Funktionsweise Voller Konsolenzugriff API Vollzugriff Konsolenzugriff mit Schreibschutz Zugriff auf die Apache Airflow-Benutzeroberfläche Apache Airflow Rest-Zugriff API Zugriff auf Apache Airflow CLI Eine JSON Richtlinie erstellen Beispielanwendungsfall Als nächstes

Zugreifen auf eine MWAA Amazon-Umgebung

Um Amazon Managed Workflows für Apache Airflow verwenden zu können, müssen Sie ein Konto und IAM Entitäten mit den erforderlichen Berechtigungen verwenden. In diesem Thema werden die Zugriffsrichtlinien beschrieben, die Sie Ihrem Apache Airflow-Entwicklungsteam und Apache Airflow-Benutzern für Ihre Amazon Managed Workflows for Apache Airflow-Umgebung zuordnen können.

Wir empfehlen, temporäre Anmeldeinformationen zu verwenden und föderierte Identitäten mit Gruppen und Rollen zu konfigurieren, um auf Ihre MWAA Amazon-Ressourcen zuzugreifen. Es hat sich bewährt, Richtlinien nicht direkt an Ihre IAM Benutzer anzuhängen, und definieren Sie stattdessen Gruppen oder Rollen, um temporären Zugriff auf Ressourcen zu gewähren. AWS

Eine IAMRolle ist eine IAM Identität, die Sie in Ihrem Konto erstellen können und die über bestimmte Berechtigungen verfügt. Eine IAM Rolle ähnelt einem IAM Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, wofür die Identität zuständig ist und welche nicht AWS. Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung.

Um einer föderierten Identität Berechtigungen zuzuweisen, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Wird eine Verbundidentität authentifiziert, so wird die Identität der Rolle zugeordnet und erhält die von der Rolle definierten Berechtigungen. Informationen zu Rollen für den Verbund finden Sie im IAMBenutzerhandbuch unter Erstellen einer Rolle für einen externen Identitätsanbieter (Federation). Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Um zu kontrollieren, worauf Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in. IAM Informationen zu Berechtigungssätzen finden Sie unter Berechtigungssätze im AWS IAM Identity Center -Benutzerhandbuch.

Sie können eine IAM Rolle in Ihrem Konto verwenden, um einer anderen Person AWS-Konto Berechtigungen für den Zugriff auf die Ressourcen Ihres Kontos zu gewähren. Ein Beispiel finden Sie im IAMBenutzerhandbuch unter Tutorial: Zugriff AWS-Konten mithilfe von IAM Rollen delegieren.

Sections

Funktionsweise
Richtlinie für den vollständigen Konsolenzugriff: A mazonMWAAFull ConsoleAccess
Richtlinie für vollständigen Zugriff API und Konsolenzugriff: A mazonMWAAFull ApiAccess
Richtlinie für den Zugriff auf die Konsole mit Schreibschutz: A mazonMWAARead OnlyAccess
Zugriffsrichtlinie für die Apache Airflow-Benutzeroberfläche: A mazonMWAAWeb ServerAccess
Apache Airflow API Rest-Zugriffsrichtlinie: A mazonMWAARest APIAccess
Apache CLI Airflow-Richtlinie: A mazonMWAAAirflow CliAccess
Eine JSON Richtlinie erstellen
Beispiel für einen Anwendungsfall zum Anhängen von Richtlinien an eine Entwicklergruppe
Als nächstes

Funktionsweise

Die in einer MWAA Amazon-Umgebung verwendeten Ressourcen und Dienste sind nicht für alle AWS Identity and Access Management (IAM) Entitäten zugänglich. Sie müssen eine Richtlinie erstellen, die Apache Airflow-Benutzern den Zugriff auf diese Ressourcen gewährt. Beispielsweise müssen Sie Ihrem Apache Airflow-Entwicklungsteam Zugriff gewähren.

Amazon MWAA verwendet diese Richtlinien, um zu überprüfen, ob ein Benutzer über die erforderlichen Berechtigungen verfügt, um eine Aktion auf der AWS Konsole oder über die von einer Umgebung APIs verwendete auszuführen.

