Roles vinculados a servicios para Amazon MWAA - Amazon Managed Workflows para Apache Airflow
Permisos de roles vinculados a un servicio para Amazon MWAACreación de roles vinculados a servicios para Amazon MWAAEdición roles vinculados a servicios para Amazon MWAAEliminación de roles vinculados a servicios para Amazon MWAARegiones admitidas para los roles vinculados al servicio de Amazon MWAAActualizaciones de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Roles vinculados a servicios para Amazon MWAA

Amazon Managed Workflows para Apache Airflow utiliza funciones vinculadas a servicios AWS Identity and Access Management (IAM). Los roles vinculados a servicios son un tipo único de rol de IAM vinculado directamente a Amazon MWAA. Amazon MWAA predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

Los roles vinculados a servicios simplifican la configuración de Amazon MWAA: ya no tendrá que agregar los permisos requeridos manualmente. Amazon MWAA define los permisos de sus roles vinculados al servicio y, a menos que esté definido de otra manera, solo Amazon MWAA puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Así se protegen los recursos de Amazon MWAA, ya que se evita que se puedan eliminar los permisos de acceso a los recursos accidentalmente.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte AWS Servicios que funcionan con IAM y busque los servicios con la palabra Sí en la columna Funciones vinculadas a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a un servicio para Amazon MWAA

Amazon MWAA usa el rol vinculado al servicio denominado AWSServiceRoleForAmazonMWAA — El rol vinculado al servicio creado en su cuenta otorga a Amazon MWAA acceso a los siguientes servicios: AWS

  • Amazon CloudWatch Logs (CloudWatch Logs): para crear grupos de registros para los registros de Apache Airflow.

  • Amazon CloudWatch (CloudWatch): para publicar métricas relacionadas con su entorno y sus componentes subyacentes en su cuenta.

  • Amazon Elastic Compute Cloud (Amazon EC2): para crear los siguientes recursos:

    • Un punto de enlace de Amazon VPC en su VPC para un clúster de base de datos Amazon AWS Aurora PostgreSQL administrado que utilizará Apache Airflow Scheduler y Worker.

    • Un punto de conexión de VPC de Amazon adicional para habilitar el acceso de red al servidor web, en caso de que elija la opción de red privada para el servidor web Apache Airflow.

    • Interfaces de red elásticas (ENIs) en su Amazon VPC para permitir el acceso de red a AWS los recursos alojados en su Amazon VPC.

La política de confianza siguiente permite que la entidad principal del servicio asuma el rol vinculado al servicio. La entidad principal del servicio de Amazon MWAA es airflow.amazonaws.com, tal y como se refleja en la política. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "airflow.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

La política de permisos de roles llamada “AmazonMWAAServiceRolePolicy” permite que Amazon MWAA complete las siguientes acciones en los recursos especificados:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:airflow-*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachNetworkInterface",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcs",
                "ec2:DetachNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpoint",
                "ec2:DeleteVpcEndpoints"
            ],
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonMWAAManaged": false
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:ModifyVpcEndpoint"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:vpc/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:subnet/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateVpcEndpoint"
                },
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/MWAA"
                    ]
                }
            }
        }
    ]
}

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de roles vinculados a servicios para Amazon MWAA

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un nuevo entorno de Amazon MWAA mediante la AWS Management Console, la o la AWS API AWS CLI, Amazon MWAA crea el rol vinculado al servicio por usted.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear otro entorno de desarrollo, Amazon MWAA environment vuelve a crear el rol vinculado a servicios en su nombre.

Edición roles vinculados a servicios para Amazon MWAA

Amazon MWAA no le permite editar el rol vinculado al servicio de AWSService RoleForAmazon MWAA. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de roles vinculados a servicios para Amazon MWAA

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa.

Al eliminar un entorno de Amazon MWAA, Amazon MWAA elimina todos los recursos asociados al mismo que se utilizan como parte del servicio. Sin embargo, debe esperar a que Amazon MWAA termine de eliminar su entorno antes de intentar eliminar el rol vinculado al servicio. Si elimina el rol vinculado al servicio antes de que Amazon MWAA haya eliminado el entorno, es posible que Amazon MWAA no pueda eliminar todos los recursos asociados al entorno.

Eliminación manual del rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la o la AWS API para eliminar la función AWS CLI vinculada al servicio de la MWAA. AWSService RoleForAmazon Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados al servicio de Amazon MWAA

Amazon MWAA permite usar roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para más información, consulte Amazon Managed Workflows para Apache Airflow endpoints and quotas.

Actualizaciones de políticas

Cambio Descripción Fecha

Amazon MWAA actualiza su política de permisos de roles vinculados al servicio

AmazonMWAAServiceRolePolicy: Amazon MWAA actualiza la política de permisos relativa a su rol vinculado al servicio para otorgar a Amazon MWAA permiso para publicar métricas adicionales relacionadas con los recursos subyacentes del servicio en las cuentas de los clientes. Puede consultar las nuevas métricas en AWS/MWAA.

18 de noviembre de 2022

Amazon MWAA comenzó a realizar el seguimiento de los cambios

Amazon MWAA comenzó a realizar un seguimiento de los cambios en su política de permisos de funciones vinculadas a servicios AWS gestionados.

18 de noviembre de 2022