Funcionamiento Acceso completo a la consola Acceso completo de API Acceso de solo lectura a la consola Acceso a la interfaz de usuario de Apache Airflow Acceso a Apache Airflow Rest API Acceso a Apache Airflow CLI Crear una JSON política Ejemplo de caso de uso Siguientes pasos

Acceder a un MWAA entorno de Amazon

Para usar Amazon Managed Workflows para Apache Airflow, debe usar una cuenta y IAM entidades con los permisos necesarios. En este tema se describen las políticas de acceso que puede adjuntar a su equipo de desarrollo de Apache Airflow y a los usuarios de Apache Airflow para su entorno Amazon Managed Workflows for Apache Airflow.

Te recomendamos usar credenciales temporales y configurar identidades federadas con grupos y roles para acceder a tus MWAA recursos de Amazon. Como práctica recomendada, evite adjuntar políticas directamente a sus IAM usuarios y, en su lugar, defina grupos o roles para proporcionar acceso temporal a los AWS recursos.

Un IAMrol es una IAM identidad que puedes crear en tu cuenta con permisos específicos. Un IAM rol es similar al de un IAM usuario en el sentido de que es una AWS identidad con políticas de permisos que determinan lo que la identidad puede y no puede hacer en él AWS. No obstante, en lugar de asociarse exclusivamente a una persona, la intención es que cualquier usuario pueda asumir un rol que necesite. Además, un rol no tiene asociadas credenciales a largo plazo estándar, como una contraseña o claves de acceso. En su lugar, cuando se asume un rol, este proporciona credenciales de seguridad temporales para la sesión de rol.

Para asignar permisos a identidades federadas, cree un rol y defina permisos para este. Cuando se autentica una identidad federada, se asocia la identidad al rol y se le conceden los permisos define el rol. Para obtener información sobre los roles de la federación, consulte Crear un rol para un proveedor de identidades externo (federación) en la Guía del IAM usuario. Si usa IAM Identity Center, configura un conjunto de permisos. Para controlar a qué pueden acceder sus identidades después de autenticarse, IAM Identity Center correlaciona el conjunto de permisos con un rol en. IAM Para obtener información acerca de los conjuntos de permisos, consulta Conjuntos de permisos en la Guía del usuario de AWS IAM Identity Center .

Puede usar un IAM rol de su cuenta para conceder a otro Cuenta de AWS permiso de acceso a los recursos de su cuenta. Para ver un ejemplo, consulta el Tutorial: Delegar el acceso Cuentas de AWS mediante el uso de IAM roles en la Guía del IAM usuario.

Secciones

Funcionamiento
Política completa de acceso a la consola: A mazonMWAAFull ConsoleAccess
Política de acceso completo API y de consola: A mazonMWAAFull ApiAccess
Política de acceso a la consola de solo lectura: A mazonMWAARead OnlyAccess
Política de acceso a la interfaz de usuario de Apache Airflow: A mazonMWAAWeb ServerAccess
Política de API acceso a Apache Airflow Rest: A mazonMWAARest APIAccess
CLIPolítica de Apache Airflow: A mazonMWAAAirflow CliAccess
Crear una JSON política
Ejemplo de caso de uso para asociar políticas a un grupo de desarrolladores
Siguientes pasos

Funcionamiento

Los recursos y servicios utilizados en un MWAA entorno de Amazon no son accesibles para todas las entidades AWS Identity and Access Management (IAM). Deberá crear una política que conceda permiso a los usuarios de Apache Airflow para acceder a estos recursos. Por ejemplo, deberá conceder acceso a su equipo de desarrollo de Apache Airflow.

Amazon MWAA utiliza estas políticas para validar si un usuario tiene los permisos necesarios para realizar una acción en la AWS consola o mediante los APIs utilizados por un entorno.

