Considerazioni chiave

Consulta i seguenti argomenti prima di migrare a un nuovo ambiente Amazon MWAA.

Argomenti

Autenticazione
Ruolo di esecuzione

Autenticazione

Amazon MWAA utilizza AWS Identity and Access Management (IAM) per controllare l'accesso all'interfaccia utente di Apache Airflow. È necessario creare e gestire politiche IAM che concedano agli utenti di Apache Airflow l'autorizzazione ad accedere al server Web e gestire i DAG. Puoi gestire sia l'autenticazione che l'autorizzazione per i ruoli predefiniti di Apache Airflow utilizzando IAM su diversi account.

Puoi gestire ulteriormente e limitare l'accesso degli utenti di Apache Airflow solo a un sottoinsieme dei DAG del flusso di lavoro creando ruoli Airflow personalizzati e mappandoli ai tuoi principali IAM. Per ulteriori informazioni e un step-by-step tutorial, consulta Tutorial: Limitazione dell'accesso di un utente Amazon MWAA a un sottoinsieme di DAG.

Puoi anche configurare identità federate per accedere ad Amazon MWAA. Per ulteriori informazioni, consulta gli argomenti seguenti.

Ambiente Amazon MWAA con accesso pubblico: utilizzo di Okta come provider di identità con Amazon MWAA sul Compute Blog.AWS
Ambiente Amazon MWAA con accesso privato: accesso a un ambiente Amazon MWAA privato utilizzando identità federate.

Ruolo di esecuzione

Amazon MWAA utilizza un ruolo di esecuzione che concede autorizzazioni all'ambiente per accedere ad altri servizi. AWS Puoi fornire al tuo flusso di lavoro l'accesso ai AWS servizi aggiungendo le autorizzazioni pertinenti al ruolo. Se scegli l'opzione predefinita per creare un nuovo ruolo di esecuzione quando crei l'ambiente per la prima volta, Amazon MWAA assegna le autorizzazioni minime necessarie al ruolo, tranne nel caso dei log per CloudWatch i quali Amazon MWAA aggiunge automaticamente tutti i gruppi di log.

Una volta creato il ruolo di esecuzione, Amazon MWAA non può gestire le sue politiche di autorizzazione per tuo conto. Per aggiornare il ruolo di esecuzione, devi modificare la policy per aggiungere e rimuovere le autorizzazioni necessarie. Ad esempio, puoi integrare il tuo ambiente Amazon MWAA AWS Secrets Manager come backend per archiviare in modo sicuro segreti e stringhe di connessione da utilizzare nei flussi di lavoro Apache Airflow. A tale scopo, allega la seguente politica di autorizzazione al ruolo di esecuzione del tuo ambiente.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:012345678910:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

L'integrazione con altri AWS servizi segue uno schema simile: aggiungi la politica di autorizzazione pertinente al tuo ruolo di esecuzione di Amazon MWAA, concedendo l'autorizzazione ad Amazon MWAA per accedere al servizio. Per ulteriori informazioni sulla gestione del ruolo di esecuzione di Amazon MWAA e per visualizzare altri esempi, consulta il ruolo di esecuzione di Amazon MWAA nella Amazon MWAA User Guide.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Architettura di rete

Migrazione a un nuovo ambiente Amazon MWAA