
kubectl describe serviceaccount my-service-account
```
Desde que a conta de serviço do Kubernetes esteja associada a uma AWS Identity and Access Management função, uma das linhas retornadas será semelhante ao exemplo a seguir.
```
Annotations: eks.amazonaws.com/role-arn=arn:aws:iam::123456789012:role/my-deployment
```
No exemplo anterior, `my-deployment` é o nome do perfil do IAM ao qual a conta de serviço está associada. Se a saída da conta de serviço não contiver uma linha semelhante ao exemplo acima, a conta de serviço do Kubernetes não está associada a uma AWS Identity and Access Management conta e você precisa associá-la a uma. Para obter mais informações, consulte [Especificar uma função do IAM para a conta de serviço](https://docs.aws.amazon.com/eks/latest/userguide/specify-service-account-role.html).
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação à esquerda, selecione **Roles**. Selecione o nome do perfil do IAM que você anotou em uma etapa anterior.
1. Confirme se a política personalizada que criou anteriormente ou a política gerenciada `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` está listada. Se nenhuma política estiver anexada, [anexe uma política do IAM](#attach-iam-policy) ao perfil do IAM. Se quiser anexar uma política do IAM personalizada, mas não tiver uma, precisará [criar uma política do IAM personalizada](#create-iam-policy) com as permissões necessárias. Se uma política do IAM personalizada estiver anexada, selecione a política e confirme se ela contém `"Action": "appmesh:StreamAggregatedResources"`. Caso contrário, será preciso adicionar essa permissão à sua política do IAM personalizada. Também é possível confirmar se o nome do recurso da Amazon (ARN) adequado para um endpoint de malha específico está listado. Se nenhum ARNs estiver listado, você poderá editar a política para adicionar, remover ou alterar a lista ARNs. Para obter mais informações, consulte [Editar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) e [Criar uma política do IAM](#create-iam-policy).
1. Repita as etapas anteriores para cada pod do Kubernetes que contém o proxy Envoy.
------
#### [ Amazon ECS ]
1. No console do Amazon ECS, escolha **Definições de tarefas**.
1. Selecione sua tarefa do Amazon ECS.
1. Na página **Nome da definição da tarefa**, selecione a definição da tarefa.
1. Na página **Definição da tarefa**, selecione o link do nome do perfil do IAM que está à direita da **Função da tarefa**. Se um perfil do IAM não estiver listado, é preciso [criar um perfil do IAM](#create-iam-role) e anexá-lo à sua tarefa [atualizando a definição da tarefa](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html).
1. Na página **Resumo**, na guia **Permissões**, confirme se a política personalizada criada anteriormente ou a política gerenciada `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` está listada. Se nenhuma política estiver anexada, [anexe uma política do IAM](#attach-iam-policy) ao perfil do IAM. Se quiser anexar uma política personalizada do IAM, mas não tiver uma, precisará [criar a política do IAM personalizada](#create-iam-policy). Se uma política do IAM personalizada estiver anexada, selecione a política e confirme se ela contém `"Action": "appmesh:StreamAggregatedResources"`. Caso contrário, será preciso adicionar essa permissão à sua política do IAM personalizada. Você também pode confirmar se o nome do recurso da Amazon (ARN) adequado para um endpoint de malha específico está listado. Se nenhum ARNs estiver listado, você poderá editar a política para adicionar, remover ou alterar a lista ARNs. Para obter mais informações, consulte [Editar políticas do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html) e [Criar uma política do IAM](#create-iam-policy).
1. Repita as etapas anteriores para cada definição de tarefa que contém o proxy Envoy.
------
#### [ Amazon EC2 ]
1. No console do Amazon EC2, selecione **Instâncias** no painel de navegação à esquerda.
1. Selecione uma de suas instâncias que hospeda o proxy Envoy.
1. Na guia **Descrição**, selecione o link do nome do perfil do IAM que está à direita do **perfil do IAM**. Se um perfil do IAM não estiver listado, é preciso [criar um perfil do IAM](#create-iam-role).
