Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Seguridad en Amazon Managed Workflows para Apache Airflow
La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.
La seguridad es una responsabilidad compartida entre usted AWS y usted (el cliente). El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la AWS nube. AWS también le proporciona servicios que puede utilizar de forma segura. Los auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad como parte de los [AWS programas](https://aws.amazon.com/compliance/programs/) de de . Para obtener más información sobre los programas de conformidad que se aplican a Amazon MWAA, consulte [AWS Servicios incluidos en el ámbito del programa de conformidad AWS Servicios en el ámbito del programa](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. También es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y la normativa aplicables.
La documentación explica cómo se debe aplicar el modelo de responsabilidad compartida cuando se utiliza Amazon Managed Workflows para Apache Airflow. Úselo para configurar Amazon MWAA y lograr sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus recursos de Amazon MWAA.
**Topics**
+ [Protección de los datos](data-protection.md)
+ [
# AWS Identity and Access Management
](security-iam.md)
+ [Validación de la conformidad](compliance-validation.md)
+ [Resiliencia](disaster-recovery-resiliency.md)
+ [Seguridad de infraestructuras](infrastructure-security.md)
+ [Configuración y análisis de vulnerabilidades](configuration-vulnerability-analysis.md)
+ [Prácticas recomendadas](security-best-practices.md)
# Protección de datos en Amazon Managed Workflows para Apache Airflow
El [modelo de ](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a protección de datos en Amazon Managed Workflows for Apache Airflow. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Usted es responsable de mantener el control sobre el contenido alojado en esta infraestructura. Este contenido incluye la configuración de seguridad y las tareas de administración para el Servicios de AWS que usa. Para obtener más información sobre la privacidad de los datos, consulte las [preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el *Blog de seguridad de AWS *.
Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure cuentas de usuario individuales con AWS Identity and Access Management (IAM). De esta manera, cada usuario recibe únicamente los permisos necesarios para cumplir con sus obligaciones laborales. También recomendamos proteger sus datos de las siguientes maneras:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Recomendamos TLS 1.2 o una versión posterior.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados de AWS los servicios.
+ Utilice avanzados servicios de seguridad administrados, como Amazon Macie, que lo ayuden a detectar y proteger los datos personales almacenados en Amazon S3.
Recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, direcciones de email de sus clientes, en etiquetas o en los campos de formato libre, como el campo **Name (Nombre)**. Esto incluye cuando trabaja con Amazon MWAA u otros AWS servicios mediante la consola, la API o. AWS CLI AWS SDKs Los datos que ingresa en etiquetas o campos de formato libre usados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
# Cifrado en Amazon MWAA
En los siguientes temas se describe la manera en que Amazon MWAA protege los datos en reposo y los datos en tránsito. Utilice esta información para obtener información sobre cómo Amazon MWAA se integra AWS KMS para cifrar los datos en reposo y cómo se cifran los datos mediante el protocolo Transport Layer Security (TLS) en tránsito.
**Topics**
+ [
## Cifrado en reposo
](#encryption-at-rest)
+ [
## Cifrado en tránsito
](#encryption-in-transit)
## Cifrado en reposo
En Amazon MWAA, los datos *en reposo* son datos que el servicio guarda en medios persistentes.
Al crear un entorno, puede usar una [clave propiedad de AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) para el cifrado de los datos en reposo o, si lo desea, proporcionar una [clave administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para otro cifrado. Si decide utilizar una clave KMS administrada por el cliente, debe estar en la misma cuenta que los demás AWS recursos y servicios que utilice en su entorno.
Para usar una clave KMS administrada por el cliente, debe adjuntar la declaración de política requerida para CloudWatch acceder a su política clave. Si usa una clave de KMS administrada por el cliente para su entorno, Amazon MWAA asocia cuatro [concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) en su nombre. Para obtener más información sobre las concesiones que Amazon MWAA asocia a una clave de KMS administrada por el cliente, consulte las [claves administradas por el cliente para el cifrado de datos](custom-keys-certs.md).