Sie können die JSON Richtlinien in diesem Thema verwenden, um eine Richtlinie für Ihre Apache Airflow-Benutzer in IAM zu erstellen und die Richtlinie dann an einen Benutzer, eine Gruppe oder eine Rolle in IAM anzuhängen.

A mazonMWAAFull ConsoleAccess — Verwenden Sie diese Richtlinie, um die Erlaubnis zur Konfiguration einer Umgebung auf der MWAA Amazon-Konsole zu erteilen.
A mazonMWAAFull ApiAccess — Verwenden Sie diese Richtlinie, um Zugriff auf alle Amazon-Ressourcen zu gewähren, die zur Verwaltung einer Umgebung MWAA APIs verwendet werden.
A mazonMWAARead OnlyAccess — Verwenden Sie diese Richtlinie, um Zugriff auf die von einer Umgebung verwendeten Ressourcen auf der MWAA Amazon-Konsole zu gewähren.
A mazonMWAAWeb ServerAccess — Verwenden Sie diese Richtlinie, um Zugriff auf den Apache Airflow-Webserver zu gewähren.
A mazonMWAAAirflow CliAccess — Verwenden Sie diese Richtlinie, um Zugriff auf die Ausführung von Apache CLI Airflow-Befehlen zu gewähren.

Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:

Benutzer und Gruppen in AWS IAM Identity Center:

Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter Erstellen eines Berechtigungssatzes im AWS IAM Identity Center -Benutzerhandbuch.
Benutzer, IAM die über einen Identitätsanbieter verwaltet werden:

Erstellen Sie eine Rolle für den Identitätsverbund. Folgen Sie den Anweisungen unter Erstellen einer Rolle für einen externen Identitätsanbieter (Verband) im IAMBenutzerhandbuch.
IAMBenutzer:
- Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Folgen Sie den Anweisungen unter Eine Rolle für einen IAM Benutzer erstellen im IAMBenutzerhandbuch.
- (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Folgen Sie den Anweisungen unter Hinzufügen von Berechtigungen für einen Benutzer (Konsole) im IAMBenutzerhandbuch.

Richtlinie für den vollständigen Konsolenzugriff: A mazonMWAAFull ConsoleAccess

Ein Benutzer benötigt möglicherweise Zugriff auf die AmazonMWAAFullConsoleAccess Berechtigungsrichtlinie, wenn er eine Umgebung auf der MWAA Amazon-Konsole konfigurieren muss.

Anmerkung

Ihre vollständige Zugriffsrichtlinie für die Konsole muss auch Berechtigungen für die Ausführung enthalteniam:PassRole. Auf diese Weise kann der Benutzer dienstbezogene Rollen und Ausführungsrollen an Amazon MWAA übergeben. Amazon MWAA übernimmt jede Rolle, um in Ihrem Namen andere AWS Dienste anzurufen. Im folgenden Beispiel wird der iam:PassedToService Bedingungsschlüssel verwendet, um den Amazon MWAA Service Principal (airflow.amazonaws.com) als den Service anzugeben, an den eine Rolle übergeben werden kann.

Weitere Informationen iam:PassRole dazu finden Sie im Benutzerhandbuch unter Einem Benutzer Berechtigungen zur Übergabe einer Rolle an einen AWS Service gewähren. IAM

Verwenden Sie die folgende Richtlinie, wenn Sie Ihre MWAA Amazon-Umgebungen mithilfe von AWS-eigener SchlüsselFor Encryption at Rest erstellen und verwalten möchten.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"airflow:*",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":"airflow.amazonaws.com"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:ListRoles"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreatePolicy"
         ],
         "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:policy/service-role/MWAA-Execution-Policy*"
      },
            {
         "Effect":"Allow",
         "Action":[
            "iam:AttachRolePolicy",
            "iam:CreateRole"
         ],
         "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:role/service-role/AmazonMWAA*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreateServiceLinkedRole"
         ],
         "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetBucketLocation",
            "s3:ListAllMyBuckets",
            "s3:ListBucket",
            "s3:ListBucketVersions"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutObject",
            "s3:GetEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:DescribeRouteTables"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:AuthorizeSecurityGroupIngress",
            "ec2:CreateSecurityGroup"
         ],
         "Resource":"arn:aws:ec2:*:*:security-group/airflow-security-group-*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:ListAliases"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:CreateVpcEndpoint",
         "Resource":[
            "arn:aws:ec2:*:*:vpc-endpoint/*",
            "arn:aws:ec2:*:*:vpc/*",
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:security-group/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface"
         ],
         "Resource":[
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:network-interface/*"
         ]
      }
   ]
}

