Comment ça marche Accès complet à la console Accès complet à l'API Accès à la console en lecture seule Accès à l'interface utilisateur d'Apache Airflow Accès à l'API Rest d'Apache Airflow Accès à la CLI Apache Airflow Création d'une politique JSON Exemple de cas d’utilisation Quelle est la prochaine étape ?

Accès à un environnement Amazon MWAA

Pour utiliser Amazon Managed Workflows pour Apache Airflow, vous devez utiliser un compte et des entités IAM disposant des autorisations nécessaires. Cette rubrique décrit les politiques d'accès que vous pouvez appliquer à votre équipe de développement Apache Airflow et aux utilisateurs d'Apache Airflow pour votre environnement Amazon Managed Workflows for Apache Airflow.

Nous vous recommandons d'utiliser des informations d'identification temporaires et de configurer des identités fédérées avec des groupes et des rôles pour accéder à vos ressources Amazon MWAA. Il est recommandé d'éviter d'associer des politiques directement à vos utilisateurs IAM et de définir des groupes ou des rôles pour fournir un accès temporaire aux AWS ressources.

Un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d’autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM dans la mesure où il s'agit d'une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d’informations d’identification standard à long terme comme un mot de passe ou des clés d’accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d’identification de sécurité temporaires pour votre session de rôle.

Pour attribuer des autorisations à une identité fédérée, vous devez créer un rôle et définir des autorisations pour ce rôle. Quand une identité externe s’authentifie, l’identité est associée au rôle et reçoit les autorisations qui sont définies par celui-ci. Pour obtenir des informations sur les rôles pour la fédération, consultez Création d’un rôle pour un fournisseur d’identité tiers (fédération) dans le Guide de l’utilisateur IAM. Si vous utilisez IAM Identity Center, vous configurez un jeu d’autorisations. IAM Identity Center met en corrélation le jeu d’autorisations avec un rôle dans IAM afin de contrôler à quoi vos identités peuvent accéder après leur authentification. Pour plus d’informations sur les jeux d’autorisations, consultez Jeux d’autorisations dans le Guide de l’utilisateur AWS IAM Identity Center .

Vous pouvez utiliser un rôle IAM dans votre compte pour accorder à d'autres Compte AWS autorisations d'accès aux ressources de votre compte. Par exemple, voir Tutoriel : Déléguer l'accès à l' Comptes AWS aide de rôles IAM dans le Guide de l'utilisateur IAM.

Sections

Comment ça marche
Politique d'accès complète à la console : Amazon MWAAFull ConsoleAccess
Politique complète d'accès à l'API et à la console : Amazon MWAAFull ApiAccess
Politique d'accès à la console en lecture seule : Amazon MWAARead OnlyAccess
Politique d'accès à l'interface utilisateur d'Apache Airflow : Amazon MWAAWeb ServerAccess
Politique d'accès à l'API Apache Airflow Rest : Amazon MWAARest APIAccess
Politique de la CLI Apache Airflow : Amazon MWAAAirflow CliAccess
Création d'une politique JSON
Exemple de cas d'utilisation pour associer des politiques à un groupe de développeurs
Quelle est la prochaine étape ?

Comment ça marche

Les ressources et services utilisés dans un environnement Amazon MWAA ne sont pas accessibles à toutes les entités AWS Identity and Access Management (IAM). Vous devez créer une politique qui autorise les utilisateurs d'Apache Airflow à accéder à ces ressources. Par exemple, vous devez autoriser l'accès à votre équipe de développement Apache Airflow.

Amazon MWAA utilise ces politiques pour vérifier si un utilisateur dispose des autorisations nécessaires pour effectuer une action sur la AWS console ou via l'environnement APIs utilisé par un environnement.

Vous pouvez utiliser les politiques JSON décrites dans cette rubrique pour créer une stratégie pour vos utilisateurs Apache Airflow dans IAM, puis associer la politique à un utilisateur, un groupe ou un rôle dans IAM.

