Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Accesso a un ambiente Amazon MWAA
Per utilizzare Amazon Managed Workflows for Apache Airflow, devi utilizzare un account e delle entità IAM con le autorizzazioni necessarie. Questo argomento descrive le politiche di accesso che puoi collegare al tuo team di sviluppo di Apache Airflow e agli utenti di Apache Airflow per il tuo ambiente Amazon Managed Workflows for Apache Airflow.
Ti consigliamo di utilizzare credenziali temporanee e configurare identità federate con gruppi e ruoli per accedere alle tue risorse Amazon MWAA. Come best practice, evita di associare le policy direttamente ai tuoi utenti IAM. Definisci invece gruppi o ruoli per fornire un accesso temporaneo alle AWS risorse.
Un [ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) IAM è un'identità IAM che puoi creare nel tuo account e che dispone di autorizzazioni specifiche. Un ruolo IAM è simile a quello di un utente IAM in quanto è un' AWS identità con policy di autorizzazioni che determinano ciò che l'identità può e non può fare. AWS Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque. Inoltre, un ruolo non ha credenziali a lungo termine standard associate (password o chiavi di accesso). Invece, quando assumi un ruolo, ti fornisce credenziali di sicurezza temporanee per la tua sessione di ruolo.
Per assegnare autorizzazioni a un'identità federata, è necessario creare un ruolo e definire le autorizzazioni per il ruolo. Quando un’identità federata viene autenticata, l’identità viene associata al ruolo e ottiene le autorizzazioni da esso definite. Per ulteriori informazioni sulla federazione dei ruoli, consulta [ Creare un ruolo per un provider di identità di terze parti (federazione)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) nella *Guida per l'utente IAM*. Se si utilizza IAM Identity Center, configurare un set di autorizzazioni. IAM Identity Center mette in correlazione il set di autorizzazioni con un ruolo in IAM per controllare a cosa possono accedere le identità dopo l’autenticazione. Per informazioni sui set di autorizzazioni, consulta [Set di autorizzazioni](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) nella *Guida per l’utente di AWS IAM Identity Center *.
Puoi utilizzare un ruolo IAM nel tuo account per concedere altre Account AWS autorizzazioni per accedere alle risorse del tuo account. Per un esempio, consulta il [tutorial IAM: Delegate l'accesso attraverso l' Account AWS utilizzo dei ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) nella *IAM User Guide*.
**Topics**
+ [Come funziona](#access-policies-how)
+ [Politica di accesso completo alla console: Amazon MWAAFull ConsoleAccess](#console-full-access)
+ [Politica completa di accesso all'API e alla console: Amazon MWAAFull ApiAccess](#full-access-policy)
+ [Politica di accesso alla console di sola lettura: Amazon MWAARead OnlyAccess](#mwaa-read-only)
+ [Politica di accesso all'interfaccia utente di Apache Airflow: Amazon MWAAWeb ServerAccess](#web-ui-access)
+ [Politica di accesso all'API Apache Airflow Rest: Amazon MWAARest APIAccess](#rest-api-access)
+ [Politica della CLI di Apache Airflow: Amazon MWAAAirflow CliAccess](#cli-access)
+ [Creazione di una policy JSON](#access-policy-iam-console-create)
+ [Esempio di utilizzo per allegare politiche a un gruppo di sviluppatori](#access-policy-use-case)
+ [Fasi successive](#access-policy-next-up)
## Come funziona
Le risorse e i servizi utilizzati in un ambiente Amazon MWAA non sono accessibili a tutte le entità AWS Identity and Access Management (IAM). È necessario creare una politica che conceda agli utenti di Apache Airflow l'autorizzazione ad accedere a queste risorse. Ad esempio, devi concedere l'accesso al tuo team di sviluppo di Apache Airflow.
Amazon MWAA utilizza queste policy per verificare se un utente dispone delle autorizzazioni necessarie per eseguire un'azione sulla AWS console o tramite l'ambiente APIs utilizzato.
Puoi utilizzare le policy JSON riportate in questo argomento per creare una policy per i tuoi utenti Apache Airflow in IAM e quindi allegare la policy a un utente, gruppo o ruolo in IAM.