Verwenden Sie die folgende Richtlinie, wenn Sie Ihre MWAA Amazon-Umgebungen mit einem vom Kunden verwalteten Schlüssel für die Verschlüsselung im Ruhezustand erstellen und verwalten möchten. Um einen vom Kunden verwalteten Schlüssel verwenden zu können, muss der IAM Principal berechtigt sein, mithilfe des in Ihrem Konto gespeicherten Schlüssels auf AWS KMS Ressourcen zuzugreifen.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"airflow:*",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":"airflow.amazonaws.com"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:ListRoles"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreatePolicy"
         ],
         "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:policy/service-role/MWAA-Execution-Policy*"
      },
            {
         "Effect":"Allow",
         "Action":[
            "iam:AttachRolePolicy",
            "iam:CreateRole"
         ],
         "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:role/service-role/AmazonMWAA*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreateServiceLinkedRole"
         ],
         "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetBucketLocation",
            "s3:ListAllMyBuckets",
            "s3:ListBucket",
            "s3:ListBucketVersions"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutObject",
            "s3:GetEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:DescribeRouteTables"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:AuthorizeSecurityGroupIngress",
            "ec2:CreateSecurityGroup"
         ],
         "Resource":"arn:aws:ec2:*:*:security-group/airflow-security-group-*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:ListAliases"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:DescribeKey",
            "kms:ListGrants",
            "kms:CreateGrant",
            "kms:RevokeGrant",
            "kms:Decrypt",
            "kms:Encrypt",
            "kms:GenerateDataKey*",
            "kms:ReEncrypt*"
         ],
         "Resource":"arn:aws:kms:*:YOUR_ACCOUNT_ID:key/YOUR_KMS_ID"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:CreateVpcEndpoint",
         "Resource":[
            "arn:aws:ec2:*:*:vpc-endpoint/*",
            "arn:aws:ec2:*:*:vpc/*",
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:security-group/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface"
         ],
         "Resource":[
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:network-interface/*"
         ]
      }
   ]
}

Richtlinie für vollständigen Zugriff API und Konsolenzugriff: A mazonMWAAFull ApiAccess

Ein Benutzer benötigt möglicherweise Zugriff auf die AmazonMWAAFullApiAccess Berechtigungsrichtlinie, wenn er Zugriff auf alle Daten benötigt, die Amazon zur Verwaltung einer Umgebung MWAA APIs verwendet. Es werden keine Berechtigungen für den Zugriff auf die Apache Airflow-Benutzeroberfläche gewährt.

Anmerkung

Eine Richtlinie für vollen API Zugriff muss auch Berechtigungen für die Ausführung iam:PassRole enthalten. Auf diese Weise kann der Benutzer dienstbezogene Rollen und Ausführungsrollen an Amazon MWAA übergeben. Amazon MWAA übernimmt jede Rolle, um in Ihrem Namen andere AWS Dienste anzurufen. Im folgenden Beispiel wird der iam:PassedToService Bedingungsschlüssel verwendet, um den Amazon MWAA Service Principal (airflow.amazonaws.com) als den Service anzugeben, an den eine Rolle übergeben werden kann.

