Tutorial: Beschränken des Zugriffs eines Amazon MWAA-Benutzers auf eine Teilmenge von DAGs - Amazon Managed Workflows für Apache Airflow
VoraussetzungenSchritt eins: Gewähren Sie dem Amazon MWAA-Webserver Zugriff auf Ihren IAM-Principal mit der Public Standardrolle Apache Airflow.Schritt zwei: Erstellen Sie eine neue benutzerdefinierte Apache Airflow Airflow-RolleSchritt drei: Weisen Sie Ihrem Amazon MWAA-Benutzer die von Ihnen erstellte Rolle zuNächste SchritteZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Tutorial: Beschränken des Zugriffs eines Amazon MWAA-Benutzers auf eine Teilmenge von DAGs

Amazon MWAA verwaltet den Zugriff auf Ihre Umgebung, indem es Ihre IAM-Prinzipale einer oder mehreren Standardrollen von Apache Airflow zuordnet. Verwenden Sie das folgende Tutorial, um einzelne Amazon MWAA-Benutzer darauf zu beschränken, nur auf eine bestimmte DAG oder eine Gruppe von DAG zuzugreifen und mit ihnen zu interagieren. DAGs

Anmerkung

Die Schritte in diesem Tutorial können mithilfe des Verbundzugriffs ausgeführt werden, sofern die IAM-Rollen übernommen werden können.

Voraussetzungen

Um die Schritte in diesem Tutorial abzuschließen, benötigen Sie Folgendes:

Schritt eins: Gewähren Sie dem Amazon MWAA-Webserver Zugriff auf Ihren IAM-Principal mit der Public Standardrolle Apache Airflow.

Um die Erlaubnis zu erteilen, verwenden Sie AWS Management Console

  1. Melden Sie sich AWS-Konto mit einer Admin Rolle bei Ihrem an und öffnen Sie die IAM-Konsole.

  2. Wählen Sie im linken Navigationsbereich Benutzer und dann Ihren Amazon MWAA IAM-Benutzer aus der Benutzertabelle aus.

  3. Wählen Sie auf der Seite mit den Benutzerdetails unter Zusammenfassung den Tab Berechtigungen und dann Berechtigungsrichtlinien aus, um die Karte zu erweitern, und klicken Sie dann auf Berechtigungen hinzufügen.

  4. Wählen Sie im Abschnitt Berechtigungen gewähren die Option Bestehende Richtlinien direkt anhängen aus und wählen Sie dann Richtlinie erstellen aus, um Ihre eigene benutzerdefinierte Berechtigungsrichtlinie zu erstellen und anzuhängen.

  5. Wählen Sie auf der Seite Richtlinie erstellen die Option JSON aus und kopieren Sie dann die folgende JSON-Berechtigungsrichtlinie und fügen Sie sie in den Richtlinieneditor ein. Diese Richtlinie gewährt dem Benutzer mit der Standardrolle Public Apache Airflow Webserverzugriff.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "airflow:CreateWebLoginToken",
            "Resource": [
            "arn:aws:airflow:us-east-1:111122223333:role/YOUR_ENVIRONMENT_NAME/Public"
            ]
        }
    ]
}

Schritt zwei: Erstellen Sie eine neue benutzerdefinierte Apache Airflow Airflow-Rolle

So erstellen Sie eine neue Rolle mit der Apache Airflow Airflow-Benutzeroberfläche

  1. Öffnen Sie mit Ihrer Administrator-IAM-Rolle die Amazon MWAA-Konsole und starten Sie die Apache Airflow Airflow-Benutzeroberfläche Ihrer Umgebung.

  2. Bewegen Sie im Navigationsbereich oben den Mauszeiger auf Sicherheit, um die Dropdownliste zu öffnen, und wählen Sie dann Rollen auflisten, um auf die Standardrollen von Apache Airflow zuzugreifen.

  3. Wählen Sie in der Rollenliste Benutzer und dann am Anfang der Seite Aktionen aus, um das Drop-down-Menü zu öffnen. Wählen Sie „Rolle kopieren“ und bestätigen Sie „OK“

    Anmerkung

    Kopieren Sie die Rollen Ops oder Viewer, um mehr bzw. weniger Zugriff zu gewähren.

