Como funciona Acesso total ao console Acesso total a uma API Acesso de somente leitura ao console Acesso à IU do Apache Airflow Acesso à API REST do Apache Airflow Acesso à CLI do Apache Airflow Como criar uma política JSON Exemplo de caso de uso Próximas etapas

Como acessar um ambiente do Amazon MWAA

Para usar o Amazon Managed Workflows for Apache Airflow, você deve usar uma conta e entidades do IAM com as permissões necessárias. Este tópico descreve as políticas de acesso que você pode vincular à sua equipe de desenvolvimento do Apache Airflow e aos usuários do Apache Airflow para seu ambiente Amazon Managed Workflows for Apache Airflow.

Recomendamos usar credenciais temporárias e configurar identidades federadas com grupos e perfis para acessar seus recursos do Amazon MWAA. Como prática recomendada, evite vincular políticas diretamente aos usuários do IAM. Em vez disso, defina grupos ou perfis para fornecer acesso temporário aos recursos da AWS.

Um perfil do IAM é uma identidade do IAM que você pode criar em sua conta que tem permissões específicas. Um perfil do IAM é semelhante a um usuário do IAM porque é uma identidade da AWS com políticas de permissão que determinam o que ela pode e não pode fazer na AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele. Além disso, um perfil não tem credenciais de longo prazo padrão associadas a ele, como senha ou chaves de acesso. Em vez disso, quando você assumir um perfil, ele fornecerá credenciais de segurança temporárias para sua sessão de perfil.

Para atribuir permissões a identidades federadas, você pode criar um perfil e definir permissões para o perfil. Quando uma identidade federada é autenticada, essa identidade é associada ao perfil e recebe as permissões definidas por ele. Para ter mais informações sobre perfis para federação, consulte Criar um perfil para um provedor de identidade de terceiros (federação) no Guia do usuário do IAM. Se usar o Centro de Identidade do IAM, configure um conjunto de permissões. Para controlar o que suas identidades podem acessar após a autenticação, o Centro de Identidade do IAM correlaciona o conjunto de permissões a um perfil no IAM. Para obter informações sobre conjuntos de permissões, consulte Conjuntos de Permissões no Guia do Usuário do AWS IAM Identity Center.

Você pode usar um perfil do IAM em sua conta para conceder outras permissões Conta da AWS para acessar os recursos de sua conta. Para ver um exemplo, consulte Tutorial do IAM: delegar acesso entre Contas da AWS usando perfis do IAM no Manual do usuário do IAM.

Seções

Como funciona
Política de acesso total ao console: AmazonMWAAFullConsoleAccess
Política de acesso completa à API e ao console: AmazonMWAAFullApiAccess
Política de acesso de somente leitura ao console: AmazonMWAAReadOnlyAccess
Política de acesso à IU do Apache Airflow: AmazonMWAAWebServerAccess
Política de acesso à API REST do Apache Airflow: AmazonMWAARestAPIAccess
Política de CLI do Apache Airflow: AmazonMWAAAirflowCliAccess
Como criar uma política JSON
Exemplo de caso de uso para anexar políticas a um grupo de desenvolvedores
Próximas etapas

Como funciona

Os recursos e serviços usados em um ambiente do Amazon MWAA não estão acessíveis a todas as entidades da AWS Identity and Access Management (IAM). Você deve criar uma política que conceda permissão aos usuários do Apache Airflow para acessar esses recursos. Por exemplo, é preciso conceder acesso à sua equipe de desenvolvimento do Apache Airflow.

O Amazon MWAA usa essas políticas para validar se um usuário tem as permissões necessárias para realizar uma ação no console da AWS ou por meio das APIs usadas por um ambiente.

Você pode usar as políticas JSON desse tópico para criar uma política para seus usuários do Apache Airflow no IAM e, em seguida, anexar a política a um usuário, grupo ou perfil no IAM.

AmazonMWAAFullConsoleAccess: use esta política para conceder permissão para configurar um ambiente no console da Amazon MWAA.
AmazonMWAAFullApiAccess: use esta política para conceder acesso a todas as APIs do Amazon MWAA usadas para gerenciar um ambiente.
AmazonMWAAReadOnlyAccess: use esta política para conceder acesso aos recursos usados por um ambiente no console do Amazon MWAA.
AmazonMWAAWebServerAccess: use esta política para conceder acesso ao servidor Web do Apache Airflow.
AmazonMWAAAirflowCliAccess: use esta política para conceder acesso para executar comandos da CLI do Apache Airflow.

Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis:

Usuários e grupos no AWS IAM Identity Center:

Crie um conjunto de permissões. Siga as instruções em Criação de um conjunto de permissões no Guia do usuário do AWS IAM Identity Center.
Usuários gerenciados no IAM com provedor de identidades:

Crie um perfil para a federação de identidades. Siga as instruções em Criando um perfil para um provedor de identidades de terceiros (federação) no Guia do Usuário do IAM.
Usuários do IAM:
- Crie um perfil que seu usuário possa assumir. Siga as instruções em Criação de um perfil para um usuário do IAM no Guia do usuário do IAM.
- (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em Adição de permissões a um usuário (console) no Guia do usuário do IAM.

Política de acesso total ao console: AmazonMWAAFullConsoleAccess

O usuário pode precisar acessar a política de permissões AmazonMWAAFullConsoleAccess se for necessário configurar um ambiente no console do Amazon MWAA.

nota

Sua política completa de acesso ao console deve incluir permissões para executar iam:PassRole. Isso permite que o usuário transfira perfis vinculados a serviços e perfis de execução ao Amazon MWAA. O Amazon MWAA assume cada perfil para chamar outros serviços da AWS em seu nome. O exemplo a seguir usa a chave de condição iam:PassedToService para especificar a entidade principal de serviço do Amazon MWAA (airflow.amazonaws.com) como o serviço para o qual um perfil pode ser transferido.

Para obter mais informações sobre iam:PassRole, consulte Concessão de permissões a um usuário para alternar um perfil para um serviço da AWS no Guia do usuário do IAM.

Use a política a seguir se quiser criar e gerenciar seus ambientes do Amazon MWAA usando uma Chave pertencente à AWS para criptografia em repouso.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "airflow:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "airflow.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:policy/service-role/MWAA-Execution-Policy*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:CreateRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/service-role/AmazonMWAA*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketVersions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeRouteTables"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateSecurityGroup"
            ],
            "Resource": "arn:aws:ec2:*:*:security-group/airflow-security-group-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:ListAliases"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:*:*:vpc-endpoint/*",
                "arn:aws:ec2:*:*:vpc/*",
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}

Use a política a seguir se quiser criar e gerenciar seus ambientes do Amazon MWAA usando uma chave gerenciada pelo cliente para criptografia em repouso. Para usar uma chave gerenciada pelo cliente, a entidade principal do IAM deve ter permissão para acessar os recursos de AWS KMS usando a chave armazenada em sua conta.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "airflow:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "airflow.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreatePolicy"
            ],
            "Resource": "arn:aws:iam::111122223333:policy/service-role/MWAA-Execution-Policy*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:CreateRole"
            ],
            "Resource": "arn:aws:iam::111122223333:role/service-role/AmazonMWAA*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetBucketLocation",
                "s3:ListAllMyBuckets",
                "s3:ListBucket",
                "s3:ListBucketVersions"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutObject",
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeRouteTables"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:CreateSecurityGroup"
            ],
            "Resource": "arn:aws:ec2:*:*:security-group/airflow-security-group-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:ListAliases"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListGrants",
                "kms:CreateGrant",
                "kms:RevokeGrant",
                "kms:Decrypt",
                "kms:Encrypt",
                "kms:GenerateDataKey*",
                "kms:ReEncrypt*"
            ],
            "Resource": "arn:aws:kms:*:111122223333:key/YOUR_KMS_ID"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:*:*:vpc-endpoint/*",
                "arn:aws:ec2:*:*:vpc/*",
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}

Política de acesso completa à API e ao console: AmazonMWAAFullApiAccess

O usuário pode precisar acessar a política de permissões AmazonMWAAFullApiAccess se for necessário o acesso a todas as APIs do Amazon MWAA usadas para gerenciar um ambiente. Ela não concede permissões para acesso da IU do Apache Airflow.

nota

Uma política de acesso completa à API deve incluir permissões para executar iam:PassRole. Isso permite que o usuário transfira perfis vinculados a serviços e perfis de execução ao Amazon MWAA. O Amazon MWAA assume cada perfil para chamar outros serviços da AWS em seu nome. O exemplo a seguir usa a chave de condição iam:PassedToService para especificar a entidade principal de serviço do Amazon MWAA (airflow.amazonaws.com) como o serviço para o qual um perfil pode ser transferido.