Weitere Informationen iam:PassRole dazu finden Sie im Benutzerhandbuch unter Einem Benutzer Berechtigungen zur Übergabe einer Rolle an einen AWS Service gewähren. IAM

Verwenden Sie die folgende Richtlinie, wenn Sie Ihre MWAA Amazon-Umgebungen mithilfe von AWS-eigener Schlüssel For Encryption at Rest erstellen und verwalten möchten.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"airflow:*",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":"airflow.amazonaws.com"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreateServiceLinkedRole"
         ],
         "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:DescribeRouteTables"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:CreateVpcEndpoint",
         "Resource":[
            "arn:aws:ec2:*:*:vpc-endpoint/*",
            "arn:aws:ec2:*:*:vpc/*",
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:security-group/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface"
         ],
         "Resource":[
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:network-interface/*"
         ]
      }
   ]
}


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"airflow:*",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":"airflow.amazonaws.com"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreateServiceLinkedRole"
         ],
         "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:DescribeRouteTables"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:DescribeKey",
            "kms:ListGrants",
            "kms:CreateGrant",
            "kms:RevokeGrant",
            "kms:Decrypt",
            "kms:Encrypt",
            "kms:GenerateDataKey*",
            "kms:ReEncrypt*"
         ],
         "Resource":"arn:aws:kms:*:YOUR_ACCOUNT_ID:key/YOUR_KMS_ID"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:CreateVpcEndpoint",
         "Resource":[
            "arn:aws:ec2:*:*:vpc-endpoint/*",
            "arn:aws:ec2:*:*:vpc/*",
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:security-group/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface"
         ],
         "Resource":[
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:network-interface/*"
         ]
      }
   ]
}

Richtlinie für den Zugriff auf die Konsole mit Schreibschutz: A mazonMWAARead OnlyAccess

Ein Benutzer benötigt möglicherweise Zugriff auf die AmazonMWAAReadOnlyAccess Berechtigungsrichtlinie, wenn er die von einer Umgebung verwendeten Ressourcen auf der Detailseite der MWAA Amazon-Konsolenumgebung einsehen möchte. Es erlaubt einem Benutzer nicht, neue Umgebungen zu erstellen, bestehende Umgebungen zu bearbeiten oder die Benutzeroberfläche von Apache Airflow aufzurufen.


{
        "Version": "2012-10-17",
        "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "airflow:ListEnvironments",
                "airflow:GetEnvironment",
                "airflow:ListTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}

Zugriffsrichtlinie für die Apache Airflow-Benutzeroberfläche: A mazonMWAAWeb ServerAccess

Ein Benutzer benötigt möglicherweise Zugriff auf die AmazonMWAAWebServerAccess Berechtigungsrichtlinie, wenn er auf die Apache Airflow-Benutzeroberfläche zugreifen muss. Es erlaubt dem Benutzer nicht, Umgebungen auf der MWAA Amazon-Konsole anzusehen oder Amazon MWAA APIs zu verwenden, um Aktionen auszuführen. Geben Sie die Rolle AdminOp,User, Viewer oder die Public Rolle an, {airflow-role} um die Zugriffsebene für den Benutzer des Web-Tokens anzupassen. Weitere Informationen finden Sie unter Standardrollen im Apache Airflow-Referenzhandbuch.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "airflow:CreateWebLoginToken",
            "Resource": [
                "arn:aws:airflow:{your-region}:YOUR_ACCOUNT_ID:role/{your-environment-name}/{airflow-role}"
            ]
        }
    ]
}

Anmerkung

Amazon MWAA bietet IAM Integration mit den fünf standardmäßigen rollenbasierten Zugriffskontrollrollen () RBAC von Apache Airflow. Weitere Informationen zur Arbeit mit benutzerdefinierten Apache Airflow-Rollen finden Sie unter. Tutorial: Beschränken des Zugriffs eines Amazon MWAA-Benutzers auf eine Teilmenge von DAGs
Das Resource Feld in dieser Richtlinie könnte verwendet werden, um die rollenbasierten Zugriffskontrollrollen von Apache Airflow für die Amazon-Umgebung anzugeben. MWAA Es unterstützt jedoch nicht die MWAA Amazon-Umgebung ARN (Amazon Resource Name) im Resource Bereich der Richtlinie.