Si no especifica una clave de KMS gestionada por el cliente, de forma predeterminada, Amazon MWAA utiliza una clave de KMS AWS propia para cifrar y descifrar los datos. Recomendamos utilizar una clave AWS KMS propia para gestionar el cifrado de datos en Amazon MWAA.
**nota**
Usted paga por el almacenamiento y el uso de las claves de KMS AWS propias o administradas por el cliente en Amazon MWAA. Para obtener más información, consulte los [precios de AWS KMS](https://aws.amazon.com/kms/pricing/).
### Artefactos de cifrado
Al crear su entorno de Amazon MWAA, deberá especificar los artefactos de cifrado que usará para el cifrado en reposo especificando una [clave propiedad de AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) o una [clave administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk). Amazon MWAA se encargará de añadir la [concesiones](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) necesarias a la clave especificada.
**Amazon S3**: los datos de Amazon S3 se cifran a nivel de objeto mediante el cifrado del servidor (SSE). En Amazon S3, el cifrado y el descifrado se llevan a cabo en el bucket de Amazon S3 en el cual estén almacenados el código de sus DAG y los archivos auxiliares. Los objetos se cifran al cargarlos en Amazon S3 y se descifran al descargarlos de su entorno de Amazon MWAA. Si usa una clave de KMS administrada por el cliente, Amazon MWAA la usará para leer y descifrar los datos de su bucket de Amazon S3 de forma predeterminada.
**CloudWatch Registros**: si utiliza una clave KMS AWS propia, los registros de Apache Airflow enviados a CloudWatch Logs se cifran mediante SSE con la clave KMS AWS propiedad de CloudWatch Logs. Si utiliza una clave de KMS gestionada por el cliente, debe añadir una [política de claves a su clave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) de KMS para permitir que CloudWatch Logs utilice su clave.
**Amazon SQS**: Amazon MWAA creará una cola de Amazon SQS para su entorno. Amazon MWAA gestiona el cifrado de los datos que se pasan a y desde la cola mediante SSE con una clave de KMS propia o con una clave de KMS AWS gestionada por el cliente que usted especifique. Debe añadir los permisos de Amazon SQS a su función de ejecución, independientemente de si utiliza una clave de KMS propia o AWS gestionada por el cliente.
**Aurora PostgreSQL**: Amazon MWAA creará un clúster de PostgreSQL para su entorno. Aurora PostgreSQL cifra el contenido con AWS una clave KMS propia o administrada por el cliente mediante SSE. Si usa una clave de KMS administrada por el cliente, Amazon RDS agregará, como mínimo, dos concesiones a la clave: una para el clúster y otra para la instancia de base de datos. Amazon RDS puede crear más concesiones si decide usar la clave de KMS administrada por el cliente en varios entornos. Para obtener más información, consulte la [protección de datos en Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/DataDurability.html).
## Cifrado en tránsito
Se denomina “datos en tránsito” a los datos que pueden interceptarse mientras se desplazan por la red.
Transport Layer Security (TLS) cifra los objetos de Amazon MWAA en tránsito entre los componentes de Apache Airflow de su entorno y otros servicios AWS que se integran con Amazon MWAA, como Amazon S3. Para obtener más información sobre el cifrado Amazon S3, consulte cómo [proteger los datos mediante cifrado](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html).
# Uso de claves maestras de cliente para el cifrado
Si lo desea, puede proporcionar una [clave administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para el cifrado de datos de su entorno. Deberá crear la clave de KMS administrada por el cliente en la misma región que su instancia de entorno de Amazon MWAA y su bucket de Amazon S3 en el cual almacena los recursos para sus flujos de trabajo. Si la clave KMS administrada por el cliente que especifica está en una cuenta diferente de la que usa para configurar un entorno, debe especificarla mediante su ARN para el acceso entre cuentas. Para obtener más información sobre la creación de claves, consulte cómo [crear claves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) en la *guía para desarrolladores de AWS Key Management Service *.
