As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Como acessar um ambiente do Amazon MWAA Para usar o Amazon Managed Workflows for Apache Airflow, você deve usar uma conta e entidades do IAM com as permissões necessárias. Este tópico descreve as políticas de acesso que você pode vincular à sua equipe de desenvolvimento do Apache Airflow e aos usuários do Apache Airflow para seu ambiente Amazon Managed Workflows for Apache Airflow. Recomendamos usar credenciais temporárias e configurar identidades federadas com grupos e perfis para acessar seus recursos do Amazon MWAA. Como prática recomendada, evite vincular políticas diretamente aos usuários do IAM. Em vez disso, defina grupos ou funções para fornecer acesso temporário aos AWS recursos. Um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) é uma identidade do IAM que você pode criar em sua conta que tem permissões específicas. Uma função do IAM é semelhante à de um usuário do IAM, pois é uma AWS identidade com políticas de permissões que determinam o que a identidade pode ou não fazer AWS. No entanto, em vez de ser exclusivamente associada a uma pessoa, o propósito do perfil é ser assumido por qualquer pessoa que precisar dele. Além disso, um perfil não tem credenciais de longo prazo padrão associadas a ele, como senha ou chaves de acesso. Em vez disso, quando você assumir um perfil, ele fornecerá credenciais de segurança temporárias para sua sessão de perfil. Para atribuir permissões a identidades federadas, você pode criar um perfil e definir permissões para o perfil. Quando uma identidade federada é autenticada, essa identidade é associada ao perfil e recebe as permissões definidas por ele. Para ter mais informações sobre perfis para federação, consulte [Criar um perfil para um provedor de identidade de terceiros (federação)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do usuário do IAM*. Se usar o Centro de Identidade do IAM, configure um conjunto de permissões. Para controlar o que suas identidades podem acessar após a autenticação, o Centro de Identidade do IAM correlaciona o conjunto de permissões a um perfil no IAM. Para obter informações sobre conjuntos de permissões, consulte [Conjuntos de Permissões](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) no *Guia do Usuário do Centro de Identidade do AWS IAM *. Você pode usar uma função do IAM em sua conta para conceder outras Conta da AWS permissões para acessar os recursos da sua conta. Para ver um exemplo, consulte o [tutorial do IAM: Delegar acesso ao Contas da AWS uso de funções do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) no *Guia do usuário do IAM*. **Topics** + [ ## Como funciona ](#access-policies-how) + [ ## Política completa de acesso ao console: Amazon MWAAFull ConsoleAccess ](#console-full-access) + [ ## Política completa de acesso à API e ao console: Amazon MWAAFull ApiAccess ](#full-access-policy) + [ ## Política de acesso somente para leitura ao console: Amazon MWAARead OnlyAccess ](#mwaa-read-only) + [ ## Política de acesso ao Apache Airflow UI: Amazon MWAAWeb ServerAccess ](#web-ui-access) + [ ## Política de acesso à API Apache Airflow Rest: Amazon MWAARest APIAccess ](#rest-api-access) + [ ## Política de CLI do Apache Airflow: Amazon MWAAAirflow CliAccess ](#cli-access) + [ ## Como criar uma política JSON ](#access-policy-iam-console-create) + [ ## Exemplo de caso de uso para anexar políticas a um grupo de desenvolvedores ](#access-policy-use-case) + [ ## Próximas etapas ](#access-policy-next-up) ## Como funciona Os recursos e serviços usados em um ambiente Amazon MWAA não estão acessíveis a todas as entidades AWS Identity and Access Management (IAM). Você deve criar uma política que conceda permissão aos usuários do Apache Airflow para acessar esses recursos. Por exemplo, é preciso conceder acesso à sua equipe de desenvolvimento do Apache Airflow. O Amazon MWAA usa essas políticas para validar se um usuário tem as permissões necessárias para realizar uma ação no AWS console ou por meio da APIs usada por um ambiente. Você pode usar as políticas JSON desse tópico para criar uma política para seus usuários do Apache Airflow no IAM e, em