Como o Amazon MWAA funciona com o IAM
O Amazon MWAA usa políticas baseadas em identidade do IAM para conceder permissões às ações e recursos do Amazon MWAA. Para ver exemplos recomendados de políticas do IAM personalizadas que você pode usar para controlar o acesso aos seus recursos do Amazon MWAA, consulte Como acessar um ambiente do Amazon MWAA.
Para obter uma visualização de alto nível de como o Amazon MWAA e outros serviços AWS funcionam com o IAM, consulte AWS Serviços compatíveis com o IAM no Guia do usuário do IAM.
Políticas baseadas em identidade do Amazon MWAA
Com as políticas baseadas em identidade do IAM, é possível especificar ações ou recursos permitidos ou negados, bem como as condições sob as quais as ações são permitidas ou negadas. O Amazon MWAA é compatível com ações, chaves de condição e recursos específicos.
As etapas a seguir mostram como você pode criar uma nova política JSON usando o console do IAM. Essa política fornece acesso somente leitura aos recursos do seu Amazon MWAA.
Para usar o editor de políticas JSON para criar uma política
Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação à esquerda, escolha Policies (Políticas).
Se essa for a primeira vez que você escolhe Políticas, a página Bem-vindo às políticas gerenciadas será exibida. Escolha Começar.
-
Na parte superior da página, escolha Criar política.
-
Na seção Editor de políticas, escolha a opção JSON.
-
Insira o seguinte documento de política JSON:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "airflow:ListEnvironments", "airflow:GetEnvironment", "airflow:ListTagsForResource" ], "Resource": "*" } ] }
-
Escolha Próximo.
nota
É possível alternar entre as opções de editor Visual e JSON a qualquer momento. Porém, se você fizer alterações ou escolher Próximo no editor Visual, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte Restruturação de política no Guia do usuário do IAM.
-
Na página Revisar e criar, insira um Nome de política e uma Descrição (opcional) para a política que você está criando. Revise Permissões definidas nessa política para ver as permissões que são concedidas pela política.
-
Escolha Criar política para salvar sua nova política.
Para conhecer todos os elementos usados em uma política JSON, consulte Referência de elementos de política JSON do IAM no Guia do usuário do IAM.
Ações
Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a o quê. Ou seja, qual entidade principal pode executar ações em quais recursos, e em que condições.
O elemento Action
de uma política JSON descreve as ações que você pode usar para permitir ou negar acesso em uma política. As ações de políticas geralmente têm o mesmo nome que a operação de API da AWS associada. Existem algumas exceções, como ações somente de permissão, que não têm uma operação de API correspondente. Algumas operações também exigem várias ações em uma política. Essas ações adicionais são chamadas de ações dependentes.
Incluem ações em uma política para conceder permissões para executar a operação associada.
As instruções de política devem incluir um elemento Action
ou um elemento NotAction
. O elemento Action
lista as ações permitidas pela política. O elemento NotAction
lista as ações que não são permitidas.
As ações definidas para o Amazon MWAA refletem tarefas que você pode realizar usando o Amazon MWAA. As ações políticas em Detective têm o seguinte prefixo: airflow:
.
Você pode usar curingas (*) para especificar várias ações. Em vez de listar essas ações separadamente, você pode conceder acesso a todas as ações que terminam, por exemplo, com a palavra environment
.
Para ver uma lista das ações do Amazon MWAA, consulte Ações definidas pelo Amazon Managed Workflows for Apache Airflow no Guia do usuário IAM.