翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

新しい MWAA 環境への移行に関する主な考慮事項

Apache Airflow ワークロードを Amazon MWAA に移行する計画を立てる際に、認証や Amazon MWAA 実行ロールなどの重要な考慮事項について詳しく学んでください。

認証

Amazon MWAA は AWS Identity and Access Management (IAM) を使用して Apache Airflow UI へのアクセスを制御します。ウェブサーバーにアクセスして DAG を管理する権限を Apache Airflow ユーザーに付与するための IAM ポリシーを作成して管理する必要があります。異なるアカウントで IAM を使用して、Apache Airflow の デフォルトロール の認証と認可の両方を管理できます。

カスタム Airflow ロールを作成して IAM プリンシパルにマッピングすることで、Apache Airflow ユーザーがワークフロー DAG のサブセットのみにアクセスするようにさらに管理および制限できます。詳細とステップごとのチュートリアルについては、「チュートリアル:DAG のサブセットへの Amazon MWAA ユーザーのアクセスを制限する」を参照してください。

Amazon MWAA にアクセスするようにフェデレーテッドアイデンティティを設定することもできます。詳細については、以下を参照してください。

実行ロール

Amazon MWAA は、他の AWS サービスにアクセスするためのアクセス許可を環境に付与する実行ロールを使用します。関連するアクセス許可をロールに追加することで、ワークフローに AWS サービスへのアクセスを提供できます。初めて環境を作成するときに、新しい実行ロールを作成するデフォルトオプションを選択した場合、Amazon MWAA はロールに必要な最小限のアクセス権限をロールにアタッチします。ただし、Amazon MWAA がすべてのロググループを自動的に追加する CloudWatch Logs の場合を除きます。

実行ロールが作成されると、Amazon MWAA はユーザーに代わってそのアクセス権限ポリシーを管理できなくなります。実行ロールを更新するには、ポリシーを編集して必要に応じてアクセス権限を追加し、削除する必要があります。たとえば、Amazon MWAA 環境をバックエンドとして AWS Secrets Manager を統合して、Apache Airflow ワークフローで使用するシークレットと接続文字列を安全に保存します。そのためには、以下のアクセス権限ポリシーを環境の実行ロールにアタッチします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-west-2:012345678910:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

他の AWS サービスとの統合も同様のパターンに従います。関連するアクセス許可ポリシーを Amazon MWAA 実行ロールに追加し、サービスにアクセスするアクセス許可を Amazon MWAA に付与します。Amazon MWAA 実行ロールの管理に関する詳細およびその他の例については、Amazon MWAA ユーザーガイドの「Amazon MWAA 実行ロール」を参照してください。