1. Na página **Resumo**, na guia **Permissões**, confirme se a política personalizada criada anteriormente ou a política gerenciada `[AWSAppMeshEnvoyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshEnvoyAccess%24jsonEditor)` está listada. Se nenhuma política estiver anexada, [anexe a política do IAM](#attach-iam-policy) ao perfil do IAM. Se quiser anexar uma política personalizada do IAM, mas não tiver uma, precisará [criar a política do IAM personalizada](#create-iam-policy). Se uma política do IAM personalizada estiver anexada, selecione a política e confirme se ela contém `"Action": "appmesh:StreamAggregatedResources"`. Caso contrário, será preciso adicionar essa permissão à sua política do IAM personalizada. Você também pode confirmar se o nome do recurso da Amazon (ARN) adequado para um endpoint de malha específico está listado. Se nenhum ARNs estiver listado, você poderá editar a política para adicionar, remover ou alterar a lista ARNs. Para obter mais informações, consulte [Editar políticas do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html) e [Criar uma política do IAM](#create-iam-policy).
1. Repita as etapas anteriores para cada instância em que você host o proxy Envoy.
------
# Solução de problemas AWS App Mesh de identidade e acesso
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Use as seguintes informações para ajudar a diagnosticar e corrigir problemas comuns que podem ser encontrados ao se trabalhar com o App Mesh e o IAM.
**Topics**
+ [Não tenho autorização para executar uma ação no App Mesh](#security_iam_troubleshoot-no-permissions)
+ [Quero permitir que pessoas fora da minha AWS conta acessem meus recursos do App Mesh](#security_iam_troubleshoot-cross-account-access)
## Não tenho autorização para executar uma ação no App Mesh
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. Caso seu administrador seja a pessoa que forneceu suas credenciais de início de sessão.
O erro a seguir ocorre quando o usuário do `mateojackson` IAM tenta usar o console para criar um nó virtual nomeado *my-virtual-node* na malha chamada*my-mesh*, mas não tem a `appmesh:CreateVirtualNode` permissão.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: appmesh:CreateVirtualNode on resource: arn:aws:appmesh:us-east-1:123456789012:mesh/my-mesh/virtualNode/my-virtual-node
```
Neste caso, Mateo pede ao administrador para atualizar suas políticas para permitir que crie um nó virtual usando a ação `appmesh:CreateVirtualNode`.
**nota**
Como um nó virtual é criado dentro de uma malha, a conta de Mateo também exige as ações `appmesh:DescribeMesh` e `appmesh:ListMeshes` para criar o nó virtual no console.
## Quero permitir que pessoas fora da minha AWS conta acessem meus recursos do App Mesh
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o App Mesh oferece suporte a esses recursos, consulte [Como AWS App Mesh funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Registrando chamadas de AWS App Mesh API usando AWS CloudTrail
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
AWS App Mesh é integrado com [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), um serviço que fornece um registro das ações realizadas por um usuário, função ou um AWS service (Serviço da AWS). CloudTrail captura todas as chamadas de API para o App Mesh como eventos. As chamadas capturadas incluem as chamadas do console do App Mesh e as chamadas de código para as operações da API do App Mesh. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita ao App Mesh, o endereço IP do qual a solicitação foi feita, quando foi feita e detalhes adicionais.
Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar o seguinte:
+ Se a solicitação foi feita com credenciais de usuário raiz ou credenciais de usuário.
+ Se a solicitação foi feita em nome de um usuário do Centro de Identidade do IAM.
+ Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado.
+ Se a solicitação foi feita por outro AWS service (Serviço da AWS).
CloudTrail está ativo Conta da AWS quando você cria a conta e você tem acesso automático ao **histórico de CloudTrail eventos**. O **histórico de CloudTrail eventos** fornece um registro visível, pesquisável, baixável e imutável dos últimos 90 dias de eventos de gerenciamento registrados em um. Região da AWS Para obter mais informações, consulte [Trabalhando com o histórico de CloudTrail eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) no *Guia AWS CloudTrail do usuário*. Não há CloudTrail cobrança pela visualização do **histórico de eventos**.
