Amazon のサービスにリンクされたロール MWAA - Amazon Managed Workflows for Apache Airflow
Amazon のサービスにリンクされたロールのアクセス許可 MWAAAmazon のサービスにリンクされたロールの作成 MWAAAmazon のサービスにリンクされたロールの編集 MWAAAmazon のサービスにリンクされたロールの削除 MWAAAmazon MWAAサービスにリンクされたロールでサポートされているリージョンポリシーの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon のサービスにリンクされたロール MWAA

Amazon Managed Workflows for Apache Airflow は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、Amazon に直接リンクされた一意のタイプのIAMロールですMWAA。サービスにリンクされたロールは Amazon によって事前定義MWAAされており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Amazon の設定MWAAが簡単になります。Amazon MWAAは、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Amazon のみがそのロールを引き受けMWAAることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、MWAAリソースにアクセスするためのアクセス許可を誤って削除することがないため、Amazon リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「 と連携する のサービスIAM」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。 サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

Amazon のサービスにリンクされたロールのアクセス許可 MWAA

Amazon は、 という名前のサービスにリンクされたロールMWAAを使用しますAWSServiceRoleForAmazonMWAA。 アカウントで作成されたサービスにリンクされたロールは、以下の AWS サービスMWAAへのアクセス権を Amazon に付与します。

  • Amazon CloudWatch Logs (CloudWatch ログ) – Apache Airflow ログのロググループを作成します。

  • Amazon CloudWatch (CloudWatch) – 環境とその基盤となるコンポーネントに関連するメトリクスをアカウントに公開します。

  • Amazon Elastic Compute Cloud (Amazon EC2) – 次のリソースを作成します。

    • Apache Airflow スケジューラワーカー が使用する AWSマネージド Amazon Aurora PostgreSQL データベースクラスターVPCの 内の Amazon VPCエンドポイント。

    • Apache Airflow ウェブサーバープライベートネットワークオプションを選択した場合に、ウェブサーバーへのネットワークアクセスを有効にする追加の Amazon VPCエンドポイント。

    • Amazon の Elastic Network Interfaces (ENIs) VPCを使用して、Amazon でホストされている AWS リソースへのネットワークアクセスを有効にしますVPC。

次の信頼ポリシーは、サービスプリンシパルがサービスにリンクされたロールを引き受けることを許可します。Amazon のサービスプリンシパルMWAAは、 ポリシーで示されているairflow.amazonaws.comとおりです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "airflow.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

という名前のロール許可ポリシーAmazonMWAAServiceRolePolicyはMWAA、Amazon が指定されたリソースに対して以下のアクションを実行することを許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:airflow-*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachNetworkInterface",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcs",
                "ec2:DetachNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpoint",
                "ec2:DeleteVpcEndpoints"
            ],
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonMWAAManaged": false
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:ModifyVpcEndpoint"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:vpc/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:subnet/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateVpcEndpoint"
                },
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/MWAA"
                    ]
                }
            }
        }
    ]
}

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするには、アクセス許可を設定する必要があります。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールのアクセス許可IAM」を参照してください。

Amazon のサービスにリンクされたロールの作成 MWAA

サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは を使用して新しい Amazon MWAA環境を作成すると AWS API、Amazon によってサービスにリンクされたロールMWAAが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。別の環境を作成すると、Amazon によってサービスにリンクされたロールが再度MWAA作成されます。

Amazon のサービスにリンクされたロールの編集 MWAA

Amazon MWAA では、 AWSServiceRoleForAmazonMWAA サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Amazon のサービスにリンクされたロールの削除 MWAA

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。

Amazon MWAA環境を削除すると、Amazon はサービスの一部として使用するすべての関連リソースMWAAを削除します。ただし、Amazon が環境の削除MWAAを完了するまで待ってから、サービスにリンクされたロールを削除する必要があります。Amazon が環境を削除する前にサービスにリンクされたロールMWAAを削除すると、Amazon は環境に関連付けられているリソースをすべて削除できないMWAA場合があります。

を使用してサービスにリンクされたロールを手動で削除するには IAM

IAM コンソール、、または AWS API を使用して AWS CLI、サービスにリンクされたロールを削除します AWSServiceRoleForAmazonMWAA。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの削除IAM」を参照してください。

Amazon MWAAサービスにリンクされたロールでサポートされているリージョン

Amazon は、サービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用MWAAをサポートしています。詳細は、Amazon Managed Workflows for Apache Airflow エンドポイントとクオータを参照してください。

ポリシーの更新

変更 説明 日付

Amazon がサービスにリンクされたロールのアクセス許可ポリシーMWAAを更新する

AmazonMWAAServiceRolePolicy — Amazon は、サービスにリンクされたロールのアクセス許可ポリシーMWAAを更新して、サービスの基盤となるリソースに関連する追加のメトリクスをお客様のアカウントに発行するMWAAアクセス許可を Amazon に付与します。これらの新しいメトリクスは、AWS/MWAA 以下で公開されます。

2022 年 11 月 18 日

Amazon が変更の追跡MWAAを開始しました

Amazon は AWS 、マネージドサービスにリンクされたロールのアクセス許可ポリシーの変更の追跡MWAAを開始しました。

2022 年 11 月 18 日