Roles vinculados a servicios para Amazon MWAA - Amazon Managed Workflows para Apache Airflow

Roles vinculados a servicios para Amazon MWAA

Amazon Managed Workflows para Apache Airflow utiliza los roles vinculados a servicios de AWS Identity and Access Management (IAM). Los roles vinculados a servicios son un tipo único de rol de IAM vinculado directamente a Amazon MWAA. Los roles vinculados a servicios están predefinidos por Amazon MWAA e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Los roles vinculados a servicios simplifican la configuración de Amazon MWAA: ya no tendrá que agregar los permisos requeridos manualmente. Amazon MWAA define los permisos de sus roles vinculados al servicio y, a menos que esté definido de otra manera, solo Amazon MWAA puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Así se protegen los recursos de Amazon MWAA, ya que se evita que se puedan eliminar los permisos de acceso a los recursos accidentalmente.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Roles vinculados a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a un servicio para Amazon MWAA

Amazon MWAA utiliza el rol vinculado al servicio denominado “AWSServiceRoleForAmazonMWAA”: este rol creado en su cuenta concede a Amazon MWAA acceso a los siguientes servicios de AWS:

  • Registros de Amazon CloudWatch (registros de CloudWatch): sirven para crear grupos de registro para los registros de Apache Airflow.

  • Amazon CloudWatch (CloudWatch): sirve para publicar métricas relacionadas con su entorno y los componentes subyacentes en su cuenta.

  • Amazon Elastic Compute Cloud (Amazon EC2): sirve para crear los siguientes recursos:

    • Un punto de conexión de VPC de Amazon en su VPC para un clúster de base de datos de Amazon Aurora PostgreSQL administrado por AWS que utilizarán el programador y el proceso de trabajo de Apache Airflow.

    • Un punto de conexión de VPC de Amazon adicional para habilitar el acceso de red al servidor web, en caso de que elija la opción de red privada para el servidor web Apache Airflow.

    • Interfaces de red elásticas (ENI) en su VPC de Amazon para habilitar el acceso de red a los recursos de AWS alojados en su VPC de Amazon.

La política de confianza siguiente permite que la entidad principal del servicio asuma el rol vinculado al servicio. La entidad principal del servicio de Amazon MWAA es airflow.amazonaws.com, tal y como se refleja en la política.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "airflow.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

La política de permisos de roles llamada “AmazonMWAAServiceRolePolicy” permite que Amazon MWAA complete las siguientes acciones en los recursos especificados:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:*:log-group:airflow-*:*" }, { "Effect": "Allow", "Action": [ "ec2:AttachNetworkInterface", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:DetachNetworkInterface" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "AmazonMWAAManaged" } } }, { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/AmazonMWAAManaged": false } } }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "AmazonMWAAManaged" } } }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/MWAA" ] } } } ] }

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de roles vinculados a servicios para Amazon MWAA

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un entorno de Amazon MWAA environment en la AWS Management Console, la AWS CLI, o la API de AWS, Amazon MWAA environment crea el rol vinculado a servicios en su nombre.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear otro entorno de desarrollo, Amazon MWAA environment vuelve a crear el rol vinculado a servicios en su nombre.

Edición roles vinculados a servicios para Amazon MWAA

Amazon MWAA no le permite editar roles vinculados al servicio AWSServiceRoleForAmazonMWAA. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de roles vinculados a servicios para Amazon MWAA

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa.

Al eliminar un entorno de Amazon MWAA, Amazon MWAA elimina todos los recursos asociados al mismo que se utilizan como parte del servicio. Sin embargo, debe esperar a que Amazon MWAA termine de eliminar su entorno antes de intentar eliminar el rol vinculado al servicio. Si elimina el rol vinculado al servicio antes de que Amazon MWAA haya eliminado el entorno, es posible que Amazon MWAA no pueda eliminar todos los recursos asociados al entorno.

Eliminación manual del rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForAmazonMWAA. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados al servicio de Amazon MWAA

Amazon MWAA permite usar roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para más información, consulte Amazon Managed Workflows para Apache Airflow endpoints and quotas.

Actualizaciones de políticas

Cambio Descripción Fecha

Amazon MWAA actualiza su política de permisos de roles vinculados al servicio

AmazonMWAAServiceRolePolicy: Amazon MWAA actualiza la política de permisos relativa a su rol vinculado al servicio para otorgar a Amazon MWAA permiso para publicar métricas adicionales relacionadas con los recursos subyacentes del servicio en las cuentas de los clientes. Puede consultar las nuevas métricas en AWS/MWAA.

18 de noviembre de 2022

Amazon MWAA comenzó a realizar el seguimiento de los cambios

Amazon MWAA comenzó a realizar un seguimiento de los cambios en la política de permisos de roles vinculados al servicio administrados por AWS.

18 de noviembre de 2022