## Elementos compatibles
| AWS KMS característica | compatible |
| --- | --- |
| Un [ID o un ARN de la clave de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html). | Sí |
| Un [alias de la clave de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html). | No |
| Una [clave AWS KMS de varias regiones](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html). | No |
## Uso de concesiones para el cifrado
En este tema, se describen las concesiones que Amazon MWAA asocia a una clave de KMS administrada por el cliente en su nombre para cifrar y descifrar sus datos.
### Funcionamiento
[https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)
La política de claves se utiliza cuando el permiso es principalmente estático y se utiliza en modo de servicio sincrónico, mientras que la concesión se utiliza cuando se requieren permisos más dinámicos y detallados, como cuando un servicio necesita definir diferentes permisos de acceso para sí mismo o para otras cuentas.
Amazon MWAA usa y asocia cuatro políticas de concesión a la clave de KMS administrada por el cliente. Esto se debe a los permisos detallados necesarios para que un entorno cifre los datos en reposo de CloudWatch Logs, la cola de Amazon SQS, la base de datos Aurora PostgreSQL, los secretos de Secrets Manager, el bucket de Amazon S3 y las tablas de DynamoDB.
Al crear un entorno de Amazon MWAA y especificar una clave de KMS administrada por el cliente, Amazon MWAA asocia las políticas de concesión a dicha clave. Estas políticas permiten que Amazon MWAA use su clave de KMS administrada por el cliente en `airflow.us-east-1.amazonaws.com` para cifrar en su nombre los recursos que son propiedad de Amazon MWAA.
Amazon MWAA crea y asocia concesiones adicionales a una clave de KMS específica en su nombre. Esto incluye políticas para retirar una subvención si elimina su entorno, para usar su clave KMS administrada por el cliente para el cifrado del lado del cliente (CSE) y para el rol de AWS Fargate ejecución que necesita acceder a los secretos protegidos por su clave administrada por el cliente en Secrets Manager.
## Políticas de concesión
Amazon MWAA agrega las concesiones de la [política basada en recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) que se indican a continuación en su nombre a una clave de KMS administrada por el cliente. Estas políticas permiten que el beneficiario y la entidad principal (Amazon MWAA) lleven a cabo las acciones definidas en la política.
### Concesión 1: se utiliza para crear recursos del plano de datos
```
{
"Name": "mwaa-grant-for-env-mgmt-role-environment name",
"GranteePrincipal": "airflow.us-east-1.amazonaws.com",
"RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
"Operations": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:DescribeKey",
"kms:RetireGrant"
]
}
```
### Concesión 2: se utiliza para el acceso del `ControllerLambdaExecutionRole`
```
{
"Name": "mwaa-grant-for-lambda-exec-environment name",
"GranteePrincipal": "airflow.us-east-1.amazonaws.com",
"RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
"Operations": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:RetireGrant"
]
}
```
### Concesión 3: se utiliza para el acceso del `CfnManagementLambdaExecutionRole`
```
{
"Name": " mwaa-grant-for-cfn-mgmt-environment name",
"GranteePrincipal": "airflow.us-east-1.amazonaws.com",
"RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
"Operations": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
]
}
```
### Concesión 4: se utiliza para el rol de ejecución de Fargate a fin de acceder a la información secreta del backend
```
{
"Name": "mwaa-fargate-access-for-environment name",
"GranteePrincipal": "airflow.us-east-1.amazonaws.com",
"RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
"Operations": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:RetireGrant"
]
}
```
## Asociación de políticas de claves a una clave administrada por el cliente
Si decide usar su propia clave de KMS administrada por el cliente con Amazon MWAA, debe asociar la siguiente política a la clave para que Amazon MWAA pueda usarla para cifrar sus datos.
Si la clave de KMS administrada por el cliente que utilizó para su entorno de Amazon MWAA aún no está configurada para funcionar con ella CloudWatch, debe actualizar la [política de claves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) para permitir los registros cifrados. CloudWatch Para obtener más información, consulte el servicio [Cifrar los datos de registro durante el uso](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html). CloudWatch AWS Key Management Service
El siguiente ejemplo representa una política clave para CloudWatch los registros. Sustituya los valores de ejemplo que se han indicado para la región.
