Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Considérations clés relatives à la migration vers un nouvel environnement MWAA
Apprenez-en davantage sur les principales considérations, telles que l'authentification et le rôle MWAA d'exécution Amazon, lorsque vous planifiez de migrer vos charges de travail Apache Airflow vers Amazon. MWAA
Rubriques
Authentification
Amazon MWAA utilise AWS Identity and Access Management (IAM) pour contrôler l'accès à l'interface utilisateur d'Apache Airflow. Vous devez créer et gérer des IAM politiques qui accordent à vos utilisateurs Apache Airflow l'autorisation d'accéder au serveur Web et de le gérerDAGs. Vous pouvez gérer à la fois l'authentification et l'autorisation pour les rôles par défaut
Vous pouvez également gérer et restreindre l'accès des utilisateurs d'Apache Airflow à un sous-ensemble de votre flux de travail uniquement DAGs en créant des rôles Airflow personnalisés et en les mappant à vos principaux utilisateurs. IAM Pour plus d'informations et un step-by-step didacticiel, consultez Tutoriel : Restreindre l'accès d'un MWAA utilisateur Amazon à un sous-ensemble de DAGs.
Vous pouvez également configurer des identités fédérées pour accéder à AmazonMWAA. Pour plus d'informations, consultez les ressources suivantes.
-
MWAAEnvironnement Amazon avec accès public — Utilisation d'Okta comme fournisseur d'identité avec Amazon MWAA
sur le AWS Compute Blog. -
MWAAEnvironnement Amazon avec accès privé : accès à un MWAA environnement Amazon privé à l'aide d'identités fédérées
.
Rôle d'exécution
Amazon MWAA utilise un rôle d'exécution qui autorise votre environnement à accéder à d'autres AWS services. Vous pouvez donner accès aux AWS services à votre flux de travail en ajoutant les autorisations appropriées au rôle. Si vous choisissez l'option par défaut pour créer un nouveau rôle d'exécution lorsque vous créez l'environnement pour la première fois, Amazon MWAA attache les autorisations minimales nécessaires au rôle, sauf dans le cas des CloudWatch journaux pour lesquels Amazon MWAA ajoute automatiquement tous les groupes de journaux.
Une fois le rôle d'exécution créé, Amazon MWAA ne peut pas gérer ses politiques d'autorisation en votre nom. Pour mettre à jour le rôle d'exécution, vous devez modifier la politique afin d'ajouter et de supprimer des autorisations selon les besoins. Par exemple, vous pouvez intégrer votre MWAA environnement Amazon en AWS Secrets Manager tant que backend pour stocker en toute sécurité les secrets et les chaînes de connexion à utiliser dans vos flux de travail Apache Airflow. Pour ce faire, associez la politique d'autorisation suivante au rôle d'exécution de votre environnement.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetResourcePolicy", "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret", "secretsmanager:ListSecretVersionIds" ], "Resource": "arn:aws:secretsmanager:us-west-2:012345678910:secret:*" }, { "Effect": "Allow", "Action": "secretsmanager:ListSecrets", "Resource": "*" } ] }
L'intégration à d'autres AWS services suit un schéma similaire : vous ajoutez la politique d'autorisation appropriée à votre rôle MWAA d'exécution Amazon, en autorisant Amazon MWAA à accéder au service. Pour plus d'informations sur la gestion du rôle MWAA d'exécution Amazon et pour voir des exemples supplémentaires, consultez la section Rôle MWAA d'exécution Amazon dans le guide de MWAA l'utilisateur Amazon.