  4. Suchen Sie in der Tabelle nach der neuen Rolle, die Sie erstellt haben, und wählen Sie Datensatz bearbeiten aus.

  5. Gehen Sie auf der Seite „Rolle bearbeiten“ wie folgt vor:

    • Geben Sie unter Name einen neuen Namen für die Rolle in das Textfeld ein. Beispiel, Restricted.

    • Entfernen Sie für die Liste der Berechtigungen die Lese can read on DAGs - und Schreibberechtigungen für die Gruppe von Berechtigungencan edit on DAGs, für die DAGs Sie Zugriff gewähren möchten, und fügen Sie sie anschließend hinzu. Fügen Sie beispielsweise für eine DAG can read on DAG:example_dag und hinzucan edit on DAG:example_dag. example_dag.py

    Wählen Sie Speichern. Jetzt haben Sie eine neue Rolle, die den Zugriff auf eine Teilmenge der in Ihrer Amazon MWAA-Umgebung DAGs verfügbaren Funktionen beschränkt. Sie können diese Rolle allen vorhandenen Apache Airflow Airflow-Benutzern zuweisen.

Schritt drei: Weisen Sie Ihrem Amazon MWAA-Benutzer die von Ihnen erstellte Rolle zu

Um die neue Rolle zuzuweisen

  1. Führen Sie mit den Zugangsdaten für MWAAUser den folgenden CLI-Befehl aus, um die Webserver-URL Ihrer Umgebung abzurufen.

    aws mwaa get-environment --name YOUR_ENVIRONMENT_NAME | jq '.Environment.WebserverUrl'

    Bei Erfolg verweisen Sie auf die folgende Ausgabe:

    "ab1b2345-678a-90a1-a2aa-34a567a8a901.c13.us-west-2.airflow.amazonaws.com"

  2. Wenn Sie MWAAUser angemeldet sind AWS Management Console, öffnen Sie ein neues Browserfenster und greifen Sie auf Folgendes zu URl. Webserver-URLErsetzen Sie es durch Ihre Informationen.

    https://<Webserver-URL>/home

    Bei Erfolg erhalten Sie eine Forbidden Fehlerseite, da Ihnen MWAAUser noch keine Zugriffsberechtigung für die Apache Airflow Airflow-Benutzeroberfläche erteilt wurde.

  3. Wenn Sie Admin angemeldet sind AWS Management Console, öffnen Sie erneut die Amazon MWAA-Konsole und starten Sie die Apache Airflow Airflow-Benutzeroberfläche Ihrer Umgebung.

  4. Erweitern Sie im UI-Dashboard das Drop-down-Menü „Sicherheit“ und wählen Sie dieses Mal „Benutzer auflisten“ aus.

  5. Suchen Sie in der Benutzertabelle nach dem neuen Apache Airflow Airflow-Benutzer und wählen Sie Datensatz bearbeiten. Der Vorname des Benutzers entspricht Ihrem IAM-Benutzernamen im folgenden Muster:. user/mwaa-user

  6. Fügen Sie auf der Seite „Benutzer bearbeiten“ im Abschnitt Rolle die neue benutzerdefinierte Rolle hinzu, die Sie erstellt haben, und wählen Sie dann Speichern aus.

    Anmerkung

    Das Feld Nachname ist erforderlich, aber ein Leerzeichen erfüllt die Anforderung.

    Der Public IAM-Principal erteilt die MWAAUser Erlaubnis, auf die Apache Airflow Airflow-Benutzeroberfläche zuzugreifen, während die neue Rolle die zusätzlichen Berechtigungen bereitstellt, die erforderlich sind, um sie zu erhalten. DAGs

Wichtig

Jede der 5 Standardrollen (z. B.Admin), die nicht von IAM autorisiert wurden und die über die Apache Airflow Airflow-Benutzeroberfläche hinzugefügt wurden, wird bei der nächsten Benutzeranmeldung entfernt.

Nächste Schritte

  • Weitere Informationen zur Verwaltung des Zugriffs auf Ihre Amazon MWAA-Umgebung und Beispiele für JSON-IAM-Richtlinien, die Sie für Benutzer Ihrer Umgebung verwenden können, finden Sie unter Zugreifen auf eine Amazon MWAA-Umgebung

  • Zugriffskontrolle (Apache Airflow-Dokumentation) — Weitere Informationen zu den Standardrollen von Apache Airflow finden Sie auf der Apache Airflow Airflow-Dokumentationswebsite.