Considerazioni chiave per la migrazione a un nuovo ambiente MWAA

Scopri di più su considerazioni chiave, come l'autenticazione e il ruolo di esecuzione di Amazon MWAA, mentre pianifichi di migrare i tuoi carichi di lavoro Apache Airflow ad Amazon MWAA.

Argomenti

Autenticazione
Ruolo di esecuzione

Autenticazione

Amazon MWAA utilizza AWS Identity and Access Management (IAM) per controllare l'accesso all'interfaccia utente di Apache Airflow. È necessario creare e gestire politiche IAM che concedano agli utenti di Apache Airflow l'autorizzazione ad accedere al server Web e gestirlo. DAGs Puoi gestire sia l'autenticazione che l'autorizzazione per i ruoli predefiniti di Apache Airflow utilizzando IAM su diversi account.

Puoi gestire ulteriormente e limitare l'accesso degli utenti di Apache Airflow solo a un sottoinsieme del tuo flusso di lavoro creando ruoli Airflow personalizzati e DAGs mappandoli ai tuoi principali IAM. Per ulteriori informazioni e un step-by-step tutorial, consulta Tutorial: Limitazione dell'accesso di un utente Amazon MWAA a un sottoinsieme di. DAGs

Puoi anche configurare identità federate per accedere ad Amazon MWAA. Per ulteriori informazioni, consulta gli argomenti seguenti.

Ambiente Amazon MWAA con accesso pubblico: utilizzo di Okta come provider di identità con Amazon MWAA sul Compute Blog.AWS
Ambiente Amazon MWAA con accesso privato: accesso a un ambiente Amazon MWAA privato utilizzando identità federate.

Ruolo di esecuzione

Amazon MWAA utilizza un ruolo di esecuzione che concede autorizzazioni all'ambiente per accedere ad altri servizi. AWS Puoi fornire al tuo flusso di lavoro l'accesso ai AWS servizi aggiungendo le autorizzazioni pertinenti al ruolo. Se scegli l'opzione predefinita per creare un nuovo ruolo di esecuzione quando crei l'ambiente per la prima volta, Amazon MWAA assegna le autorizzazioni minime necessarie al ruolo, tranne nel caso dei log per CloudWatch i quali Amazon MWAA aggiunge automaticamente tutti i gruppi di log.

Una volta creato il ruolo di esecuzione, Amazon MWAA non può gestire le sue politiche di autorizzazione per tuo conto. Per aggiornare il ruolo di esecuzione, devi modificare la policy per aggiungere e rimuovere le autorizzazioni necessarie. Ad esempio, puoi integrare il tuo ambiente Amazon MWAA AWS Secrets Manager come backend per archiviare in modo sicuro segreti e stringhe di connessione da utilizzare nei flussi di lavoro Apache Airflow. A tale scopo, allega la seguente politica di autorizzazione al ruolo di esecuzione del tuo ambiente.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:012345678910:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

L'integrazione con altri AWS servizi segue uno schema simile: aggiungi la politica di autorizzazione pertinente al tuo ruolo di esecuzione di Amazon MWAA, concedendo l'autorizzazione ad Amazon MWAA per accedere al servizio. Per ulteriori informazioni sulla gestione del ruolo di esecuzione di Amazon MWAA e per visualizzare altri esempi, consulta il ruolo di esecuzione di Amazon MWAA nella Amazon MWAA User Guide.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Architettura di rete

Esegui la migrazione a un nuovo ambiente Amazon MWAA