Considerações importantes

Analise os tópicos a seguir antes de migrar para um novo ambiente Amazon MWAA.

Tópicos

Autenticação
Perfil de execução

Autenticação

O Amazon MWAA usa AWS Identity and Access Management (IAM) para controlar o acesso à interface do usuário do Apache Airflow. Você deve criar e gerenciar políticas do IAM que concedam permissão aos usuários do Apache Airflow para acessar o servidor web e gerenciar DAGs. É possível gerenciar tanto a autenticação quanto a autorização dos perfis padrão do Apache Airflow usando o IAM em diferentes contas.

É possível gerenciar e restringir ainda mais os usuários do Apache Airflow para acessar somente um subconjunto dos DAGs do seu fluxo de trabalho, criando perfis personalizados do Airflow e mapeando-as de acordo com suas entidades principais do IAM. Para obter mais informações e um step-by-step tutorial, consulte Tutorial: Restringindo o acesso de um usuário do Amazon MWAA a um subconjunto de DAGs.

É possível também configurar identidades federadas para acessar o Amazon MWAA. Para obter mais informações, consulte:

Ambiente do Amazon MWAA com acesso público: uso do Okta como provedor de identidade com o Amazon MWAA no Blog de computação da AWS .
Ambiente Amazon MWAA com acesso privado: acesso a um ambiente privado do Amazon MWAA usando identidades federadas.

Perfil de execução

O Amazon MWAA usa uma função de execução que concede permissões ao seu ambiente para acessar outros AWS serviços. Você pode fornecer acesso aos AWS serviços ao seu fluxo de trabalho adicionando as permissões relevantes à função. Se você escolher a opção padrão para criar uma nova função de execução ao criar o ambiente pela primeira vez, o Amazon MWAA atribuirá as permissões mínimas necessárias à função, exceto no caso de CloudWatch registros para os quais o Amazon MWAA adiciona todos os grupos de log automaticamente.

Depois que o perfil de execução é criado, o Amazon MWAA não pode gerenciar as políticas de permissão do perfil em seu nome. Para atualizar o perfil de execução, você deve editar a política para adicionar e remover permissões conforme necessário. Por exemplo, é possível integrar seu ambiente Amazon MWAA com AWS Secrets Manager como um back-end para armazenar com segurança segredos e cadeias de conexão para usar em seus fluxos de trabalho do Apache Airflow. Para isso, anexe a seguinte política de permissão ao perfil de execução do seu ambiente.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:012345678910:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

A integração com outros AWS serviços segue um padrão semelhante: você adiciona a política de permissão relevante à sua função de execução do Amazon MWAA, concedendo permissão ao Amazon MWAA para acessar o serviço. Para obter mais informações sobre como gerenciar o perfil de execução do Amazon MWAA e ver exemplos adicionais, visite Perfil de execução do Amazon MWAA no Guia do usuário do Amazon MWAA.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Arquitetura de rede

Como migrar para um novo ambiente do Amazon MWAA