Función vinculada al servicio para Amazon MWAA - Amazon Managed Workflows para Apache Airflow

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Función vinculada al servicio para Amazon MWAA

Amazon Managed Workflows para Apache Airflow utiliza AWS Identity and Access Management (IAM) roles vinculados a servicios. Un rol vinculado a un servicio es un tipo de IAM rol único que está vinculado directamente a Amazon. MWAA Amazon predefine las funciones vinculadas al servicio MWAA e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.

Un rol vinculado a un servicio facilita la configuración de Amazon MWAA porque no tienes que añadir manualmente los permisos necesarios. Amazon MWAA define los permisos de sus funciones vinculadas a servicios y, a menos que se defina lo contrario, solo Amazon MWAA puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra IAM entidad.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege tus MWAA recursos de Amazon porque no puedes eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte AWS Servicios con los que funcionan IAM y busque los servicios que tienen la palabra en la columna Funciones vinculadas a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a servicios para Amazon MWAA

Amazon MWAA usa el rol vinculado al servicio denominado AWSServiceRoleForAmazonMWAA — El rol vinculado al servicio creado en tu cuenta otorga a Amazon MWAA acceso a los siguientes servicios: AWS

  • Amazon CloudWatch Logs (CloudWatch Logs): para crear grupos de registros para los registros de Apache Airflow.

  • Amazon CloudWatch (CloudWatch): para publicar métricas relacionadas con su entorno y sus componentes subyacentes en su cuenta.

  • Amazon Elastic Compute Cloud (AmazonEC2): para crear los siguientes recursos:

    • Un VPC punto de conexión de Amazon en el suyo VPC para un clúster AWS de SQL base de datos Amazon Aurora Postgre gestionado para que lo utilicen Apache Airflow Scheduler y Worker.

    • Un VPC punto de conexión Amazon adicional para permitir el acceso de red al servidor web si elige la opción de red privada para su servidor web Apache Airflow.

    • Interfaces de red elásticas (ENIs) en Amazon VPC para permitir el acceso de red a AWS los recursos alojados en AmazonVPC.

La política de confianza siguiente permite que la entidad principal del servicio asuma el rol vinculado al servicio. El principio de servicio de Amazon MWAA es airflow.amazonaws.com el que demuestra la política.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "airflow.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

La política de permisos de roles denominada AmazonMWAAServiceRolePolicy permite MWAA a Amazon realizar las siguientes acciones en los recursos especificados:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:*:log-group:airflow-*:*" }, { "Effect": "Allow", "Action": [ "ec2:AttachNetworkInterface", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:DetachNetworkInterface" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "AmazonMWAAManaged" } } }, { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/AmazonMWAAManaged": false } } }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "AmazonMWAAManaged" } } }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/MWAA" ] } } } ] }

Debe configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. Para obtener más información, consulte los permisos de los roles vinculados a un servicio en la Guía del usuario. IAM

Crear un rol vinculado a un servicio para Amazon MWAA

No necesita crear manualmente un rol vinculado a servicios. Cuando creas un nuevo MWAA entorno de Amazon con el AWS Management Console, el o el AWS CLI AWS API, Amazon MWAA crea el rol vinculado al servicio por ti.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando creas otro entorno, Amazon vuelve a MWAA crear el rol vinculado al servicio para ti.

Edición de un rol vinculado a un servicio para Amazon MWAA

Amazon MWAA no te permite editar el rol AWSServiceRoleForAmazonMWAA vinculado al servicio. Después de crear un rol vinculado a un servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al mismo. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.

Eliminar un rol vinculado a un servicio para Amazon MWAA

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa.

Al eliminar un MWAA entorno de Amazon, Amazon MWAA elimina todos los recursos asociados que utiliza como parte del servicio. Sin embargo, debe esperar a que Amazon MWAA termine de eliminar su entorno antes de intentar eliminar el rol vinculado al servicio. Si eliminas el rol vinculado al servicio antes de que Amazon MWAA elimine el entorno, es MWAA posible que Amazon no pueda eliminar todos los recursos asociados al entorno.

Para eliminar manualmente el rol vinculado al servicio mediante IAM

Utilice la IAM consola AWS CLI, la o la AWS API para eliminar la función vinculada al AWSServiceRoleForAmazonMWAA servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM

Regiones compatibles con los roles vinculados a MWAA los servicios de Amazon

Amazon MWAA admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio esté disponible. Para más información, consulte Amazon Managed Workflows para Apache Airflow endpoints and quotas.

Actualizaciones de políticas

Cambio Descripción Fecha

Amazon MWAA actualiza su política de permisos de roles vinculados a servicios

AmazonMWAAServiceRolePolicy— Amazon MWAA actualiza la política de permisos de su función vinculada a servicios para conceder a Amazon MWAA permiso para publicar métricas adicionales relacionadas con los recursos subyacentes del servicio en las cuentas de los clientes. Puede consultar las nuevas métricas en AWS/MWAA.

18 de noviembre de 2022

Amazon MWAA comenzó a rastrear los cambios

Amazon MWAA comenzó a realizar un seguimiento de los cambios en su AWS política de permisos de roles vinculados a servicios gestionados.

18 de noviembre de 2022