Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Accès à un environnement Amazon MWAA
Pour utiliser Amazon Managed Workflows pour Apache Airflow, vous devez utiliser un compte et des entités IAM disposant des autorisations nécessaires. Cette rubrique décrit les politiques d'accès que vous pouvez appliquer à votre équipe de développement Apache Airflow et aux utilisateurs d'Apache Airflow pour votre environnement Amazon Managed Workflows for Apache Airflow.
Nous vous recommandons d'utiliser des informations d'identification temporaires et de configurer des identités fédérées avec des groupes et des rôles pour accéder à vos ressources Amazon MWAA. Il est recommandé d'éviter d'associer des politiques directement à vos utilisateurs IAM. Définissez plutôt des groupes ou des rôles pour fournir un accès temporaire aux AWS ressources.
Un [rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d’autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM dans la mesure où il s'agit d'une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d’informations d’identification standard à long terme comme un mot de passe ou des clés d’accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d’identification de sécurité temporaires pour votre session de rôle.
Pour attribuer des autorisations à une identité fédérée, vous devez créer un rôle et définir des autorisations pour ce rôle. Quand une identité externe s’authentifie, l’identité est associée au rôle et reçoit les autorisations qui sont définies par celui-ci. Pour obtenir des informations sur les rôles pour la fédération, consultez [ Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*. Si vous utilisez IAM Identity Center, vous configurez un jeu d’autorisations. IAM Identity Center met en corrélation le jeu d’autorisations avec un rôle dans IAM afin de contrôler à quoi vos identités peuvent accéder après leur authentification. Pour plus d’informations sur les jeux d’autorisations, consultez [Jeux d’autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
Vous pouvez utiliser un rôle IAM dans votre compte pour accorder à d'autres Compte AWS autorisations d'accès aux ressources de votre compte. Pour un exemple, consultez le [didacticiel IAM : Déléguer l'accès à Comptes AWS l'aide de rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) dans le guide de l'utilisateur *IAM*.
**Topics**
+ [Comment ça marche](#access-policies-how)
+ [Politique d'accès complète à la console : Amazon MWAAFull ConsoleAccess](#console-full-access)
+ [Politique complète d'accès à l'API et à la console : Amazon MWAAFull ApiAccess](#full-access-policy)
+ [Politique d'accès à la console en lecture seule : Amazon MWAARead OnlyAccess](#mwaa-read-only)
+ [Politique d'accès à l'interface utilisateur d'Apache Airflow : Amazon MWAAWeb ServerAccess](#web-ui-access)
+ [Politique d'accès à l'API Rest d'Apache Airflow : Amazon MWAARest APIAccess](#rest-api-access)
+ [Politique de la CLI Apache Airflow : Amazon MWAAAirflow CliAccess](#cli-access)
+ [Création d'une politique JSON](#access-policy-iam-console-create)
+ [Exemple de cas d'utilisation pour associer des politiques à un groupe de développeurs](#access-policy-use-case)
+ [Quelle est la prochaine étape ?](#access-policy-next-up)
## Comment ça marche
Les ressources et services utilisés dans un environnement Amazon MWAA ne sont pas accessibles à toutes les entités Gestion des identités et des accès AWS (IAM). Vous devez créer une politique qui autorise les utilisateurs d'Apache Airflow à accéder à ces ressources. Par exemple, vous devez autoriser l'accès à votre équipe de développement Apache Airflow.
Amazon MWAA utilise ces politiques pour vérifier si un utilisateur dispose des autorisations nécessaires pour effectuer une action sur la AWS console ou via un environnement APIs utilisé.
Vous pouvez utiliser les politiques JSON décrites dans cette rubrique pour créer une stratégie pour vos utilisateurs Apache Airflow dans IAM, puis associer la politique à un utilisateur, un groupe ou un rôle dans IAM.
+ [Amazon MWAAFull ConsoleAccess](#console-full-access) — Utilisez cette politique pour autoriser la configuration d'un environnement sur la console Amazon MWAA.
+ [Amazon MWAAFull ApiAccess](#full-access-policy) — Utilisez cette politique pour accorder l'accès à tous les Amazon MWAA APIs utilisés pour gérer un environnement.
+ [Amazon MWAARead OnlyAccess](#mwaa-read-only) — Utilisez cette politique pour accorder l'accès aux ressources utilisées par un environnement sur la console Amazon MWAA.
+ [Amazon MWAAWeb ServerAccess](#web-ui-access) — Utilisez cette politique pour accorder l'accès au serveur Web Apache Airflow.
+ [Amazon MWAAAirflow CliAccess](#cli-access) — Utilisez cette politique pour autoriser l'accès à l'exécution des commandes de la CLI Apache Airflow.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
## Politique d'accès complète à la console : Amazon MWAAFull ConsoleAccess
Un utilisateur peut avoir besoin d'accéder à la politique d'`AmazonMWAAFullConsoleAccess`autorisations s'il doit configurer un environnement sur la console Amazon MWAA.
