使用共用網格 - AWS 應用程式網格
授予共用網格的許可共用網格的先決條件相關服務共用網格取消共用共用的網格識別共用網格計費和計量執行個體配額

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用共用網格

重要

支援終止通知:在 2026 年 9 月 30 日, AWS 將停止對 的支援 AWS App Mesh。2026 年 9 月 30 日之後,您將無法再存取 AWS App Mesh 主控台或 AWS App Mesh 資源。如需詳細資訊,請參閱此部落格文章從 遷移 AWS App Mesh 至 Amazon ECS Service Connect

您可以使用 AWS Resource Access Manager 服務跨 AWS 帳戶共用 App Mesh 網格。共用網格可讓不同 AWS 帳戶建立的資源在同一個網格中彼此通訊。

AWS 帳戶可以是網格資源擁有者、網格取用者或兩者。消費者可以在與其帳戶共用的網格中建立資源。擁有者可以在帳戶擁有的任何網格中建立資源。網格擁有者可以與下列類型的網格取用者共用網格。

  • 中組織內部或外部的特定 AWS 帳戶 AWS Organizations

  • 中組織內部的組織單位 AWS Organizations

  • 其在 中的整個組織 AWS Organizations

如需共用網格的end-to-end逐步解說,請參閱 GitHub 上的跨帳戶網格逐步解說

授予共用網格的許可

在帳戶之間共用網格時,IAM 主體需要許可才能共用網格,以及網格本身所需的資源層級許可。

授予共用網格的許可

IAM 主體需要一組最低許可才能共用網格。我們建議您使用 AWSAppMeshFullAccessAWSResourceAccessManagerFullAccess受管 IAM 政策,以確保您的 IAM 主體具有共用和使用共用網格所需的許可。

如果您使用自訂 IAM 政策,則需要 appmesh:PutMeshPolicyappmesh:GetMeshPolicyappmesh:DeleteMeshPolicy動作。這些是僅限許可的 IAM 動作。如果 IAM 主體未授予這些許可,則嘗試使用 AWS RAM 服務共用網格時發生錯誤。

如需 AWS Resource Access Manager 服務使用 IAM 方式的詳細資訊,請參閱AWS Resource Access Manager 《 使用者指南》中的如何使用 AWS RAM IAM

授予網格的許可

共用網格具有下列許可。

  • 消費者可以列出和描述與帳戶共用的網格中的所有資源。

  • 擁有者可以列出和描述帳戶擁有的任何網格中的所有資源。

  • 擁有者和取用者可以修改帳戶建立的網格中的資源,但無法修改其他帳戶建立的資源。

  • 消費者可以刪除帳戶建立的網格中的任何資源。

  • 擁有者可以刪除任何帳戶所建立網格中的任何資源。

  • 擁有者的資源只能參考相同帳戶中的其他資源。例如,虛擬節點只能參考 AWS Cloud Map 或與 AWS Certificate Manager 虛擬節點擁有者位於相同帳戶中的憑證。

  • 擁有者和消費者可以將 Envoy 代理連接到 App Mesh,做為帳戶擁有的虛擬節點。

  • 擁有者可以建立虛擬閘道和虛擬閘道路由。

  • 擁有者和取用者可以列出標籤,也可以在帳戶建立的網格中標記/取消標記資源。它們無法在非由帳戶建立的網格中列出標籤和標籤/取消標籤資源。

共用網格使用以政策為基礎的授權。網格與一組固定的許可共用。選取這些許可以新增至資源政策,也可以根據 IAM 使用者/角色選取選用的 IAM 政策。這些政策中允許的許可交集,減去拒絕的任何明確許可,會決定委託人對網格的存取。

共用網格時, AWS Resource Access Manager 服務會建立名為 的受管政策,AWSRAMDefaultPermissionAppMesh並將其與提供下列許可的 App Mesh 建立關聯。

  • appmesh:CreateVirtualNode

  • appmesh:CreateVirtualRouter

  • appmesh:CreateRoute

  • appmesh:CreateVirtualService

  • appmesh:UpdateVirtualNode

  • appmesh:UpdateVirtualRouter

  • appmesh:UpdateRoute

  • appmesh:UpdateVirtualService

  • appmesh:ListVirtualNodes

  • appmesh:ListVirtualRouters

  • appmesh:ListRoutes

  • appmesh:ListVirtualServices

  • appmesh:DescribeMesh

  • appmesh:DescribeVirtualNode

  • appmesh:DescribeVirtualRouter

  • appmesh:DescribeRoute

  • appmesh:DescribeVirtualService

  • appmesh:DeleteVirtualNode

  • appmesh:DeleteVirtualRouter

  • appmesh:DeleteRoute

  • appmesh:DeleteVirtualService

  • appmesh:TagResource

  • appmesh:UntagResource

共用網格的先決條件

若要共用網格,您必須符合下列先決條件。

  • 您必須在 AWS 帳戶中擁有網格。您無法共用已與您共用的網格。

  • 若要與組織或 中的組織單位共用網格 AWS Organizations,您必須啟用與 共用 AWS Organizations。如需詳細資訊,請參閱《AWS RAM 使用者指南》中的透過 AWS Organizations啟用共用

