Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Tutorial: limitazione dell'accesso di un utente Amazon MWAA a un sottoinsieme di DAGs
[Amazon MWAA gestisce l'accesso al tuo ambiente mappando i tuoi principali IAM su uno o più ruoli predefiniti di Apache Airflow.](https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html#default-roles) Usa il seguente tutorial per limitare i singoli utenti di Amazon MWAA ad accedere e interagire solo con un DAG specifico o un insieme di. DAGs
**Nota**
I passaggi di questo tutorial possono essere completati utilizzando l'accesso federato, purché si possano assumere i ruoli IAM.
**Topics**
+ [Prerequisiti](#limit-access-to-dags-prerequisites)
+ [Fase uno: fornisci l'accesso al server web Amazon MWAA al tuo principale IAM con il ruolo Apache `Public` Airflow predefinito.](#limit-access-to-dags-apply-public-access)
+ [Fase due: creare un nuovo ruolo personalizzato Apache Airflow](#limit-access-to-dags-create-new-airflow-role)
+ [Fase tre: assegna il ruolo che hai creato al tuo utente Amazon MWAA](#limit-access-to-dags-assign-role)
+ [Fasi successive](#limit-access-to-dags-next-up)
+ [Risorse correlate](#limit-access-to-dags-related-resources)
## Prerequisiti
Per completare i passaggi di questo tutorial, avrai bisogno di quanto segue:
+ Un [ambiente Amazon MWAA con](get-started.md) più DAGs
+ Un principale IAM, `Admin` con [AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess$jsonEditor)autorizzazioni, e un utente IAM`MWAAUser`, come principale per il quale è possibile limitare l'accesso al DAG. Per ulteriori informazioni sui ruoli di amministratore, consulta la [funzione di amministratore](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) nella Guida per l'utente *IAM*
**Nota**
Non allegare politiche di autorizzazione direttamente ai tuoi utenti IAM. Ti consigliamo di configurare ruoli IAM che gli utenti possono assumere per ottenere l'accesso temporaneo alle tue risorse Amazon MWAA.
+ [AWS Command Line Interface versione 2 installata](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install).
## Fase uno: fornisci l'accesso al server web Amazon MWAA al tuo principale IAM con il ruolo Apache `Public` Airflow predefinito.
**Per concedere l'autorizzazione utilizzando il Console di gestione AWS**
1. Accedi al tuo account Account AWS con un `Admin` ruolo e apri la [console IAM](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione a sinistra, scegli **Utenti**, quindi scegli il tuo utente Amazon MWAA IAM dalla tabella degli utenti.
1. **Nella pagina dei dettagli dell'utente, in **Riepilogo**, scegli la scheda **Autorizzazioni**, quindi scegli **Politiche di autorizzazione per espandere la scheda e scegli Aggiungi autorizzazioni**.**
1. Nella sezione **Concedi autorizzazioni**, scegli **Allega direttamente le politiche esistenti**, quindi scegli **Crea politica per creare e allegare la tua politica** di autorizzazioni personalizzata.
1. Nella pagina **Crea politica**, scegli **JSON**, quindi copia e incolla la seguente politica di autorizzazioni JSON nell'editor delle politiche. Questa politica concede l'accesso al server Web all'utente con il ruolo Apache `Public` Airflow predefinito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "airflow:CreateWebLoginToken",
"Resource": [
"arn:aws:airflow:{{us-east-1}}:{{111122223333}}:role/{{YOUR_ENVIRONMENT_NAME}}/Public"
]
}
]
}
```
------
## Fase due: creare un nuovo ruolo personalizzato Apache Airflow
**Per creare un nuovo ruolo utilizzando l'interfaccia utente di Apache Airflow**
1. Utilizzando il tuo ruolo di amministratore IAM, apri la [console Amazon MWAA](https://console.aws.amazon.com/mwaa/home) e avvia l'interfaccia utente Apache Airflow del tuo ambiente.
1. Dal riquadro di navigazione in alto, passa il mouse su **Sicurezza** per aprire l'elenco a discesa, quindi scegli Elenca **ruoli per accedere ai ruoli** Apache Airflow predefiniti.
