翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Managed Workflows for Apache Airflow は AWS Identity and Access Management 、(IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Amazon MWAA に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Amazon MWAA によって事前定義されており、ユーザーに代わってサービスが他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
必要な許可を手動で追加する必要がないため、サービスリンクロールは Amazon MWAA のセットアップを容易にします。サービスリンクロールの許可は Amazon MWAA が定義し、特に定義されない限り、Amazon MWAA のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これは、リソースにアクセスするための許可を不用意に削除できないため、Amazon MWAA リソースを保護できます。
サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「IAM と連携するサービス」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。
Amazon MWAA のサービスリンクロール許可
Amazon MWAA AWSServiceRoleForAmazonMWAA は、 という名前のサービスにリンクされたロールを使用します。 アカウントで作成されたサービスにリンクされたロールは、Amazon MWAA に次の AWS サービスへのアクセスを許可します。
-
Amazon CloudWatch Logs (CloudWatch Logs) — Apache Airflow ログのロググループを作成します。
-
Amazon CloudWatch (CloudWatch) — お使いの環境とその基盤となるコンポーネントに関連するメトリクスをお使いのアカウントに公開します。
-
Amazon Elastic Compute Cloud (Amazon EC2) — 以下のリソースを作成するには:
-
Apache Airflow スケジューラとワーカーが使用する AWSマネージド Amazon Aurora PostgreSQL データベースクラスターの VPC 内の Amazon VPC エンドポイント。
-
Apache Airflow Web server のプライベートネットワークオプションを選択した場合に、Web serverへのネットワークアクセスを有効にする追加の Amazon VPC エンドポイント。
-
Amazon VPC の Elastic Network Interface (ENIs) を使用して、Amazon VPC でホストされている AWS リソースへのネットワークアクセスを有効にします。
-
次の信頼ポリシーは、サービスプリンシパルがサービスにリンクされたロールを引き受けることを許可します。Amazon MWAA のサービスプリンシパルは、ポリシーに示されているとおり airflow.amazonaws.com です。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "airflow.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}AmazonMWAAServiceRolePolicy という名前のロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon MWAA に許可します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:CreateLogGroup",
"logs:DescribeLogGroups"
],
"Resource": "arn:aws:logs:*:*:log-group:airflow-*:*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AttachNetworkInterface",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcs",
"ec2:DetachNetworkInterface"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:TagKeys": "AmazonMWAAManaged"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifyVpcEndpoint",
"ec2:DeleteVpcEndpoints"
],
"Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
"Condition": {
"Null": {
"aws:ResourceTag/AmazonMWAAManaged": false
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:ModifyVpcEndpoint"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:security-group/*",
"arn:aws:ec2:*:*:subnet/*"
]
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateVpcEndpoint"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": "AmazonMWAAManaged"
}
}
},
{
"Effect": "Allow",
"Action": "cloudwatch:PutMetricData",
"Resource": "*",
"Condition": {
"StringEquals": {
"cloudwatch:namespace": [
"AWS/MWAA"
]
}
}
}
]
}サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールのアクセス権限」を参照してください。
Amazon MWAA のサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API を使用して新しい Amazon MWAA 環境を作成すると、Amazon MWAA によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。別の環境を作成すると、Amazon MWAA によって、サービスにリンクされたロールが再度作成されます。
Amazon MWAA のサービスリンクロールの編集
Amazon MWAA は、AWSServiceRoleForAmazonMWAA サービスリンクロールの編集を許可しません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
Amazon MWAA のサービスリンクロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。
Amazon MWAA 環境を削除すると、Amazon MWAA はサービスの一部として使用する関連リソースをすべて削除します。ただし、Amazon MWAA が環境の削除を完了するまで待ってから、サービスにリンクされたロールを削除する必要があります。Amazon MWAA が環境を削除する前にサービスにリンクされたロールを削除すると、Amazon MWAA は環境に関連するリソースをすべて削除できなくなる可能性があります。
サービスリンクロールを IAM で手動削除するには
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForAmazonMWAA サービスにリンクされたロールを削除します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。
Amazon MWAA サービスリンクロールがサポートされるリージョン
Amazon MWAA は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細は、Amazon Managed Workflows for Apache Airflow エンドポイントとクオータを参照してください。
ポリシーの更新
| 変更 | 説明 | 日付 |
|---|---|---|
|
Amazon MWAA は、サービスにリンクされたロールの権限ポリシーを更新 |
AmazonMWAAServiceRolePolicy — Amazon MWAA は、サービスにリンクされたロールのアクセス権限ポリシーを更新し、サービスの基盤となるリソースに関連する追加のメトリクスをカスタマーアカウントに公開する権限を Amazon MWAA に付与します。これらの新しいメトリクスは、 |
2022 年 11 月 18 日 |
|
Amazon MWAA が変更の追跡を開始しました。 |
Amazon MWAA は AWS 、マネージドサービスにリンクされたロールのアクセス許可ポリシーの変更の追跡を開始しました。 |
2022 年 11 月 18 日 |