```
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:*:*"
}
}
}
```
# AWS Identity and Access Management
AWS Identity and Access Management (IAM) es un AWS servicio que ayuda a un administrador a controlar de forma segura el acceso a los recursos. AWS Los administradores de IAM controlan a qué personas se puede autenticar (pueden iniciar sesión) y autorizar (tiene permisos) para utilizar recursos de Amazon Managed Workflows para Apache Airflow. La IAM es un AWS servicio que puede utilizar sin coste adicional.
En este tema se proporciona una descripción general básica de cómo Amazon MWAA utiliza AWS Identity and Access Management (IAM). Para obtener más información sobre la administración del acceso a Amazon MWAA, consulte [Administración del acceso a un entorno de Amazon MWAA](manage-access.md).
**Topics**
+ [
## Público
](#security_iam_audience)
+ [
## Autenticación con identidades
](#security_iam_authentication)
+ [
## Administración de acceso mediante políticas
](#security_iam_access-manage)
+ [
## Cómo permitir a los usuarios que vean sus propios permisos
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
# Solución de problemas de Amazon Managed Workflows para Apache Airflow relacionados con la identidad y el acceso
](security_iam_troubleshoot.md)
+ [
# Cómo funciona Amazon MWAA con IAM
](security_iam_service-with-iam.md)
## Público
La forma en que usa AWS Identity and Access Management (IAM) varía según su función:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas de Amazon Managed Workflows para Apache Airflow relacionados con la identidad y el acceso](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo funciona Amazon MWAA con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas de Amazon MWAA basadas en identidades](security_iam_id-based-policy-examples.md)).
## Autenticación con identidades
La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.
Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.
Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.
### Cuenta de AWS usuario root
Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver la lista completa de las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*.
### Usuarios y grupos de IAM
Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del *usuario de IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.
### Roles de IAM
Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.
Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
## Administración de acceso mediante políticas
AWS Para controlar el acceso, puede crear políticas y adjuntarlas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.
Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.
De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.
### Políticas basadas en identidad
Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.
Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.
### Políticas basadas en recursos
Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.
Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.
### Listas de control de acceso () ACLs
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
Amazon S3 y Amazon VPC son ejemplos de servicios compatibles. AWS WAF ACLs Para obtener más información ACLs, consulte la [descripción general de la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) en la *Guía para desarrolladores de Amazon Simple Storage Service*.
### Otros tipos de políticas
AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos otorgados por los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.
### Varios tipos de políticas
Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.
## Cómo permitir a los usuarios que vean sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la AWS CLI API o. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Solución de problemas de Amazon Managed Workflows para Apache Airflow relacionados con la identidad y el acceso
Use la siguiente información para diagnosticar y solucionar los problemas comunes que pueden surgir cuando se trabaja con Amazon MWAA e IAM.
## No tengo autorización para realizar una acción en Amazon MWAA
Si Consola de administración de AWS le indica que no está autorizado a realizar una acción, debe ponerse en contacto con el administrador para obtener ayuda. El administrador es la persona que le facilitó el nombre de usuario y la contraseña.
## No estoy autorizado a realizar lo siguiente: PassRole
Si recibe un error que indica que no tiene autorización para llevar a cabo la acción `iam:PassRole`, las políticas se deben actualizar para permitirle pasar un rol a Amazon MWAA.
Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.
En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado “`marymajor`” intenta utilizar la consola para llevar a cabo una acción en Amazon MWAA. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.
Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.
## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis recursos de Amazon MWAA
Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que admiten políticas basadas en recursos o listas de control de acceso (ACLs), puede usar esas políticas para permitir que las personas accedan a sus recursos.
Para obtener más información, consulte lo siguiente:
+ Para saber si Amazon MWAA admite estas características, consulte [Cómo funciona Amazon MWAA con IAM](security_iam_service-with-iam.md).