+ [Amazon MWAAFull ConsoleAccess](#console-full-access): utilizza questa politica per concedere l'autorizzazione a configurare un ambiente sulla console Amazon MWAA.
+ [Amazon MWAAFull ApiAccess](#full-access-policy): utilizza questa policy per concedere l'accesso a tutti gli Amazon MWAA APIs utilizzati per gestire un ambiente.
+ [Amazon MWAARead OnlyAccess](#mwaa-read-only): utilizza questa politica per concedere l'accesso alle risorse utilizzate da un ambiente sulla console Amazon MWAA.
+ [Amazon MWAAWeb ServerAccess](#web-ui-access): utilizza questa politica per concedere l'accesso al server web Apache Airflow.
+ [Amazon MWAAAirflow CliAccess](#cli-access): utilizza questa politica per concedere l'accesso all'esecuzione dei comandi CLI di Apache Airflow.
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in: AWS IAM Identity Center
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
## Politica di accesso completo alla console: Amazon MWAAFull ConsoleAccess
Un utente potrebbe aver bisogno di accedere alla politica `AmazonMWAAFullConsoleAccess` delle autorizzazioni se deve configurare un ambiente sulla console Amazon MWAA.
**Nota**
La tua policy di accesso completo alla console deve includere le autorizzazioni per l'esecuzione. `iam:PassRole` Ciò consente all'utente di passare [ruoli collegati al servizio e ruoli](mwaa-slr.md) di [esecuzione](mwaa-create-role.md) ad Amazon MWAA. Amazon MWAA si assume ogni ruolo per chiamare altri AWS servizi per tuo conto. L'esempio seguente utilizza la chiave `iam:PassedToService` condition per specificare il servizio Amazon MWAA principal (`airflow.amazonaws.com`) come servizio a cui è possibile passare un ruolo.
*Per ulteriori informazioni in merito`iam:PassRole`, consulta la sezione [Concessione a un utente delle autorizzazioni per il trasferimento di un ruolo a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) nella IAM User Guide.*
Utilizza la seguente policy se desideri creare e gestire i tuoi ambienti Amazon MWAA utilizzando una [crittografia [Chiave di proprietà di AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)](encryption.md#encryption-at-rest)a riposo.
### Utilizzando un Chiave di proprietà di AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "airflow:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "airflow.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "arn:aws:iam::111122223333:policy/service-role/MWAA-Execution-Policy*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole"
],
"Resource": "arn:aws:iam::111122223333:role/service-role/AmazonMWAA*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutObject",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRouteTables"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup"
],
"Resource": "arn:aws:ec2:*:*:security-group/airflow-security-group-*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*",
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
------
Utilizza la seguente policy se desideri creare e gestire i tuoi ambienti Amazon MWAA utilizzando una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per la crittografia a riposo. Per utilizzare una chiave gestita dal cliente, il responsabile IAM deve disporre dell'autorizzazione ad accedere alle AWS KMS risorse utilizzando la chiave memorizzata nel tuo account.
### Utilizzo di una chiave gestita dal cliente
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "airflow:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "airflow.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "arn:aws:iam::111122223333:policy/service-role/MWAA-Execution-Policy*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole"
],
"Resource": "arn:aws:iam::111122223333:role/service-role/AmazonMWAA*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutObject",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRouteTables"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup"
],
"Resource": "arn:aws:ec2:*:*:security-group/airflow-security-group-*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListGrants",
"kms:CreateGrant",
"kms:RevokeGrant",
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/YOUR_KMS_ID"
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*",
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
------
## Politica completa di accesso all'API e alla console: Amazon MWAAFull ApiAccess
Un utente potrebbe aver bisogno di accedere alla politica `AmazonMWAAFullApiAccess` delle autorizzazioni se ha bisogno di accedere a tutti gli Amazon MWAA APIs utilizzati per gestire un ambiente. Non concede le autorizzazioni per accedere all'interfaccia utente di Apache Airflow.