Para obter mais informações sobre iam:PassRole, consulte Concessão de permissões a um usuário para alternar um perfil para um serviço da AWS no Guia do usuário do IAM.

Use a política a seguir se quiser criar e gerenciar seus ambientes do Amazon MWAA usando uma Chave pertencente à AWS para criptografia em repouso.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "airflow:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "airflow.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:DescribeRouteTables"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey",
                "kms:ListGrants",
                "kms:CreateGrant",
                "kms:RevokeGrant",
                "kms:Decrypt",
                "kms:Encrypt",
                "kms:GenerateDataKey*",
                "kms:ReEncrypt*"
            ],
            "Resource": "arn:aws:kms:*:111122223333:key/YOUR_KMS_ID"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetEncryptionConfiguration"
            ],
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": [
                "arn:aws:ec2:*:*:vpc-endpoint/*",
                "arn:aws:ec2:*:*:vpc/*",
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}

Política de acesso de somente leitura ao console: AmazonMWAAReadOnlyAccess

O usuário pode precisar acessar a política de permissões AmazonMWAAReadOnlyAccess se for necessário acessar os recursos usados por um ambiente na página de detalhes do ambiente do console do Amazon MWAA. Ela não permite que um usuário crie novos ambientes, edite ambientes existentes ou acesse a IU do Apache Airflow.

Política de acesso à IU do Apache Airflow: AmazonMWAAWebServerAccess

O usuário pode precisar acessar a política de permissões AmazonMWAAWebServerAccess se for necessário acessar a IU do Apache Airflow. Ela não permite que o usuário acesse ambientes no console do Amazon MWAA nem use as APIs do Amazon MWAA para realizar nenhuma ação. Especifique o perfil Admin, Op, User, Viewer ou Public em {airflow-role} para personalizar o nível de acesso do usuário do token da web. Para obter mais informações, consulte Perfis padrão no Guia de referência do Apache Airflow.

nota

O Amazon MWAA fornece integração do IAM com os cinco perfis padrão de controle de acesso baseado em perfil (RBAC) do Apache Airflow. Para obter mais informações sobre como trabalhar com perfis personalizados do Apache Airflow, consulte Tutorial: Restringir o acesso de um usuário do Amazon MWAA a um subconjunto de DAGs.
O campo Resource nessa política pode ser usado para especificar os perfis de controle de acesso baseadas em perfis do Apache Airflow para o ambiente do Amazon MWAA. No entanto, ele não é compatível com o ARN (nome do recurso da Amazon) do ambiente do Amazon MWAA no campo Resource da política.

Política de acesso à API REST do Apache Airflow: AmazonMWAARestAPIAccess

Para acessar a API REST do Apache Airflow, você deve conceder a permissão airflow:InvokeRestApi na política do IAM. No exemplo de política a seguir, especifique o Admin, Op, User, Viewer ou a função Public em {airflow-role} para personalizar o nível de acesso do usuário. Para obter mais informações, consulte Perfis padrão no Guia de referência do Apache Airflow.

nota

Ao configurar um servidor Web privado, a ação InvokeRestApi não pode ser invocada de fora de uma nuvem privada virtual (VPC). Você pode usar a chave aws:SourceVpc para aplicar um controle de acesso mais granular para essa operação. Para obter mais informações, consulte aws:SourceVpc.
O campo Resource nessa política pode ser usado para especificar os perfis de controle de acesso baseadas em perfis do Apache Airflow para o ambiente do Amazon MWAA. No entanto, ele não é compatível com o ARN (nome do recurso da Amazon) do ambiente do Amazon MWAA no campo Resource da política.

