亚马逊是如何MWAA与之合作的 IAM - Amazon Managed Workflows for Apache Airflow

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊是如何MWAA与之合作的 IAM

亚马逊MWAA使用IAM基于身份的策略来授予对亚马逊MWAA操作和资源的权限。有关可用于控制对 Amazon MWAA 资源的访问的自定义IAM策略的推荐示例,请参阅访问亚马逊MWAA环境

要全面了解亚马逊MWAA和其他 AWS 服务的使用方式IAM,请参阅IAM用户指南IAM中的与之配合使用的AWS 服务

Amazon MWAA 基于身份的政策

通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Amazon MWAA 支持特定的操作、资源和条件键。

以下步骤显示了如何使用IAM控制台创建新JSON策略。该政策提供对您的 Amazon MWAA 资源的只读访问权限。

使用JSON策略编辑器创建策略
  1. 登录 AWS Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/

  2. 在左侧的导航窗格中,选择策略

    如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用

  3. 在页面的顶部,选择 Create Policy(创建策略)

  4. 在 “策略编辑器” 部分中,选择JSON选项。

  5. 输入以下JSON策略文档:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "airflow:ListEnvironments", "airflow:GetEnvironment", "airflow:ListTagsForResource" ], "Resource": "*" } ] }
  6. 选择下一步

    注意

    您可以随时在 “可视化” 和 “JSON编辑器” 选项之间切换。但是,如果您进行更改或在可视化编辑器中选择 “下一步”,则IAM可能会重构您的策略以针对可视化编辑器对其进行优化。有关更多信息,请参阅《IAM用户指南》中的策略重组

  7. 查看并创建页面上,为您要创建的策略输入策略名称描述(可选)。查看此策略中定义的权限以查看策略授予的权限。

  8. 选择创建策略可保存新策略。

要了解您在JSON策略中使用的所有元素,请参阅IAM用户指南中的IAMJSON策略元素参考

操作

管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。

JSON策略Action元素描述了可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 AWS API操作同名。也有一些例外,例如没有匹配API操作的仅限权限的操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作

在策略中包含操作以授予执行关联操作的权限。

策略语句必须包含 ActionNotAction 元素。Action 元素列出了策略允许的操作。NotAction 元素列出了不允许的操作。

为亚马逊定义的操作MWAA反映了您可以使用亚马逊执行的任务MWAA。Amazon Detective 中的策略操作具有以下前缀:airflow:

您可以使用通配符(*)来指定多个操作。您可以授予对所有以单词(例如 environment)结尾的操作的访问权限,而不必单独列出这些操作。

要查看亚马逊MWAA操作列表,请参阅IAM用户指南中的亚马逊托管工作流程为 Apache Airflow 定义的操作