Amazon MWAAFull ConsoleAccess — Utilisez cette politique pour autoriser la configuration d'un environnement sur la console Amazon MWAA.
Amazon MWAAFull ApiAccess — Utilisez cette politique pour accorder l'accès à tous les Amazon MWAA APIs utilisés pour gérer un environnement.
Amazon MWAARead OnlyAccess — Utilisez cette politique pour autoriser l'accès à l'affichage des ressources utilisées par un environnement sur la console Amazon MWAA.
Amazon MWAAWeb ServerAccess — Utilisez cette politique pour autoriser l'accès au serveur Web Apache Airflow.
Amazon MWAAAirflow CliAccess — Utilisez cette politique pour autoriser l'accès à l'exécution des commandes de la CLI Apache Airflow.

Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :

Utilisateurs et groupes dans AWS IAM Identity Center :

Créez un jeu d’autorisations. Suivez les instructions de la rubrique Création d’un jeu d’autorisations du Guide de l’utilisateur AWS IAM Identity Center .
Utilisateurs gérés dans IAM par un fournisseur d’identité :

Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique Création d’un rôle pour un fournisseur d’identité tiers (fédération) dans le Guide de l’utilisateur IAM.
Utilisateurs IAM :
- Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique Création d’un rôle pour un utilisateur IAM dans le Guide de l’utilisateur IAM.
- (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique Ajout d’autorisations à un utilisateur (console) du Guide de l’utilisateur IAM.

Politique d'accès complète à la console : Amazon MWAAFull ConsoleAccess

Un utilisateur peut avoir besoin d'accéder à la politique d'AmazonMWAAFullConsoleAccessautorisations s'il doit configurer un environnement sur la console Amazon MWAA.

Note

Votre politique d'accès à la console complète doit inclure des autorisations d'exécutioniam:PassRole. Cela permet à l'utilisateur de transmettre des rôles liés aux services et des rôles d'exécution à Amazon MWAA. Amazon MWAA assume chaque rôle afin d'appeler d'autres AWS services en votre nom. L'exemple suivant utilise la clé de iam:PassedToService condition pour spécifier le principal de service Amazon MWAA (airflow.amazonaws.com) en tant que service auquel un rôle peut être transmis.

Pour plus d'informationsiam:PassRole, consultez la section Accorder à un utilisateur l'autorisation de transmettre un rôle à un AWS service dans le Guide de l'utilisateur IAM.

Appliquez la politique suivante si vous souhaitez créer et gérer vos environnements Amazon MWAA à l'aide d'un système Clé détenue par AWSde chiffrement au repos.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"airflow:*",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":"airflow.amazonaws.com"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:ListRoles"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreatePolicy"
         ],
         "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:policy/service-role/MWAA-Execution-Policy*"
      },
            {
         "Effect":"Allow",
         "Action":[
            "iam:AttachRolePolicy",
            "iam:CreateRole"
         ],
         "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:role/service-role/AmazonMWAA*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreateServiceLinkedRole"
         ],
         "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetBucketLocation",
            "s3:ListAllMyBuckets",
            "s3:ListBucket",
            "s3:ListBucketVersions"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutObject",
            "s3:GetEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:DescribeRouteTables"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:AuthorizeSecurityGroupIngress",
            "ec2:CreateSecurityGroup"
         ],
         "Resource":"arn:aws:ec2:*:*:security-group/airflow-security-group-*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:ListAliases"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:CreateVpcEndpoint",
         "Resource":[
            "arn:aws:ec2:*:*:vpc-endpoint/*",
            "arn:aws:ec2:*:*:vpc/*",
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:security-group/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface"
         ],
         "Resource":[
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:network-interface/*"
         ]
      }
   ]
}

