Consideraciones clave

Consulte los siguientes temas antes de realizar la migración a un nuevo entorno de Amazon MWAA.

Temas

Autenticación
Rol de ejecución

Autenticación

Amazon MWAA usa AWS Identity and Access Management (IAM) para controlar el acceso a la interfaz de usuario de Apache Airflow. Usted debe crear y administrar políticas de IAM que concedan permiso a los usuarios de Apache Airflow para acceder al servidor web y administrar los DAG. Puede gestionar la autenticación y la autorización de los roles predeterminados de Apache Airflow mediante la IAM en diferentes cuentas.

Para gestionar y restringir todavía más el acceso de los usuarios de Apache Airflow únicamente a un subconjunto de DAG de su flujo de trabajo, puede crear roles de Airflow personalizados y asignarlos a las entidades principales de IAM. Para obtener más información y un step-by-step tutorial, consulte Tutorial: Restringir el acceso de un usuario de Amazon MWAA a un subconjunto de DAG.

También puede configurar identidades federadas para acceder a Amazon MWAA. Para obtener más información, consulte los siguientes temas.

Entorno de Amazon MWAA con acceso público: uso de Okta como proveedor de identidades con Amazon MWAA blog de computación de AWS .
Entorno de Amazon MWAA con acceso privado: acceso a un entorno privado de Amazon MWAA mediante identidades federadas.

Rol de ejecución

Amazon MWAA utiliza una función de ejecución que concede permisos a su entorno para acceder a otros AWS servicios. Puede proporcionar a su flujo de trabajo acceso a AWS los servicios añadiendo los permisos pertinentes a la función. Si elige la opción predeterminada para crear una nueva función de ejecución cuando crea el entorno por primera vez, Amazon MWAA asigna los permisos mínimos necesarios a la función, excepto en el caso de Logs, para los que Amazon MWAA añade todos los grupos de CloudWatch registros automáticamente.

Una vez creado el rol de ejecución, Amazon MWAA no podrá administrar sus políticas de permisos en su nombre. Para actualizar el rol de ejecución, debe editar la política que se va a añadir y eliminar permisos según sea necesario. Por ejemplo, puede integrar su entorno de Amazon MWAA con AWS Secrets Manager como backend para almacenar de forma segura los secretos y las cadenas de conexión con el fin de utilizarlos en sus flujos de trabajo de Apache Airflow. Para ello, adjunte la siguiente política de permisos al rol de ejecución de su entorno.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:012345678910:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

La integración con otros AWS servicios sigue un patrón similar: añades la política de permisos correspondiente a tu función de ejecución de Amazon MWAA y concedes permiso a Amazon MWAA para acceder al servicio. Para obtener más información sobre la gestión del rol de ejecución de Amazon MWAA y ver ejemplos adicionales, consulte Rol de ejecución de Amazon MWAA en la Guía del usuario de Amazon MWAA.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Arquitectura de redes

Migración a un nuevo entorno de Amazon MWAA