Política de CLI do Apache Airflow: AmazonMWAAAirflowCliAccess

O usuário pode precisar acessar a política de permissões AmazonMWAAAirflowCliAccess se for necessário executar comandos de CLI do Apache Airflow (como trigger_dag). Ela não permite que o usuário acesse ambientes no console do Amazon MWAA nem use as APIs do Amazon MWAA para realizar nenhuma ação.

Como criar uma política JSON

Você pode criar a política JSON e anexar a política ao seu usuário, perfil ou grupo no console do IAM. As etapas a seguir descrevem como criar uma política JSON no IAM.

Para criar política de JSON

Abra a página de Políticas no console do IAM.
Escolha Criar política.
Escolha a guia JSON.
Adicione sua política JSON.
Escolha Revisar política.
Insira um valor no campo de texto para Nome e Descrição.

Por exemplo, você pode nomear a política AmazonMWAAReadOnlyAccess.
Escolha Criar política.

Exemplo de caso de uso para anexar políticas a um grupo de desenvolvedores

Digamos que você esteja usando um grupo no IAM chamado AirflowDevelopmentGroup para aplicar permissões a todos os desenvolvedores da sua equipe de desenvolvimento do Apache Airflow. Esses usuários precisam acessar as políticas de permissão AmazonMWAAFullConsoleAccess, AmazonMWAAAirflowCliAccess e AmazonMWAAWebServerAccess. Esta seção descreve como criar um grupo no IAM, criar e anexar essas políticas, e associar o grupo a um usuário do IAM. As etapas pressupõem que você esteja usando uma chave pertencente à AWS.

Para criar a política AmazonMWAAFullConsoleAccess

Baixe a política de acesso ao Amazon MWAAFullConsoleAccess.
Abra a página de Políticas no console do IAM.
Escolha Criar política.
Escolha a guia JSON.
Cole a política JSON para AmazonMWAAFullConsoleAccess.
Substitua os seguintes valores:
1. 123456789012 – Sua ID da Conta da AWS (como 0123456789)
2. {your-kms-id}: o identificador exclusivo de uma chave gerenciada pelo cliente, aplicável somente se você usar uma chave gerenciada pelo cliente para criptografia em repouso.
Escolha Revisar política.
Digite AmazonMWAAFullConsoleAccess em Nome.
Escolha Criar política.

Para criar a política AmazonMWAAWebServerAccess

Baixe a Política de acesso AmazonMWAAWebServerAccess.
Abra a página de Políticas no console do IAM.
Escolha Criar política.
Escolha a guia JSON.
Cole a política JSON para AmazonMWAAWebServerAccess.
Substitua os seguintes valores:
1. us-east-1 – a região do seu ambiente do Amazon MWAA (como us-east-1)
2. 123456789012 – Sua ID da Conta da AWS (como 0123456789)
3. {your-environment-name}: o nome do seu ambiente do Amazon MWAA (como MyAirflowEnvironment)
4. {airflow-role}: o Perfil padrão do Apache Airflow Admin
Selecione Revisar política.
Digite AmazonMWAAWebServerAccess em Nome.
Escolha Criar política.

Para criar a política AmazonMWAAAirflowCliAccess

Baixe Política de acesso AmazonMWAAAirflowCliAccess.
Abra a página de Políticas no console do IAM.
Escolha Criar política.
Escolha a guia JSON.
Cole a política JSON para AmazonMWAAAirflowCliAccess.
Escolha Revisar política.
Digite AmazonMWAAAirflowCliAccess em Nome.
Escolha Criar política.

Para criar o grupo

Abra a página Grupos no console do IAM.
Insira um nome de AirflowDevelopmentGroup.
Escolha Próxima etapa.
Digite AmazonMWAA para filtrar os resultados em Filtro.
Selecione as três políticas que você criou.
Escolha Próxima etapa.
Selecione Criar grupo.

Para associar a um usuário

Abra a página Usuários no console do IAM.
Escolha um usuário.
Selecione Grupos.
Escolha Adicionar usuário aos grupos.
Selecione AirflowDevelopmentGroup.
Selecione Add to Groups (Adicionar a grupos).

Próximas etapas

Saiba como gerar um token para acessar a interface do Apache Airflow em Como acessar o Apache Airflow.
Saiba mais sobre a criação de políticas do IAM em Como criar políticas do IAM.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de acesso

Perfil vinculado a serviço