Amazon MWAA のサービスにリンクされたロール - Amazon Managed Workflows for Apache Airflow
Amazon MWAA のサービスリンクロール許可Amazon MWAA のサービスリンクロールの作成Amazon MWAA のサービスリンクロールの編集Amazon MWAA のサービスリンクロールの削除Amazon MWAA サービスリンクロールがサポートされるリージョンポリシーの更新

Amazon MWAA のサービスにリンクされたロール

Amazon Managed Workflows for Apache Airflow は、AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、Amazon MWAA に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Amazon MWAA によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要な設定を手動で追加する必要がないため、Amazon MWAA の設定が簡単になります。サービスリンクロールの許可は Amazon MWAA が定義し、特に定義されない限り、Amazon MWAA のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これは、リソースにアクセスするための許可を不用意に削除できないため、Amazon MWAA リソースを保護できます。

サービスにリンクされたロールをサポートする他のサービスについては、IAM と連動する AWS のサービス を参照し、Service-linked roles (サービスにリンクされたロール) の列内で はい と表記されたサービスを検索してください。サービスリンクロールに関するドキュメントをサービスでアクセスするには、リンクで はい を選択します。

Amazon MWAA のサービスリンクロール許可

Amazon MWAA は、AWSServiceRoleForAmazonMWAA という名前のサービスにリンクされたロールを使用します。アカウントで作成されたサービスリンクロールは、次の AWS サービスへのアクセスを Amazon MWAA に付与します。

  • Amazon CloudWatch Logs (CloudWatch Logs) — Apache Airflow ログのロググループを作成します。

  • Amazon CloudWatch (CloudWatch) — お使いの環境とその基盤となるコンポーネントに関連するメトリクスをお使いのアカウントに公開します。

  • Amazon Elastic Compute Cloud (Amazon EC2) — 以下のリソースを作成するには:

    • AWS マネージド型の Amazon Aurora PostgreSQL データベースクラスター用の VPC 内の Amazon VPC エンドポイント。Apache Airflow Scheduler および Worker によって使用されます。

    • Apache Airflow Web server の プライベートネットワーク オプションを選択した場合に、Web serverへのネットワークアクセスを有効にする追加の Amazon VPC エンドポイント。

    • Amazon VPC 内の Elastic Network Interface (ENI) により、Amazon VPC でホストされている AWS リソースへのネットワークアクセスを可能にします。

次の信頼ポリシーは、サービスプリンシパルがサービスにリンクされたロールを引き受けることを許可します。Amazon MWAA のサービスプリンシパルは、ポリシーに示されているとおり airflow.amazonaws.com です。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "airflow.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AmazonMWAAServiceRolePolicy という名前のロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon MWAA に許可します。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:airflow-*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachNetworkInterface",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcs",
                "ec2:DetachNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpoint",
                "ec2:DeleteVpcEndpoints"
            ],
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonMWAAManaged": false
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:ModifyVpcEndpoint"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:vpc/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:subnet/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateVpcEndpoint"
                },
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/MWAA"
                    ]
                }
            }
        }
    ]
}

サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については IAM ユーザーガイドサービスにリンクされた役割のアクセス許可 を参照してください。

Amazon MWAA のサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。AWS マネジメントコンソール、AWS CLI、または AWS API で Amazon MWAA クラスターを作成すると、Amazon MWAA がサービスにリンクされたロールを作成します。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。別の環境を作成すると、Amazon MWAA によって、サービスにリンクされたロールが再度作成されます。

Amazon MWAA のサービスリンクロールの編集

Amazon MWAA では、AWSServiceRoleForAmazonMWAA サービスにリンクされたロールの編集は許可されません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については IAM ユーザーガイド の サービスにリンクされた役割の編集 を参照してください。

Amazon MWAA のサービスリンクロールの削除

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。

Amazon MWAA 環境を削除すると、Amazon MWAA はサービスの一部として使用する関連リソースをすべて削除します。ただし、Amazon MWAA が環境の削除を完了するまで待ってから、サービスにリンクされたロールを削除する必要があります。Amazon MWAA が環境を削除する前にサービスにリンクされたロールを削除すると、Amazon MWAA は環境に関連するリソースをすべて削除できなくなる可能性があります。

サービスリンクロールを IAM で手動削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされたロールである AWSServiceRoleForAmazonMWAA を削除します。詳細については、IAM ユーザーガイドサービスにリンクされたロールの削除 を参照してください。

Amazon MWAA サービスリンクロールがサポートされるリージョン

Amazon MWAA は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細は、Amazon Managed Workflows for Apache Airflow エンドポイントとクオータ を参照してください。

ポリシーの更新

変更 説明 日付

Amazon MWAA は、サービスにリンクされたロールの権限ポリシーを更新

AmazonMWAAServiceRolePolicy — Amazon MWAA は、サービスにリンクされたロールのアクセス権限ポリシーを更新し、サービスの基盤となるリソースに関連する追加のメトリクスをカスタマーアカウントに公開する権限を Amazon MWAA に付与します。これらの新しいメトリクスは、AWS/MWAA で公開されます

2022 年 11 月 18 日

Amazon MWAA が変更の追跡を開始しました

Amazon MWAA は、AWS マネージドサービスにリンクされたロールの追跡を開始しました。

2022 年 11 月 18 日