As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Perfil vinculado a serviços para o Amazon MWAA
O Amazon Managed Workflows para Apache Airflow usa funções vinculadas a AWS Identity and Access Management serviços (IAM). Um perfil vinculado a serviços é um tipo exclusivo de perfil do IAM vinculado diretamente ao Amazon MWAA. As funções vinculadas ao serviço são predefinidas pelo Amazon MWAA e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Um perfil vinculado a serviços facilita a configuração do Amazon MWAA porque você não precisa adicionar as permissões necessárias manualmente. O Amazon MWAA define as permissões desses perfis vinculados ao serviço e, a menos que definido em contrário, somente o Amazon MWAA pode assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do Amazon MWAA, pois você não pode remover inadvertidamente as permissões para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados aos serviços, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Funções vinculadas aos serviços. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.
Permissões de perfil vinculado a serviços para o Amazon MWAA
O Amazon MWAA usa a função vinculada ao serviço chamada AWSServiceRoleForAmazonMWAA — A função vinculada ao serviço criada em sua conta concede ao Amazon MWAA acesso aos seguintes serviços: AWS
-
Amazon CloudWatch Logs (CloudWatch Logs) — Para criar grupos de registros para registros do Apache Airflow.
-
Amazon CloudWatch (CloudWatch) — Para publicar métricas relacionadas ao seu ambiente e seus componentes subjacentes em sua conta.
-
Amazon Elastic Compute Cloud (Amazon EC2): para criar os seguintes recursos:
-
Um endpoint Amazon VPC em sua VPC para um cluster de banco de dados Amazon Aurora AWS PostgreSQL gerenciado a ser usado pelo Apache Airflow Scheduler and Worker.
-
Um endpoint da VPC do Amazon adicional para permitir o acesso de rede ao servidor Web se você escolher a opção de rede privada para seu servidor Web do Apache Airflow.
-
Interfaces de rede elásticas (ENIs) em sua Amazon VPC para permitir o acesso AWS à rede a recursos hospedados em sua Amazon VPC.
-
A seguinte política de confiança permite à entidade principal de serviço para assumir o perfil vinculado a serviços. A entidade principal de serviço do Amazon MWAA é airflow.amazonaws.com, conforme demonstrado pela política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "airflow.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
A política de permissões do perfil denominada AmazonMWAAServiceRolePolicy permite que o Amazon MWAA conclua as seguintes ações nos recursos especificados:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:*:log-group:airflow-*:*" }, { "Effect": "Allow", "Action": [ "ec2:AttachNetworkInterface", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:DetachNetworkInterface" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "AmazonMWAAManaged" } } }, { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/AmazonMWAAManaged": false } } }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "AmazonMWAAManaged" } } }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/MWAA" ] } } } ] }
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para obter mais informações, consulte Permissões de perfil vinculado a serviços no Guia do usuário do IAM.
Como criar um perfil vinculado a serviços para Amazon MWAA
Não é necessário criar manualmente uma função vinculada a serviço. Quando você cria um novo ambiente do Amazon MWAA usando a AWS Management Console, a ou a AWS API AWS CLI, o Amazon MWAA cria a função vinculada ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, você poderá usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria outro ambiente, o Amazon MWAA cria novamente um perfil vinculado a serviços para você.
Como editar um perfil vinculado a serviços do Amazon MWAA
O Amazon MWAA não permite que você edite a função vinculada ao AWSServiceRoleForAmazonMWAA serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição da função usando o IAM. Para ter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.
Como apagar um perfil vinculado a serviços do Amazon MWAA
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida.
Quando você exclui um ambiente do Amazon MWAA, o Amazon MWAA exclui todos os recursos associados que usa como parte do serviço. No entanto, você deve esperar até que o Amazon MWAA conclua a exclusão de seu ambiente, antes de tentar excluir o perfil vinculado a serviços. Se você excluir o perfil vinculado a serviços antes que o Amazon MWAA exclua o ambiente, o Amazon MWAA talvez não consiga excluir todos os recursos associados ao ambiente.
Como excluir manualmente a função vinculada a serviço usando o IAM
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForAmazonMWAA vinculada ao serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
Regiões com suporte para os perfis vinculados a serviços do Amazon MWAA
O Amazon ECS é compatível com perfis vinculados a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Endpoints e cotas do Amazon Managed Workflows for Apache Airflow.
Atualizações da política
| Alteração | Descrição | Data |
|---|---|---|
|
O Amazon MWAA atualiza a própria política de permissão de perfil vinculado a serviços |
AmazonMWAAServiceRolePolicy: o Amazon MWAA atualiza a política de permissão de seu perfil vinculado a serviços para conceder permissão ao Amazon MWAA para publicar métricas adicionais relacionadas aos recursos subjacentes do serviço nas contas dos clientes. Essas novas métricas são publicadas sob a |
18 de novembro de 2022 |
|
O Amazon MWAA passou a monitorar as alterações |
A Amazon MWAA começou a monitorar as alterações em sua política de permissão de funções vinculadas a serviços AWS gerenciados. |
18 de novembro de 2022 |