Appliquez la politique suivante si vous souhaitez créer et gérer vos environnements Amazon MWAA à l'aide d'une clé gérée par le client pour le chiffrement au repos. Pour utiliser une clé gérée par le client, le principal IAM doit être autorisé à accéder aux AWS KMS ressources à l'aide de la clé enregistrée dans votre compte.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"airflow:*",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":"airflow.amazonaws.com"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:ListRoles"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreatePolicy"
         ],
         "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:policy/service-role/MWAA-Execution-Policy*"
      },
            {
         "Effect":"Allow",
         "Action":[
            "iam:AttachRolePolicy",
            "iam:CreateRole"
         ],
         "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:role/service-role/AmazonMWAA*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreateServiceLinkedRole"
         ],
         "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetBucketLocation",
            "s3:ListAllMyBuckets",
            "s3:ListBucket",
            "s3:ListBucketVersions"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutObject",
            "s3:GetEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:DescribeRouteTables"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:AuthorizeSecurityGroupIngress",
            "ec2:CreateSecurityGroup"
         ],
         "Resource":"arn:aws:ec2:*:*:security-group/airflow-security-group-*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:ListAliases"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:DescribeKey",
            "kms:ListGrants",
            "kms:CreateGrant",
            "kms:RevokeGrant",
            "kms:Decrypt",
            "kms:Encrypt",
            "kms:GenerateDataKey*",
            "kms:ReEncrypt*"
         ],
         "Resource":"arn:aws:kms:*:YOUR_ACCOUNT_ID:key/YOUR_KMS_ID"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:CreateVpcEndpoint",
         "Resource":[
            "arn:aws:ec2:*:*:vpc-endpoint/*",
            "arn:aws:ec2:*:*:vpc/*",
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:security-group/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface"
         ],
         "Resource":[
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:network-interface/*"
         ]
      }
   ]
}

Politique complète d'accès à l'API et à la console : Amazon MWAAFull ApiAccess

Un utilisateur peut avoir besoin d'accéder à la politique AmazonMWAAFullApiAccess d'autorisations s'il a besoin d'accéder à tous les Amazon MWAA APIs utilisés pour gérer un environnement. Il n'accorde pas d'autorisations pour accéder à l'interface utilisateur d'Apache Airflow.

Note

Une politique d'accès complète à l'API doit inclure des autorisations d'exécutioniam:PassRole. Cela permet à l'utilisateur de transmettre des rôles liés aux services et des rôles d'exécution à Amazon MWAA. Amazon MWAA assume chaque rôle afin d'appeler d'autres AWS services en votre nom. L'exemple suivant utilise la clé de iam:PassedToService condition pour spécifier le principal de service Amazon MWAA (airflow.amazonaws.com) en tant que service auquel un rôle peut être transmis.

Pour plus d'informationsiam:PassRole, consultez la section Accorder à un utilisateur l'autorisation de transmettre un rôle à un AWS service dans le Guide de l'utilisateur IAM.

Appliquez la politique suivante si vous souhaitez créer et gérer vos environnements Amazon MWAA à l'aide d'un système Clé détenue par AWS de chiffrement au repos.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"airflow:*",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":"airflow.amazonaws.com"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreateServiceLinkedRole"
         ],
         "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:DescribeRouteTables"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:CreateVpcEndpoint",
         "Resource":[
            "arn:aws:ec2:*:*:vpc-endpoint/*",
            "arn:aws:ec2:*:*:vpc/*",
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:security-group/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface"
         ],
         "Resource":[
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:network-interface/*"
         ]
      }
   ]
}


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"airflow:*",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":"airflow.amazonaws.com"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreateServiceLinkedRole"
         ],
         "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:DescribeRouteTables"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:DescribeKey",
            "kms:ListGrants",
            "kms:CreateGrant",
            "kms:RevokeGrant",
            "kms:Decrypt",
            "kms:Encrypt",
            "kms:GenerateDataKey*",
            "kms:ReEncrypt*"
         ],
         "Resource":"arn:aws:kms:*:YOUR_ACCOUNT_ID:key/YOUR_KMS_ID"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:CreateVpcEndpoint",
         "Resource":[
            "arn:aws:ec2:*:*:vpc-endpoint/*",
            "arn:aws:ec2:*:*:vpc/*",
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:security-group/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface"
         ],
         "Resource":[
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:network-interface/*"
         ]
      }
   ]
}

Politique d'accès à la console en lecture seule : Amazon MWAARead OnlyAccess

Un utilisateur peut avoir besoin d'accéder à la politique d'AmazonMWAAReadOnlyAccessautorisations s'il doit consulter les ressources utilisées par un environnement sur la page de détails de l'environnement de la console Amazon MWAA. Il n'autorise pas un utilisateur à créer de nouveaux environnements, à modifier des environnements existants ou à consulter l'interface utilisateur d'Apache Airflow.


