Rôle lié à un service pour Amazon MWAA - Amazon Managed Workflows for Apache Airflow
Autorisations de rôle liées à un service pour Amazon MWAACréation d'un rôle lié à un service pour Amazon MWAAModification d'un rôle lié à un service pour Amazon MWAASupprimer un rôle lié à un service pour Amazon MWAARégions prises en charge pour les rôles liés aux services Amazon MWAAMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôle lié à un service pour Amazon MWAA

Amazon Managed Workflows pour Apache Airflow utilise des rôles liés à un service AWS Identity and Access Management (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à Amazon MWAA. Les rôles liés à un service sont prédéfinis par Amazon MWAA et incluent toutes les autorisations requises par le service pour appeler d'autres AWS services en votre nom.

Un rôle lié à un service facilite la configuration d'Amazon MWAA, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Amazon MWAA définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul Amazon MWAA peut assumer ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos ressources Amazon MWAA, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés aux services, consultez la section AWS Services qui fonctionnent avec IAM et recherchez les services dont la valeur est Oui dans la colonne Rôles liés aux services. Sélectionnez un Oui ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.

Autorisations de rôle liées à un service pour Amazon MWAA

Amazon MWAA utilise le rôle lié au service nommé AWSServiceRoleForAmazonMWAA — Le rôle lié au service créé dans votre compte permet à Amazon MWAA d'accéder aux services suivants : AWS

  • Amazon CloudWatch Logs (CloudWatch Logs) — Pour créer des groupes de journaux pour les journaux Apache Airflow.

  • Amazon CloudWatch (CloudWatch) — Pour publier des statistiques relatives à votre environnement et à ses composants sous-jacents sur votre compte.

  • Amazon Elastic Compute Cloud (Amazon EC2) — Pour créer les ressources suivantes :

    • Un point de terminaison Amazon VPC dans votre VPC pour un cluster de bases de données Amazon AWS Aurora PostgreSQL géré à utiliser par le planificateur et le programme de travail Apache Airflow.

    • Un point de terminaison Amazon VPC supplémentaire pour permettre l'accès réseau au serveur Web si vous choisissez l'option réseau privé pour votre serveur Web Apache Airflow.

    • Interfaces réseau élastiques (ENIs) dans votre Amazon VPC pour permettre l'accès réseau aux AWS ressources hébergées dans votre Amazon VPC.

La politique de confiance suivante permet au directeur du service d'assumer le rôle lié au service. Le principe du service pour Amazon MWAA est airflow.amazonaws.com tel que démontré par la politique. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "airflow.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

La politique d'autorisations de rôle nommée AmazonMWAAServiceRolePolicy permet à Amazon MWAA d'effectuer les actions suivantes sur les ressources spécifiées :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:airflow-*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachNetworkInterface",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcs",
                "ec2:DetachNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpoint",
                "ec2:DeleteVpcEndpoints"
            ],
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonMWAAManaged": false
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:ModifyVpcEndpoint"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:vpc/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:subnet/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateVpcEndpoint"
                },
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/MWAA"
                    ]
                }
            }
        }
    ]
}

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.

Création d'un rôle lié à un service pour Amazon MWAA

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un nouvel environnement Amazon MWAA à l'aide de, de AWS Management Console AWS CLI, ou de l' AWS API, Amazon MWAA crée le rôle lié au service pour vous.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un autre environnement, Amazon MWAA crée à nouveau le rôle lié au service pour vous.

Modification d'un rôle lié à un service pour Amazon MWAA

Amazon MWAA ne vous permet pas de modifier le rôle lié au service AWSService RoleForAmazon MWAA. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le IAM Guide de l’utilisateur.

Supprimer un rôle lié à un service pour Amazon MWAA

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement.

Lorsque vous supprimez un environnement Amazon MWAA, Amazon MWAA supprime toutes les ressources associées qu'il utilise dans le cadre du service. Toutefois, vous devez attendre qu'Amazon MWAA ait terminé de supprimer votre environnement avant de tenter de supprimer le rôle lié au service. Si vous supprimez le rôle lié au service avant qu'Amazon MWAA ne supprime l'environnement, Amazon MWAA risque de ne pas être en mesure de supprimer toutes les ressources associées à l'environnement.

Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM

Utilisez la console IAM AWS CLI, le ou l' AWS API pour supprimer le rôle lié au service AWSService RoleForAmazon MWAA. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Régions prises en charge pour les rôles liés aux services Amazon MWAA

Amazon MWAA prend en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez Amazon Managed Workflows pour les points de terminaison et les quotas Apache Airflow.

Mises à jour des politiques

Modification Description Date

Amazon MWAA met à jour sa politique d'autorisation des rôles liés à un service

AmazonMWAAServiceRolePolicy— Amazon MWAA met à jour la politique d'autorisation relative à son rôle lié à un service afin d'autoriser Amazon MWAA à publier des statistiques supplémentaires relatives aux ressources sous-jacentes du service sur les comptes clients. Ces nouvelles mesures sont publiées dans le AWS/MWAA

18 novembre 2022

Amazon MWAA a commencé à suivre les modifications

Amazon MWAA a commencé à suivre les modifications apportées à sa politique d'autorisation des rôles liés aux services AWS gérés.

18 novembre 2022