Considérations clés

Consultez les rubriques suivantes avant de migrer vers un nouvel environnement Amazon MWAA.

Rubriques

Authentification
Rôle d'exécution

Authentification

Amazon MWAA utiliseAWS Identity and Access Management(IAM) pour contrôler l'accès à l'interface utilisateur d'Apache Airflow. Vous devez créer et gérer des stratégies IAM qui accordent à vos utilisateurs Apache Airflow l'autorisation d'accéder au serveur Web et de gérer les DAG. Vous pouvez gérer à la fois l'authentification et l'autorisation pour Apache Airflowrôles par défauten utilisant IAM sur différents comptes.

Vous pouvez également gérer et restreindre l'accès des utilisateurs Apache Airflow à un sous-ensemble de vos DAG de flux de travail en créant des rôles Airflow personnalisés et en les mappant à vos principaux IAM. Pour plus d'informations, consultez step-by-step didacticiel, consultezDidacticiel : Restreindre l'accès d'un utilisateur Amazon MWAA à un sous-ensemble de DAG.

Vous pouvez également configurer des identités fédérées pour accéder à Amazon MWAA. Pour plus d'informations, consultez les ressources suivantes.

Environnement Amazon MWAA avec accès public—Utilisation d'Okta en tant que fournisseur d'identité avec Amazon MWAAsur leAWSBlogue Compute.
Environnement Amazon MWAA avec accès privé—Accès à un environnement Amazon MWAA privé à l'aide d'identités fédérées.

Rôle d'exécution

Amazon MWAA utilise un rôle d'exécution qui accorde des autorisations à votre environnement pour accéder à d'autresAWSServices . Vous pouvez fournir à votre flux de travail l'accès àAWSservices en ajoutant les autorisations pertinentes au rôle. Si vous choisissez l'option par défaut pour créer un nouveau rôle d'exécution lorsque vous créez l'environnement pour la première fois, Amazon MWAA attribue les autorisations minimales nécessaires au rôle, sauf dans le cas de CloudWatch Logs pour lesquels Amazon MWAA ajoute automatiquement tous les groupes de journaux.

Une fois le rôle d'exécution créé, Amazon MWAA ne peut pas gérer ses politiques d'autorisation en votre nom. Pour mettre à jour le rôle d'exécution, vous devez modifier la stratégie afin d'ajouter et de supprimer des autorisations selon les besoins. Par exemple, vous pouvezintégrer votre environnement Amazon MWAA avecAWS Secrets Manageren tant que backend pour stocker en toute sécurité les secrets et les chaînes de connexion à utiliser dans vos flux de travail Apache Airflow. Pour ce faire, attachez la stratégie d'autorisation suivante au rôle d'exécution de votre environnement.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:012345678910:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

Intégration de à d'autresAWSservices suit un schéma similaire : vous ajoutez la stratégie d'autorisation appropriée à votre rôle d'exécution Amazon MWAA, accordant à Amazon MWAA l'autorisation d'accéder au service. Pour plus d'informations sur la gestion du rôle d'exécution Amazon MWAA et pour voir des exemples supplémentaires, rendez-vous surRôle d'exécution Amazon MWAAdans leGuide de l'utilisateur Amazon MWAA.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Architecture réseau

Migration vers un nouvel environnement Amazon MWAA