Considérations clés relatives à la migration vers un nouvel environnement MWAA

Apprenez-en davantage sur les principales considérations, telles que l'authentification et le rôle d'exécution Amazon MWAA, lorsque vous planifiez de migrer vos charges de travail Apache Airflow vers Amazon MWAA.

Rubriques

Authentification
Rôle d'exécution

Authentification

Amazon MWAA utilise AWS Identity and Access Management (IAM) pour contrôler l'accès à l'interface utilisateur d'Apache Airflow. Vous devez créer et gérer des politiques IAM qui accordent à vos utilisateurs Apache Airflow l'autorisation d'accéder au serveur Web et de le gérer. DAGs Vous pouvez gérer à la fois l'authentification et l'autorisation pour les rôles par défaut d'Apache Airflow à l'aide d'IAM sur différents comptes.

Vous pouvez également gérer et restreindre l'accès des utilisateurs d'Apache Airflow à un sous-ensemble de votre flux de travail uniquement DAGs en créant des rôles Airflow personnalisés et en les mappant à vos principaux IAM. Pour plus d'informations et un step-by-step didacticiel, consultez Tutoriel : Restreindre l'accès d'un utilisateur Amazon MWAA à un sous-ensemble de. DAGs

Vous pouvez également configurer des identités fédérées pour accéder à Amazon MWAA. Pour plus d'informations, consultez les ressources suivantes.

Environnement Amazon MWAA avec accès public — Utilisation d'Okta comme fournisseur d'identité avec Amazon MWAA sur le AWS blog Compute.
Environnement Amazon MWAA avec accès privé : accès à un environnement Amazon MWAA privé à l'aide d'identités fédérées.

Rôle d'exécution

Amazon MWAA utilise un rôle d'exécution qui accorde des autorisations à votre environnement pour accéder à d'autres AWS services. Vous pouvez donner accès aux AWS services à votre flux de travail en ajoutant les autorisations appropriées au rôle. Si vous choisissez l'option par défaut pour créer un nouveau rôle d'exécution lorsque vous créez l'environnement pour la première fois, Amazon MWAA attache les autorisations minimales nécessaires au rôle, sauf dans le cas des CloudWatch journaux pour lesquels Amazon MWAA ajoute automatiquement tous les groupes de journaux.

Une fois le rôle d'exécution créé, Amazon MWAA ne peut pas gérer ses politiques d'autorisation en votre nom. Pour mettre à jour le rôle d'exécution, vous devez modifier la politique afin d'ajouter et de supprimer des autorisations selon les besoins. Par exemple, vous pouvez intégrer votre environnement Amazon MWAA en AWS Secrets Manager tant que backend pour stocker en toute sécurité les secrets et les chaînes de connexion à utiliser dans vos flux de travail Apache Airflow. Pour ce faire, associez la politique d'autorisation suivante au rôle d'exécution de votre environnement.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:012345678910:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

L'intégration à d'autres AWS services suit un schéma similaire : vous ajoutez la politique d'autorisation appropriée à votre rôle d'exécution Amazon MWAA, en autorisant Amazon MWAA à accéder au service. Pour plus d'informations sur la gestion du rôle d'exécution Amazon MWAA et pour voir des exemples supplémentaires, consultez le rôle d'exécution Amazon MWAA dans le guide de l'utilisateur Amazon MWAA.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Architecture réseau

Migrer vers un nouvel environnement Amazon MWAA