{
        "Version": "2012-10-17",
        "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "airflow:ListEnvironments",
                "airflow:GetEnvironment",
                "airflow:ListTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}

Politique d'accès à l'interface utilisateur d'Apache Airflow : Amazon MWAAWeb ServerAccess

Un utilisateur peut avoir besoin d'accéder à la politique d'AmazonMWAAWebServerAccessautorisations s'il a besoin d'accéder à l'interface utilisateur d'Apache Airflow. Il ne permet pas à l'utilisateur de visualiser les environnements sur la console Amazon MWAA ou d'utiliser l'Amazon MWAA APIs pour effectuer des actions. Spécifiez le AdminOp,User, Viewer ou le Public rôle dans {airflow-role} pour personnaliser le niveau d'accès pour l'utilisateur du jeton Web. Pour plus d'informations, consultez la section Rôles par défaut dans le guide de référence d'Apache Airflow.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "airflow:CreateWebLoginToken",
            "Resource": [
                "arn:aws:airflow:{your-region}:YOUR_ACCOUNT_ID:role/{your-environment-name}/{airflow-role}"
            ]
        }
    ]
}

Note

Amazon MWAA fournit une intégration IAM avec les cinq rôles de contrôle d'accès basé sur les rôles (RBAC) par défaut d'Apache Airflow. Pour plus d'informations sur l'utilisation de rôles Apache Airflow personnalisés, consultezTutoriel : Restreindre l'accès d'un utilisateur Amazon MWAA à un sous-ensemble de DAGs.
Le Resource champ de cette politique peut être utilisé pour spécifier les rôles de contrôle d'accès basés sur les rôles d'Apache Airflow pour l'environnement Amazon MWAA. Toutefois, il ne prend pas en charge l'ARN (Amazon Resource Name) de l'environnement Amazon MWAA dans le Resource champ de la politique.

Politique d'accès à l'API Apache Airflow Rest : Amazon MWAARest APIAccess

Pour accéder à l'API REST Apache Airflow, vous devez accorder l'airflow:InvokeRestApiautorisation dans votre politique IAM. Dans l'exemple de politique suivant, spécifiez le AdminOp,User, Viewer ou le Public rôle dans {airflow-role} pour personnaliser le niveau d'accès des utilisateurs. Pour plus d'informations, consultez la section Rôles par défaut dans le guide de référence d'Apache Airflow.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowMwaaRestApiAccess",
      "Effect": "Allow",
      "Action": "airflow:InvokeRestApi",
      "Resource": [
        "arn:aws:airflow:{your-region}:YOUR_ACCOUNT_ID:role/{your-environment-name}/{airflow-role}"
      ]
    }
  ]
}

Note

Lors de la configuration d'un serveur Web privé, l'InvokeRestApiaction ne peut pas être invoquée depuis l'extérieur d'un Virtual Private Cloud (VPC). Vous pouvez utiliser la aws:SourceVpc clé pour appliquer un contrôle d'accès plus précis à cette opération. Pour plus d'informations, consultez aws : SourceVpc
Le Resource champ de cette politique peut être utilisé pour spécifier les rôles de contrôle d'accès basés sur les rôles d'Apache Airflow pour l'environnement Amazon MWAA. Toutefois, il ne prend pas en charge l'ARN (Amazon Resource Name) de l'environnement Amazon MWAA dans le Resource champ de la politique.

Politique de la CLI Apache Airflow : Amazon MWAAAirflow CliAccess

Un utilisateur peut avoir besoin d'accéder à la politique AmazonMWAAAirflowCliAccess d'autorisations s'il doit exécuter des commandes de la CLI Apache Airflow (telles quetrigger_dag). Il ne permet pas à l'utilisateur de visualiser les environnements sur la console Amazon MWAA ou d'utiliser l'Amazon MWAA APIs pour effectuer des actions.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "airflow:CreateCliToken"
            ],
            "Resource": "arn:aws:airflow:${Region}:${Account}:environment/${EnvironmentName}"
        }
    ]
}

Création d'une politique JSON

Vous pouvez créer la politique JSON et l'associer à votre utilisateur, rôle ou groupe sur la console IAM. Les étapes suivantes décrivent comment créer une politique JSON dans IAM.

