Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengakses lingkungan Amazon MWAA
Untuk menggunakan Alur Kerja Terkelola Amazon untuk Apache Airflow, Anda harus menggunakan akun, dan entitas IAM dengan izin yang diperlukan. Topik ini menjelaskan kebijakan akses yang dapat Anda lampirkan ke tim pengembangan Apache Airflow dan pengguna Apache Airflow untuk lingkungan Alur Kerja Terkelola Amazon untuk Apache Airflow.
Sebaiknya gunakan kredensi sementara dan konfigurasi identitas gabungan dengan grup dan peran, untuk mengakses sumber daya Amazon MWAA Anda. Sebagai praktik terbaik, hindari melampirkan kebijakan langsung ke pengguna IAM Anda, dan sebagai gantinya tentukan grup atau peran untuk menyediakan akses sementara ke sumber daya. AWS
Sebuah peran IAM adalah identitas IAM yang dapat Anda buat di akun yang memiliki izin tertentu. Peran IAM mirip dengan pengguna IAM karena merupakan AWS identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas. AWS Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk menjadi dapat diambil oleh siapa pun yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, peran tersebut akan memberikan kredensial keamanan sementara untuk sesi peran.
Untuk menetapkan izin ke identitas federasi, Anda membuat peran dan menentukan izin untuk peran tersebut. Ketika identitas terfederasi mengautentikasi, identitas tersebut terhubung dengan peran dan diberi izin yang ditentukan oleh peran. Untuk informasi tentang peran untuk federasi, lihat Buat peran untuk penyedia identitas pihak ketiga dalam Panduan Pengguna IAM. Jika menggunakan Pusat Identitas IAM, Anda harus mengonfigurasi set izin. Untuk mengontrol apa yang dapat diakses identitas Anda setelah identitas tersebut diautentikasi, Pusat Identitas IAM akan mengorelasikan set izin ke peran dalam IAM. Untuk informasi tentang set izin, lihat Set izin dalam Panduan Pengguna AWS IAM Identity Center .
Anda dapat menggunakan peran IAM di akun Anda untuk memberikan Akun AWS izin lain untuk mengakses sumber daya akun Anda. Sebagai contoh, lihat Tutorial: Mendelegasikan akses Akun AWS menggunakan peran IAM dalam Panduan Pengguna IAM.
Bagian-bagian
Kebijakan akses API dan konsol lengkap: Amazon MWAAFull ApiAccess
Kebijakan akses konsol hanya-baca: Amazon MWAARead OnlyAccess
Kebijakan akses Apache Airflow UI: Amazon MWAAWeb ServerAccess
Kebijakan akses API Apache Airflow Rest: Amazon MWAARest APIAccess
Kebijakan CLI Aliran Udara Apache: Amazon MWAAAirflow CliAccess
Contoh kasus penggunaan untuk melampirkan kebijakan ke grup pengembang
Cara kerjanya
Sumber daya dan layanan yang digunakan dalam lingkungan Amazon MWAA tidak dapat diakses oleh semua entitas AWS Identity and Access Management (IAM). Anda harus membuat kebijakan yang memberikan izin kepada pengguna Apache Airflow untuk mengakses sumber daya ini. Misalnya, Anda perlu memberikan akses ke tim pengembangan Apache Airflow Anda.
Amazon MWAA menggunakan kebijakan ini untuk memvalidasi apakah pengguna memiliki izin yang diperlukan untuk melakukan tindakan di AWS konsol atau melalui lingkungan yang APIs digunakan.
Anda dapat menggunakan kebijakan JSON dalam topik ini untuk membuat kebijakan bagi pengguna Apache Airflow Anda di IAM, lalu melampirkan kebijakan tersebut ke pengguna, grup, atau peran di IAM.
-
Amazon MWAAFull ConsoleAccess — Gunakan kebijakan ini untuk memberikan izin mengonfigurasi lingkungan di konsol Amazon MWAA.
-
Amazon MWAAFull ApiAccess — Gunakan kebijakan ini untuk memberikan akses ke semua Amazon MWAA yang APIs digunakan untuk mengelola lingkungan.
