重要注意事项：

在迁移到新的 Amazon MWAA 环境之前，请阅读以下主题。

身份验证

亚马逊 MWAA 使用 AWS Identity and Access Management (IAM) 来控制对 Apache Airflow 用户界面的访问。您必须创建和管理 IAM 策略，这些策略授予 Apache Airflow 用户访问 Web 服务器和管理 DAG 的权限。您可以跨不同账户使用 IAM 管理 Apache Airflow 默认角色的身份验证和授权。

通过创建自定义 Airflow 角色并将其映射到 IAM 主体，您可以进一步管理和限制 Apache Airflow 用户仅访问部分工作流程 DAG。有关更多信息和 step-by-step 教程，请参阅教程：限制 Amazon MWAA 用户访问一部分 DAG。

您也可以配置联合身份以访问 Amazon MWAA。有关更多信息，请参阅下列内容。

• 具有公共访问权限的 Amazon MWAA 环境 — 使用 Okta 作为身份提供商，在 AWS Compute Blog 上使用 Amazon MWAA。

• 具有私有访问权限的 Amazon MWAA 环境 — 使用联合身份访问私有 Amazon MWAA 环境。

执行角色

Amazon MWAA 使用执行角色向您的环境授予访问其他 AWS 服务的权限。您可以通过向角色添加相关权限来为工作流程提供 AWS 服务访问权限。如果您在首次创建环境时选择默认选项来创建新的执行角色，则 Amazon MWAA 会为该角色附加所需的最低权限，但 Amazon MWAA 会自动为其添加所有 CloudWatch 日志组的日志除外。

一旦创建了执行角色，Amazon MWAA 就无法代表您管理其权限策略。要更新执行角色，必须根据需要编辑策略以添加和删除权限。例如，您可以将 Amazon MWAA 环境 与 AWS Secrets Manager集成作为后端，以安全地存储密钥和连接字符串，以便在 Apache Airflow 工作流程中使用。为此，请将以下权限策略附加到环境的执行角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:012345678910:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

与其他 AWS 服务的集成遵循类似的模式：您将相关的权限策略添加到您的 Amazon MWAA 执行角色中，授予亚马逊 MWAA 访问该服务的权限。有关管理 Amazon MWAA 执行角色的更多信息以及要查看更多示例，请访问《Amazon MWAA 用户指南》中的 Amazon MWAA 执行角色。