Apache Airflow API Rest-Zugriffsrichtlinie: A mazonMWAARest APIAccess

Um auf den Apache Airflow zugreifen zu können RESTAPI, müssen Sie die airflow:InvokeRestApi Erlaubnis in Ihrer IAM Richtlinie erteilen. Geben Sie im folgenden Richtlinienbeispiel die RolleAdmin, OpUser, Viewer oder die Public Rolle an, {airflow-role} um die Benutzerzugriffsebene anzupassen. Weitere Informationen finden Sie im Apache Airflow-Referenzhandbuch unter Standardrollen.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowMwaaRestApiAccess",
      "Effect": "Allow",
      "Action": "airflow:InvokeRestApi",
      "Resource": [
        "arn:aws:airflow:{your-region}:YOUR_ACCOUNT_ID:role/{your-environment-name}/{airflow-role}"
      ]
    }
  ]
}

Anmerkung

Bei der Konfiguration eines privaten Webservers kann die InvokeRestApi Aktion nicht von außerhalb einer Virtual Private Cloud () VPC aufgerufen werden. Sie können den aws:SourceVpc Schlüssel verwenden, um eine detailliertere Zugriffskontrolle für diesen Vorgang anzuwenden. Weitere Informationen finden Sie unter aws: SourceVpc
Das Resource Feld in dieser Richtlinie könnte verwendet werden, um die rollenbasierten Zugriffskontrollrollen von Apache Airflow für die Amazon-Umgebung anzugeben. MWAA Es unterstützt jedoch nicht die MWAA Amazon-Umgebung ARN (Amazon Resource Name) im Resource Bereich der Richtlinie.

Apache CLI Airflow-Richtlinie: A mazonMWAAAirflow CliAccess

Ein Benutzer benötigt möglicherweise Zugriff auf die AmazonMWAAAirflowCliAccess Berechtigungsrichtlinie, wenn er Apache CLI Airflow-Befehle (z. B.trigger_dag) ausführen muss. Es erlaubt dem Benutzer nicht, Umgebungen auf der MWAA Amazon-Konsole anzusehen oder Amazon MWAA APIs zu verwenden, um Aktionen auszuführen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "airflow:CreateCliToken"
            ],
            "Resource": "arn:aws:airflow:${Region}:${Account}:environment/${EnvironmentName}"
        }
    ]
}

Eine JSON Richtlinie erstellen

Sie können die JSON Richtlinie erstellen und die Richtlinie Ihrem Benutzer, Ihrer Rolle oder Ihrer Gruppe auf der IAM Konsole zuordnen. In den folgenden Schritten wird beschrieben, wie Sie eine JSON Richtlinie in erstellenIAM.

So erstellen Sie die JSON-Richtlinie

Öffnen Sie die Seite Richtlinien auf der IAM Konsole.
Wählen Sie Create Policy (Richtlinie erstellen) aus.
Wählen Sie die Registerkarte JSON aus.
Fügen Sie Ihre JSON Richtlinie hinzu.
Wählen Sie Richtlinie prüfen.
Geben Sie einen Wert in das Textfeld für Name und Beschreibung ein (optional).

Sie könnten der Richtlinie beispielsweise einen Namen gebenAmazonMWAAReadOnlyAccess.
Wählen Sie Create Policy (Richtlinie erstellen) aus.

Beispiel für einen Anwendungsfall zum Anhängen von Richtlinien an eine Entwicklergruppe

Nehmen wir an, Sie verwenden eine Gruppe in IAM namedAirflowDevelopmentGroup, um allen Entwicklern in Ihrem Apache Airflow-Entwicklungsteam Berechtigungen zuzuweisen. Diese Benutzer benötigen Zugriff auf die AmazonMWAAFullConsoleAccess AmazonMWAAAirflowCliAccess ,- und AmazonMWAAWebServerAccess Berechtigungsrichtlinien. In diesem Abschnitt wird beschrieben, wie Sie eine Gruppe in erstellenIAM, diese Richtlinien erstellen und anhängen und die Gruppe einem IAM Benutzer zuordnen. Bei den Schritten wird davon ausgegangen, dass Sie einen AWS eigenen Schlüssel verwenden.

