Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Zugreifen auf eine Amazon MWAA-Umgebung Um Amazon Managed Workflows für Apache Airflow verwenden zu können, müssen Sie ein Konto und IAM-Entitäten mit den erforderlichen Berechtigungen verwenden. In diesem Thema werden die Zugriffsrichtlinien beschrieben, die Sie Ihrem Apache Airflow Airflow-Entwicklungsteam und Apache Airflow Airflow-Benutzern für Ihre Amazon Managed Workflows for Apache Airflow Airflow-Umgebung zuordnen können. Wir empfehlen, temporäre Anmeldeinformationen zu verwenden und föderierte Identitäten mit Gruppen und Rollen für den Zugriff auf Ihre Amazon MWAA-Ressourcen zu konfigurieren. Es hat sich bewährt, Richtlinien nicht direkt an Ihre IAM-Benutzer anzuhängen. Definieren Sie stattdessen Gruppen oder Rollen, um temporären Zugriff auf Ressourcen zu AWS gewähren. Eine IAM-[Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine IAM-Identität, die Sie in Ihrem Konto mit bestimmten Berechtigungen erstellen können. Eine IAM-Rolle ähnelt einem IAM-Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, wofür die Identität zuständig ist und welche nicht. AWS Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung. Um einer föderierten Identität Berechtigungen zuzuweisen, erstellen Sie eine Rolle und definieren Berechtigungen für die Rolle. Wird eine Verbundidentität authentifiziert, so wird die Identität der Rolle zugeordnet und erhält die von der Rolle definierten Berechtigungen. Informationen zu Rollen für den Verbund finden Sie unter [Erstellen von Rollen für externe Identitätsanbieter (Verbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*. Wenn Sie IAM Identity Center verwenden, konfigurieren Sie einen Berechtigungssatz. Wenn Sie steuern möchten, worauf Ihre Identitäten nach der Authentifizierung zugreifen können, korreliert IAM Identity Center den Berechtigungssatz mit einer Rolle in IAM. Informationen zu Berechtigungssätzen finden Sie unter [ Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) im *AWS IAM Identity Center -Benutzerhandbuch*. Sie können eine IAM-Rolle in Ihrem Konto verwenden, um anderen AWS-Konto Berechtigungen für den Zugriff auf die Ressourcen Ihres Kontos zu gewähren. *Ein Beispiel finden Sie im [IAM-Tutorial: Delegieren Sie den Zugriff AWS-Konten mithilfe von IAM-Rollen im IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html).* **Topics** + [ ## Funktionsweise ](#access-policies-how) + [ ## Vollständige Richtlinie für den Konsolenzugriff: Amazon MWAAFull ConsoleAccess ](#console-full-access) + [ ## Vollständige API- und Konsolenzugriffsrichtlinie: Amazon MWAAFull ApiAccess ](#full-access-policy) + [ ## Richtlinie für den Zugriff auf Konsolen mit Schreibschutz: Amazon MWAARead OnlyAccess ](#mwaa-read-only) + [ ## Zugriffsrichtlinie für die Apache Airflow Airflow-Benutzeroberfläche: Amazon MWAAWeb ServerAccess ](#web-ui-access) + [ ## Apache Airflow Rest-API-Zugriffsrichtlinie: Amazon MWAARest APIAccess ](#rest-api-access) + [ ## Apache Airflow CLI-Richtlinie: Amazon MWAAAirflow CliAccess ](#cli-access) + [ ## Eine JSON-Richtlinie erstellen ](#access-policy-iam-console-create) + [ ## Beispiel für einen Anwendungsfall zum Anhängen von Richtlinien an eine Entwicklergruppe ](#access-policy-use-case) + [ ## Als nächstes ](#access-policy-next-up) ## Funktionsweise Die in einer Amazon MWAA-Umgebung verwendeten Ressourcen und Dienste sind nicht für alle AWS Identity and Access Management (IAM-) Entitäten zugänglich. Sie müssen eine Richtlinie erstellen, die Apache Airflow Airflow-Benutzern den Zugriff auf diese Ressourcen gewährt. Beispielsweise müssen Sie Ihrem Apache Airflow Airflow-Entwicklungsteam Zugriff gewähren. Amazon