Puede usar las JSON políticas de este tema para crear una política para sus usuarios de Apache Airflow yIAM, a continuación, adjuntar la política a un usuario, grupo o rol. IAM

R mazonMWAAFull ConsoleAccess — Usa esta política para conceder permiso para configurar un entorno en la MWAA consola de Amazon.
R mazonMWAAFull ApiAccess: Usa esta política para conceder acceso a todo Amazon que MWAA APIs utilices para gestionar un entorno.
R mazonMWAARead OnlyAccess — Usa esta política para conceder acceso a los recursos que utiliza un entorno en la MWAA consola de Amazon.
R mazonMWAAWeb ServerAccess — Utilice esta política para conceder acceso al servidor web Apache Airflow.
R mazonMWAAAirflow CliAccess: Utilice esta política para conceder acceso a la ejecución de los comandos de Apache AirflowCLI.

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

Usuarios y grupos en AWS IAM Identity Center:

Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .
Usuarios gestionados IAM a través de un proveedor de identidad:

Cree un rol para la federación de identidades. Siga las instrucciones de la Guía del IAM usuario sobre cómo crear un rol para un proveedor de identidades externo (federación).
IAMusuarios:
- Cree un rol que el usuario pueda aceptar. Siga las instrucciones de la Guía del IAMusuario sobre cómo crear un rol para un IAM usuario.
- (No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones de Añadir permisos a un usuario (consola) de la Guía del IAM usuario.

Política completa de acceso a la consola: A mazonMWAAFull ConsoleAccess

Es posible que un usuario necesite acceder a la política de AmazonMWAAFullConsoleAccess permisos si necesita configurar un entorno en la MWAA consola de Amazon.

nota

Su política de acceso completo a la consola debe incluir permisos para realizar la acción iam:PassRole. Esto permite al usuario transferir funciones vinculadas a servicios y funciones de ejecución a Amazon. MWAA Amazon MWAA asume todas las funciones para llamar a otros AWS servicios en tu nombre. En el siguiente ejemplo, se utiliza la clave de iam:PassedToService condición para especificar el principal de MWAA servicio de Amazon (airflow.amazonaws.com) como el servicio al que se puede transferir un rol.

Para obtener más información al respectoiam:PassRole, consulte Otorgar permisos a un usuario para transferir un rol a un AWS servicio en la Guía del IAM usuario.

Utilice la siguiente política si desea crear y gestionar sus MWAA entornos de Amazon mediante un Clave propiedad de AWS cifrado en reposo.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"airflow:*",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":"airflow.amazonaws.com"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:ListRoles"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreatePolicy"
         ],
         "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:policy/service-role/MWAA-Execution-Policy*"
      },
            {
         "Effect":"Allow",
         "Action":[
            "iam:AttachRolePolicy",
            "iam:CreateRole"
         ],
         "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:role/service-role/AmazonMWAA*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreateServiceLinkedRole"
         ],
         "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetBucketLocation",
            "s3:ListAllMyBuckets",
            "s3:ListBucket",
            "s3:ListBucketVersions"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutObject",
            "s3:GetEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:DescribeRouteTables"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:AuthorizeSecurityGroupIngress",
            "ec2:CreateSecurityGroup"
         ],
         "Resource":"arn:aws:ec2:*:*:security-group/airflow-security-group-*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:ListAliases"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:CreateVpcEndpoint",
         "Resource":[
            "arn:aws:ec2:*:*:vpc-endpoint/*",
            "arn:aws:ec2:*:*:vpc/*",
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:security-group/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface"
         ],
         "Resource":[
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:network-interface/*"
         ]
      }
   ]
}