Para um registro contínuo dos eventos dos Conta da AWS últimos 90 dias, crie uma trilha ou um armazenamento de dados de eventos do [CloudTrailLake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail trilhas**
Uma *trilha* permite CloudTrail entregar arquivos de log para um bucket do Amazon S3. Todas as trilhas criadas usando o Console de gerenciamento da AWS são multirregionais. Só é possível criar uma trilha de região única ou de várias regiões usando a AWS CLI. É recomendável criar uma trilha multirregional porque você captura todas as atividades Regiões da AWS em sua conta. Ao criar uma trilha de região única, é possível visualizar somente os eventos registrados na Região da AWS da trilha. Para obter mais informações sobre trilhas, consulte [Criar uma trilha para a Conta da AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) e [Criar uma trilha para uma organização](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) no *Guia do usuário do AWS CloudTrail *.
Você pode entregar uma cópia dos seus eventos de gerenciamento contínuos para o bucket do Amazon S3 sem nenhum custo CloudTrail criando uma trilha. No entanto, há cobranças de armazenamento do Amazon S3. Para obter mais informações sobre CloudTrail preços, consulte [AWS CloudTrail Preços](https://aws.amazon.com/cloudtrail/pricing/). Para receber informações sobre a definição de preços do Amazon S3, consulte [Definição de preços do Amazon S3](https://aws.amazon.com/s3/pricing/).
**CloudTrail Armazenamentos de dados de eventos em Lake**
*CloudTrail O Lake* permite que você execute consultas baseadas em SQL em seus eventos. CloudTrail O Lake converte eventos existentes no formato JSON baseado em linhas para o formato [Apache](https://orc.apache.org/) ORC. O ORC é um formato colunar de armazenamento otimizado para recuperação rápida de dados. Os eventos são agregados em *armazenamentos de dados de eventos*, que são coleções imutáveis de eventos baseados nos critérios selecionados com a aplicação de [seletores de eventos avançados](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). Os seletores que aplicados a um armazenamento de dados de eventos controlam quais eventos persistem e estão disponíveis para consulta. Para obter mais informações sobre o CloudTrail Lake, consulte [Trabalhando com o AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) no *Guia AWS CloudTrail do Usuário*.
CloudTrail Os armazenamentos e consultas de dados de eventos em Lake incorrem em custos. Ao criar um armazenamento de dados de eventos, você escolhe a [opção de preço](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) que deseja usar para ele. A opção de preço determina o custo para a ingestão e para o armazenamento de eventos, e o período de retenção padrão e máximo para o armazenamento de dados de eventos. Para obter mais informações sobre CloudTrail preços, consulte [AWS CloudTrail Preços](https://aws.amazon.com/cloudtrail/pricing/).
## Eventos de gerenciamento do App Mesh em CloudTrail
[Os eventos de gerenciamento](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) fornecem informações sobre as operações de gerenciamento que são realizadas nos recursos do seu Conta da AWS. Também são conhecidas como operações de ambiente de gerenciamento. Por padrão, CloudTrail registra eventos de gerenciamento.
AWS App Mesh registra todas as operações do plano de controle do App Mesh como eventos de gerenciamento. Para ver uma lista das operações do plano de AWS App Mesh controle nas quais o App Mesh registra CloudTrail, consulte a [Referência da AWS App Mesh API](https://docs.aws.amazon.com/app-mesh/latest/APIReference/API_Operations.html).
## Exemplos de eventos do App Mesh
Um evento representa uma única solicitação de qualquer fonte e inclui informações sobre a operação de API solicitada, a data e a hora da operação, os parâmetros da solicitação e assim por diante. CloudTrail os arquivos de log não são um rastreamento de pilha ordenado das chamadas públicas de API, portanto, os eventos não aparecem em nenhuma ordem específica.