**Nota**
Una politica di accesso API completa deve includere le autorizzazioni da eseguire. `iam:PassRole` Ciò consente all'utente di passare [ruoli collegati al servizio e ruoli](mwaa-slr.md) di [esecuzione](mwaa-create-role.md) ad Amazon MWAA. Amazon MWAA si assume ogni ruolo per chiamare altri AWS servizi per tuo conto. L'esempio seguente utilizza la chiave `iam:PassedToService` condition per specificare il servizio Amazon MWAA principal (`airflow.amazonaws.com`) come servizio a cui è possibile passare un ruolo.
*Per ulteriori informazioni in merito`iam:PassRole`, consulta la sezione [Concessione a un utente delle autorizzazioni per il trasferimento di un ruolo a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) nella IAM User Guide.*
Utilizza la seguente policy se desideri creare e gestire i tuoi ambienti Amazon MWAA utilizzando una crittografia Chiave di proprietà di AWS a riposo.
### Utilizzando un Chiave di proprietà di AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"airflow:*",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"iam:PassRole"
],
"Resource":"*",
"Condition":{
"StringLike":{
"iam:PassedToService":"airflow.amazonaws.com"
}
}
},
{
"Effect":"Allow",
"Action":[
"iam:CreateServiceLinkedRole"
],
"Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
},
{
"Effect":"Allow",
"Action":[
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRouteTables"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"s3:GetEncryptionConfiguration"
],
"Resource":"arn:aws:s3:::*"
},
{
"Effect":"Allow",
"Action":"ec2:CreateVpcEndpoint",
"Resource":[
"arn:aws:ec2:*:*:vpc-endpoint/*",
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect":"Allow",
"Action":[
"ec2:CreateNetworkInterface"
],
"Resource":[
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
------
Utilizza la seguente policy se desideri creare e gestire i tuoi ambienti Amazon MWAA utilizzando una chiave gestita dal cliente per la crittografia a riposo. Per utilizzare una chiave gestita dal cliente, il responsabile IAM deve disporre dell'autorizzazione ad accedere alle AWS KMS risorse utilizzando la chiave memorizzata nel tuo account.
### Utilizzo di una chiave gestita dal cliente
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "airflow:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "airflow.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRouteTables"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListGrants",
"kms:CreateGrant",
"kms:RevokeGrant",
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/YOUR_KMS_ID"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*",
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
------
## Politica di accesso alla console di sola lettura: Amazon MWAARead OnlyAccess
Un utente potrebbe aver bisogno di accedere alla politica `AmazonMWAAReadOnlyAccess` delle autorizzazioni se deve accedere alle risorse utilizzate da un ambiente nella pagina dei dettagli dell'ambiente della console Amazon MWAA. Non consente a un utente di creare nuovi ambienti, modificare ambienti esistenti o consentire a un utente di accedere all'interfaccia utente di Apache Airflow.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"airflow:ListEnvironments",
"airflow:GetEnvironment",
"airflow:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Politica di accesso all'interfaccia utente di Apache Airflow: Amazon MWAAWeb ServerAccess
Un utente potrebbe aver bisogno di accedere alla politica `AmazonMWAAWebServerAccess` delle autorizzazioni se deve accedere all'interfaccia utente di Apache Airflow. Non consente all'utente di accedere agli ambienti sulla console Amazon MWAA o di utilizzare Amazon MWAA APIs per eseguire alcuna azione. Specificate il `Admin``Op`,`User`, `Viewer` o il `Public` ruolo in `{airflow-role}` per personalizzare il livello di accesso per l'utente del token web. Per ulteriori informazioni, consulta [Ruoli predefiniti](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles) nella guida di riferimento di *Apache Airflow*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "airflow:CreateWebLoginToken",
"Resource": [
"arn:aws:airflow:us-east-1:111122223333:role/{your-environment-name}/{airflow-role}"
]
}
]
}
```
------
**Nota**
Amazon MWAA fornisce l'integrazione IAM con i cinque ruoli [RBAC (Role-based access control) predefiniti di Apache Airflow](https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html?highlight=roles). Per ulteriori informazioni sull'utilizzo dei ruoli Apache Airflow personalizzati, fare riferimento a. [Tutorial: limitazione dell'accesso di un utente Amazon MWAA a un sottoinsieme di DAGs](limit-access-to-dags.md)
Il `Resource` campo di questa policy può essere utilizzato per specificare i ruoli di controllo degli accessi basati sui ruoli Apache Airflow per l'ambiente Amazon MWAA. Tuttavia, non supporta l'ambiente Amazon MWAA ARN (Amazon Resource Name) nel campo `Resource` della policy.
