Pertimbangan utama untuk bermigrasi ke lingkungan MWAA baru

Pelajari lebih lanjut tentang pertimbangan utama, seperti otentikasi dan peran eksekusi Amazon MWAA, saat Anda berencana untuk memigrasikan beban kerja Apache Airflow ke Amazon MWAA.

Topik

Autentikasi
Peran eksekusi

Autentikasi

Amazon MWAA menggunakan AWS Identity and Access Management (IAM) untuk mengontrol akses ke Apache Airflow UI. Anda harus membuat dan mengelola kebijakan IAM yang memberikan izin kepada pengguna Apache Airflow Anda untuk mengakses server web dan mengelola. DAGs Anda dapat mengelola otentikasi dan otorisasi untuk peran default Apache Airflow menggunakan IAM di berbagai akun.

Anda dapat lebih lanjut mengelola dan membatasi pengguna Apache Airflow untuk mengakses hanya sebagian dari alur kerja Anda DAGs dengan membuat peran Airflow kustom dan memetakannya ke prinsipal IAM Anda. Untuk informasi selengkapnya dan step-by-step tutorial, lihat Tutorial: Membatasi akses pengguna Amazon MWAA ke subset. DAGs

Anda juga dapat mengonfigurasi identitas federasi untuk mengakses Amazon MWAA. Untuk informasi selengkapnya, lihat berikut ini.

Lingkungan Amazon MWAA dengan akses publik - Menggunakan Okta sebagai penyedia identitas dengan Amazon MWAA di Blog Komputasi.AWS
Lingkungan Amazon MWAA dengan akses pribadi - Mengakses lingkungan MWAA Amazon pribadi menggunakan identitas federasi.

Peran eksekusi

Amazon MWAA menggunakan peran eksekusi yang memberikan izin ke lingkungan Anda untuk mengakses layanan lain. AWS Anda dapat memberikan alur kerja Anda akses ke AWS layanan dengan menambahkan izin yang relevan ke peran tersebut. Jika Anda memilih opsi default untuk membuat peran eksekusi baru saat pertama kali membuat lingkungan, Amazon MWAA melampirkan izin minimal yang diperlukan untuk peran tersebut, kecuali dalam kasus Log yang Amazon MWAA CloudWatch menambahkan semua grup log secara otomatis.

Setelah peran eksekusi dibuat, Amazon MWAA tidak dapat mengelola kebijakan izinnya atas nama Anda. Untuk memperbarui peran eksekusi, Anda harus mengedit kebijakan untuk menambah dan menghapus izin sesuai kebutuhan. Misalnya, Anda dapat mengintegrasikan lingkungan Amazon MWAA Anda AWS Secrets Manager sebagai backend untuk menyimpan rahasia dan string koneksi dengan aman untuk digunakan dalam alur kerja Apache Airflow Anda. Untuk melakukannya, lampirkan kebijakan izin berikut ke peran eksekusi lingkungan Anda.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:012345678910:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

Mengintegrasikan dengan AWS layanan lain mengikuti pola yang sama: Anda menambahkan kebijakan izin yang relevan ke peran eksekusi Amazon MWAA Anda, memberikan izin kepada Amazon MWAA untuk mengakses layanan. Untuk informasi selengkapnya tentang mengelola peran eksekusi Amazon MWAA, dan untuk melihat contoh tambahan, kunjungi peran eksekusi Amazon MWAA di Panduan Pengguna Amazon MWAA.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Arsitektur jaringan

Bermigrasi ke lingkungan Amazon MWAA baru