-
Amazon MWAARead OnlyAccess — Gunakan kebijakan ini untuk memberikan akses untuk melihat sumber daya yang digunakan oleh lingkungan di konsol Amazon MWAA.
-
Amazon MWAAWeb ServerAccess — Gunakan kebijakan ini untuk memberikan akses ke server web Apache Airflow.
-
Amazon MWAAAirflow CliAccess — Gunakan kebijakan ini untuk memberikan akses untuk menjalankan perintah Apache Airflow CLI.
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
-
Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di Buat rangkaian izin di Panduan Pengguna AWS IAM Identity Center .
-
Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam Buat peran untuk penyedia identitas pihak ketiga (federasi) dalam Panduan Pengguna IAM.
-
Pengguna IAM:
-
Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam Buat peran untuk pengguna IAM dalam Panduan Pengguna IAM.
-
(Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam Menambahkan izin ke pengguna (konsol) dalam Panduan Pengguna IAM.
-
Kebijakan akses konsol penuh: Amazon MWAAFull ConsoleAccess
Pengguna mungkin memerlukan akses ke kebijakan AmazonMWAAFullConsoleAccess izin jika mereka perlu mengonfigurasi lingkungan di konsol Amazon MWAA.
catatan
Kebijakan akses konsol lengkap Anda harus menyertakan izin untuk melakukaniam:PassRole. Hal ini memungkinkan pengguna untuk meneruskan peran terkait layanan, dan peran eksekusi, ke Amazon MWAA. Amazon MWAA mengasumsikan setiap peran untuk memanggil AWS layanan lain atas nama Anda. Contoh berikut menggunakan kunci iam:PassedToService kondisi untuk menentukan Amazon MWAA service principal (airflow.amazonaws.com) sebagai layanan yang dapat diteruskan peran.
Untuk informasi selengkapnyaiam:PassRole, lihat Memberikan izin pengguna untuk meneruskan peran ke AWS layanan di Panduan Pengguna IAM.
Gunakan kebijakan berikut jika Anda ingin membuat, dan mengelola, lingkungan Amazon MWAA Anda menggunakan enkripsi Kunci milik AWSfor at-rest.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"airflow:*", "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:PassedToService":"airflow.amazonaws.com" } } }, { "Effect":"Allow", "Action":[ "iam:ListRoles" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:CreatePolicy" ], "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:policy/service-role/MWAA-Execution-Policy*" }, { "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole" ], "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:role/service-role/AmazonMWAA*" }, { "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA" }, { "Effect":"Allow", "Action":[ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListBucketVersions" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "s3:CreateBucket", "s3:PutObject", "s3:GetEncryptionConfiguration" ], "Resource":"arn:aws:s3:::*" }, { "Effect":"Allow", "Action":[ "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeRouteTables" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup" ], "Resource":"arn:aws:ec2:*:*:security-group/airflow-security-group-*" }, { "Effect":"Allow", "Action":[ "kms:ListAliases" ], "Resource":"*" }, { "Effect":"Allow", "Action":"ec2:CreateVpcEndpoint", "Resource":[ "arn:aws:ec2:*:*:vpc-endpoint/*", "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect":"Allow", "Action":[ "ec2:CreateNetworkInterface" ], "Resource":[ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] }
Gunakan kebijakan berikut jika Anda ingin membuat, dan mengelola, lingkungan Amazon MWAA Anda menggunakan kunci terkelola pelanggan untuk enkripsi saat istirahat. Untuk menggunakan kunci yang dikelola pelanggan, prinsipal IAM harus memiliki izin untuk mengakses AWS KMS sumber daya menggunakan kunci yang disimpan di akun Anda.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"airflow:*", "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:PassedToService":"airflow.amazonaws.com" } } }, { "Effect":"Allow", "Action":[ "iam:ListRoles" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:CreatePolicy" ], "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:policy/service-role/MWAA-Execution-Policy*" }, { "Effect":"Allow", "Action":[ "iam:AttachRolePolicy", "iam:CreateRole" ], "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:role/service-role/AmazonMWAA*" }, { "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA" }, { "Effect":"Allow", "Action":[ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListBucketVersions" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "s3:CreateBucket", "s3:PutObject", "s3:GetEncryptionConfiguration" ], "Resource":"arn:aws:s3:::*" }, { "Effect":"Allow", "Action":[ "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeRouteTables" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup" ], "Resource":"arn:aws:ec2:*:*:security-group/airflow-security-group-*" }, { "Effect":"Allow", "Action":[ "kms:ListAliases" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "kms:DescribeKey", "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant", "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource":"arn:aws:kms:*:YOUR_ACCOUNT_ID:key/YOUR_KMS_ID" }, { "Effect":"Allow", "Action":"ec2:CreateVpcEndpoint", "Resource":[ "arn:aws:ec2:*:*:vpc-endpoint/*", "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect":"Allow", "Action":[ "ec2:CreateNetworkInterface" ], "Resource":[ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] }
Kebijakan akses API dan konsol lengkap: Amazon MWAAFull ApiAccess
Pengguna mungkin memerlukan akses ke kebijakan AmazonMWAAFullApiAccess izin jika mereka memerlukan akses ke semua Amazon MWAA yang APIs digunakan untuk mengelola lingkungan. Itu tidak memberikan izin untuk mengakses Apache Airflow UI.