## Politica di accesso all'API Apache Airflow Rest: Amazon MWAARest APIAccess
Per accedere all'API REST di Apache Airflow, devi concedere `airflow:InvokeRestApi` l'autorizzazione nella tua policy IAM. Nel seguente esempio di policy, specifica il`Admin`, `Op``User`, `Viewer` o il `Public` ruolo `{airflow-role}` per personalizzare il livello di accesso degli utenti. Per ulteriori informazioni, consulta [Ruoli predefiniti](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles) nella guida di riferimento di *Apache Airflow*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMwaaRestApiAccess",
"Effect": "Allow",
"Action": "airflow:InvokeRestApi",
"Resource": [
"arn:aws:airflow:us-east-1:111122223333:role/{your-environment-name}/{airflow-role}"
]
}
]
}
```
------
**Nota**
Durante la configurazione di un server web privato, l'`InvokeRestApi`azione non può essere richiamata dall'esterno di un Virtual Private Cloud (VPC). È possibile utilizzare la `aws:SourceVpc` chiave per applicare un controllo di accesso più granulare per questa operazione. Per ulteriori informazioni, consulta [aws](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc): SourceVpc
Il `Resource` campo di questa policy può essere utilizzato per specificare i ruoli di controllo degli accessi basati sui ruoli Apache Airflow per l'ambiente Amazon MWAA. Tuttavia, non supporta l'ambiente Amazon MWAA ARN (Amazon Resource Name) nel campo `Resource` della policy.
## Politica della CLI di Apache Airflow: Amazon MWAAAirflow CliAccess
Un utente potrebbe aver bisogno di accedere alla politica `AmazonMWAAAirflowCliAccess` delle autorizzazioni se deve eseguire i comandi CLI di Apache Airflow (come). `trigger_dag` Non consente all'utente di accedere agli ambienti sulla console Amazon MWAA o di utilizzare Amazon MWAA APIs per eseguire alcuna azione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"airflow:CreateCliToken"
],
"Resource": "arn:aws:airflow:us-east-1:111122223333:environment/${EnvironmentName}"
}
]
}
```
------
## Creazione di una policy JSON
Puoi creare la policy JSON e allegarla al tuo utente, ruolo o gruppo sulla console IAM. I passaggi seguenti descrivono come creare una policy JSON in IAM.
**Per creare la policy JSON**
1. Apri la [pagina Policies](https://console.aws.amazon.com/iam/home#/policies) sulla console IAM.
1. Scegli **Crea policy**.
1. Scegliere la scheda **JSON**.
1. Aggiungi la tua policy JSON.
1. Scegliere **Esamina policy**.
1. Inserisci un valore nel campo di testo per **Nome** e **Descrizione** (opzionale).
Ad esempio, è possibile assegnare un nome alla politica`AmazonMWAAReadOnlyAccess`.
1. Scegli **Crea policy**.
## Esempio di utilizzo per allegare politiche a un gruppo di sviluppatori
Supponiamo che tu stia utilizzando un gruppo in IAM denominato `AirflowDevelopmentGroup` per applicare le autorizzazioni a tutti gli sviluppatori del tuo team di sviluppo di Apache Airflow. Questi utenti devono accedere alle politiche di `AmazonMWAAFullConsoleAccess` accesso e `AmazonMWAAAirflowCliAccess` `AmazonMWAAWebServerAccess` autorizzazione. Questa sezione descrive come creare un gruppo in IAM, creare e allegare queste policy e associare il gruppo a un utente IAM. I passaggi presuppongono che tu stia utilizzando una [chiave AWS di proprietà](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk).
