Amazon MWAA 如何与 IAM 协同工作 - Amazon Managed Workflows for Apache Airflow
Amazon MWAA 基于身份的策略

Amazon MWAA 如何与 IAM 协同工作

Amazon MWAA 使用基于 IAM 身份的策略来授予对 Amazon MWAA 操作和资源的权限。有关您可用于控制对 Amazon MWAA 资源访问权限的自定义 IAM 策略 的推荐示例,请参阅 访问 Amazon MWAA 环境

要大致了解 Amazon MWAA 和其他 AWS 服务如何与 IAM 配合使用,请参阅《IAM 用户指南》中的与 IAM 配合使用的 AWS 服务

Amazon MWAA 基于身份的策略

通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Amazon MWAA 支持特定的操作、资源和条件键。

以下步骤展示了如何使用 IAM 控制台创建新的 JSON 策略。此策略提供对 Amazon MWAA 资源的只读访问权限。

使用 JSON 策略编辑器创建策略

  1. 登录AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在左侧的导航窗格中,选择策略

    如果这是您首次选择策略,则会显示欢迎访问托管式策略页面。选择开始使用

  3. 在页面的顶部,选择创建策略

  4. 策略编辑器部分,选择 JSON 选项。

  5. 输入以下 JSON 策略文档:

    {
        "Version": "2012-10-17",
        "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "airflow:ListEnvironments",
                "airflow:GetEnvironment",
                "airflow:ListTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}

  6. 选择下一步

    注意

    您可以随时在可视化JSON 编辑器选项卡之间切换。不过,如果您进行更改或在可视化编辑器中选择下一步,IAM 可能会调整策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅《IAM 用户指南》中的调整策略结构

  7. 查看并创建页面上,为您要创建的策略输入策略名称描述(可选)。查看此策略中定义的权限以查看策略授予的权限。

  8. 选择创建策略可保存新策略。

要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》中的 IAM JSON 策略元素参考

操作

管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。

JSON 策略的 Action 元素描述可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 AWS API 操作同名。有一些例外情况,例如没有匹配 API 操作的仅限权限 操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作

在策略中包含操作以授予执行关联操作的权限。

策略语句必须包含 ActionNotAction 元素。Action 元素列出了策略允许的操作。NotAction 元素列出了不允许的操作。

为 Amazon MWAA 定义的操作反映了您可以使用 Amazon MWAA 执行的任务。Amazon Detective 中的策略操作具有以下前缀:airflow:

您可以使用通配符(*)来指定多个操作。您可以授予对所有以单词(例如 environment)结尾的操作的访问权限,而不必单独列出这些操作。

要查看 Amazon MWAA 操作的列表,请参阅《IAM 用户指南》中的 Amazon MWAA 定义的操作