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro de su propiedad en la Cuenta de AWS Guía del usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.
# Cómo funciona Amazon MWAA con IAM
Amazon MWAA utiliza políticas de IAM basadas en la identidad para conceder permisos a las acciones y los recursos de Amazon MWAA. Para ver ejemplos de políticas de IAM personalizadas recomendadas que puede usar para controlar el acceso a los recursos de Amazon MWAA, consulte [Acceso a un entorno de Amazon MWAA](access-policies.md).
*Para obtener un acceso de alto nivel sobre cómo Amazon MWAA y otros AWS servicios funcionan con IAM, consulte [AWS Servicios que funcionan con IAM en la Guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Políticas basadas en identidades de Amazon MWAA
Con las políticas basadas en identidad de IAM, puede especificar las acciones y recursos permitidos o denegados. Amazon MWAA admite acciones, claves de condiciones y recursos específicos.
En los siguientes pasos, se muestra cómo puede crear una nueva política JSON mediante la consola de IAM. Esta política administrada proporciona acceso de solo lectura a los recursos de Amazon MWAA.
**Utilización del editor de política de JSON para la creación de una política**
1. Inicie sesión en la consola de IAM Consola de administración de AWS y ábrala en. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. En el panel de navegación de la izquierda, elija **Políticas**.
Si es la primera vez que elige **Políticas**, aparecerá la página **Welcome to Managed Policies** (Bienvenido a políticas administradas). Elija **Comenzar**.
1. En la parte superior de la página, seleccione **Crear política**.
1. En la sección **Editor de políticas**, seleccione la opción **JSON**.
1. Ingrese el siguiente documento de política JSON:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"airflow:ListEnvironments",
"airflow:GetEnvironment",
"airflow:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
1. Elija **Siguiente**.
**nota**
Puede alternar entre las opciones **Visual** y **JSON** del editor en todo momento. No obstante, si realiza cambios o selecciona **Siguiente** en la opción **Visual** del editor, es posible que IAM reestructure la política, con el fin de optimizarla para el editor visual. Para obtener más información, consulte [Reestructuración de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) en la *Guía del usuario de IAM*.
1. En la página **Revisar y crear**, introduzca el **Nombre de la política** y la **Descripción** (opcional) para la política que está creando. Revise los **Permisos definidos en esta política** para ver los permisos que concede la política.
1. Elija **Crear política** para guardar la nueva política.
Para obtener información sobre todos los elementos que usa en una política JSON, consulte la [referencia de los elementos de las políticas JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *guía del usuario de IAM*.
### Acciones
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.
El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Las instrucciones de la política deben incluir un elemento `Action` o `NotAction`. El elemento `Action` enumera las acciones permitidas por la política, mientras que el elemento `NotAction` enumera las no permitidas.
Las acciones que se definan para Amazon MWAA reflejarán las tareas que puede realizar mediante Amazon MWAA. Las acciones de políticas en Detective tienen el siguiente prefijo: `airflow:`.
También puede utilizar comodines (\$1) para especificar varias acciones. En lugar de enumerar estas acciones por separado, puede otorgar acceso a todas las acciones que terminan con una palabra, por ejemplo, `environment`.
Para ver una lista de las acciones de Amazon MWAA, consulte las [acciones definidas por Amazon Managed Workflows para Apache Airflow](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_mwaa.html#mwaa-actions-as-permissions) en la *guía del usuario de IAM*.
# Ejemplos de políticas de Amazon MWAA basadas en identidades
Para acceder a las políticas de Amazon MWAA, consulte [Administración del acceso a un entorno de Amazon MWAA](manage-access.md).
De forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear ni modificar recursos de Amazon MWAA. Tampoco pueden realizar tareas con la AWS API Consola de administración de AWS AWS CLI, o.
Un administrador de IAM debe crear políticas de IAM que concedan permisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursos especificados que necesiten. En ese caso, el administrador debe adjuntar esas políticas a los usuarios o grupos de IAM que necesiten esos permisos.