O exemplo a seguir mostra uma entrada de CloudTrail registro que demonstra a `StreamAggregatedResources` ação.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AKIAIOSFODNN7EXAMPLE:d060be4ac3244e05aca4e067bfe241f8",
"arn": "arn:aws:sts::123456789012:assumed-role/Application-TaskIamRole-C20GBLBRLBXE/d060be4ac3244e05aca4e067bfe241f8",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"invokedBy": "appmesh.amazonaws.com"
},
"eventTime": "2021-06-09T23:09:46Z",
"eventSource": "appmesh.amazonaws.com",
"eventName": "StreamAggregatedResources",
"awsRegion": "us-west-2",
"sourceIPAddress": "appmesh.amazonaws.com",
"userAgent": "appmesh.amazonaws.com",
"eventID": "e3c6f4ce-EXAMPLE",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails": {
"connectionId": "e3c6f4ce-EXAMPLE",
"nodeArn": "arn:aws:appmesh:us-west-2:123456789012:mesh/CloudTrail-Test/virtualNode/cloudtrail-test-vn",
"eventStatus": "ConnectionEstablished",
"failureReason": ""
},
"eventCategory": "Management"
}
```
Para obter informações sobre o conteúdo do CloudTrail registro, consulte [o conteúdo do CloudTrail registro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html) no *Guia AWS CloudTrail do usuário*.
# Proteção de dados em AWS App Mesh
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
O modelo de [responsabilidade AWS compartilhada modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados em AWS App Mesh. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com os recursos. AWS Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com o App Mesh ou outro Serviços da AWS usando o console AWS CLI, a API ou AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
## Criptografia de dados
Seus dados são criptografados ao usar o App Mesh.
### Criptografia em repouso
Por padrão, as configurações do App Mesh que você cria são criptografadas em repouso.
### Criptografia em trânsito
Os endpoints do serviço App Mesh usam o protocolo HTTPS. Toda a comunicação entre o proxy Envoy e o serviço de gerenciamento do App Mesh Envoy é criptografada. Se você precisar de criptografia compatível com FIPS para a comunicação entre o proxy Envoy e o App Mesh Envoy Management Service, há uma variante FIPS da imagem do contêiner proxy Envoy que você pode usar. Para obter mais informações, consulte [Imagem do Envoy](envoy.md).
A comunicação entre contêineres em nós virtuais não é criptografada, mas esse tráfego não sai do namespace da rede.
# Validação de conformidade para AWS App Mesh
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentos aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Segurança da infraestrutura em AWS App Mesh
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Como serviço gerenciado, AWS App Mesh é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar o App Mesh pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
Você pode melhorar a postura de segurança da sua VPC configurando o App Mesh para usar um endpoint da VPC de interface. Para obter mais informações, consulte [Pontos de extremidade VPC da interface App Mesh ()AWS PrivateLink](vpc-endpoints.md).
# Pontos de extremidade VPC da interface App Mesh ()AWS PrivateLink
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
Você pode melhorar a postura de segurança da sua Amazon VPC configurando o App Mesh para usar um endpoint da VPC de interface. Os endpoints de interface são alimentados por AWS PrivateLink, uma tecnologia que permite acessar o App Mesh de forma privada APIs usando endereços IP privados. PrivateLinkrestringe todo o tráfego de rede entre sua Amazon VPC e App Mesh até a rede Amazon.
Você não precisa configurar PrivateLink, mas nós recomendamos. Para obter mais informações PrivateLink e fazer a interface dos VPC endpoints, consulte [Acessando](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html#what-is-privatelink) serviços por meio de. AWS PrivateLink
## Considerações sobre endpoints VPC da interface App Mesh
Antes de configurar endpoints da VPC de interface do App Mesh, fique atento às seguintes considerações:
+ Se sua Amazon VPC não tiver um gateway de internet e suas tarefas usarem o driver de `awslogs` log para enviar informações de log para CloudWatch Logs, você deverá criar uma interface VPC endpoint para Logs. CloudWatch Para obter mais informações, consulte Como [usar CloudWatch registros com endpoints VPC de interface](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) no Guia do usuário do *Amazon CloudWatch Logs*.