catatan
Kebijakan akses API lengkap harus menyertakan izin untuk melakukaniam:PassRole. Hal ini memungkinkan pengguna untuk meneruskan peran terkait layanan, dan peran eksekusi, ke Amazon MWAA. Amazon MWAA mengasumsikan setiap peran untuk memanggil AWS layanan lain atas nama Anda. Contoh berikut menggunakan kunci iam:PassedToService kondisi untuk menentukan Amazon MWAA service principal (airflow.amazonaws.com) sebagai layanan yang dapat diteruskan peran.
Untuk informasi selengkapnyaiam:PassRole, lihat Memberikan izin pengguna untuk meneruskan peran ke AWS layanan di Panduan Pengguna IAM.
Gunakan kebijakan berikut jika Anda ingin membuat, dan mengelola, lingkungan Amazon MWAA Anda menggunakan enkripsi Kunci milik AWS for at-rest.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"airflow:*", "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:PassedToService":"airflow.amazonaws.com" } } }, { "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA" }, { "Effect":"Allow", "Action":[ "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeRouteTables" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "s3:GetEncryptionConfiguration" ], "Resource":"arn:aws:s3:::*" }, { "Effect":"Allow", "Action":"ec2:CreateVpcEndpoint", "Resource":[ "arn:aws:ec2:*:*:vpc-endpoint/*", "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect":"Allow", "Action":[ "ec2:CreateNetworkInterface" ], "Resource":[ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] }
Gunakan kebijakan berikut jika Anda ingin membuat, dan mengelola, lingkungan Amazon MWAA Anda menggunakan kunci terkelola pelanggan untuk enkripsi saat istirahat. Untuk menggunakan kunci yang dikelola pelanggan, prinsipal IAM harus memiliki izin untuk mengakses AWS KMS sumber daya menggunakan kunci yang disimpan di akun Anda.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"airflow:*", "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:PassedToService":"airflow.amazonaws.com" } } }, { "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA" }, { "Effect":"Allow", "Action":[ "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeRouteTables" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "kms:DescribeKey", "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant", "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource":"arn:aws:kms:*::key/YOUR_ACCOUNT_ID" }, { "Effect":"Allow", "Action":[ "s3:GetEncryptionConfiguration" ], "Resource":"arn:aws:s3:::*" }, { "Effect":"Allow", "Action":"ec2:CreateVpcEndpoint", "Resource":[ "arn:aws:ec2:*:*:vpc-endpoint/*", "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect":"Allow", "Action":[ "ec2:CreateNetworkInterface" ], "Resource":[ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] }YOUR_KMS_ID
Kebijakan akses konsol hanya-baca: Amazon MWAARead OnlyAccess
Pengguna mungkin memerlukan akses ke kebijakan AmazonMWAAReadOnlyAccess izin jika mereka perlu melihat sumber daya yang digunakan oleh lingkungan di halaman detail lingkungan konsol Amazon MWAA. Itu tidak memungkinkan pengguna untuk membuat lingkungan baru, mengedit lingkungan yang ada, atau memungkinkan pengguna untuk melihat UI Apache Airflow.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "airflow:ListEnvironments", "airflow:GetEnvironment", "airflow:ListTagsForResource" ], "Resource": "*" } ] }