seguida, anexar a política a um usuário, grupo ou perfil no IAM. + [Amazon MWAAFull ConsoleAccess](#console-full-access) — Use essa política para conceder permissão para configurar um ambiente no console Amazon MWAA. + [Amazon MWAAFull ApiAccess](#full-access-policy) — Use essa política para conceder acesso a todo o Amazon MWAA APIs usado para gerenciar um ambiente. + [Amazon MWAARead OnlyAccess](#mwaa-read-only) — Use essa política para conceder acesso aos recursos usados por um ambiente no console Amazon MWAA. + [Amazon MWAAWeb ServerAccess](#web-ui-access) — Use essa política para conceder acesso ao servidor web Apache Airflow. + [Amazon MWAAAirflow CliAccess](#cli-access) — Use essa política para conceder acesso para executar comandos da CLI do Apache Airflow. Para conceder acesso, adicione as permissões aos seus usuários, grupos ou perfis: + Usuários e grupos em Centro de Identidade do AWS IAM: Crie um conjunto de permissões. Siga as instruções em [Criação de um conjunto de permissões](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) no *Guia do usuário do Centro de Identidade do AWS IAM *. + Usuários gerenciados no IAM com provedor de identidades: Crie um perfil para a federação de identidades. Siga as instruções em [Criando um perfil para um provedor de identidades de terceiros (federação)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) no *Guia do Usuário do IAM*. + Usuários do IAM: + Crie um perfil que seu usuário possa assumir. Siga as instruções em [Criação de um perfil para um usuário do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) no *Guia do usuário do IAM*. + (Não recomendado) Vincule uma política diretamente a um usuário ou adicione um usuário a um grupo de usuários. Siga as instruções em [Adição de permissões a um usuário (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*. ## Política completa de acesso ao console: Amazon MWAAFull ConsoleAccess Acesso total ao console O usuário pode precisar acessar a política de permissões `AmazonMWAAFullConsoleAccess` se for necessário configurar um ambiente no console do Amazon MWAA. **nota** Sua política completa de acesso ao console deve incluir permissões para executar `iam:PassRole`. Isso permite que o usuário transfira [perfis vinculados a serviços](mwaa-slr.md) e [perfis de execução](mwaa-create-role.md) ao Amazon MWAA. A Amazon MWAA assume cada função para chamar outros AWS serviços em seu nome. O exemplo a seguir usa a chave de condição `iam:PassedToService` para especificar a entidade principal de serviço do Amazon MWAA (`airflow.amazonaws.com`) como o serviço para o qual um perfil pode ser transferido. Para obter mais informações sobre isso`iam:PassRole`, consulte [Conceder permissões a um usuário para passar uma função para um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) no *Guia do usuário do IAM*. Use a política a seguir se quiser criar e gerenciar seus ambientes do Amazon MWAA usando uma [Chave pertencente à AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) para [criptografia em repouso](encryption.md#encryption-at-rest). ### Usando um Chave pertencente à AWS ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "airflow:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "airflow.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreatePolicy" ], "Resource": "arn:aws:iam::111122223333:policy/service-role/MWAA-Execution-Policy*" }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole" ], "Resource": "arn:aws:iam::111122223333:role/service-role/AmazonMWAA*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA" }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListBucketVersions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/airflow-security-group-*" }, { "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:*:*:vpc-endpoint/*", "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] } ``` ------ Use a política a seguir se quiser criar e gerenciar seus ambientes do Amazon MWAA usando uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para criptografia em repouso. Para usar uma chave gerenciada pelo cliente, o diretor do IAM deve ter permissão para acessar AWS KMS recursos usando a chave armazenada em sua conta. ### Com usar uma chave gerenciada pelo cliente. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "airflow:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "airflow.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreatePolicy" ], "Resource": "arn:aws:iam::111122223333:policy/service-role/MWAA-Execution-Policy*" }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole" ], "Resource": "arn:aws:iam::111122223333:role/service-role/AmazonMWAA*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA" }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListBucketVersions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/airflow-security-group-*" }, { "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant", "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "arn:aws:kms:*:111122223333:key/YOUR_KMS_ID" }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:*:*:vpc-endpoint/*", "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] } ``` ------ ## Política completa de acesso à API e ao console: Amazon MWAAFull ApiAccess Acesso total a uma API Um usuário pode precisar acessar a política de `AmazonMWAAFullApiAccess` permissões se precisar acessar todo o Amazon MWAA APIs usado para gerenciar um ambiente. Ela não concede permissões para acesso da IU do Apache Airflow. **nota** Uma política de acesso completa à API deve incluir permissões para executar `iam:PassRole`. Isso permite que o usuário transfira [perfis vinculados a serviços](mwaa-slr.md) e [perfis de execução](mwaa-create-role.md) ao Amazon MWAA. A Amazon MWAA assume cada função para chamar outros AWS serviços em seu nome. O exemplo a seguir usa a chave de condição `iam:PassedToService` para especificar a entidade principal de serviço do Amazon MWAA (`airflow.amazonaws.com`) como o serviço para o qual um perfil pode ser transferido. Para obter mais informações sobre isso`iam:PassRole`, consulte [Conceder permissões a um usuário para passar uma função para um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) no *Guia do usuário do IAM*. Use a política a seguir se quiser criar e gerenciar seus ambientes Amazon MWAA usando uma Chave pertencente à AWS para criptografia em repouso. ### Usando um Chave pertencente à AWS ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"airflow:*", "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:PassedToService":"airflow.amazonaws.com" } } }, { "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA" }, { "Effect":"Allow", "Action":[ "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeRouteTables" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "s3:GetEncryptionConfiguration" ], "Resource":"arn:aws:s3:::*" }, { "Effect":"Allow", "Action":"ec2:CreateVpcEndpoint", "Resource":[ "arn:aws:ec2:*:*:vpc-endpoint/*", "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect":"Allow", "Action":[ "ec2:CreateNetworkInterface" ], "Resource":[ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] } ``` ------ Use a política a seguir se quiser criar e gerenciar seus ambientes do Amazon MWAA usando uma chave gerenciada pelo cliente para criptografia em repouso. Para usar uma chave gerenciada pelo cliente, o diretor do IAM deve ter permissão para acessar AWS KMS recursos usando a chave armazenada em sua conta. ### Com usar uma chave gerenciada pelo cliente. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "airflow:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "airflow.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA" }, { "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant", "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "arn:aws:kms:*:111122223333:key/YOUR_KMS_ID" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:*:*:vpc-endpoint/*", "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] } ``` ------ ## Política de acesso somente para leitura ao console: Amazon MWAARead OnlyAccess Acesso de somente leitura ao console O usuário pode precisar acessar a política de permissões `AmazonMWAAReadOnlyAccess` se for necessário acessar os recursos usados por um ambiente na página de detalhes do ambiente do console do Amazon MWAA. Ela não permite que um usuário crie novos ambientes, edite ambientes existentes ou acesse a IU do Apache Airflow. