Principais considerações ao migrar para um novo ambiente do MWAA - Amazon Managed Workflows for Apache Airflow
AutenticaçãoPerfil de execução

Principais considerações ao migrar para um novo ambiente do MWAA

Saiba mais sobre as principais considerações, como a autenticação e o perfil de execução do Amazon MWAA, ao planejar migrar suas workloads do Apache Airflow para o Amazon MWAA.

Autenticação

O Amazon MWAA usa AWS Identity and Access Management (IAM) para controlar o acesso à IU do Apache Airflow. Você deve criar e gerenciar políticas do IAM que concedam aos seus usuários do Apache Airflow permissão para acessar o servidor web e gerenciar DAGs. É possível gerenciar tanto a autenticação quanto a autorização dos perfis padrão do Apache Airflow usando o IAM em diferentes contas.

É possível gerenciar e restringir ainda mais os usuários do Apache Airflow para acessar somente um subconjunto dos DAGs do seu fluxo de trabalho, criando perfis personalizados do Airflow e mapeando-as de acordo com suas entidades principais do IAM. Para obter mais informações e um tutorial passo a passo, consulte Tutorial: como restringir o acesso de um usuário do Amazon MWAA a um subconjunto de DAGs.

É possível também configurar identidades federadas para acessar o Amazon MWAA. Para obter mais informações, consulte o seguinte:

Perfil de execução

O Amazon MWAA usa um perfil de execução que concede permissões ao seu ambiente para acessar outros serviços da AWS. É possível fornecer acesso aos serviços da AWS ao seu fluxo de trabalho adicionando as permissões relevantes ao perfil. Se você escolher a opção padrão para criar um novo perfil de execução ao criar o ambiente pela primeira vez, o Amazon MWAA atribuirá as permissões mínimas necessárias ao perfil, exceto no caso do CloudWatch Logs, ao qual o Amazon MWAA adiciona todos os grupos de log automaticamente.

Depois que o perfil de execução é criado, o Amazon MWAA não pode gerenciar as políticas de permissão do perfil em seu nome. Para atualizar o perfil de execução, você deve editar a política para adicionar e remover permissões conforme necessário. Por exemplo, é possível integrar seu ambiente Amazon MWAA com AWS Secrets Manager como um back-end para armazenar com segurança segredos e cadeias de conexão para usar em seus fluxos de trabalho do Apache Airflow. Para isso, anexe a seguinte política de permissão ao perfil de execução do seu ambiente.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}

A integração com outros serviços da AWS segue um padrão semelhante: você adiciona a política de permissão relevante ao seu perfil de execução do Amazon MWAA, concedendo permissão ao Amazon MWAA para acessar o serviço. Para obter mais informações sobre como gerenciar o perfil de execução do Amazon MWAA e ver exemplos adicionais, visite Perfil de execução do Amazon MWAA no Guia do usuário do Amazon MWAA.