+ Os VPC endpoints não oferecem suporte AWS a solicitações entre regiões. Crie o endpoint na mesma região em que você planeja emitir as chamadas de API para o App Mesh.
+ Os endpoints da VPC oferecem suporte somente a DNS fornecidos pela Amazon por meio do Amazon Route 53. Se quiser usar seu próprio DNS, você pode usar o encaminhamento de DNS condicional. Para obter mais informações, consulte [Conjuntos de Opções de DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) no *Manual do Usuário da Amazon VPC*.
+ O grupo de segurança anexado ao endpoint da VPC deve permitir conexões de entrada na porta 443 na sub-rede privada da Amazon VPC.
**nota**
O controle do acesso ao App Mesh anexando uma política de endpoint ao endpoint da VPC (por exemplo, usando o nome do serviço `com.amazonaws.Region.appmesh-envoy-management`) não é compatível com a conexão Envoy.
Para considerações e limitações adicionais, consulte [Considerações sobre a zona de disponibilidade do endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-availability-zones) e [Propriedades e limitações do endpoint de interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations).
## Crie a interface VPC endpoint para o App Mesh
Para criar o endpoint da VPC de interface para o serviço App Mesh, use o procedimento [Criação de um endpoint da interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) no *Manual do usuário da Amazon VPC*. Especifique `com.amazonaws.Region.appmesh-envoy-management` como o nome do serviço para que seu proxy Envoy se conecte ao serviço público de gerenciamento Envoy do App Mesh e `com.amazonaws.Region.appmesh` para operações de malha.
**nota**
*Region*representa o identificador de região para uma AWS região suportada pelo App Mesh, como `us-east-2` para a região Leste dos EUA (Ohio).
Embora você possa definir um endpoint da VPC de interface para o App Mesh em qualquer região em que o App Mesh seja compatível, talvez você não consiga definir um endpoint para todas as zonas de disponibilidade em cada região. Para descobrir quais zonas de disponibilidade são compatíveis com endpoints de VPC de interface em uma região, use o [describe-vpc-endpoint-services ](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-vpc-endpoint-services.html)comando ou use o. Console de gerenciamento da AWS Por exemplo, os comandos a seguir retornam as zonas de disponibilidade nas quais você pode implantar endpoints da VPC de interface do App Mesh na região Leste dos EUA (Ohio):
```
aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh-envoy-management`].AvailabilityZones[]'
```
```
aws --region us-east-2 ec2 describe-vpc-endpoint-services --query 'ServiceDetails[?ServiceName==`com.amazonaws.us-east-2.appmesh`].AvailabilityZones[]'
```
# Resiliência em AWS App Mesh
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
A infraestrutura AWS global é construída em torno de AWS regiões e zonas de disponibilidade. AWS As regiões fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que executam o failover automaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
O App Mesh executa suas instâncias do ambiente de gerenciamento entre várias Zonas de disponibilidade para garantir alta disponibilidade. O App Mesh detecta e substitui automaticamente instâncias não íntegras do ambiente de gerenciamento, além de fornecer atualizações de versão e correções automatizadas para elas.
## Recuperação de desastres em AWS App Mesh
O serviço App Mesh gerencia backups dos dados do cliente. Não há nada que você precise fazer para gerenciar os backups. Os dados de backup são criptografados.
# Análise de configuração e vulnerabilidade em AWS App Mesh
**Importante**
Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog [Migrando do AWS App Mesh Amazon ECS Service Connect.](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)
O App Mesh vende uma [imagem do contêiner do Docker do proxy Envoy](envoy.md) gerenciado que você implanta junto com os microsserviços. O App Mesh garante que a imagem do contêiner seja corrigida com os patches de vulnerabilidade e desempenho mais recentes. O App Mesh testa as novas versões do proxy Envoy em relação ao conjunto de atributos do App Mesh antes de disponibilizar as imagens.
É preciso atualizar seus microsserviços para usar a versão atualizada da imagem do contêiner. A seguir a versão mais recente da imagem.
```
840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.34.13.0-prod
```