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "airflow:ListEnvironments", "airflow:GetEnvironment", "airflow:ListTagsForResource" ], "Resource": "*" } ] } ``` ------ ## Política de acesso ao Apache Airflow UI: Amazon MWAAWeb ServerAccess Acesso à IU do Apache Airflow O usuário pode precisar acessar a política de permissões `AmazonMWAAWebServerAccess` se for necessário acessar a IU do Apache Airflow. Ele não permite que o usuário acesse ambientes no console do Amazon MWAA nem use o Amazon MWAA APIs para realizar nenhuma ação. Especifique o perfil `Admin`, `Op`, `User`, `Viewer` ou `Public` em `{airflow-role}` para personalizar o nível de acesso do usuário do token da web. Para obter mais informações, consulte [Perfis padrão](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles) no *Guia de referência do Apache Airflow*. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "airflow:CreateWebLoginToken", "Resource": [ "arn:aws:airflow:us-east-1:111122223333:role/{your-environment-name}/{airflow-role}" ] } ] } ``` ------ **nota** O Amazon MWAA fornece integração do IAM com os cinco [perfis padrão de controle de acesso baseado em perfil (RBAC) do Apache Airflow](https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html?highlight=roles). Para obter mais informações sobre como trabalhar com perfis personalizados do Apache Airflow, consulte [Tutorial: Restringindo o acesso de um usuário do Amazon MWAA a um subconjunto de DAGs](limit-access-to-dags.md). O campo `Resource` nessa política pode ser usado para especificar os perfis de controle de acesso baseadas em perfis do Apache Airflow para o ambiente do Amazon MWAA. No entanto, ele não é compatível com o ARN (nome do recurso da Amazon) do ambiente do Amazon MWAA no campo `Resource` da política. ## Política de acesso à API Apache Airflow Rest: Amazon MWAARest APIAccess Acesso à API REST do Apache Airflow Para acessar a API REST do Apache Airflow, você deve conceder a permissão `airflow:InvokeRestApi` na política do IAM. No exemplo de política a seguir, especifique o `Admin`, `Op`, `User`, `Viewer` ou a função `Public` em `{airflow-role}` para personalizar o nível de acesso do usuário. Para obter mais informações, consulte [Perfis padrão](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles) no *Guia de referência do Apache Airflow*. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowMwaaRestApiAccess", "Effect": "Allow", "Action": "airflow:InvokeRestApi", "Resource": [ "arn:aws:airflow:us-east-1:111122223333:role/{your-environment-name}/{airflow-role}" ] } ] } ``` ------ **nota** Ao configurar um servidor Web privado, a ação `InvokeRestApi` não pode ser invocada de fora de uma nuvem privada virtual (VPC). Você pode usar a chave `aws:SourceVpc` para aplicar um controle de acesso mais granular para essa operação. Para obter mais informações, consulte [aws: SourceVpc](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc) O campo `Resource` nessa política pode ser usado para especificar os perfis de controle de acesso baseadas em perfis do Apache Airflow para o ambiente do Amazon MWAA. No entanto, ele não é compatível com o ARN (nome do recurso da Amazon) do ambiente do Amazon MWAA no campo `Resource` da política. ## Política de CLI do Apache Airflow: Amazon MWAAAirflow CliAccess Acesso à CLI do Apache Airflow O usuário pode precisar acessar a política de permissões `AmazonMWAAAirflowCliAccess` se for necessário executar comandos de CLI do Apache Airflow (como `trigger_dag`). Ele não permite que o usuário acesse ambientes no console do Amazon MWAA nem use o Amazon MWAA APIs para realizar nenhuma ação. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "airflow:CreateCliToken" ], "Resource": "arn:aws:airflow:us-east-1:111122223333:environment/${EnvironmentName}" } ] } ``` ------ ## Como criar uma política JSON Você pode criar a política JSON e anexar a política ao seu usuário, perfil ou grupo no console do IAM. As etapas a seguir descrevem como criar uma política JSON no IAM. **Para criar política de JSON** 1. Abra a [página de Políticas](https://console.aws.amazon.com/iam/home#/policies) no console do IAM. 1. Escolha **Criar política**. 