Um die mazonMWAAFull ConsoleAccess A-Richtlinie zu erstellen

Laden Sie die mazonMWAAFullConsoleAccess A-Zugriffsrichtlinie herunter.
Öffnen Sie die Seite Richtlinien auf der IAM Konsole.
Wählen Sie Create Policy (Richtlinie erstellen) aus.
Wählen Sie die Registerkarte JSON aus.
Fügen Sie die JSON Richtlinie für einAmazonMWAAFullConsoleAccess.
Ersetzen Sie die folgenden Werte:
1. {your-account-id}— Ihre AWS Konto-ID (z. B.0123456789)
2. {your-kms-id}— Die eindeutige Kennung für einen vom Kunden verwalteten Schlüssel. Gilt nur, wenn Sie einen vom Kunden verwalteten Schlüssel für die Verschlüsselung im Ruhezustand verwenden.
Wählen Sie die Überprüfungsrichtlinie aus.
Geben Sie AmazonMWAAFullConsoleAccess Name ein.
Wählen Sie Create Policy (Richtlinie erstellen) aus.

Um die mazonMWAAWeb ServerAccess A-Richtlinie zu erstellen

Laden Sie die mazonMWAAWebServerAccess A-Zugriffsrichtlinie herunter.
Öffnen Sie die Seite Richtlinien auf der IAM Konsole.
Wählen Sie Create Policy (Richtlinie erstellen) aus.
Wählen Sie die Registerkarte JSON aus.
Fügen Sie die JSON Richtlinie für einAmazonMWAAWebServerAccess.
Ersetzen Sie die folgenden Werte:
1. {your-region}— die Region Ihrer MWAA Amazon-Umgebung (z. B.us-east-1)
2. {your-account-id}— Ihre AWS Konto-ID (z. B.0123456789)
3. {your-environment-name}— der Name Ihrer MWAA Amazon-Umgebung (z. B.MyAirflowEnvironment)
4. {airflow-role}— die Admin Apache Airflow-Standardrolle
Wählen Sie Richtlinie prüfen.
Geben Sie AmazonMWAAWebServerAccess Name ein.
Wählen Sie Create Policy (Richtlinie erstellen) aus.

Um die mazonMWAAAirflow CliAccess A-Richtlinie zu erstellen

Laden Sie die mazonMWAAAirflowCliAccess A-Zugriffsrichtlinie herunter.
Öffnen Sie die Seite Richtlinien auf der IAM Konsole.
Wählen Sie Create Policy (Richtlinie erstellen) aus.
Wählen Sie die Registerkarte JSON aus.
Fügen Sie die JSON Richtlinie für einAmazonMWAAAirflowCliAccess.
Wählen Sie die Überprüfungsrichtlinie aus.
Geben Sie AmazonMWAAAirflowCliAccess Name ein.
Wählen Sie Create Policy (Richtlinie erstellen) aus.

Um die Gruppe zu erstellen

Öffnen Sie die Seite Gruppen auf der IAM Konsole.
Geben Sie einen Namen von einAirflowDevelopmentGroup.
Wählen Sie Next Step (Weiter) aus.
Geben Sie Filter AmazonMWAA ein, um die Ergebnisse zu filtern.
Wählen Sie die drei Richtlinien aus, die Sie erstellt haben.
Wählen Sie Next Step (Weiter) aus.
Wählen Sie Create Group.

Um sie einem Benutzer zuzuordnen

Öffnen Sie die Seite Benutzer auf der IAM Konsole.
Wählen Sie einen Benutzer aus.
Klicken Sie auf Groups (Gruppen).
Wählen Sie Benutzer zu Gruppen hinzufügen aus.
Wählen Sie das AirflowDevelopmentGroup aus.
Wählen Sie dann Add to Groups (Zu Gruppen hinzufügen) aus.

Als nächstes

Erfahren Sie unter, wie Sie ein Token für den Zugriff auf die Apache Airflow-Benutzeroberfläche generieren. Zugreifen auf Apache Airflow
Weitere Informationen zum Erstellen von IAM Richtlinien finden Sie unter IAMRichtlinien erstellen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Zugriffsverwaltung

Servicegebundene Rolle