MWAA verwendet diese Richtlinien, um zu überprüfen, ob ein Benutzer über die erforderlichen Berechtigungen verfügt, um eine Aktion auf der AWS Konsole oder über die von einer APIs Umgebung verwendete auszuführen. Sie können die JSON-Richtlinien in diesem Thema verwenden, um eine Richtlinie für Ihre Apache Airflow Airflow-Benutzer in IAM zu erstellen und die Richtlinie dann an einen Benutzer, eine Gruppe oder eine Rolle in IAM anzuhängen. + [Amazon MWAAFull ConsoleAccess](#console-full-access) — Verwenden Sie diese Richtlinie, um die Erlaubnis zur Konfiguration einer Umgebung auf der Amazon MWAA-Konsole zu erteilen. + [Amazon MWAAFull ApiAccess](#full-access-policy) — Verwenden Sie diese Richtlinie, um Zugriff auf alle Amazon MWAAs zu gewähren, die zur Verwaltung einer Umgebung APIs verwendet werden. + [Amazon MWAARead OnlyAccess](#mwaa-read-only) — Verwenden Sie diese Richtlinie, um Zugriff auf die Ressourcen zu gewähren, die von einer Umgebung auf der Amazon MWAA-Konsole verwendet werden. + [Amazon MWAAWeb ServerAccess](#web-ui-access) — Verwenden Sie diese Richtlinie, um Zugriff auf den Apache Airflow Airflow-Webserver zu gewähren. + [Amazon MWAAAirflow CliAccess](#cli-access) — Verwenden Sie diese Richtlinie, um Zugriff auf die Ausführung von Apache Airflow CLI-Befehlen zu gewähren. Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu: + Benutzer und Gruppen in AWS IAM Identity Center: Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*. + Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden: Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*. + IAM-Benutzer: + Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*. + (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*. ## Vollständige Richtlinie für den Konsolenzugriff: Amazon MWAAFull ConsoleAccess Voller Konsolenzugriff Ein Benutzer benötigt möglicherweise Zugriff auf die `AmazonMWAAFullConsoleAccess` Berechtigungsrichtlinie, wenn er eine Umgebung auf der Amazon MWAA-Konsole konfigurieren muss. **Anmerkung** Ihre vollständige Zugriffsrichtlinie für die Konsole muss die erforderlichen Berechtigungen enthalten. `iam:PassRole` Auf diese Weise kann der Benutzer [dienstbezogene Rollen](mwaa-slr.md) und [Ausführungsrollen](mwaa-create-role.md) an Amazon MWAA übergeben. Amazon MWAA übernimmt jede Rolle, um in Ihrem Namen andere AWS Dienste anzurufen. Im folgenden Beispiel wird der `iam:PassedToService` Bedingungsschlüssel verwendet, um den Amazon MWAA-Service Principal (`airflow.amazonaws.com`) als den Service anzugeben, an den eine Rolle übergeben werden kann. Weitere Informationen `iam:PassRole` dazu finden Sie unter [Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) im *IAM-Benutzerhandbuch*. Verwenden Sie die folgende Richtlinie, wenn Sie Ihre Amazon MWAA-Umgebungen mithilfe von [AWS-eigener Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)for [Encryption](encryption.md#encryption-at-rest) at Rest erstellen und verwalten möchten. ### Verwenden Sie ein AWS-eigener Schlüssel ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "airflow:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "airflow.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreatePolicy" ], "Resource": "arn:aws:iam::111122223333:policy/service-role/MWAA-Execution-Policy*" }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole" ], "Resource": "arn:aws:iam::111122223333:role/service-role/AmazonMWAA*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA" }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListBucketVersions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/airflow-security-group-*" }, { "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:*:*:vpc-endpoint/*", "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] } ``` ------ Verwenden Sie die folgende Richtlinie, wenn Sie Ihre Amazon MWAA-Umgebungen mit einem vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) für die Verschlüsselung im Ruhezustand erstellen und verwalten möchten. Um einen vom Kunden verwalteten Schlüssel verwenden zu können, muss der IAM-Principal berechtigt sein, mithilfe des in Ihrem Konto gespeicherten Schlüssels auf AWS KMS Ressourcen zuzugreifen. ### Verwenden eines vom Kunden verwalteten Schlüssels ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "airflow:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "airflow.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreatePolicy" ], "Resource": "arn:aws:iam::111122223333:policy/service-role/MWAA-Execution-Policy*" }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:CreateRole" ], "Resource": "arn:aws:iam::111122223333:role/service-role/AmazonMWAA*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA" }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:ListAllMyBuckets", "s3:ListBucket", "s3:ListBucketVersions" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutObject", "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/airflow-security-group-*" }, { "Effect": "Allow", "Action": [ "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant", "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "arn:aws:kms:*:111122223333:key/YOUR_KMS_ID" }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:*:*:vpc-endpoint/*", "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] } ``` ------ ## Vollständige API- und Konsolenzugriffsrichtlinie: Amazon MWAAFull ApiAccess Vollständiger API-Zugriff Ein Benutzer benötigt möglicherweise Zugriff auf die `AmazonMWAAFullApiAccess` Berechtigungsrichtlinie, wenn er Zugriff auf alle Amazon MWAAs benötigt, die zur Verwaltung einer Umgebung APIs verwendet werden. Es gewährt keine Berechtigungen für den Zugriff auf die Apache Airflow Airflow-Benutzeroberfläche. **Anmerkung** Eine vollständige API-Zugriffsrichtlinie muss `iam:PassRole` Leistungsberechtigungen beinhalten. Auf diese Weise kann der Benutzer [dienstbezogene Rollen](mwaa-slr.md) und [Ausführungsrollen](mwaa-create-role.md) an Amazon MWAA übergeben. Amazon MWAA übernimmt jede Rolle, um in Ihrem Namen andere AWS Dienste anzurufen. Im folgenden Beispiel wird der `iam:PassedToService` Bedingungsschlüssel verwendet, um den Amazon MWAA-Service Principal (`airflow.amazonaws.com`) als den Service anzugeben, an den eine Rolle übergeben werden kann. Weitere Informationen `iam:PassRole` dazu finden Sie unter [Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) im *IAM-Benutzerhandbuch*. Verwenden Sie die folgende Richtlinie, wenn Sie Ihre Amazon MWAA-Umgebungen mithilfe von AWS-eigener Schlüssel for Encryption at Rest erstellen und verwalten möchten. ### Mit einem AWS-eigener Schlüssel ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"airflow:*", "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":"*", "Condition":{ "StringLike":{ "iam:PassedToService":"airflow.amazonaws.com" } } }, { "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA" }, { "Effect":"Allow", "Action":[ "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeRouteTables" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "s3:GetEncryptionConfiguration" ], "Resource":"arn:aws:s3:::*" }, { "Effect":"Allow", "Action":"ec2:CreateVpcEndpoint", "Resource":[ "arn:aws:ec2:*:*:vpc-endpoint/*", "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect":"Allow", "Action":[ "ec2:CreateNetworkInterface" ], "Resource":[ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] } ``` ------ Verwenden Sie die folgende Richtlinie, wenn Sie Ihre Amazon MWAA-Umgebungen mit einem vom Kunden verwalteten Schlüssel für die Verschlüsselung im Ruhezustand erstellen und verwalten möchten. Um einen vom Kunden verwalteten Schlüssel verwenden zu können, muss der IAM-Principal berechtigt sein, mithilfe des in Ihrem Konto gespeicherten Schlüssels auf AWS KMS Ressourcen zuzugreifen. ### Verwenden eines vom Kunden verwalteten Schlüssels ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "airflow:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:PassedToService": "airflow.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA" }, { "Effect": "Allow", "Action": [ "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeRouteTables" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey", "kms:ListGrants", "kms:CreateGrant", "kms:RevokeGrant", "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey*", "kms:ReEncrypt*" ], "Resource": "arn:aws:kms:*:111122223333:key/YOUR_KMS_ID" }, { "Effect": "Allow", "Action": [ "s3:GetEncryptionConfiguration" ], "Resource": "arn:aws:s3:::*" }, { "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": [ "arn:aws:ec2:*:*:vpc-endpoint/*", "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] } ``` ------ ## Richtlinie für den Zugriff auf Konsolen mit Schreibschutz: Amazon MWAARead OnlyAccess Konsolenzugriff mit Schreibschutz Ein Benutzer benötigt möglicherweise Zugriff auf die `AmazonMWAAReadOnlyAccess` Berechtigungsrichtlinie, wenn er auf der Detailseite der Amazon MWAA-Konsolenumgebung auf die Ressourcen zugreifen möchte, die von einer Umgebung verwendet werden. Es erlaubt einem Benutzer nicht, neue Umgebungen zu erstellen, bestehende Umgebungen zu bearbeiten oder einem Benutzer den Zugriff auf die Apache Airflow Airflow-Benutzeroberfläche zu ermöglichen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "airflow:ListEnvironments", "airflow:GetEnvironment", "airflow:ListTagsForResource" ], "Resource": "*" } ] } ``` ------ ## Zugriffsrichtlinie für die Apache Airflow Airflow-Benutzeroberfläche: Amazon MWAAWeb ServerAccess Zugriff auf die Apache Airflow Airflow-Benutzeroberfläche Ein Benutzer benötigt möglicherweise Zugriff auf die `AmazonMWAAWebServerAccess` Berechtigungsrichtlinie, wenn er auf die Apache Airflow Airflow-Benutzeroberfläche zugreifen muss. Es erlaubt dem Benutzer nicht, auf Umgebungen auf der Amazon MWAA-Konsole zuzugreifen oder Amazon MWAA zu verwenden, APIs um Aktionen auszuführen. Geben Sie die`Admin`, `Op``User`, `Viewer` oder die `Public` Rolle an, in `{airflow-role}` der Sie die Zugriffsebene für den Benutzer des Web-Tokens anpassen möchten. Weitere Informationen finden Sie unter [Standardrollen](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles) im *Apache Airflow Airflow-Referenzhandbuch.* ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "airflow:CreateWebLoginToken", "Resource": [ "arn:aws:airflow:us-east-1:111122223333:role/{your-environment-name}/{airflow-role}" ] } ] } ``` ------ **Anmerkung** Amazon MWAA bietet IAM-Integration mit den fünf [standardmäßigen Apache Airflow Airflow-Rollen für die rollenbasierte Zugriffskontrolle](https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html?highlight=roles) (RBAC). Weitere Informationen zum Arbeiten mit benutzerdefinierten Apache Airflow-Rollen finden Sie [Tutorial: Beschränken des Zugriffs eines Amazon MWAA-Benutzers auf eine Teilmenge von DAGs](limit-access-to-dags.md) unter. Das `Resource` Feld in dieser Richtlinie kann verwendet werden, um die rollenbasierten Zugriffskontrollrollen von Apache Airflow für die Amazon MWAA-Umgebung anzugeben. Es unterstützt jedoch nicht den ARN (Amazon Resource Name) der Amazon MWAA-Umgebung im `Resource` Bereich der Richtlinie. ## Apache Airflow Rest-API-Zugriffsrichtlinie: Amazon MWAARest APIAccess Zugriff auf die Apache Airflow Rest API Um auf die Apache Airflow REST API zuzugreifen, müssen Sie die `airflow:InvokeRestApi` Erlaubnis in Ihrer IAM-Richtlinie erteilen. Geben Sie im folgenden Richtlinienbeispiel die Rolle`Admin`, `Op``User`, `Viewer` oder die `Public` Rolle an, `{airflow-role}` um die Benutzerzugriffsebene anzupassen. Weitere Informationen finden Sie unter [Standardrollen](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles) im *Apache Airflow Airflow-Referenzhandbuch.* ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowMwaaRestApiAccess", "Effect": "Allow", "Action": "airflow:InvokeRestApi", "Resource": [ "arn:aws:airflow:us-east-1:111122223333:role/{your-environment-name}/{airflow-role}" ] } ] } ``` ------ **Anmerkung** Bei der Konfiguration eines privaten Webservers kann die `InvokeRestApi` Aktion nicht von außerhalb einer Virtual Private Cloud (VPC) aufgerufen werden. Sie können den `aws:SourceVpc` Schlüssel verwenden, um eine detailliertere Zugriffskontrolle für diesen Vorgang anzuwenden. Weitere Informationen finden Sie unter [aws](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc): SourceVpc Das `Resource` Feld in dieser Richtlinie kann verwendet werden, um die rollenbasierten Zugriffskontrollrollen von Apache Airflow für die Amazon MWAA-Umgebung anzugeben. Es unterstützt jedoch nicht den ARN (Amazon Resource Name) der Amazon MWAA-Umgebung im `Resource` Bereich der Richtlinie. ## Apache Airflow CLI-Richtlinie: Amazon MWAAAirflow CliAccess Apache Airflow CLI-Zugriff Ein Benutzer benötigt möglicherweise Zugriff auf die `AmazonMWAAAirflowCliAccess` Berechtigungsrichtlinie, wenn er Apache Airflow CLI-Befehle (z. B.`trigger_dag`) ausführen muss. Es erlaubt dem Benutzer nicht, auf Umgebungen auf der Amazon MWAA-Konsole zuzugreifen oder Amazon MWAA zu verwenden, APIs um Aktionen auszuführen. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "airflow:CreateCliToken" ], "Resource": "arn:aws:airflow:us-east-1:111122223333:environment/${EnvironmentName}" } ] } ``` ------ ## Eine JSON-Richtlinie erstellen Sie können die JSON-Richtlinie erstellen und die Richtlinie an Ihren Benutzer, Ihre Rolle oder Ihre Gruppe auf der IAM-Konsole anhängen. In den folgenden Schritten wird beschrieben, wie Sie eine JSON-Richtlinie in IAM erstellen. **Um die JSON-Richtlinie zu erstellen** 1. Öffnen Sie die [Seite Richtlinien](https://console.aws.amazon.com/iam/home#/policies) in der IAM-Konsole. 1. Wählen Sie **Richtlinie erstellen** aus. 1. Wählen Sie den Tab **JSON**. 1. Fügen Sie Ihre JSON-Richtlinie hinzu. 1. Wählen Sie **Richtlinie prüfen**. 1. Geben Sie einen Wert in das Textfeld für **Name** und **Beschreibung** ein (optional). Sie können der Richtlinie beispielsweise einen Namen geben`AmazonMWAAReadOnlyAccess`. 1. Wählen Sie **Richtlinie erstellen** aus. ## Beispiel für einen Anwendungsfall zum Anhängen von Richtlinien an eine Entwicklergruppe Beispielanwendungsfall Nehmen wir an, Sie verwenden eine Gruppe in IAM mit dem Namen`AirflowDevelopmentGroup`, um allen Entwicklern in Ihrem Apache Airflow Airflow-Entwicklungsteam Berechtigungen zuzuweisen. Diese Benutzer benötigen Zugriff auf die `AmazonMWAAFullConsoleAccess` `AmazonMWAAAirflowCliAccess` ,- und `AmazonMWAAWebServerAccess` Berechtigungsrichtlinien. In diesem Abschnitt wird beschrieben, wie Sie eine Gruppe in IAM erstellen, diese Richtlinien erstellen und anhängen und die Gruppe einem IAM-Benutzer zuordnen. Bei den Schritten wird davon ausgegangen, dass Sie einen eigenen Schlüssel verwenden [AWS.](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) **Um die MWAAFull ConsoleAccess Amazon-Richtlinie zu erstellen** 1. Laden Sie die [MWAAFullConsoleAccess Amazon-Zugangsrichtlinie](./samples/AmazonMWAAFullConsoleAccess.zip) herunter. 