關鍵考量

移轉到新的 Amazon MWAA 環境之前，請先檢閱下列主題。

身分驗證

Amazon MWAA 使用 AWS Identity and Access Management (IAM) 來控制對 Apache 氣流使用者介面的存取。您必須建立和管理 IAM 政策，以授與 Apache Airflow 使用者存取網頁伺服器和管理 DAG 的權限。您可以使用 IAM 跨不同帳戶管理 Apache Airflow 預設角色的身份驗證和授權。

您可以建立自訂氣流角色並將其對應至 IAM 主體，進一步管理和限制 Apache Airflow 使用者僅存取工作流程 DAG 的子集。如需詳細資訊和 step-by-step 教學課程，請參閱教學課程：限制 Amazon MWAA 使用者對 DAG 子集的存取權。

您也可以設定聯合身分識別以存取 Amazon MWAA。如需詳細資訊，請參閱下列內容：

• 具有公開存取權的 Amazon MWAA 環境 — 透過運算部落格上的 Amazon MWAA 使用 Okta 做為身分提供者。AWS

• 具有私有存取權的 Amazon MWAA 環境 — 使用聯合身分存取私有 Amazon MWAA 環境。

執行角色

Amazon MWAA 使用的執行角色授與您的環境許可以存取其他 AWS 服務。您可以將相關權限新增至角色，為工作流程提供 AWS 服務存取權。如果您選擇在第一次建立環境時建立新的執行角色的預設選項，Amazon MWAA 會將所需的最低許可附加至角色，但 Amazon MWAA 自動新增所有 CloudWatch 日誌群組的日誌除外。

建立執行角色後，Amazon MWAA 就無法代表您管理其許可政策。若要更新執行角色，您必須編輯原則，視需要新增和移除權限。例如，您可以將 Amazon MWAA 環境與 AWS Secrets Manager做為後端整合，以安全地存放密碼和連接字串，以便在 Apache Airflow 工作流程中使用。若要這麼做，請將下列權限原則附加至您環境的執行角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:012345678910:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

與其他 AWS 服務整合遵循類似的模式：您可以將相關的許可政策新增至 Amazon MWAA 執行角色，並授予 Amazon MWAA 存取服務的權限。如需管理 Amazon MWAA 執行角色的詳細資訊，以及若要查看其他範例，請參閱 Amazon MWAA 使用者指南中的 Amazon MWAA 執行角色。