**Per creare la MWAAFull ConsoleAccess policy di Amazon**
1. Scarica la [politica di MWAAFull ConsoleAccess accesso di Amazon](./samples/AmazonMWAAFullConsoleAccess.zip).
1. Apri la [pagina delle politiche](https://console.aws.amazon.com/iam/home#/policies) sulla console IAM.
1. Scegli **Crea policy**.
1. Scegliere la scheda **JSON**.
1. Incolla la policy JSON per`AmazonMWAAFullConsoleAccess`.
1. Sostituisci i seguenti valori:
1. *123456789012*— Il tuo Account AWS ID (ad esempio`0123456789`)
1. *\$1your-kms-id\$1*— L'identificatore univoco di una chiave gestita dal cliente, applicabile solo se si utilizza una chiave gestita dal cliente per la crittografia a riposo.
1. Scegli la politica di **revisione**.
1. `AmazonMWAAFullConsoleAccess`Digita **il nome**.
1. Scegli **Crea policy**.
**Per creare la MWAAWeb ServerAccess policy di Amazon**
1. Scarica la [politica di MWAAWeb ServerAccess accesso di Amazon](./samples/AmazonMWAAWebServerAccess.zip).
1. Apri la [pagina delle politiche](https://console.aws.amazon.com/iam/home#/policies) sulla console IAM.
1. Scegli **Crea policy**.
1. Scegliere la scheda **JSON**.
1. Incolla la policy JSON per`AmazonMWAAWebServerAccess`.
1. Sostituisci i seguenti valori:
1. *us-east-1*— la regione del tuo ambiente Amazon MWAA (ad esempio) `us-east-1`
1. *123456789012*— il tuo Account AWS ID (ad esempio) `0123456789`
1. *\$1your-environment-name\$1*— il nome dell'ambiente Amazon MWAA (ad esempio) `MyAirflowEnvironment`
1. *\$1airflow-role\$1*[— il ruolo predefinito di `Admin` Apache Airflow](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles)
1. Scegliere **Esamina policy**.
1. **Digita il `AmazonMWAAWebServerAccess` nome.**
1. Scegli **Crea policy**.
**Per creare la MWAAAirflow CliAccess policy di Amazon**
1. Scarica la [politica di MWAAAirflow CliAccess accesso di Amazon](./samples/AmazonMWAAAirflowCliAccess.zip).
1. Apri la [pagina delle politiche](https://console.aws.amazon.com/iam/home#/policies) sulla console IAM.
1. Scegli **Crea policy**.
1. Scegliere la scheda **JSON**.
1. Incolla la policy JSON per`AmazonMWAAAirflowCliAccess`.
1. Scegli la **politica di revisione**.
1. `AmazonMWAAAirflowCliAccess`Digita **il nome**.
1. Scegli **Crea policy**.
**Per creare il gruppo**
1. Apri la [pagina Gruppi](https://console.aws.amazon.com/iam/home#/groups) sulla console IAM.
1. Inserisci un nome di`AirflowDevelopmentGroup`.
1. Selezionare **Next Step (Fase successiva)**.
1. Digita `AmazonMWAA` per filtrare i risultati in **Filtro**.
1. Seleziona le tre politiche che hai creato.
1. Selezionare **Next Step (Fase successiva)**.
1. Selezionare **Create Group (Crea gruppo)**.
**Da associare a un utente**
1. Apri la [pagina Utenti](https://console.aws.amazon.com/iam/home#/users) sulla console IAM.
1. Scegli un utente.
1. Scegliere **Groups (Gruppi)**.
1. Scegli **Aggiungi utente ai gruppi**.
1. Selezionare il **AirflowDevelopmentGroup**.
1. Scegliere **Add to Groups (Aggiungi a gruppi)**.
## Fasi successive
+ Scopri come generare un token per accedere all'interfaccia utente di Apache Airflow. [Accesso ad Apache Airflow](access-airflow-ui.md)
+ Scopri di più sulla creazione di policy IAM in [Creazione di policy IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html).