1. Öffnen Sie die [Seite Richtlinien](https://console.aws.amazon.com/iam/home#/policies) in der IAM-Konsole. 1. Wählen Sie **Richtlinie erstellen** aus. 1. Wählen Sie den Tab **JSON**. 1. Fügen Sie die JSON-Richtlinie für ein`AmazonMWAAFullConsoleAccess`. 1. Ersetzen Sie die folgenden Werte: 1. *123456789012*— Ihre AWS-Konto ID (wie`0123456789`) 1. *\$1your-kms-id\$1*— Die eindeutige Kennung für einen vom Kunden verwalteten Schlüssel. Gilt nur, wenn Sie einen vom Kunden verwalteten Schlüssel für die Verschlüsselung im Ruhezustand verwenden. 1. Wählen Sie die **Überprüfungsrichtlinie** aus. 1. Geben Sie `AmazonMWAAFullConsoleAccess` **Name ein**. 1. Wählen Sie **Richtlinie erstellen** aus. **Um die MWAAWeb ServerAccess Amazon-Richtlinie zu erstellen** 1. Laden Sie die [MWAAWebServerAccess Amazon-Zugangsrichtlinie](./samples/AmazonMWAAWebServerAccess.zip) herunter. 1. Öffnen Sie die [Seite Richtlinien](https://console.aws.amazon.com/iam/home#/policies) in der IAM-Konsole. 1. Wählen Sie **Richtlinie erstellen** aus. 1. Wählen Sie den Tab **JSON**. 1. Fügen Sie die JSON-Richtlinie für ein`AmazonMWAAWebServerAccess`. 1. Ersetzen Sie die folgenden Werte: 1. *us-east-1*— die Region Ihrer Amazon MWAA-Umgebung (z. B.) `us-east-1` 1. *123456789012*— Ihre AWS-Konto ID (wie) `0123456789` 1. *\$1your-environment-name\$1*— Ihr Amazon MWAA-Umgebungsname (z. B.) `MyAirflowEnvironment` 1. *\$1airflow-role\$1*— die `Admin` Apache Airflow [Airflow-Standardrolle](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles) 1. Wählen Sie **Richtlinie prüfen**. 1. Geben Sie `AmazonMWAAWebServerAccess` **Name ein**. 1. Wählen Sie **Richtlinie erstellen** aus. **Um die MWAAAirflow CliAccess Amazon-Richtlinie zu erstellen** 1. Laden Sie die [MWAAAirflowCliAccess Amazon-Zugangsrichtlinie](./samples/AmazonMWAAAirflowCliAccess.zip) herunter. 1. Öffnen Sie die [Seite Richtlinien](https://console.aws.amazon.com/iam/home#/policies) in der IAM-Konsole. 1. Wählen Sie **Richtlinie erstellen** aus. 1. Wählen Sie den Tab **JSON**. 1. Fügen Sie die JSON-Richtlinie für ein`AmazonMWAAAirflowCliAccess`. 1. Wählen Sie die **Überprüfungsrichtlinie** aus. 1. Geben Sie `AmazonMWAAAirflowCliAccess` **Name ein**. 1. Wählen Sie **Richtlinie erstellen** aus. **Um die Gruppe zu erstellen** 1. Öffnen Sie die [Seite Gruppen](https://console.aws.amazon.com/iam/home#/groups) in der IAM-Konsole. 1. Geben Sie einen Namen von `AirflowDevelopmentGroup` ein. 1. Wählen Sie **Next Step (Weiter)** aus. 1. Geben Sie in `AmazonMWAA` das Feld Filter ein, um die Ergebnisse zu **filtern**. 1. Wählen Sie die drei Richtlinien aus, die Sie erstellt haben. 1. Wählen Sie **Next Step (Weiter)** aus. 1. Wählen Sie **Create Group**. **Um sie einem Benutzer zuzuordnen** 1. Öffnen Sie die [Seite Benutzer](https://console.aws.amazon.com/iam/home#/users) in der IAM-Konsole. 1. Wählen Sie einen Benutzer aus. 1. Klicken Sie auf **Groups (Gruppen)**. 1. Wählen Sie **Benutzer zu Gruppen hinzufügen** aus. 1. Wählen Sie das **AirflowDevelopmentGroup** aus. 1. Wählen Sie dann **Add to Groups (Zu Gruppen hinzufügen)** aus. ## Als nächstes + Erfahren Sie unter, wie Sie ein Token für den Zugriff auf die Apache Airflow Airflow-Benutzeroberfläche generieren. [Zugreifen auf Apache Airflow](access-airflow-ui.md) + Weitere Informationen zum Erstellen von IAM-Richtlinien finden Sie unter IAM-Richtlinien [erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html).