Wichtigste Überlegungen

Lesen Sie die folgenden Themen, bevor Sie zu einer neuen Amazon MWAA-Umgebung migrieren.

Themen

Authentifizierung
Ausführungsrolle

Authentifizierung

Amazon MWAA verwendet AWS Identity and Access Management (IAM), um den Zugriff auf die Apache Airflow-Benutzeroberfläche zu steuern. Sie müssen IAM-Richtlinien erstellen und verwalten, die Ihren Apache Airflow-Benutzern Zugriff auf den Webserver und die Verwaltung von DAGs gewähren. Sie können sowohl die Authentifizierung als auch die Autorisierung für die Standardrollen von Apache Airflow mithilfe von IAM für verschiedene Konten verwalten.

Sie können Apache Airflow-Benutzer weiter verwalten und darauf beschränken, nur auf eine Teilmenge Ihrer Workflow-DAGs zuzugreifen, indem Sie benutzerdefinierte Airflow-Rollen erstellen und sie Ihren IAM-Prinzipalen zuordnen. Weitere Informationen und ein step-by-step Tutorial finden Sie unter Tutorial: Beschränken des Zugriffs eines Amazon MWAA-Benutzers auf eine Teilmenge von DAGs.

Sie können auch föderierte Identitäten für den Zugriff auf Amazon MWAA konfigurieren. Weitere Informationen finden Sie im Folgenden.

Amazon MWAA-Umgebung mit öffentlichem Zugriff — Verwendung von Okta als Identitätsanbieter mit Amazon MWAA im Compute-Blog.AWS
Amazon MWAA-Umgebung mit privatem Zugriff — Zugriff auf eine private Amazon MWAA-Umgebung mit föderierten Identitäten.

Ausführungsrolle

Amazon MWAA verwendet eine Ausführungsrolle, die Ihrer Umgebung Berechtigungen für den Zugriff auf andere AWS Services gewährt. Sie können Ihrem Workflow Zugriff auf AWS Dienste gewähren, indem Sie der Rolle die entsprechenden Berechtigungen hinzufügen. Wenn Sie bei der ersten Erstellung der Umgebung die Standardoption zum Erstellen einer neuen Ausführungsrolle wählen, fügt Amazon MWAA der Rolle die erforderlichen Mindestberechtigungen zu, außer im Fall von CloudWatch Logs, für die Amazon MWAA alle Protokollgruppen automatisch hinzufügt.

Sobald die Ausführungsrolle erstellt wurde, kann Amazon MWAA seine Berechtigungsrichtlinien nicht mehr in Ihrem Namen verwalten. Um die Ausführungsrolle zu aktualisieren, müssen Sie die Richtlinie bearbeiten, um nach Bedarf Berechtigungen hinzuzufügen oder zu entfernen. Sie können beispielsweise Ihre Amazon MWAA-Umgebung AWS Secrets Manager als Backend integrieren, um Geheimnisse und Verbindungszeichenfolgen sicher zu speichern, die Sie in Ihren Apache Airflow-Workflows verwenden können. Fügen Sie dazu der Ausführungsrolle Ihrer Umgebung die folgende Berechtigungsrichtlinie hinzu.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:012345678910:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

Die Integration mit anderen AWS Services folgt einem ähnlichen Muster: Sie fügen die entsprechende Berechtigungsrichtlinie zu Ihrer Amazon MWAA-Ausführungsrolle hinzu und gewähren Amazon MWAA die Erlaubnis, auf den Service zuzugreifen. Weitere Informationen zur Verwaltung der Amazon MWAA-Ausführungsrolle und weitere Beispiele finden Sie unter Amazon MWAA-Ausführungsrolle im Amazon MWAA-Benutzerhandbuch.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

-Netzwerkarchitektur

Migration zu einer neuen Amazon MWAA-Umgebung