本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊是如何MWAA与之合作的 IAM
亚马逊MWAA使用IAM基于身份的策略来授予对亚马逊MWAA操作和资源的权限。有关可用于控制对 Amazon MWAA 资源的访问的自定义IAM策略的推荐示例,请参阅访问亚马逊MWAA环境。
要全面了解亚马逊MWAA和其他 AWS 服务的使用方式IAM,请参阅IAM用户指南IAM中的与之配合使用的AWS 服务。
Amazon MWAA 基于身份的政策
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Amazon MWAA 支持特定的操作、资源和条件键。
以下步骤显示了如何使用IAM控制台创建新JSON策略。该政策提供对您的 Amazon MWAA 资源的只读访问权限。
使用JSON策略编辑器创建策略
登录 AWS Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择策略。
如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用。
-
在页面的顶部,选择 Create Policy(创建策略)。
-
在 “策略编辑器” 部分中,选择JSON选项。
-
输入以下JSON策略文档:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "airflow:ListEnvironments", "airflow:GetEnvironment", "airflow:ListTagsForResource" ], "Resource": "*" } ] }
-
选择下一步。
注意
您可以随时在 “可视化” 和 “JSON编辑器” 选项之间切换。但是,如果您进行更改或在可视化编辑器中选择 “下一步”,则IAM可能会重构您的策略以针对可视化编辑器对其进行优化。有关更多信息,请参阅《IAM用户指南》中的策略重组。
-
在查看并创建页面上,为您要创建的策略输入策略名称和描述(可选)。查看此策略中定义的权限以查看策略授予的权限。
-
选择创建策略可保存新策略。
要了解您在JSON策略中使用的所有元素,请参阅IAM用户指南中的IAMJSON策略元素参考。
操作
管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。
JSON策略Action
元素描述了可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 AWS API操作同名。也有一些例外,例如没有匹配API操作的仅限权限的操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作。
在策略中包含操作以授予执行关联操作的权限。
策略语句必须包含 Action
或 NotAction
元素。Action
元素列出了策略允许的操作。NotAction
元素列出了不允许的操作。
为亚马逊定义的操作MWAA反映了您可以使用亚马逊执行的任务MWAA。Amazon Detective 中的策略操作具有以下前缀:airflow:
。
您可以使用通配符(*)来指定多个操作。您可以授予对所有以单词(例如 environment
)结尾的操作的访问权限,而不必单独列出这些操作。
要查看亚马逊MWAA操作列表,请参阅IAM用户指南中的亚马逊托管工作流程为 Apache Airflow 定义的操作。