Permissões de perfil vinculado a serviços para o Amazon MWAA Como criar um perfil vinculado a serviços para Amazon MWAA Como editar um perfil vinculado a serviços do Amazon MWAA Como apagar um perfil vinculado a serviços do Amazon MWAA Regiões com suporte para os perfis vinculados a serviços do Amazon MWAA Atualizações da política

Perfil vinculado a serviços para o Amazon MWAA

O Amazon Managed Workflows for Apache Airflow usa perfis vinculadas a serviços de AWS Identity and Access Management (IAM). Um perfil vinculado a serviços é um tipo exclusivo de perfil do IAM vinculado diretamente ao Amazon MWAA. Os perfis vinculados a serviços são predefinidas pelo Amazon MWAA e incluem todas as permissões que o serviço requer para chamar outros produtos da AWS em seu nome.

Um perfil vinculado a serviço facilita a configuração do Amazon MWAA porque você não precisa adicionar as permissões necessárias manualmente. O Amazon MWAA define as permissões desses perfis vinculados ao serviço e, a menos que definido em contrário, somente o Amazon MWAA pode assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do Amazon MWAA, pois você não pode remover inadvertidamente as permissões para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados aos serviços, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Perfis vinculados aos serviços. Escolha um Sim com um link para acessar a documentação do perfil vinculado para esse serviço.

Permissões de perfil vinculado a serviços para o Amazon MWAA

O Amazon MWAA usa o perfil vinculado a serviços chamado AWSServiceRoleForAmazonMWAA: o perfil vinculado a serviços criado em sua conta concede ao Amazon MWAA acesso aos seguintes serviços AWS:

Amazon CloudWatch Logs (CloudWatch Logs): para criar grupos de logs para logs do Apache Airflow.
Amazon CloudWatch (CloudWatch): para publicar métricas relacionadas ao seu ambiente e os componentes subjacentes dele na sua conta.
Amazon Elastic Compute Cloud (Amazon EC2): para criar os seguintes recursos:
- Um endpoint da VPC da Amazon na sua VPC para um cluster de banco de dados Amazon Aurora PostgreSQL gerenciado pela AWS a ser usado pelo agendador e pelo operador do Apache Airflow.
- Um endpoint da VPC da Amazon adicional para permitir o acesso de rede ao servidor Web se você escolher a opção de rede privada para seu servidor Web do Apache Airflow.
- Interfaces de rede elásticas (ENIs) em seu Amazon VPC para permitir acesso à rede para recursos da AWS hospedados em seu Amazon VPC.

A seguinte política de confiança permite à entidade principal de serviço para assumir o perfil vinculado a serviços. A entidade principal de serviço do Amazon MWAA é airflow.amazonaws.com, conforme demonstrado pela política.

A política de permissões do perfil denominada AmazonMWAAServiceRolePolicy permite que o Amazon MWAA conclua as seguintes ações nos recursos especificados:

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:airflow-*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachNetworkInterface",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcs",
                "ec2:DetachNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpoint",
                "ec2:DeleteVpcEndpoints"
            ],
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonMWAAManaged": false
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:ModifyVpcEndpoint"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:vpc/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:subnet/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateVpcEndpoint"
                },
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/MWAA"
                    ]
                }
            }
        }
    ]
}

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte Permissões de perfil vinculado a serviços no Guia do usuário do IAM.

Como criar um perfil vinculado a serviços para Amazon MWAA

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um novo ambiente Amazon MWAA usando a API Console de gerenciamento da AWS, AWS CLI ou AWS, o Amazon MWAA cria o perfil vinculado a serviços para você.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria outro ambiente, o Amazon MWAA cria novamente um perfil vinculado a serviços para você.

Como editar um perfil vinculado a serviços do Amazon MWAA

O Amazon MWAA não permite que você edite o perfil vinculado a serviços AWSServiceRoleForAmazonMWAA. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Como apagar um perfil vinculado a serviços do Amazon MWAA

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida.

Quando você exclui um ambiente do Amazon MWAA, o Amazon MWAA exclui todos os recursos associados que usa como parte do serviço. No entanto, você deve esperar até que o Amazon MWAA conclua a exclusão de seu ambiente, antes de tentar excluir o perfil vinculado a serviços. Se você excluir o perfil vinculado a serviços antes que o Amazon MWAA exclua o ambiente, o Amazon MWAA talvez não consiga excluir todos os recursos associados ao ambiente.

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM, a API AWS CLI ou AWS para excluir o perfil vinculado a serviços AWSServiceRoleForAmazonMWAA. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões com suporte para os perfis vinculados a serviços do Amazon MWAA

O Amazon ECS é compatível com perfis vinculados a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Endpoints e cotas do Amazon Managed Workflows for Apache Airflow.

Atualizações da política

Alteração	Descrição	Data
O Amazon MWAA atualiza a própria política de permissão de perfil vinculado a serviços	AmazonMWAAServiceRolePolicy – o Amazon MWAA atualiza a política de permissão de seu perfil vinculado a serviços para conceder permissão ao Amazon MWAA para publicar métricas adicionais relacionadas aos recursos subjacentes do serviço nas contas dos clientes. Essas novas métricas são publicadas em `AWS/MWAA`	18 de novembro de 2022
O Amazon MWAA passou a monitorar as alterações	O Amazon MWAA passou a monitorar as alterações em sua política de permissão de perfil vinculado a serviços gerenciados pela AWS.	18 de novembro de 2022

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como acessar um ambiente do Amazon MWAA

Função de execução