**Note**
Votre politique d'accès à la console complète doit inclure des autorisations d'exécution`iam:PassRole`. Cela permet à l'utilisateur de transmettre des [rôles liés aux services et des rôles](mwaa-slr.md) [d'exécution](mwaa-create-role.md) à Amazon MWAA. Amazon MWAA assume chaque rôle pour appeler d'autres AWS services en votre nom. L'exemple suivant utilise la clé de `iam:PassedToService` condition pour spécifier le principal de service Amazon MWAA (`airflow.amazonaws.com`) en tant que service auquel un rôle peut être transmis.
Pour plus d'informations`iam:PassRole`, reportez-vous à la section [Octroi à un utilisateur des autorisations pour transmettre un rôle à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) dans le *Guide de l'utilisateur IAM*.
Appliquez la politique suivante si vous souhaitez créer et gérer vos environnements Amazon MWAA à l'aide d'un système [Clé détenue par AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)de [chiffrement au repos.](encryption.md#encryption-at-rest)
### À l'aide d'un Clé détenue par AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "airflow:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "airflow.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "arn:aws:iam::111122223333:policy/service-role/MWAA-Execution-Policy*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole"
],
"Resource": "arn:aws:iam::111122223333:role/service-role/AmazonMWAA*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutObject",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRouteTables"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup"
],
"Resource": "arn:aws:ec2:*:*:security-group/airflow-security-group-*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*",
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
------
Appliquez la politique suivante si vous souhaitez créer et gérer vos environnements Amazon MWAA à l'aide d'une [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) pour le chiffrement au repos. Pour utiliser une clé gérée par le client, le principal IAM doit être autorisé à accéder aux AWS KMS ressources à l'aide de la clé enregistrée dans votre compte.
### Utilisation d'une clé gérée par le client
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "airflow:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "airflow.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "arn:aws:iam::111122223333:policy/service-role/MWAA-Execution-Policy*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole"
],
"Resource": "arn:aws:iam::111122223333:role/service-role/AmazonMWAA*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutObject",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRouteTables"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup"
],
"Resource": "arn:aws:ec2:*:*:security-group/airflow-security-group-*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListGrants",
"kms:CreateGrant",
"kms:RevokeGrant",
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/YOUR_KMS_ID"
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*",
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
------
## Politique complète d'accès à l'API et à la console : Amazon MWAAFull ApiAccess
Un utilisateur peut avoir besoin d'accéder à la politique `AmazonMWAAFullApiAccess` d'autorisations s'il a besoin d'accéder à tous les Amazon MWAA APIs utilisés pour gérer un environnement. Il n'accorde pas d'autorisations pour accéder à l'interface utilisateur d'Apache Airflow.
**Note**
Une politique d'accès complète à l'API doit inclure des autorisations d'exécution`iam:PassRole`. Cela permet à l'utilisateur de transmettre des [rôles liés aux services et des rôles](mwaa-slr.md) [d'exécution](mwaa-create-role.md) à Amazon MWAA. Amazon MWAA assume chaque rôle pour appeler d'autres AWS services en votre nom. L'exemple suivant utilise la clé de `iam:PassedToService` condition pour spécifier le principal de service Amazon MWAA (`airflow.amazonaws.com`) en tant que service auquel un rôle peut être transmis.
Pour plus d'informations`iam:PassRole`, reportez-vous à la section [Octroi à un utilisateur des autorisations pour transmettre un rôle à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) dans le *Guide de l'utilisateur IAM*.
Appliquez la politique suivante si vous souhaitez créer et gérer vos environnements Amazon MWAA à l'aide d'un système Clé détenue par AWS de chiffrement au repos.
### À l'aide d'un Clé détenue par AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"airflow:*",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"iam:PassRole"
],
"Resource":"*",
"Condition":{
"StringLike":{
"iam:PassedToService":"airflow.amazonaws.com"
}
}
},
{
"Effect":"Allow",
"Action":[
"iam:CreateServiceLinkedRole"
],
"Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
},
{
"Effect":"Allow",
"Action":[
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRouteTables"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"s3:GetEncryptionConfiguration"
],
"Resource":"arn:aws:s3:::*"
},
{
"Effect":"Allow",
"Action":"ec2:CreateVpcEndpoint",
"Resource":[
"arn:aws:ec2:*:*:vpc-endpoint/*",
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect":"Allow",
"Action":[
"ec2:CreateNetworkInterface"
],
"Resource":[
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
------
Appliquez la politique suivante si vous souhaitez créer et gérer vos environnements Amazon MWAA à l'aide d'une clé gérée par le client pour le chiffrement au repos. Pour utiliser une clé gérée par le client, le principal IAM doit être autorisé à accéder aux AWS KMS ressources à l'aide de la clé enregistrée dans votre compte.