1. Escolha a guia **JSON**. 1. Adicione sua política JSON. 1. Escolha **Revisar política**. 1. Insira um valor no campo de texto para **Nome** e **Descrição**. Por exemplo, você pode nomear a política `AmazonMWAAReadOnlyAccess`. 1. Selecione **Criar política**. ## Exemplo de caso de uso para anexar políticas a um grupo de desenvolvedores Exemplo de caso de uso Digamos que você esteja usando um grupo no IAM chamado `AirflowDevelopmentGroup` para aplicar permissões a todos os desenvolvedores da sua equipe de desenvolvimento do Apache Airflow. Esses usuários precisam acessar as políticas de permissão `AmazonMWAAFullConsoleAccess`, `AmazonMWAAAirflowCliAccess` e `AmazonMWAAWebServerAccess`. Esta seção descreve como criar um grupo no IAM, criar e anexar essas políticas, e associar o grupo a um usuário do IAM. As etapas pressupõem que você esteja usando [uma chave pertencente àAWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). **Para criar a MWAAFull ConsoleAccess política da Amazon** 1. Baixe a [política de MWAAFull ConsoleAccess acesso da Amazon](./samples/AmazonMWAAFullConsoleAccess.zip). 1. Abra a [página de Políticas](https://console.aws.amazon.com/iam/home#/policies) no console do IAM. 1. Escolha **Criar política**. 1. Escolha a guia **JSON**. 1. Cole a política JSON para `AmazonMWAAFullConsoleAccess`. 1. Substitua os seguintes valores: 1. *123456789012*— Seu Conta da AWS ID (como`0123456789`) 1. *\$1your-kms-id\$1*— O identificador exclusivo de uma chave gerenciada pelo cliente, aplicável somente se você usar uma chave gerenciada pelo cliente para criptografia em repouso. 1. Escolha **Revisar política**. 1. Digite `AmazonMWAAFullConsoleAccess` em **Nome**. 1. Selecione **Criar política**. **Para criar a MWAAWeb ServerAccess política da Amazon** 1. Baixe a [política de MWAAWeb ServerAccess acesso da Amazon](./samples/AmazonMWAAWebServerAccess.zip). 1. Abra a [página de Políticas](https://console.aws.amazon.com/iam/home#/policies) no console do IAM. 1. Escolha **Criar política**. 1. Escolha a guia **JSON**. 1. Cole a política JSON para `AmazonMWAAWebServerAccess`. 1. Substitua os seguintes valores: 1. *us-east-1*— a região do seu ambiente Amazon MWAA (como) `us-east-1` 1. *123456789012*— seu Conta da AWS ID (como`0123456789`) 1. *\$1your-environment-name\$1*— o nome do seu ambiente Amazon MWAA (como) `MyAirflowEnvironment` 1. *\$1airflow-role\$1*[— a função `Admin` padrão do Apache Airflow](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles) 1. Selecione **Revisar política**. 1. Digite `AmazonMWAAWebServerAccess` em **Nome**. 1. Selecione **Criar política**. **Para criar a MWAAAirflow CliAccess política da Amazon** 1. Baixe a [política de MWAAAirflow CliAccess acesso da Amazon](./samples/AmazonMWAAAirflowCliAccess.zip). 1. Abra a [página de Políticas](https://console.aws.amazon.com/iam/home#/policies) no console do IAM. 1. Escolha **Criar política**. 1. Escolha a guia **JSON**. 1. Cole a política JSON para `AmazonMWAAAirflowCliAccess`. 1. Escolha **Revisar política**. 1. Digite `AmazonMWAAAirflowCliAccess` em **Nome**. 1. Selecione **Criar política**. **Para criar o grupo** 1. Abra a [página Grupos](https://console.aws.amazon.com/iam/home#/groups) no console do IAM. 1. Insira um nome de `AirflowDevelopmentGroup`. 1. Escolha **Próxima etapa**. 1. Digite `AmazonMWAA` para filtrar os resultados em **Filtro**. 1. Selecione as três políticas que você criou. 1. Escolha **Próxima etapa**. 1. Selecione **Criar grupo**. **Para associar a um usuário** 1. Abra a [página Usuários](https://console.aws.amazon.com/iam/home#/users) no console do IAM. 1. Escolha um usuário. 1. Selecione **Grupos**. 1. Escolha **Adicionar usuário aos grupos**. 1. Selecione o **AirflowDevelopmentGroup**. 1. Selecione **Add to Groups (Adicionar a grupos)**. ## Próximas etapas + Saiba como gerar um token para acessar a interface do Apache Airflow em [Como acessar o Apache Airflow](access-airflow-ui.md). + Saiba mais sobre a criação de políticas do IAM em [Como criar políticas do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html).