**importante**
Recomendamos utilizar roles de IAM y credenciales temporales para proporcionar acceso a los recursos de Amazon MWAA. Trate de no asociar directamente políticas de permisos a sus usuarios de IAM.
Para obtener información sobre cómo crear una política basada en identidad de IAM con el ejemplo con documentos de políticas JSON, consulte cómo [crear políticas en la pestaña JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) en la *guía del usuario de IAM*.
**Topics**
+ [
## Prácticas recomendadas sobre las políticas
](#security_iam_service-with-iam-policy-best-practices)
+ [
## Uso de la consola de Amazon MWAA
](#security_iam_id-based-policy-examples-console)
+ [
## Cómo permitir a los usuarios que vean sus propios permisos
](#security_iam_id-based-policy-examples-view-own-permissions)
## Prácticas recomendadas sobre las políticas
Las políticas basadas en identidades determinan si alguien puede crear, eliminar o acceder a los recursos de Amazon MWAA de la cuenta. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos**: para empezar a conceder permisos a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos en muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.
Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.
## Uso de la consola de Amazon MWAA
Para utilizar la consola de Amazon MWAA, el usuario o el rol deben poder acceder a las acciones pertinentes, que deben coincidir con las acciones correspondientes de la API.
Para acceder a las políticas de Amazon MWAA, consulte [Administración del acceso a un entorno de Amazon MWAA](manage-access.md).
## Cómo permitir a los usuarios que vean sus propios permisos
En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API o. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Validación de conformidad de Amazon Managed Workflows para Apache Airflow
Para saber si uno Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa de cumplimiento Servicios de AWS](https://aws.amazon.com/compliance/services-in-scope/) de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .
Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).
# Resiliencia en Amazon Managed Workflows para Apache Airflow
La infraestructura AWS global se basa Regiones de AWS en zonas de disponibilidad. Las regiones proporcionan varias zonas de disponibilidad físicamente independientes y aisladas que se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, además de baja demora. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre las zonas sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de uno o varios centros de datos.
Para obtener más información sobre Regiones de AWS las zonas de disponibilidad, consulte [Infraestructura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Seguridad de la infraestructura en Amazon MWAA
Como servicio gestionado, Amazon Managed Workflows for Apache Airflow está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.
Utiliza las llamadas a la API AWS publicadas para acceder a Amazon MWAA a través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
# Configuración y análisis de vulnerabilidades en Amazon MWAA
La configuración y los controles de TI son una responsabilidad compartida entre usted AWS y usted, nuestro cliente.
Amazon Managed Workflows para Apache Airflow revisa y actualiza Apache Airflow en sus entornos de forma periódica. Asegúrese de que se utilizan las políticas de acceso adecuadas para usted VPCs.
Para obtener más información, consulte los siguientes recursos:
+ [Validación de conformidad de Amazon Managed Workflows para Apache Airflow](compliance-validation.md)
+ [Modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Amazon Web Services: Overview of Security Processes](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)
+ [Seguridad de la infraestructura en Amazon MWAA](infrastructure-security.md)
+ [Prácticas recomendadas de seguridad para Amazon MWAA](security-best-practices.md)
# Prácticas recomendadas de seguridad para Amazon MWAA
Amazon MWAA proporciona una serie de características de seguridad que debe tener en cuenta a la hora de desarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadas son directrices generales y no constituyen una solución de seguridad completa. Puesto que es posible que estas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas como consideraciones útiles en lugar de como normas.
+ Utilice las políticas de permisos que sean menos permisivas. Otorgue permisos únicamente a los recursos o a las acciones que los usuarios necesiten para llevar a cabo las tareas.
+ Se utiliza AWS CloudTrail para supervisar la actividad de los usuarios en su cuenta.
+ Asegúrese de que la política y el objeto del bucket de Amazon S3 ACLs concedan permisos a los usuarios del entorno MWAA de Amazon asociado para colocar objetos en el bucket. Esto garantizará que los usuarios con permisos para añadir flujos de trabajo al bucket también dispongan de permisos para ejecutar los flujos de trabajo en Airflow.
