Consideraciones clave para migrar a un nuevo entorno MWAA - Amazon Managed Workflows para Apache Airflow
AutenticaciónRol de ejecución

Consideraciones clave para migrar a un nuevo entorno MWAA

Obtenga más información sobre consideraciones clave, como la autenticación y el rol de ejecución de Amazon MWAA, cuando planea migrar sus cargas de trabajo de Apache Airflow a Amazon MWAA.

Autenticación

Amazon MWAA usa AWS Identity and Access Management (IAM) para controlar el acceso a la interfaz de usuario de Apache Airflow. Usted debe crear y administrar políticas de IAM que concedan permiso a los usuarios de Apache Airflow para acceder al servidor web y administrar los DAG. Puede gestionar la autenticación y la autorización de los roles predeterminados de Apache Airflow mediante la IAM en diferentes cuentas.

Para gestionar y restringir todavía más el acceso de los usuarios de Apache Airflow únicamente a un subconjunto de DAG de su flujo de trabajo, puede crear roles de Airflow personalizados y asignarlos a las entidades principales de IAM. Para obtener más información y acceder a un tutorial por pasos, consulte Tutorial: Restricción del acceso de un usuario de Amazon MWAA a un subconjunto de DAG.

También puede configurar identidades federadas para acceder a Amazon MWAA. Para obtener más información, consulte lo siguiente:

Rol de ejecución

Amazon MWAA utiliza un rol de ejecución que otorga permisos a su entorno para que acceda a otros servicios de AWS. Puede proporcionar a su flujo de trabajo acceso a los servicios de AWS añadiendo los permisos pertinentes al rol. Si elige la opción predeterminada para crear un nuevo rol de ejecución al crear el entorno por primera vez, Amazon MWAA asigna los permisos mínimos necesarios al rol, excepto en el caso de CloudWatch Logs, para el que Amazon MWAA añade todos los grupos de registros automáticamente.

Una vez creado el rol de ejecución, Amazon MWAA no podrá administrar sus políticas de permisos en su nombre. Para actualizar el rol de ejecución, debe editar la política que se va a añadir y eliminar permisos según sea necesario. Por ejemplo, puede integrar su entorno de Amazon MWAA con AWS Secrets Manager como backend para almacenar de forma segura los secretos y las cadenas de conexión con el fin de utilizarlos en sus flujos de trabajo de Apache Airflow. Para ello, adjunte la siguiente política de permisos al rol de ejecución de su entorno.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

La integración con otros servicios de AWS sigue un patrón similar: usted añade la política de permisos correspondiente a su rol de ejecución de Amazon MWAA y concede permiso a Amazon MWAA para que acceda al servicio. Para obtener más información sobre la gestión del rol de ejecución de Amazon MWAA y ver ejemplos adicionales, consulte Rol de ejecución de Amazon MWAA en la Guía del usuario de Amazon MWAA.