Uso de una clave secreta en AWS Secrets Manager para una conexión de Apache Airflow
El siguiente ejemplo, se llama a AWS Secrets Manager para obtener una clave secreta para una conexión de Apache Airflow en Amazon Managed Workflows para Apache Airflow. Se asume que ha realizado los pasos que se detallan en Configuración de una conexión de Apache Airflow mediante un secreto de AWS Secrets Manager.
Versión
Puede usar el código de ejemplo que aparece en esta página con Apache Airflow v2 en Python 3.10
Requisitos previos
Para usar el código de muestra de esta página, necesitará lo siguiente:
-
El backend de Secrets Manager como opción de configuración de Apache Airflow, como se muestra en Configuración de una conexión de Apache Airflow mediante un secreto de AWS Secrets Manager.
-
Una cadena de conexión de Apache Airflow en Secrets Manager, como aparece en Configuración de una conexión de Apache Airflow mediante un secreto de AWS Secrets Manager.
Permisos
-
Permisos de Secrets Manager, como se muestra en Configuración de una conexión de Apache Airflow mediante un secreto de AWS Secrets Manager.
Requisitos
Para usar este código de ejemplo con Apache Airflow v2 y versiones posteriores, no se necesitan dependencias adicionales. Use aws-mwaa-docker-images
Código de ejemplo
En los siguientes pasos se describe cómo crear el código DAG que llama a Secrets Manager para recibir el secreto.
-
En el símbolo del sistema, vaya hasta el directorio en el que esté almacenado el código DAG. Por ejemplo:
cd dags -
Copie el contenido del código de ejemplo siguiente y guárdelo localmente como
secrets-manager.py.""" Copyright Amazon.com, Inc. or its affiliates. All Rights Reserved. Permission is hereby granted, free of charge, to any person obtaining a copy of this software and associated documentation files (the "Software"), to deal in the Software without restriction, including without limitation the rights to use, copy, modify, merge, publish, distribute, sublicense, and/or sell copies of the Software, and to permit persons to whom the Software is furnished to do so. THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE. """ from airflow import DAG, settings, secrets from airflow.operators.python import PythonOperator from airflow.utils.dates import days_ago from airflow.providers.amazon.aws.hooks.base_aws import AwsBaseHook from datetime import timedelta import os ### The steps to create this secret key can be found at: https://docs.aws.amazon.com/mwaa/latest/userguide/connections-secrets-manager.html sm_secretId_name = 'airflow/connections/myconn' default_args = { 'owner': 'airflow', 'start_date': days_ago(1), 'depends_on_past': False } ### Gets the secret myconn from Secrets Manager def read_from_aws_sm_fn(**kwargs): ### set up Secrets Manager hook = AwsBaseHook(client_type='secretsmanager') client = hook.get_client_type(region_name='us-east-1') response = client.get_secret_value(SecretId=sm_secretId_name) myConnSecretString = response["SecretString"] return myConnSecretString ### 'os.path.basename(__file__).replace(".py", "")' uses the file name secrets-manager.py for a DAG ID of secrets-manager with DAG( dag_id=os.path.basename(__file__).replace(".py", ""), default_args=default_args, dagrun_timeout=timedelta(hours=2), start_date=days_ago(1), schedule_interval=None ) as dag: write_all_to_aws_sm = PythonOperator( task_id="read_from_aws_sm", python_callable=read_from_aws_sm_fn, provide_context=True )
Siguientes pasos
-
Aprenda a cargar el código el DAG de este ejemplo en la carpeta
dagsde su bucket de Amazon S3 en Cómo añadir o actualizar DAG.
