As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Função vinculada ao serviço para a Amazon MWAA
O Amazon Managed Workflows para Apache Airflow usa AWS Identity and Access Management (IAM) funções vinculadas a serviços. Uma função vinculada a serviços é um tipo exclusivo de IAM função vinculada diretamente à Amazon. MWAA As funções vinculadas ao serviço são predefinidas pela Amazon MWAA e incluem todas as permissões que o serviço exige para ligar para outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração da Amazon MWAA porque você não precisa adicionar manualmente as permissões necessárias. A Amazon MWAA define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente a Amazon MWAA pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra IAM entidade.
Uma função vinculada ao serviço poderá ser excluída somente após excluir seus recursos relacionados. Isso protege seus MWAA recursos da Amazon porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte AWS Serviços que funcionam com IAM e procure os serviços que têm Sim na coluna Funções vinculadas ao serviço. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.
Permissões de função vinculadas ao serviço para a Amazon MWAA
A Amazon MWAA usa a função vinculada ao serviço chamada AWSServiceRoleForAmazonMWAA — A função vinculada ao serviço criada em sua conta concede à Amazon MWAA acesso aos seguintes serviços: AWS
-
Amazon CloudWatch Logs (CloudWatch Logs) — Para criar grupos de registros para registros do Apache Airflow.
-
Amazon CloudWatch (CloudWatch) — Para publicar métricas relacionadas ao seu ambiente e seus componentes subjacentes em sua conta.
-
Amazon Elastic Compute Cloud (AmazonEC2) — Para criar os seguintes recursos:
-
Um VPC endpoint da Amazon em seu VPC para um cluster de banco AWS de dados Amazon Aurora SQL Postgre gerenciado para ser usado pelo Apache Airflow Scheduler and Worker.
-
Um VPC endpoint adicional da Amazon para permitir o acesso de rede ao servidor Web se você escolher a opção de rede privada para seu servidor Web Apache Airflow.
-
Interfaces de rede elásticas (ENIs) na sua Amazon VPC para permitir o acesso à rede aos AWS recursos hospedados na sua AmazonVPC.
-
A seguinte política de confiança permite à entidade principal de serviço para assumir o perfil vinculado a serviços. O principal serviço da Amazon MWAA é airflow.amazonaws.com demonstrado pela política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "airflow.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
A política de permissões de função nomeada AmazonMWAAServiceRolePolicy permite que MWAA a Amazon conclua as seguintes ações nos recursos especificados:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:CreateLogGroup", "logs:DescribeLogGroups" ], "Resource": "arn:aws:logs:*:*:log-group:airflow-*:*" }, { "Effect": "Allow", "Action": [ "ec2:AttachNetworkInterface", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:DetachNetworkInterface" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "AmazonMWAAManaged" } } }, { "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/AmazonMWAAManaged": false } } }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "AmazonMWAAManaged" } } }, { "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/MWAA" ] } } } ] }
Você deve configurar permissões para permitir que uma IAM entidade (como usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de funções vinculadas ao serviço no Guia do IAMusuário.
Criação de uma função vinculada a serviços para a Amazon MWAA
Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria um novo MWAA ambiente da Amazon usando o AWS Management Console, o ou o AWS CLI AWS API, a Amazon MWAA cria a função vinculada ao serviço para você.
Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você cria outro ambiente, a Amazon MWAA cria a função vinculada ao serviço para você novamente.
Editando uma função vinculada ao serviço para a Amazon MWAA
MWAAA Amazon não permite que você edite a função AWSServiceRoleForAmazonMWAA vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, você pode editar a descrição da função usandoIAM. Para obter mais informações, consulte Edição de uma função vinculada ao serviço no Guia do IAMusuário.
Excluindo uma função vinculada ao serviço para a Amazon MWAA
Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida.
Quando você exclui um MWAA ambiente da Amazon, a Amazon MWAA exclui todos os recursos associados que usa como parte do serviço. No entanto, você deve esperar até que a Amazon MWAA conclua a exclusão do seu ambiente, antes de tentar excluir a função vinculada ao serviço. Se você excluir a função vinculada ao serviço antes que a Amazon MWAA exclua o ambiente, MWAA talvez a Amazon não consiga excluir todos os recursos associados ao ambiente.
Para excluir manualmente a função vinculada ao serviço usando IAM
Use o IAM console AWS CLI, o ou o AWS API para excluir a função AWSServiceRoleForAmazonMWAA vinculada ao serviço. Para obter mais informações, consulte Excluindo uma função vinculada ao serviço no Guia do IAM usuário.
Regiões suportadas para funções vinculadas a MWAA serviços da Amazon
A Amazon MWAA oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Endpoints e cotas do Amazon Managed Workflows for Apache Airflow.
Atualizações da política
| Alteração | Descrição | Data |
|---|---|---|
|
Amazon MWAA atualiza sua política de permissão de funções vinculadas a serviços |
AmazonMWAAServiceRolePolicy— A Amazon MWAA atualiza a política de permissão de sua função vinculada ao serviço para MWAA conceder permissão à Amazon para publicar métricas adicionais relacionadas aos recursos subjacentes do serviço nas contas dos clientes. Essas novas métricas são publicadas sob a |
18 de novembro de 2022 |
|
A Amazon MWAA começou a monitorar as mudanças |
A Amazon MWAA começou a monitorar as mudanças em sua política de permissão de funções vinculadas a serviços AWS gerenciados. |
18 de novembro de 2022 |