Kebijakan akses Apache Airflow UI: Amazon MWAAWeb ServerAccess
Pengguna mungkin memerlukan akses ke kebijakan AmazonMWAAWebServerAccess izin jika mereka perlu mengakses Apache Airflow UI. Itu tidak memungkinkan pengguna untuk melihat lingkungan di konsol Amazon MWAA atau menggunakan Amazon MWAA APIs untuk melakukan tindakan apa pun. Tentukan AdminOp,User,, Viewer atau Public peran dalam {airflow-role} untuk menyesuaikan tingkat akses bagi pengguna token web. Untuk informasi selengkapnya, lihat Peran Default
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "airflow:CreateWebLoginToken", "Resource": [ "arn:aws:airflow:{your-region}::role/YOUR_ACCOUNT_ID{your-environment-name}/{airflow-role}" ] } ] }
catatan
-
Amazon MWAA menyediakan integrasi IAM dengan lima peran kontrol akses berbasis peran Apache Airflow (RBAC) default
. Untuk informasi selengkapnya tentang bekerja dengan peran Apache Airflow kustom, lihat. Tutorial: Membatasi akses pengguna Amazon MWAA ke subset DAGs -
ResourceBidang dalam kebijakan ini dapat digunakan untuk menentukan peran kontrol akses berbasis peran Apache Airflow untuk lingkungan Amazon MWAA. Namun, itu tidak mendukung lingkungan Amazon MWAA ARN (Nama Sumber Daya Amazon) di bidangResourcekebijakan.
Kebijakan akses API Apache Airflow Rest: Amazon MWAARest APIAccess
Untuk mengakses Apache Airflow REST API, Anda harus memberikan airflow:InvokeRestApi izin dalam kebijakan IAM Anda. Dalam contoh kebijakan berikut, tentukan AdminOp,User,, Viewer atau Public peran {airflow-role} untuk menyesuaikan tingkat akses pengguna. Untuk informasi selengkapnya, lihat Peran Default
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowMwaaRestApiAccess", "Effect": "Allow", "Action": "airflow:InvokeRestApi", "Resource": [ "arn:aws:airflow:{your-region}:YOUR_ACCOUNT_ID:role/{your-environment-name}/{airflow-role}" ] } ] }
catatan
Saat mengonfigurasi server web pribadi,
InvokeRestApitindakan tidak dapat dipanggil dari luar Virtual Private Cloud (VPC). Anda dapat menggunakanaws:SourceVpckunci untuk menerapkan kontrol akses yang lebih terperinci untuk operasi ini. Untuk informasi lebih lanjut, lihat aws: SourceVpc-
ResourceBidang dalam kebijakan ini dapat digunakan untuk menentukan peran kontrol akses berbasis peran Apache Airflow untuk lingkungan Amazon MWAA. Namun, itu tidak mendukung lingkungan Amazon MWAA ARN (Nama Sumber Daya Amazon) di bidangResourcekebijakan.
Kebijakan CLI Aliran Udara Apache: Amazon MWAAAirflow CliAccess
Pengguna mungkin memerlukan akses ke kebijakan AmazonMWAAAirflowCliAccess izin jika mereka perlu menjalankan perintah Apache Airflow CLI (seperti). trigger_dag Itu tidak memungkinkan pengguna untuk melihat lingkungan di konsol Amazon MWAA atau menggunakan Amazon MWAA APIs untuk melakukan tindakan apa pun.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "airflow:CreateCliToken" ], "Resource": "arn:aws:airflow:${Region}:${Account}:environment/${EnvironmentName}" } ] }
Membuat kebijakan JSON
Anda dapat membuat kebijakan JSON, dan melampirkan kebijakan tersebut ke pengguna, peran, atau grup Anda di konsol IAM. Langkah-langkah berikut menjelaskan cara membuat kebijakan JSON di IAM.
Untuk membuat kebijakan JSON
-
Buka halaman Kebijakan
di konsol IAM. -
Pilih Buat kebijakan.
