本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 遷移至新 MWAA 環境的重要考量事項
<a name="key-considerations"></a>

 在您計劃將 Apache Airflow 工作負載遷移至 Amazon MWAA 時，進一步了解關鍵考量事項，例如身分驗證和 Amazon MWAA 執行角色。

**Topics**
+ [身分驗證](#authentication)
+ [執行角色](#execution-role)

## 身分驗證
<a name="authentication"></a>

 Amazon MWAA 使用 AWS Identity and Access Management (IAM) 控制對 Apache Airflow UI 的存取。您必須建立和管理授予 Apache Airflow 使用者存取 Web 伺服器和管理 DAGs IAM 政策。您可以使用不同帳戶的 IAM 來管理 Apache Airflow [預設角色](https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html#default-roles)的身分驗證和授權。

 您可以建立自訂 Airflow 角色並將其映射至 IAM 主體，進一步管理和限制 Apache Airflow 使用者只能存取工作流程 DAGs 的一部分。如需詳細資訊和step-by-step教學課程，請參閱[教學課程：限制 Amazon MWAA 使用者對 DAGs 子集的存取](https://docs.aws.amazon.com/mwaa/latest/userguide/limit-access-to-dags.html)。

 您也可以設定聯合身分來存取 Amazon MWAA。如需詳細資訊，請參閱下列內容。
+  具有**公有存取權的 Amazon MWAA 環境** - [在運算部落格中使用 Okta 做為 Amazon MWAA 的身分提供者](https://aws.amazon.com/blogs/compute/using-okta-as-an-identity-provider-with-amazon-mwaa/)。 *AWS *
+  **具有私有存取的 Amazon MWAA 環境** — [使用聯合身分存取私有 Amazon MWAA 環境](https://d1.awsstatic.com/whitepapers/accessing-a-private-amazon-mwaa-environment-using-federated-identities.pdf)。

## 執行角色
<a name="execution-role"></a>

 Amazon MWAA 使用 執行角色，將許可授予您的環境以存取其他 AWS 服務。您可以將相關許可新增至角色，為工作流程提供 AWS 服務的存取權。如果您在第一次建立環境時選擇預設選項來建立新的執行角色，Amazon MWAA 會將所需的最低許可附加至角色，但 Amazon MWAA 會自動新增所有日誌群組的 CloudWatch Logs 除外。

 建立執行角色後，Amazon MWAA 就無法代表您管理其許可政策。若要更新執行角色，您必須編輯政策，以視需要新增和移除許可。例如，您可以將 [Amazon MWAA 環境與 整合 AWS Secrets Manager](https://docs.aws.amazon.com/mwaa/latest/userguide/connections-secrets-manager.html)為後端，以安全地存放要在 Apache Airflow 工作流程中使用的秘密和連線字串。若要這麼做，請將下列許可政策連接至您環境的執行角色。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetResourcePolicy",
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret",
                "secretsmanager:ListSecretVersionIds"
            ],
            "Resource": "arn:aws:secretsmanager:{{us-east-1}}:{{111122223333}}:secret:*"
        },
        {
            "Effect": "Allow",
            "Action": "secretsmanager:ListSecrets",
            "Resource": "*"
        }
    ]
}
```

------

 與其他 AWS 服務整合遵循類似的模式：您可以將相關許可政策新增至 Amazon MWAA 執行角色，授予 Amazon MWAA 存取服務的許可。如需管理 Amazon MWAA 執行角色的詳細資訊，以及查看其他範例，請參閱《[Amazon MWAA 使用者指南》中的 Amazon MWAA 執行角色](https://docs.aws.amazon.com/mwaa/latest/userguide/mwaa-create-role.html)。 **