Pertimbangan utama untuk bermigrasi ke lingkungan baru MWAA

Pelajari lebih lanjut tentang pertimbangan utama, seperti autentikasi dan peran MWAA eksekusi Amazon, saat Anda berencana untuk memigrasikan beban kerja Apache Airflow ke Amazon. MWAA

Topik

Autentikasi
Peran eksekusi

Autentikasi

Amazon MWAA menggunakan AWS Identity and Access Management (IAM) untuk mengontrol akses ke Apache Airflow UI. Anda harus membuat dan mengelola IAM kebijakan yang memberikan izin kepada pengguna Apache Airflow Anda untuk mengakses server web dan mengelola. DAGs Anda dapat mengelola otentikasi dan otorisasi untuk peran default Apache Airflow menggunakan IAM berbagai akun.

Anda dapat lebih lanjut mengelola dan membatasi pengguna Apache Airflow untuk mengakses hanya sebagian dari alur kerja Anda DAGs dengan membuat peran Aliran Udara khusus dan memetakannya ke kepala sekolah Anda. IAM Untuk informasi selengkapnya dan step-by-step tutorial, lihat Tutorial: Membatasi akses MWAA pengguna Amazon ke subset. DAGs

Anda juga dapat mengonfigurasi identitas federasi untuk mengakses Amazon. MWAA Untuk informasi selengkapnya, lihat berikut ini.

MWAALingkungan Amazon dengan akses publik - Menggunakan Okta sebagai penyedia identitas dengan Amazon MWAA di Blog AWS Komputasi.
MWAALingkungan Amazon dengan akses pribadi - Mengakses MWAA lingkungan Amazon pribadi menggunakan identitas federasi.

Peran eksekusi

Amazon MWAA menggunakan peran eksekusi yang memberikan izin ke lingkungan Anda untuk mengakses layanan lain AWS . Anda dapat memberikan alur kerja Anda akses ke AWS layanan dengan menambahkan izin yang relevan ke peran tersebut. Jika Anda memilih opsi default untuk membuat peran eksekusi baru saat pertama kali membuat lingkungan, Amazon MWAA melampirkan izin minimal yang diperlukan untuk peran tersebut, kecuali dalam kasus CloudWatch Log yang Amazon MWAA menambahkan semua grup log secara otomatis.

Setelah peran eksekusi dibuat, Amazon MWAA tidak dapat mengelola kebijakan izinnya atas nama Anda. Untuk memperbarui peran eksekusi, Anda harus mengedit kebijakan untuk menambah dan menghapus izin sesuai kebutuhan. Misalnya, Anda dapat mengintegrasikan MWAA lingkungan Amazon Anda AWS Secrets Manager sebagai backend untuk menyimpan rahasia dan string koneksi dengan aman untuk digunakan dalam alur kerja Apache Airflow Anda. Untuk melakukannya, lampirkan kebijakan izin berikut ke peran eksekusi lingkungan Anda.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:012345678910:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

Mengintegrasikan dengan AWS layanan lain mengikuti pola yang sama: Anda menambahkan kebijakan izin yang relevan ke peran MWAA eksekusi Amazon Anda, memberikan izin MWAA ke Amazon untuk mengakses layanan. Untuk informasi selengkapnya tentang mengelola peran MWAA eksekusi Amazon, dan untuk melihat contoh tambahan, kunjungi peran MWAA eksekusi Amazon di Panduan MWAA Pengguna Amazon.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Arsitektur jaringan

Bermigrasi ke lingkungan Amazon MWAA baru