本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 如何 AWS App Mesh 与 IAM 配合使用
**重要**
终止支持通知:2026 年 9 月 30 日, AWS 将停止对的支持。 AWS App Mesh 2026 年 9 月 30 日之后,您将无法再访问 AWS App Mesh 控制台或 AWS App Mesh 资源。有关更多信息,请访问此博客文章[从迁移 AWS App Mesh 到 Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)。
在使用 IAM 管理对 App Mesh 的访问之前,您应了解哪些 IAM 功能可与 App Mesh 结合使用。要全面了解 App Mesh 和其他 AWS 服务如何与 IAM 配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
**Topics**
+ [App Mesh 基于身份的策略](#security_iam_service-with-iam-id-based-policies)
+ [基于 App Mesh 资源的策略](#security_iam_service-with-iam-resource-based-policies)
+ [基于 App Mesh 标签的授权](#security_iam_service-with-iam-tags)
+ [App Mesh IAM 角色](#security_iam_service-with-iam-roles)
## App Mesh 基于身份的策略
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。App Mesh 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 操作
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
App Mesh 中的策略操作在操作前使用以下前缀:`appmesh:`。例如,要授予某人使用 `appmesh:ListMeshes` API 操作列出网格的权限,您应将 `appmesh:ListMeshes` 操作纳入他们的策略中。策略语句必须包含 `Action` 或 `NotAction` 元素。
要在单个语句中指定多项 操作,请使用逗号将它们隔开,如下所示。
```
"Action": [
"appmesh:ListMeshes",
"appmesh:ListVirtualNodes"
]
```
您也可以使用通配符 (\*) 指定多个操作。例如,要指定以单词 `Describe` 开头的所有操作,请包括以下操作。
```
"Action": "appmesh:Describe*"
```
要查看 App Mesh 操作列表,请参阅 [*《IAM 用户指南》*中 AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions) 定义的操作。
### 资源
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\*) 指示语句应用于所有资源。
```
"Resource": "*"
```
App Mesh `mesh` 资源拥有以下 ARN:
```
arn:${Partition}:appmesh:${Region}:${Account}:mesh/${MeshName}
```
有关格式的更多信息 ARNs,请参阅 [Amazon 资源名称 (ARNs) 和 AWS 服务命名空间](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
例如,要在语句中指定在 {{Region-code}} Region {{apps}} 中命名的网格,请使用以下 ARN。
```
arn:aws:appmesh:{{Region-code}}:{{111122223333}}:mesh/{{apps}}
```
要指定属于特定账户的所有实例,请使用通配符 (\*)。
```
"Resource": "arn:aws:appmesh:{{Region-code}}:{{111122223333}}:mesh/*"
```
无法对特定资源执行某些 App Mesh 操作,例如,用于创建资源的操作。在这些情况下,您必须使用通配符(\*)。
```
"Resource": "*"
```
许多 App Mesh API 操作涉及多种资源。例如,`CreateRoute` 创建具有虚拟节点目标的路由,因此 IAM 用户必须有权使用该路由和虚拟节点。要在单个语句中指定多个资源,请 ARNs 用逗号分隔。
```
"Resource": [
"arn:aws:appmesh:{{Region-code}}:{{111122223333}}:mesh/{{apps}}/virtualRouter/{{serviceB}}/route/*",
"arn:aws:appmesh:{{Region-code}}:{{111122223333}}:mesh/{{apps}}/virtualNode/{{serviceB}}"
]
```
要查看 App Mesh 资源类型及其列表 ARNs,请参阅 *IAM 用户指南 AWS App Mesh*中的[定义资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-resources-for-iam-policies)。要了解您可以在哪些操作中指定每个资源的 ARN,请参阅 [AWS App Mesh定义的操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions)。
### 条件键
App Mesh 支持使用某些全局条件键。要查看所有 AWS 全局条件键,请参阅《IAM 用户指南》**中的 [AWS 全局条件上下文键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。要查看 App Mesh 支持的全局条件键的列表,请参阅 *IAM 用户指南*中的 [AWS App Mesh的条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-policy-keys)。要了解您可以将哪些操作和资源与条件键一起使用,请参阅[由定义的操作 AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions)。
### 示例
要查看 App Mesh 基于身份的策略的示例,请参阅 [AWS App Mesh 基于身份的策略示例](security_iam_id-based-policy-examples.md)。
## 基于 App Mesh 资源的策略
App Mesh 不支持基于资源的策略。但是,如果您使用 AWS Resource Access Manager (AWS RAM) 服务跨服务共享网格,则该 AWS 服务会将基于资源的策略应用于您的网格。 AWS RAM 有关更多信息,请参阅 [为网格授予权限](sharing.md#sharing-permissions-resource)。
## 基于 App Mesh 标签的授权
您可以将标签附加到 App Mesh 资源或将请求中的标签传递到 App Mesh。要基于标签控制访问,您需要使用 `appmesh:ResourceTag/{{key-name}}``aws:RequestTag/{{key-name}}` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。有关为 App Mesh 资源添加标签的更多信息,请参阅为资源[添加标签。 AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)
要查看基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅 [创建带受限标签的 App Mesh 网格](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags)。
## App Mesh IAM 角色
I [AM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)是您的 AWS 账户中具有特定权限的实体。
### 将临时凭证与 App Mesh 一并使用
可以使用临时凭证进行联合身份验证登录,分派 IAM 角色或分派跨账户角色。您可以通过调用[AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)或之类的 AWS STS API 操作来获取临时安全证书[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)。
App Mesh 支持使用临时凭证。
### 服务关联角色
[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务关联角色显示在 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
App Mesh 支持服务相关角色。有关创建或管理 App Mesh 服务相关角色的详细信息,请参阅 [将服务相关角色用于 App Mesh](using-service-linked-roles.md)。
### 服务角色
此功能允许服务代表您担任[服务角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role)。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。
App Mesh 不支持服务角色。