1. Dall'elenco dei ruoli, seleziona **Utente**, quindi all'inizio della pagina scegli **Azioni per aprire il menu a discesa**. **Scegli **Copia ruolo** e conferma Ok**
**Nota**
Copia i ruoli **Ops** o **Viewer** per concedere rispettivamente un accesso maggiore o minore.
1. Individua il nuovo ruolo che hai creato nella tabella e scegli **Modifica record**.
1. Nella pagina **Modifica ruolo**, procedi come segue:
+ Per **Nome**, inserisci un nuovo nome per il ruolo nel campo di testo. Ad esempio, **Restricted**.
+ Per l'elenco delle **autorizzazioni**, rimuovi `can read on DAGs` e `can edit on DAGs` quindi aggiungi le autorizzazioni di lettura e scrittura per il set a DAGs cui desideri fornire l'accesso. Ad esempio, per un DAG`example_dag.py`, aggiungi e. **`can read on DAG:{{example_dag}}`** **`can edit on DAG:{{example_dag}}`**
Scegli **Save** (Salva). Ora hai un nuovo ruolo che limita l'accesso a un sottoinsieme di contenuti DAGs disponibili nel tuo ambiente Amazon MWAA. Puoi assegnare questo ruolo a qualsiasi utente Apache Airflow esistente.
## Fase tre: assegna il ruolo che hai creato al tuo utente Amazon MWAA
**Per assegnare il nuovo ruolo**
1. Utilizzando le credenziali di accesso per`MWAAUser`, esegui il seguente comando CLI per recuperare l'URL del server web del tuo ambiente.
```
aws mwaa get-environment --name {{YOUR_ENVIRONMENT_NAME}} | jq '.Environment.WebserverUrl'
```
In caso di successo, farai riferimento al seguente risultato:
```
"ab1b2345-678a-90a1-a2aa-34a567a8a901.c13.us-west-2.airflow.amazonaws.com"
```
1. Dopo `MWAAUser` aver effettuato l'accesso Console di gestione AWS, apri una nuova finestra del browser e accedi a quanto segue URl. Sostituisci `Webserver-URL` con le tue informazioni.
```
https://{{}}/home
```
In caso di successo, verrà visualizzata una pagina di `Forbidden` errore perché non `MWAAUser` è stata ancora concessa l'autorizzazione per accedere all'interfaccia utente di Apache Airflow.
1. Dopo `Admin` aver effettuato l'accesso Console di gestione AWS, apri nuovamente la console Amazon MWAA e avvia l'interfaccia utente Apache Airflow del tuo ambiente.
1. **Dalla dashboard dell'interfaccia utente, espandi il menu a discesa **Sicurezza** e questa volta scegli Elenca utenti.**
1. **Nella tabella degli utenti, trova il nuovo utente Apache Airflow e scegli Modifica record.** Il nome dell'utente corrisponderà al tuo nome utente IAM nel seguente schema:. `user/{{mwaa-user}}`
1. Nella pagina **Modifica utente**, nella sezione **Ruolo**, aggiungi il nuovo ruolo personalizzato che hai creato, quindi scegli **Salva**.
**Nota**
Il campo **Cognome** è obbligatorio, ma uno spazio soddisfa il requisito.
Il `Public` principale IAM concede l'`MWAAUser`autorizzazione per accedere all'interfaccia utente di Apache Airflow, mentre il nuovo ruolo fornisce le autorizzazioni aggiuntive necessarie per ottenerle. DAGs
**Importante**
Tutti i 5 ruoli predefiniti (ad esempio`Admin`) non autorizzati da IAM che vengono aggiunti utilizzando l'interfaccia utente di Apache Airflow verranno rimossi al successivo accesso dell'utente.
## Fasi successive
+ Per ulteriori informazioni sulla gestione dell'accesso al tuo ambiente Amazon MWAA e per ottenere esempi di policy JSON IAM da utilizzare per gli utenti del tuo ambiente, consulta [Accesso a un ambiente Amazon MWAA](access-policies.md)
## Risorse correlate
+ [Controllo degli accessi](https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html) (documentazione Apache Airflow): scopri di più sui ruoli predefiniti di Apache Airflow sul sito Web della documentazione di Apache Airflow.