Pour créer la politique JSON

Ouvrez la page Politiques sur la console IAM.
Choisissez Create Policy (Créer une politique).
Choisissez l'onglet JSON.
Ajoutez votre politique JSON.
Choisissez Examiner une politique.
Entrez une valeur dans le champ de texte pour le nom et la description (facultatif).

Par exemple, vous pouvez donner un nom à la politiqueAmazonMWAAReadOnlyAccess.
Choisissez Create Policy (Créer une politique).

Exemple de cas d'utilisation pour associer des politiques à un groupe de développeurs

Supposons que vous utilisiez un groupe dans IAM nommé AirflowDevelopmentGroup pour appliquer des autorisations à tous les développeurs de votre équipe de développement Apache Airflow. Ces utilisateurs doivent avoir accès aux politiques de AmazonMWAAFullConsoleAccessAmazonMWAAAirflowCliAccess, et AmazonMWAAWebServerAccess d'autorisation. Cette section décrit comment créer un groupe dans IAM, créer et associer ces politiques, et comment associer le groupe à un utilisateur IAM. Les étapes supposent que vous utilisez une clé que vous AWS possédez.

Pour créer la MWAAFull ConsoleAccess politique Amazon

Téléchargez la politique d'MWAAFullConsoleAccess accès d'Amazon.
Ouvrez la page Politiques sur la console IAM.
Choisissez Create Policy (Créer une politique).
Choisissez l'onglet JSON.
Collez la politique JSON pourAmazonMWAAFullConsoleAccess.
Remplacez les valeurs suivantes :
1. {your-account-id}— Votre identifiant de AWS compte (tel que0123456789)
2. {your-kms-id}— L'identifiant unique d'une clé gérée par le client, applicable uniquement si vous utilisez une clé gérée par le client pour le chiffrement au repos.
Choisissez la politique de révision.
Tapez AmazonMWAAFullConsoleAccess le nom.
Choisissez Create Policy (Créer une politique).

Pour créer la MWAAWeb ServerAccess politique Amazon

Téléchargez la politique d'MWAAWebServerAccess accès d'Amazon.
Ouvrez la page Politiques sur la console IAM.
Choisissez Create Policy (Créer une politique).
Choisissez l'onglet JSON.
Collez la politique JSON pourAmazonMWAAWebServerAccess.
Remplacez les valeurs suivantes :
1. {your-region}— la région de votre environnement Amazon MWAA (telle queus-east-1)
2. {your-account-id}— votre identifiant de AWS compte (tel que0123456789)
3. {your-environment-name}— le nom de votre environnement Amazon MWAA (tel queMyAirflowEnvironment)
4. {airflow-role}— le rôle par défaut d'AdminApache Airflow
Choisissez Examiner une politique.
Tapez AmazonMWAAWebServerAccess le nom.
Choisissez Create Policy (Créer une politique).

Pour créer la MWAAAirflow CliAccess politique Amazon

Téléchargez la politique d'MWAAAirflowCliAccess accès d'Amazon.
Ouvrez la page Politiques sur la console IAM.
Choisissez Create Policy (Créer une politique).
Choisissez l'onglet JSON.
Collez la politique JSON pourAmazonMWAAAirflowCliAccess.
Choisissez la politique de révision.
Tapez AmazonMWAAAirflowCliAccess le nom.
Choisissez Create Policy (Créer une politique).

Pour créer le groupe

Ouvrez la page Groupes sur la console IAM.
Entrez le nom deAirflowDevelopmentGroup.
Choisissez Étape suivante.
Tapez AmazonMWAA pour filtrer les résultats dans Filtrer.
Sélectionnez les trois politiques que vous avez créées.
Choisissez Étape suivante.
Choisissez Create Group.

Pour l'associer à un utilisateur

Ouvrez la page Utilisateurs sur la console IAM.
Choisissez un utilisateur.
Choisissez Groupes.
Choisissez Ajouter l’utilisateur aux groupes.
Sélectionnez la AirflowDevelopmentGroup.
Choisissez Add to Groups (Ajouter aux groupes).

Quelle est la prochaine étape ?

Découvrez comment générer un jeton pour accéder à l'interface utilisateur d'Apache Airflow dansAccès à Apache Airflow.
Pour en savoir plus sur la création de politiques IAM, consultez la section Création de politiques IAM.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des accès

Rôle lié à un service