Usa la siguiente política si quieres crear y gestionar tus MWAA entornos de Amazon mediante una clave gestionada por el cliente para el cifrado en reposo. Para usar una clave administrada por el cliente, el IAM director debe tener permiso para acceder a AWS KMS los recursos mediante la clave almacenada en su cuenta.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"airflow:*",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":"airflow.amazonaws.com"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:ListRoles"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreatePolicy"
         ],
         "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:policy/service-role/MWAA-Execution-Policy*"
      },
            {
         "Effect":"Allow",
         "Action":[
            "iam:AttachRolePolicy",
            "iam:CreateRole"
         ],
         "Resource":"arn:aws:iam::YOUR_ACCOUNT_ID:role/service-role/AmazonMWAA*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreateServiceLinkedRole"
         ],
         "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetBucketLocation",
            "s3:ListAllMyBuckets",
            "s3:ListBucket",
            "s3:ListBucketVersions"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:CreateBucket",
            "s3:PutObject",
            "s3:GetEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:DescribeRouteTables"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:AuthorizeSecurityGroupIngress",
            "ec2:CreateSecurityGroup"
         ],
         "Resource":"arn:aws:ec2:*:*:security-group/airflow-security-group-*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:ListAliases"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:DescribeKey",
            "kms:ListGrants",
            "kms:CreateGrant",
            "kms:RevokeGrant",
            "kms:Decrypt",
            "kms:Encrypt",
            "kms:GenerateDataKey*",
            "kms:ReEncrypt*"
         ],
         "Resource":"arn:aws:kms:*:YOUR_ACCOUNT_ID:key/YOUR_KMS_ID"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:CreateVpcEndpoint",
         "Resource":[
            "arn:aws:ec2:*:*:vpc-endpoint/*",
            "arn:aws:ec2:*:*:vpc/*",
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:security-group/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface"
         ],
         "Resource":[
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:network-interface/*"
         ]
      }
   ]
}

Política de acceso completo API y de consola: A mazonMWAAFull ApiAccess

Es posible que un usuario necesite acceder a la política de AmazonMWAAFullApiAccess permisos si necesita acceder a todo lo que Amazon MWAA APIs utiliza para gestionar un entorno. Esta política no otorga permisos para acceder a la interfaz de usuario de Apache Airflow.

nota

Una política de API acceso completo debe incluir permisos para funcionariam:PassRole. Esto permite al usuario transferir funciones vinculadas a servicios y funciones de ejecución a Amazon. MWAA Amazon MWAA asume todas las funciones para llamar a otros AWS servicios en tu nombre. En el siguiente ejemplo, se utiliza la clave de iam:PassedToService condición para especificar el principal de MWAA servicio de Amazon (airflow.amazonaws.com) como el servicio al que se puede transferir un rol.

Para obtener más información al respectoiam:PassRole, consulte Otorgar permisos a un usuario para transferir un rol a un AWS servicio en la Guía del IAM usuario.

Utilice la siguiente política si desea crear y gestionar sus MWAA entornos de Amazon mediante un Clave propiedad de AWS cifrado en reposo.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"airflow:*",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":"airflow.amazonaws.com"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreateServiceLinkedRole"
         ],
         "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:DescribeRouteTables"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:CreateVpcEndpoint",
         "Resource":[
            "arn:aws:ec2:*:*:vpc-endpoint/*",
            "arn:aws:ec2:*:*:vpc/*",
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:security-group/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface"
         ],
         "Resource":[
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:network-interface/*"
         ]
      }
   ]
}


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"airflow:*",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:PassRole"
         ],
         "Resource":"*",
         "Condition":{
            "StringLike":{
               "iam:PassedToService":"airflow.amazonaws.com"
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "iam:CreateServiceLinkedRole"
         ],
         "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeSubnets",
            "ec2:DescribeVpcs",
            "ec2:DescribeRouteTables"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "kms:DescribeKey",
            "kms:ListGrants",
            "kms:CreateGrant",
            "kms:RevokeGrant",
            "kms:Decrypt",
            "kms:Encrypt",
            "kms:GenerateDataKey*",
            "kms:ReEncrypt*"
         ],
         "Resource":"arn:aws:kms:*:YOUR_ACCOUNT_ID:key/YOUR_KMS_ID"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetEncryptionConfiguration"
         ],
         "Resource":"arn:aws:s3:::*"
      },
      {
         "Effect":"Allow",
         "Action":"ec2:CreateVpcEndpoint",
         "Resource":[
            "arn:aws:ec2:*:*:vpc-endpoint/*",
            "arn:aws:ec2:*:*:vpc/*",
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:security-group/*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:CreateNetworkInterface"
         ],
         "Resource":[
            "arn:aws:ec2:*:*:subnet/*",
            "arn:aws:ec2:*:*:network-interface/*"
         ]
      }
   ]
}

Política de acceso a la consola de solo lectura: A mazonMWAARead OnlyAccess

Es posible que un usuario necesite acceder a la política de AmazonMWAAReadOnlyAccess permisos si necesita ver los recursos que utiliza un entorno en la página de detalles del entorno de la MWAA consola de Amazon. Esta política no permite al usuario crear nuevos entornos, editar los existentes ni ver la interfaz de usuario de Apache Airflow.