  • 您的服務必須部署在具有跨帳戶共用連線的 Amazon VPC 中,其中包含您要彼此通訊的網格資源。共用網路連線的其中一種方法是將要在網格中使用的所有服務部署到共用子網路。如需詳細資訊和限制,請參閱共用子網路

  • 服務必須透過 DNS 或 進行探索 AWS Cloud Map。如需服務探索的詳細資訊,請參閱虛擬節點

網格共用與 AWS Resource Access Manager (AWS RAM) 整合。 AWS RAM 是一項服務,可讓您與任何 AWS 帳戶或透過 共用 AWS 資源 AWS Organizations。您可以透過建立資源共享 AWS RAM,與 共用您擁有的資源。資源共享指定要共用的資源,以及共用它們的消費者。消費者可以是個別 AWS 帳戶、組織單位或整個組織 AWS Organizations。

如需 的詳細資訊 AWS RAM,請參閱AWS RAM 《 使用者指南》

共用網格

共用網格可讓不同帳戶建立的網格資源在同一個網格中彼此通訊。您只能共用您擁有的網格。若要共用網格,您必須將其新增至資源共用。資源共用是一種 AWS RAM 資源,可讓您跨 AWS 帳戶共用資源。資源共用會指定要共用的資源,以及與其共用的消費者。當您使用 Amazon Linux 主控台共用網格時,您可以將其新增至現有的資源共用。若要將網格新增至新的資源共享,請使用 AWS RAM 主控台建立資源共享。

如果您屬於 中的組織, AWS Organizations 且已啟用組織內的共用,則組織中的消費者可以自動獲得共用網格的存取權。否則,消費者會收到加入資源共享的邀請,並在接受邀請後獲得共用網格的存取權。

您可以使用 AWS RAM 主控台或 共享您擁有的網格 AWS CLI。

使用 AWS RAM 主控台共用您擁有的網格

如需說明,請參閱AWS RAM 《 使用者指南》中的建立資源共享。選取資源類型時,請選取網格,然後選取您要共用的網格。如果未列出網格,請先建立網格。如需詳細資訊,請參閱建立服務網格

使用 共享您擁有的網格 AWS CLI

使用 create-resource-share 命令。針對 --resource-arns選項,指定您要共用之網格的 ARN。

取消共用共用的網格

當您取消共用網格時,App Mesh 會停用網格的前消費者對網格的進一步存取。不過,App Mesh 不會刪除消費者建立的資源。取消共用網格之後,只有網格擁有者可以存取和刪除資源。App Mesh 可防止擁有網格中資源的帳戶在未共用網格後接收組態資訊。App Mesh 也可防止具有網格中資源的任何其他帳戶從未共用的網格接收組態資訊。只有網格的擁有者可以取消共用。

若要取消共用您擁有的共用網格,您必須將其從資源共用中移除。您可以使用 AWS RAM 主控台或 來執行此操作 AWS CLI。

使用 AWS RAM 主控台取消共用您擁有的共用網格

如需說明,請參閱AWS RAM 《 使用者指南》中的更新資源共享

使用 取消共用您擁有的共用網格 AWS CLI

使用 disassociate-resource-share 命令。

識別共用網格

擁有者和消費者可以使用 Amazon Linux 主控台和 識別共用網格和網格資源 AWS CLI

使用 Amazon Linux 主控台識別共用網格

  1. 在 https://https://console.aws.amazon.com/appmesh/ 開啟 App Mesh 主控台。

  2. 從左側導覽中,選取網格。每個網格的網格擁有者帳戶 ID 會列在網格擁有者欄中。

  3. 從左側導覽中,選取虛擬服務虛擬路由器虛擬節點。您可以看到網格擁有者的帳戶 ID,以及每個資源的資源擁有者

使用 識別共用網格 AWS CLI

使用 aws appmesh list resource命令,例如 aws appmesh list-meshes。命令會傳回您擁有的網格,以及與您共用的網格。meshOwner 屬性會顯示 AWS 的帳戶 ID,meshOwnerresourceOwner 屬性會顯示資源擁有者 AWS 的帳戶 ID。針對任何網格資源執行的任何命令都會傳回這些屬性。

您連接到共用網格的使用者定義標籤僅適用於您的 AWS 帳戶。它們不適用於與網格共用的其他帳戶。另一個帳戶中網格的aws appmesh list-tags-for-resource命令會被拒絕存取。

計費和計量

共用網格不收取任何費用。

執行個體配額

無論誰在網格中建立資源,網格的所有配額也適用於共用網格。只有網格擁有者可以請求提高配額。如需詳細資訊,請參閱App Mesh 服務配額。 AWS Resource Access Manager 服務也有配額。如需詳細資訊,請參閱 Service Quotas