-
Pilih tab JSON.
-
Tambahkan kebijakan JSON Anda.
-
Pilih Tinjau kebijakan.
-
Masukkan nilai di bidang teks untuk Nama dan Deskripsi (opsional).
Misalnya, Anda bisa memberi nama kebijakan
AmazonMWAAReadOnlyAccess. -
Pilih Buat kebijakan.
Contoh kasus penggunaan untuk melampirkan kebijakan ke grup pengembang
Katakanlah Anda menggunakan grup di IAM bernama AirflowDevelopmentGroup untuk menerapkan izin ke semua pengembang di tim pengembangan Apache Airflow Anda. Pengguna ini memerlukan akses keAmazonMWAAFullConsoleAccess,AmazonMWAAAirflowCliAccess, dan kebijakan AmazonMWAAWebServerAccess izin. Bagian ini menjelaskan cara membuat grup di IAM, membuat dan melampirkan kebijakan ini, dan mengaitkan grup ke pengguna IAM. Langkah-langkahnya mengasumsikan Anda menggunakan kunci yang AWS dimiliki.
Untuk membuat MWAAFull ConsoleAccess kebijakan Amazon
-
Buka halaman Kebijakan
di konsol IAM. -
Pilih Buat kebijakan.
-
Pilih tab JSON.
-
Tempel kebijakan JSON untuk
AmazonMWAAFullConsoleAccess. -
Gantikan nilai-nilai berikut:
-
{your-account-id}— ID AWS akun Anda (seperti0123456789) -
{your-kms-id}— Pengidentifikasi unik untuk kunci yang dikelola pelanggan, hanya berlaku jika Anda menggunakan kunci yang dikelola pelanggan untuk enkripsi saat istirahat.
-
-
Pilih kebijakan Tinjauan.
-
AmazonMWAAFullConsoleAccessKetik Nama. -
Pilih Buat kebijakan.
Untuk membuat MWAAWeb ServerAccess kebijakan Amazon
-
Buka halaman Kebijakan
di konsol IAM. -
Pilih Buat kebijakan.
-
Pilih tab JSON.
-
Tempel kebijakan JSON untuk
AmazonMWAAWebServerAccess. -
Gantikan nilai-nilai berikut:
-
{your-region}— wilayah lingkungan Amazon MWAA Anda (seperti)us-east-1 -
{your-account-id}— ID AWS akun Anda (seperti0123456789) -
{your-environment-name}— nama lingkungan Amazon MWAA Anda (seperti)MyAirflowEnvironment -
{airflow-role}— PeranAdminDefault Aliran Udara Apache
-
-
Pilih Tinjau kebijakan.
-
AmazonMWAAWebServerAccessKetik Nama. -
Pilih Buat kebijakan.
Untuk membuat MWAAAirflow CliAccess kebijakan Amazon
-
Buka halaman Kebijakan
di konsol IAM. -
Pilih Buat kebijakan.
-
Pilih tab JSON.
-
Tempel kebijakan JSON untuk
AmazonMWAAAirflowCliAccess. -
Pilih kebijakan Tinjauan.
-
AmazonMWAAAirflowCliAccessKetik Nama. -
Pilih Buat kebijakan.
Untuk membuat grup
-
Buka halaman Grup
di konsol IAM. -
Ketik nama
AirflowDevelopmentGroup. -
Pilih Langkah Selanjutnya.
-
Ketik
AmazonMWAAuntuk memfilter hasil di Filter. -
Pilih tiga kebijakan yang Anda buat.
-
Pilih Langkah Selanjutnya.
-
Pilih Buat group.
Untuk mengasosiasikan ke pengguna
-
Buka halaman Pengguna
di konsol IAM. -
Pilih pengguna.
-
Pilih Grup.
-
Pilih Tambahkan pengguna ke grup.
-
Pilih AirflowDevelopmentGroup.
-
Pilih Tambahkan ke Grup.
Apa selanjutnya?
-
Pelajari cara membuat token untuk mengakses Apache Airflow UI di. Mengakses Apache Airflow
-
Pelajari lebih lanjut cara membuat kebijakan IAM di Membuat kebijakan IAM.
