チュートリアル: Amazon MWAA ユーザーのアクセスを DAG のサブセットに制限する - Amazon Managed Workflows for Apache Airflow
前提条件ステップ 1: Amazon MWAA ウェブサーバーにデフォルトの Public Apache Airflow ロールを使用して IAM プリンシパルへのアクセスを提供します。ステップ 2:新しい Apache Airflow カスタムロールを作成するステップ 3:作成したロールを Amazon MWAA ユーザーに割り当てます。次のステップ関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

チュートリアル: Amazon MWAA ユーザーのアクセスを DAG のサブセットに制限する

Amazon MWAA は IAM プリンシパルを 1 つ以上の Apache Airflow のデフォルトロールにマッピングすることで、環境へのアクセスを管理します。次のチュートリアルを使用して、個々の Amazon MWAA ユーザーが特定の DAG または一連の DAGs。

注記

このチュートリアルのステップは、IAM ロールを想定できる限り、フェデレーションアクセスを使用して完了できます。

前提条件

このチュートリアルのステップを完了するには、以下のものが必要です。

ステップ 1: Amazon MWAA ウェブサーバーにデフォルトの Public Apache Airflow ロールを使用して IAM プリンシパルへのアクセスを提供します。

を使用してアクセス許可を付与するには AWS Management Console

  1. Admin ロール AWS アカウント を使用して にサインインし、IAM コンソールを開きます。

  2. 左側のナビゲーションペインで [ユーザー] を選択し、ユーザーテーブルから Amazon MWAA IAM ユーザーを選択します。

  3. ユーザー詳細ページの [概要][アクセス許可] タブを選択し、[アクセス許可ポリシー] を選択してカードを展開し、[アクセス許可の追加] を選択します。

  4. [権限の付与] セクションで、[既存のポリシーの直接添付] を選択し、[ポリシーの作成] を選択して、独自のカスタム権限ポリシーを作成して添付します。

  5. [ポリシーの作成] ページで [JSON] を選択し、次の JSON アクセス権限ポリシーをコピーしてポリシーエディターに貼り付けます。ポリシーは、デフォルトの Public Apache Airflow ロールを持つユーザーにウェブサーバーアクセスを許可します。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "airflow:CreateWebLoginToken",
            "Resource": [
            "arn:aws:airflow:us-east-1:111122223333:role/YOUR_ENVIRONMENT_NAME/Public"
            ]
        }
    ]
}

ステップ 2:新しい Apache Airflow カスタムロールを作成する

Apache Airflow UI を使用して新しいロールを作成するには

  1. 管理者の IAM ロールを使用して、Amazon MWAA コンソールを開き、環境の Apache Airflow UI を起動します。

  2. 上部のナビゲーションペインで、セキュリティ にカーソルを合わせ、ドロップダウンリストを開き、ロールのリストを選択してデフォルトの Apache Airflow ロールにアクセスします。

  3. ロールリストからユーザーを選択し、ページの先頭でアクションを選択してドロップダウンを開きます。[ロールをコピー] を選択し、[OK] を確認します。

    注記

    [Ops] ロールまたは [ビューワー] ロールをコピーして、それぞれ許可するアクセス権を増やしたり減らしたりします。

  4. テーブルで作成した新しいロールを探し、[レコードを編集] を選択します。

  5. [ロールを編集] ページで以下を実行します。

    • [名前] には、テキストフィールドにロールの新しい名前を入力します。例えば、Restricted

    • [アクセス許可] のリストから can read on DAGscan edit on DAGs を削除し、アクセスを提供したい DAG のセットに対して読み取りおよび書き込みのアクセス許可を追加してください。たとえば、DAG である example_dag.py の場合、can read on DAG:example_dagcan edit on DAG:example_dag を追加してください。

    [保存] を選択します。これで、Amazon MWAA 環境で使用可能な DAGs のサブセットへのアクセスを制限する新しいロールができました。このロールは、既存の Apache Airflow ユーザーに割り当てることができます。

ステップ 3:作成したロールを Amazon MWAA ユーザーに割り当てます。

新しいロールを割り当てるには

  1. のアクセス認証情報を使用してMWAAUser、次の CLI コマンドを実行して環境のウェブサーバー URL を取得します。

    aws mwaa get-environment --name YOUR_ENVIRONMENT_NAME | jq '.Environment.WebserverUrl'

    成功すると、次の出力を参照します。

    "ab1b2345-678a-90a1-a2aa-34a567a8a901.c13.us-west-2.airflow.amazonaws.com"

  2. MWAAUserサインインしたら AWS Management Console、新しいブラウザウィンドウを開き、次の URl にアクセスします。Webserver-URL を自分の情報に置き換えます。

    https://<Webserver-URL>/home

    成功すると、 MWAAUserに Apache Airflow UI へのアクセス許可がまだ付与されていないため、Forbiddenエラーページが表示されます。

  3. Adminサインインしたら AWS Management Console、Amazon MWAA コンソールを再度開き、環境の Apache Airflow UI を起動します。

  4. UI ダッシュボードから [セキュリティ] ドロップダウンを展開し、今度は [ユーザーを一覧表示] を選択します。

  5. ユーザーテーブルで新しい Apache Airflow ユーザーを探し、[レコードを編集] を選択します。ユーザーの名前は、次のパターンで IAM ユーザーの名前と一致します:user/mwaa-user

  6. [ユーザーの編集] ページの [ロール] セクションで、作成した新しいカスタムロールを追加し、[保存] を選択します。

    注記

    [姓] フィールドは必須ですが、スペースがあれば十分です。

    IAM Publicプリンシパルは Apache Airflow UI にアクセスするアクセスMWAAUser許可を付与し、新しいロールは DAGs を取得するために必要な追加のアクセス許可を提供します。

重要

Apache Airflow UI を使用して追加された IAM によって承認されていない 5 つのデフォルトロール ( などAdmin) は、次のユーザーログイン時に削除されます。

次のステップ

  • Amazon MWAA 環境へのアクセスの管理、および環境ユーザーに使用できるサンプル JSON IAM ポリシーの取得の詳細については、「」を参照してください。 Amazon MWAA 環境へのアクセス

  • アクセスコントロール (Apache Airflow ドキュメント) — デフォルトの Apache Airflow ロールの詳細については、Apache Airflow ドキュメンテーションウェブサイトをご覧ください。