As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Práticas recomendadas de segurança para o Amazon MWAA
O Amazon MWAA fornece uma série de atributos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.
-
Use políticas de permissão com permissão mínima. Conceda permissões somente aos recursos ou ações de que os usuários precisam para realizar tarefas.
-
Use AWS CloudTrail para monitorar a atividade do usuário em sua conta.
-
Certifique-se de que a política e o objeto do bucket do Amazon S3 ACLs concedam permissões aos usuários do ambiente associado do Amazon MWAA para colocar objetos no bucket. Isso garante que os usuários com permissões para adicionar fluxos de trabalho ao bucket também tenham permissões para executar os fluxos de trabalho no Airflow.
-
Use os buckets do Amazon S3 associados aos ambientes do Amazon MWAA. Seu bucket do Amazon S3 pode ter qualquer nome. Não armazene outros objetos no bucket nem use o bucket com outro serviço.
Práticas recomendadas de segurança no Apache Airflow
O Apache Airflow não é multilocatário. Embora existam medidas de controle de acesso
Recomendamos as seguintes etapas ao trabalhar com o Apache Airflow no Amazon MWAA para garantir que o banco de dados de metadados do seu ambiente esteja seguro. DAGs
-
Use ambientes separados para equipes separadas com acesso de gravação do DAG ou a capacidade de adicionar arquivos à sua pasta
/dagsdo Amazon S3, supondo que qualquer coisa acessível pelo Perfil de execução do Amazon MWAA ou pelas conexões do Apache Airflowtambém esteja acessível aos usuários que possam gravar no ambiente. -
Não forneça acesso direto às DAGs pastas do Amazon S3. Em vez disso, use ferramentas de CI/CD DAGs para gravar no Amazon S3, com uma etapa de validação garantindo que o código do DAG atenda às diretrizes de segurança da sua equipe.
-
Impeça o acesso do usuário ao bucket do Amazon S3 do seu ambiente. Em vez disso, use uma fábrica de DAG que gera DAGs com base em um arquivo YAML, JSON ou outro arquivo de definição armazenado em um local separado do seu bucket Amazon MWAA Amazon S3 onde você armazena. DAGs
-
Segredos armazenados no Secrets Manager. Embora isso não impeça que os usuários que sabem escrever DAGs leiam segredos, isso impedirá que eles modifiquem os segredos que seu ambiente usa.
Como detectar alterações nos privilégios de usuário do Apache Airflow
Você pode usar o CloudWatch Logs Insights para detectar ocorrências de DAGs alteração dos privilégios de usuário do Apache Airflow. Para fazer isso, você pode usar uma regra EventBridge programada, uma função Lambda e o CloudWatch Logs Insights para enviar notificações às CloudWatch métricas sempre que um de seus privilégios de usuário do Apache Airflow DAGs mudar.
Pré-requisitos
Para concluir as etapas a seguir, é necessário:
-
Um ambiente do Amazon MWAA com todos os tipos de log do Apache Airflow habilitados no nível do log
INFO. Para obter mais informações, consulte Visualizando registros de fluxo de ar na Amazon CloudWatch.
Para configurar notificações para alterações nos privilégios de usuário do Apache Airflow
-
Crie uma função Lambda que execute a seguinte string de consulta do CloudWatch Logs Insights nos cinco grupos de log do ambiente Amazon MWAA (
DAGProcessing,,SchedulerTask,WebServere).Workerfields @log, @timestamp, @message | filter @message like "add-role" | stats count() by @log -
Crie uma EventBridge regra que seja executada em um cronograma, com a função Lambda que você criou na etapa anterior como destino da regra. Configure sua programação usando uma expressão cron ou rate para executar a intervalos regulares.
