Amazon 的服务相关角色 MWAA - Amazon Managed Workflows for Apache Airflow
Amazon 的服务相关角色权限 MWAA为 Amazon 创建服务相关角色 MWAA编辑 Amazon 的服务相关角色 MWAA删除 Amazon 的服务相关角色 MWAAAmazon MWAA 服务相关角色支持的区域策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 的服务相关角色 MWAA

适用于 Apache Airflow 的亚马逊托管工作流程使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 Amazon MWAA 直接关联的独特IAM角色类型。服务相关角色由 Amazon MWAA 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色使设置 Amazon MWAA 变得更加容易,因为您不必手动添加必要的权限。亚马逊MWAA定义其服务相关角色的权限,除非另有定义,否则只有亚马逊MWAA可以担任其角色。定义的权限包括信任策略和权限策略,并且该权限策略不能附加到任何其他IAM实体。

只有在首先删除相关资源后,您才能删除服务相关角色。这样可以保护您的 Amazon MWAA 资源,因为您不会无意中删除访问这些资源的权限。

有关支持服务相关角色的其他服务的信息,请参阅与之配合使用的AWS 服务,IAM并在 “服务相关角色” 列中查找带有 “” 的服务。选择和链接,查看该服务的服务相关角色文档。

Amazon 的服务相关角色权限 MWAA

亚马逊MWAA使用名为的服务相关角色 AWSServiceRoleForAmazonMWAA ——在您的账户中创建的服务相关角色授予亚马逊MWAA访问以下 AWS 服务的权限:

  • Amazon CloudWatch 日CloudWatch 志(日志)-为 Apache Airflow 日志创建日志组。

  • Amazon CloudWatch (CloudWatch)-向您的账户发布与您的环境及其底层组件相关的指标。

  • 亚马逊弹性计算云 (AmazonEC2)-创建以下资源:

    • 你中的亚马逊VPC终端节点,VPC用于 AWS托管的 Amazon Aurora Postgre SQL 数据库集群,供Apache Airflow Scheduler和Worker使用。

    • 如果您为 Apache Airflow Web 服务器选择专用网络选项,则需要一个额外的亚马逊VPC终端节点,用于允许对 Web 服务器进行网络访问。

    • 您的 Amazon 中的@@ 弹性网络接口 (ENIs),VPC允许通过网络访问您的亚马逊托管的 AWS 资源VPC。

以下信任策略允许服务主体担任服务相关角色。Amazon MWAA 的服务原则airflow.amazonaws.com如政策所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "airflow.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

名为的角色权限策略AmazonMWAAServiceRolePolicy允许 Amazon MWAA 对指定资源完成以下操作:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:airflow-*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachNetworkInterface",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcs",
                "ec2:DetachNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpoint",
                "ec2:DeleteVpcEndpoints"
            ],
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonMWAAManaged": false
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:ModifyVpcEndpoint"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:vpc/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:subnet/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateVpcEndpoint"
                },
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/MWAA"
                    ]
                }
            }
        }
    ]
}

必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限

为 Amazon 创建服务相关角色 MWAA

您无需手动创建服务相关角色。当您使用、或创建新的亚马逊MWAA环境时 AWS Management Console AWS CLI AWS API,Amazon MWAA 会为您创建服务相关角色。

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建其他环境时,Amazon MWAA 会再次为您创建服务相关角色。

编辑 Amazon 的服务相关角色 MWAA

Amazon MWAA 不允许您编辑 AWSServiceRoleForAmazonMWAA 服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅《IAM用户指南》中的编辑服务相关角色

删除 Amazon 的服务相关角色 MWAA

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。

当您删除亚马逊MWAA环境时,Amazon MWAA 会删除其作为服务一部分使用的所有关联资源。但是,在尝试删除服务相关角色之前,您必须等待 Amazon MWAA 完成对您的环境的删除。如果您在 Amazon MWAA 删除环境之前删除服务相关角色,Amazon MWAA 可能无法删除该环境的所有关联资源。

使用手动删除服务相关角色 IAM

使用IAM控制台 AWS CLI、或删除 AWSServiceRoleForAmazonMWAA服务相关角色。 AWS API有关更多信息,请参阅《IAM用户指南》中的删除服务相关角色

Amazon MWAA 服务相关角色支持的区域

Amazon MWAA 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 Amazon MWAA 端点和配额

策略更新

更改 描述 日期

Amazon MWAA 更新了其服务相关角色权限政策

AmazonMWAAServiceRolePolicy— Amazon MWAA 更新了其服务相关角色的MWAA权限策略,以授予亚马逊向客户账户发布与服务底层资源相关的其他指标的权限。这些新指标发布在 AWS/MWAA 之下

2022 年 11 月 18 日

亚马逊MWAA开始追踪变更

Amazon MWAA 开始跟踪其 AWS 托管服务相关角色权限策略的更改。

2022 年 11 月 18 日