Service-linked permisos de rol para Amazon MWAA Creación de roles vinculados a servicios para Amazon MWAA Edición roles vinculados a servicios para Amazon MWAA Eliminación de roles vinculados a servicios para Amazon MWAA Regiones admitidas para los roles vinculados al servicio de Amazon MWAA Actualizaciones de políticas

Service-linked función para Amazon MWAA

Amazon Managed Workflows para Apache Airflow utiliza funciones vinculadas a AWS Identity and Access Management servicios (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Amazon MWAA. Service-linked Amazon MWAA predefine los roles e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

Un rol vinculado a servicios simplifica la configuración de Amazon MWAA porque ya no tendrá que agregar de forma manual los permisos necesarios. Amazon MWAA define los permisos de sus roles vinculados al servicio y, a menos que esté definido de otra manera, solo Amazon MWAA puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Así se protegen los recursos de Amazon MWAA, ya que se evita que se puedan eliminar los permisos de acceso a los recursos accidentalmente.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte AWS Servicios que funcionan con IAM y busque los servicios con la palabra Sí en la columna de funciones. Service-linked Elija una opción Yes (Sí) con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Service-linked permisos de rol para Amazon MWAA

Amazon MWAA usa el rol vinculado al servicio denominado AWSServiceRoleForAmazonMWAA — El rol vinculado al servicio creado en su cuenta otorga a Amazon MWAA acceso a los siguientes servicios: AWS

Amazon CloudWatch Logs (CloudWatch Logs): para crear grupos de registros para los registros de Apache Airflow.
Amazon CloudWatch (CloudWatch): para publicar métricas relacionadas con su entorno y sus componentes subyacentes en su cuenta.
Amazon Elastic Compute Cloud (Amazon EC2): sirve para crear los siguientes recursos:
- Un punto de conexión de Amazon VPC en su VPC para un clúster de base de datos Amazon AWS Aurora PostgreSQL gestionado que utilizará el programador y el trabajador de Apache Airflow.
- Un punto de conexión de Amazon VPC adicional para habilitar el acceso de red al servidor web, en caso de que elija la opción de red privada para el servidor web Apache Airflow.
- Interfaces de red elásticas (ENI) en su Amazon VPC para permitir el acceso de red AWS a los recursos alojados en su Amazon VPC.

La política de confianza siguiente permite que la entidad principal del servicio asuma el rol vinculado al servicio. La entidad principal del servicio de Amazon MWAA es airflow.amazonaws.com, tal y como se refleja en la política.

La política de permisos de roles llamada “AmazonMWAAServiceRolePolicy” permite que Amazon MWAA complete las siguientes acciones en los recursos especificados:

JSON


{
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:airflow-*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachNetworkInterface",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcs",
                "ec2:DetachNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpoint",
                "ec2:DeleteVpcEndpoints"
            ],
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonMWAAManaged": false
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:ModifyVpcEndpoint"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:vpc/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:subnet/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateVpcEndpoint"
                },
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/MWAA"
                    ]
                }
            }
        }
    ]
}

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte los permisos de los Service-linked roles en la Guía del usuario de IAM.

Creación de roles vinculados a servicios para Amazon MWAA

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un nuevo entorno de Amazon MWAA mediante la Consola de administración de AWS, la o la AWS API AWS CLI, Amazon MWAA crea el rol vinculado al servicio por usted.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear otro entorno de desarrollo, Amazon MWAA environment vuelve a crear el rol vinculado a servicios en su nombre.

Edición roles vinculados a servicios para Amazon MWAA

Amazon MWAA no permite editar el rol vinculado al AWSServiceRoleForAmazonMWAA servicio. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte cómo editar un rol vinculado a servicios en la guía del usuario de IAM.

Eliminación de roles vinculados a servicios para Amazon MWAA

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa.

Al eliminar un entorno de Amazon MWAA, Amazon MWAA elimina todos los recursos asociados al mismo que se utilizan como parte del servicio. Sin embargo, debe esperar a que Amazon MWAA termine de eliminar su entorno antes de intentar eliminar el rol vinculado al servicio. Si elimina el rol vinculado al servicio antes de que Amazon MWAA haya eliminado el entorno, es posible que Amazon MWAA no pueda eliminar todos los recursos asociados al entorno.

Eliminación manual del rol vinculado a servicios mediante IAM

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio. AWSServiceRoleForAmazonMWAA Para obtener más información, consulte cómo eliminar un rol vinculado a servicios en la guía del usuario de IAM.

Regiones admitidas para los roles vinculados al servicio de Amazon MWAA

Amazon MWAA permite usar roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte Amazon Managed Workflows para puntos de conexión y cuotas de Apache Airflow.

Actualizaciones de políticas

Cambio	Descripción	Fecha
Amazon MWAA actualiza su política de permisos de roles vinculados al servicio	AmazonMWAAServiceRolePolicy: Amazon MWAA actualiza la política de permisos relativa a su rol vinculado al servicio para otorgar a Amazon MWAA permiso para publicar métricas adicionales relacionadas con los recursos subyacentes del servicio en las cuentas de los clientes. Puede consultar las nuevas métricas en `AWS/MWAA`.	18 de noviembre de 2022
Amazon MWAA comenzó a realizar el seguimiento de los cambios	Amazon MWAA comenzó a realizar un seguimiento de los cambios en su política de permisos AWS de funciones vinculadas a servicios gestionados.	18 de noviembre de 2022

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Acceso a un entorno de Amazon MWAA

Rol de ejecución