{
        "Version": "2012-10-17",
        "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "airflow:ListEnvironments",
                "airflow:GetEnvironment",
                "airflow:ListTagsForResource"
            ],
            "Resource": "*"
        }
    ]
}

Política de acceso a la interfaz de usuario de Apache Airflow: A mazonMWAAWeb ServerAccess

Es posible que un usuario deba obtener acceso a la política de permisos de AmazonMWAAWebServerAccess si necesita acceder a la interfaz de usuario de Apache Airflow. No permite al usuario ver los entornos en la MWAA consola de Amazon ni utilizar Amazon MWAA APIs para realizar ninguna acción. Especifique el rol Admin, Op, User, Viewer o Public en {airflow-role} para personalizar el nivel de acceso del usuario al token web. Para más información, consulte la sección Default Roles en la guía de referencia de Apache Airflow.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "airflow:CreateWebLoginToken",
            "Resource": [
                "arn:aws:airflow:{your-region}:YOUR_ACCOUNT_ID:role/{your-environment-name}/{airflow-role}"
            ]
        }
    ]
}

nota

Amazon MWAA ofrece IAM integración con las cinco funciones predeterminadas de control de acceso basado en roles () RBAC de Apache Airflow. Para obtener más información acerca de cómo utilizar los roles personalizados de Apache Airflow, consulte Tutorial: Restricciones de acceso de los usuarios de Amazon MWAA a un subconjunto de DAG.
El Resource campo de esta política podría usarse para especificar las funciones de control de acceso basadas en roles de Apache Airflow para el entorno de Amazon. MWAA Sin embargo, no es compatible con el MWAA entorno de Amazon ARN (nombre del recurso de Amazon) en el Resource campo de la política.

Política de API acceso a Apache Airflow Rest: A mazonMWAARest APIAccess

Para acceder al Apache Airflow RESTAPI, debes conceder el airflow:InvokeRestApi permiso que figura en tu IAM póliza. En el siguiente ejemplo de política, especifique el rol de Admin, Op, User, Viewer o Public en {airflow-role} para personalizar el nivel de acceso del usuario. Para más información, consulte la sección Roles predeterminados en la guía de referencia de Apache Airflow.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowMwaaRestApiAccess",
      "Effect": "Allow",
      "Action": "airflow:InvokeRestApi",
      "Resource": [
        "arn:aws:airflow:{your-region}:YOUR_ACCOUNT_ID:role/{your-environment-name}/{airflow-role}"
      ]
    }
  ]
}

nota

Al configurar un servidor web privado, la InvokeRestApi acción no se puede invocar desde fuera de una nube privada virtual (VPC). Puede utilizar la clave aws:SourceVpc para aplicar un control de acceso más detallado para esta operación. Para obtener más información, consulte aws: SourceVpc
El Resource campo de esta política podría usarse para especificar las funciones de control de acceso basadas en roles de Apache Airflow para el entorno de Amazon. MWAA Sin embargo, no es compatible con el MWAA entorno de Amazon ARN (nombre del recurso de Amazon) en el Resource campo de la política.

CLIPolítica de Apache Airflow: A mazonMWAAAirflow CliAccess

Es posible que un usuario necesite acceder a la política de AmazonMWAAAirflowCliAccess permisos si necesita ejecutar CLI comandos de Apache Airflow (por ejemplo). trigger_dag No permite al usuario ver los entornos en la MWAA consola de Amazon ni utilizar Amazon MWAA APIs para realizar ninguna acción.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "airflow:CreateCliToken"
            ],
            "Resource": "arn:aws:airflow:${Region}:${Account}:environment/${EnvironmentName}"
        }
    ]
}

Crear una JSON política

Puede crear la JSON política y adjuntarla a su usuario, rol o grupo en la IAM consola. En los pasos siguientes se describe cómo crear una JSON política enIAM.

