新しい MWAA 環境への移行に関する主な考慮事項 - Amazon Managed Workflows for Apache Airflow
認証実行ロール

新しい MWAA 環境への移行に関する主な考慮事項

Apache Airflow ワークロードを Amazon MWAA に移行する計画を立てる際に、認証や Amazon MWAA 実行ロールなどの重要な考慮事項について詳しく学んでください。

認証

Amazon MWAA は AWS Identity and Access Management (IAM) を使用して Apache エアフロー UI へのアクセスを制御します。ウェブサーバーにアクセスして DAG を管理する権限を Apache Airflow ユーザーに付与するための IAM ポリシーを作成して管理する必要があります。異なるアカウントで IAM を使用して、Apache Airflow の デフォルトロール の認証と認可の両方を管理できます。

カスタム Airflow ロールを作成して IAM プリンシパルにマッピングすることで、Apache Airflow ユーザーがワークフロー DAG のサブセットのみにアクセスするようにさらに管理および制限できます。詳細とステップごとのチュートリアルについては、チュートリアル: DAG のサブセットへの Amazon MWAA ユーザーのアクセスを制限する を参照してください。

Amazon MWAA にアクセスするようにフェデレーテッドアイデンティティを設定することもできます。詳細については、以下を参照してください。

実行ロール

Amazon MWAA は、他のAWSサービスにアクセスするためのアクセス許可を環境に付与する実行ロールを使用します。関連するアクセス許可をロールに追加することで、ワークフローに AWS サービスへのアクセスを提供できます。初めて環境を作成するときに、新しい実行ロールを作成するデフォルトオプションを選択した場合、Amazon MWAA はロールに必要な最小限のアクセス許可をロールにアタッチします。ただし、Amazon MWAA がすべてのロググループを自動的に追加する CloudWatch Logs の場合を除きます。

実行ロールが作成されると、Amazon MWAA はユーザーに代わってそのアクセス権限ポリシーを管理できなくなります。実行ロールを更新するには、ポリシーを編集して必要に応じてアクセス許可を追加し、削除する必要があります。例えば、Amazon MWAA 環境をバックエンドとして AWS Secrets Manager を統合して、Apache Airflow ワークフローで使用するシークレットと接続文字列を安全に保存します。そのためには、以下のアクセス権限ポリシーを環境の実行ロールにアタッチします。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

他のAWSサービスとの統合も同様のパターンに従って、Amazon MWAA 実行ロールに関連するアクセス権限ポリシーを追加して、Amazon MWAA にサービスへのアクセス許可を付与します。Amazon MWAA 実行ロールの管理に関する詳細およびその他の例については、Amazon MWAA ユーザーガイドAmazon MWAA 実行ロール を参照してください。