+ Utilice los buckets de Amazon S3 asociados a los entornos de Amazon MWAA. Su bucket de Amazon S3 puede tener cualquier nombre. No almacene otros objetos en el bucket ni lo use con otro servicio.
## Prácticas recomendadas de seguridad en Apache Airflow
Apache Airflow no es multitenencia. Si bien [Amazon MWAA implementa](access-policies.md#web-ui-access) [medidas de control de acceso](https://airflow.apache.org/docs/apache-airflow/2.0.2/security/access-control.html) para limitar algunas funciones a usuarios específicos, los creadores de DAG tienen la capacidad de escribir DAGs que pueden cambiar los privilegios de usuario de Apache Airflow e interactuar con la base de metadatos subyacente.
Recomendamos los siguientes pasos al trabajar con Apache Airflow en Amazon MWAA para garantizar la seguridad de la base de metadatos de su entorno. DAGs
+ Utilice entornos separados para equipos distintos que tengan acceso a la escritura de los DAG, o bien tengan la capacidad de añadir archivos a su carpeta `/dags` de Amazon S3, suponiendo que los usuarios que puedan escribir en el entorno también podrían acceder a cualquier a la que se pueda acceder mediante el [rol de ejecución de Amazon MWAA](mwaa-create-role.md) o las [conexiones de Apache Airflow](https://airflow.apache.org/docs/apache-airflow/2.0.2/howto/connection.html).
+ No proporcione acceso directo a DAGs la carpeta Amazon S3. En su lugar, utilice CI/CD herramientas DAGs para escribir en Amazon S3, con un paso de validación que garantice que el código del DAG cumple con las directrices de seguridad de su equipo.
+ Evite que los usuarios puedan acceder al bucket de Amazon S3. En su lugar, utilice una fábrica de DAG que genere en DAGs función de un archivo YAML, JSON u otro archivo de definición almacenado en una ubicación independiente del bucket Amazon S3 de Amazon MWAA en el que lo almacena. DAGs
+ Almacene la información secreta en [Secrets Manager](connections-secrets-manager.md). Si bien esto no impedirá que los usuarios que saben escribir DAGs lean los secretos, sí les impedirá modificar los secretos que utiliza su entorno.
### Detección de cambios en los privilegios de los usuarios de Apache Airflow
Puede usar CloudWatch Logs Insights para detectar DAGs cambios en los privilegios de usuario de Apache Airflow. Para ello, puede usar una regla EventBridge programada, una función Lambda y CloudWatch Logs Insights para enviar notificaciones a las CloudWatch métricas cada vez que uno de sus privilegios de usuario de Apache Airflow DAGs cambie.
#### Requisitos previos
Para completar los pasos que se detallan a continuación, necesita lo siguiente:
+ Un entorno de Amazon MWAA que tenga habilitados todos los tipos de registros de Apache Airflow en el nivel de registro `INFO`. Para obtener más información, consulta [Acceder a los registros de Airflow en Amazon CloudWatch](monitoring-airflow.md).
**Configuración de las notificaciones acerca de cualquier cambio que se produzca en los privilegios de los usuarios de Apache Airflow**
1. [Cree una función Lambda](https://docs.aws.amazon.com/lambda/latest/dg/getting-started-create-function.html) que ejecute la siguiente cadena de consulta de CloudWatch Logs Insights en los cinco grupos de registros del entorno Amazon MWAA (`DAGProcessing`, `Scheduler``Task`, `WebServer` y). `Worker`
```
fields @log, @timestamp, @message | filter @message like "add-role" | stats count() by @log
```
1. [Cree una EventBridge regla que se ejecute según un cronograma](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule-schedule.html), con la función Lambda que creó en el paso anterior como objetivo de la regla. Configure su programación mediante una expresión de frecuencia o una expresión cron para que se ejecute a intervalos regulares.