Para crear la política de JSON

Abre la página de políticas en la IAM consola.
Elija Crear política.
Elija la pestaña JSON.
Añada su JSON política.
Elija Revisar política.
Introduzca un valor en el campo de texto Nombre y Descripción (opcional).

Por ejemplo, puede asignarle el nombre “AmazonMWAAReadOnlyAccess” a la política.
Elija Crear política.

Ejemplo de caso de uso para asociar políticas a un grupo de desarrolladores

Supongamos que utilizas un grupo IAM denominado AirflowDevelopmentGroup para aplicar permisos a todos los desarrolladores de tu equipo de desarrollo de Apache Airflow. Estos usuarios deberán obtener acceso a las políticas de permisos de AmazonMWAAFullConsoleAccess, AmazonMWAAAirflowCliAccess y AmazonMWAAWebServerAccess. En esta sección se describe cómo crear un grupoIAM, crear y adjuntar estas políticas y cómo asociar el grupo a un IAM usuario. En los siguientes pasos se presupone que utiliza una clave propiedad de AWS.

Para crear la mazonMWAAFull ConsoleAccess política A

Descargue la política de mazonMWAAFull ConsoleAccess acceso A.
Abre la página de políticas en la IAM consola.
Elija Crear política.
Elija la pestaña JSON.
Pegue la JSON política deAmazonMWAAFullConsoleAccess.
Sustituya los valores siguientes:
1. {your-account-id}— El identificador AWS de su cuenta (por ejemplo,0123456789)
2. {your-kms-id}— El identificador único de una clave gestionada por el cliente, aplicable únicamente si utilizas una clave gestionada por el cliente para el cifrado en reposo.
Elija Consultar política.
En Nombre, escriba “AmazonMWAAFullConsoleAccess”.
Elija Crear política.

Para crear la política A mazonMWAAWeb ServerAccess

Descargue la política de mazonMWAAWeb ServerAccess acceso A.
Abre la página de políticas en la IAM consola.
Elija Crear política.
Elija la pestaña JSON.
Pegue la JSON política deAmazonMWAAWebServerAccess.
Sustituya los valores siguientes:
1. {your-region}— la región de su MWAA entorno de Amazon (por ejemplous-east-1)
2. {your-account-id}— tu ID AWS de cuenta (por ejemplo,0123456789)
3. {your-environment-name}— el nombre de su MWAA entorno de Amazon (por ejemploMyAirflowEnvironment)
4. {airflow-role}— el rol predeterminado de Admin Apache Airflow
Elija Revisar política.
En Nombre, escriba “AmazonMWAAWebServerAccess”.
Elija Crear política.

Para crear la política A mazonMWAAAirflow CliAccess

Descargue la política de mazonMWAAAirflow CliAccess acceso A.
Abre la página de políticas en la IAM consola.
Elija Crear política.
Elija la pestaña JSON.
Pegue la JSON política deAmazonMWAAAirflowCliAccess.
Elija Consultar política.
En Nombre, escriba “AmazonMWAAAirflowCliAccess”.
Elija Crear política.

Pasos para crear los grupos

Abre la página Grupos en la IAM consola.
Escriba el nombre del AirflowDevelopmentGroup.
Elija Paso siguiente.
Escriba “AmazonMWAA” en Filtrar para filtrar los resultados.
Elija las tres políticas que ha creado.
Elija Paso siguiente.
Elija Crear grupo.

Pasos para asociarlas a un usuario

Abre la página de usuarios en la IAM consola.
Elija un usuario.
Elija Grupos.
Elija Añadir usuario al grupo o grupos.
Seleccione la AirflowDevelopmentGroup.
Elija Añadir a grupos.

Siguientes pasos

Aprenda a generar un token para acceder a la interfaz de usuario de Apache Airflow en Acceso a Apache Airflow.
Obtenga más información sobre la creación de IAM políticas en Creación de IAM políticas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración del acceso

Rol vinculado a servicios