### Utilisation d'une clé gérée par le client
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "airflow:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "airflow.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRouteTables"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListGrants",
"kms:CreateGrant",
"kms:RevokeGrant",
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/YOUR_KMS_ID"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*",
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
------
## Politique d'accès à la console en lecture seule : Amazon MWAARead OnlyAccess
Un utilisateur peut avoir besoin d'accéder à la politique d'`AmazonMWAAReadOnlyAccess`autorisations s'il a besoin d'accéder aux ressources utilisées par un environnement sur la page de détails de l'environnement de la console Amazon MWAA. Il ne permet pas à un utilisateur de créer de nouveaux environnements, de modifier des environnements existants ou d'accéder à l'interface utilisateur d'Apache Airflow.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"airflow:ListEnvironments",
"airflow:GetEnvironment",
"airflow:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Politique d'accès à l'interface utilisateur d'Apache Airflow : Amazon MWAAWeb ServerAccess
Un utilisateur peut avoir besoin d'accéder à la politique `AmazonMWAAWebServerAccess` d'autorisations pour accéder à l'interface utilisateur d'Apache Airflow. Il n'autorise pas l'utilisateur à accéder aux environnements de la console Amazon MWAA ni à utiliser l'Amazon MWAA APIs pour effectuer des actions. Spécifiez le `Admin``Op`,`User`, `Viewer` ou le `Public` rôle dans `{airflow-role}` pour personnaliser le niveau d'accès pour l'utilisateur du jeton Web. Pour plus d'informations, reportez-vous à la section [Rôles par défaut](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles) du guide de *référence d'Apache Airflow*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "airflow:CreateWebLoginToken",
"Resource": [
"arn:aws:airflow:us-east-1:111122223333:role/{your-environment-name}/{airflow-role}"
]
}
]
}
```
------
**Note**
Amazon MWAA fournit une intégration IAM avec les cinq rôles de contrôle d'[accès basé sur les rôles (RBAC) par défaut d'Apache Airflow](https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html?highlight=roles). Pour plus d'informations sur l'utilisation de rôles Apache Airflow personnalisés, reportez-vous à. [Tutoriel : Restreindre l'accès d'un utilisateur Amazon MWAA à un sous-ensemble de DAGs](limit-access-to-dags.md)
Le `Resource` champ de cette politique peut être utilisé pour spécifier les rôles de contrôle d'accès basés sur les rôles d'Apache Airflow pour l'environnement Amazon MWAA. Toutefois, il ne prend pas en charge l'ARN (Amazon Resource Name) de l'environnement Amazon MWAA dans le `Resource` champ de la politique.
## Politique d'accès à l'API Rest d'Apache Airflow : Amazon MWAARest APIAccess
Pour accéder à l'API REST Apache Airflow, vous devez accorder l'`airflow:InvokeRestApi`autorisation dans votre politique IAM. Dans l'exemple de politique suivant, spécifiez le `Admin``Op`,`User`, `Viewer` ou le `Public` rôle dans `{airflow-role}` pour personnaliser le niveau d'accès des utilisateurs. Pour plus d'informations, reportez-vous à la section [Rôles par défaut](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles) du guide de *référence d'Apache Airflow*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMwaaRestApiAccess",
"Effect": "Allow",
"Action": "airflow:InvokeRestApi",
"Resource": [
"arn:aws:airflow:us-east-1:111122223333:role/{your-environment-name}/{airflow-role}"
]
}
]
}
```
------
**Note**
Lors de la configuration d'un serveur Web privé, l'`InvokeRestApi`action ne peut pas être invoquée depuis l'extérieur d'un Virtual Private Cloud (VPC). Vous pouvez utiliser la `aws:SourceVpc` clé pour appliquer un contrôle d'accès plus précis à cette opération. Pour plus d'informations, consultez [aws : SourceVpc](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)
Le `Resource` champ de cette politique peut être utilisé pour spécifier les rôles de contrôle d'accès basés sur les rôles d'Apache Airflow pour l'environnement Amazon MWAA. Toutefois, il ne prend pas en charge l'ARN (Amazon Resource Name) de l'environnement Amazon MWAA dans le `Resource` champ de la politique.
## Politique de la CLI Apache Airflow : Amazon MWAAAirflow CliAccess
Un utilisateur peut avoir besoin d'accéder à la politique d'`AmazonMWAAAirflowCliAccess`autorisations s'il doit exécuter des commandes CLI d'Apache Airflow (telles que`trigger_dag`). Il n'autorise pas l'utilisateur à accéder aux environnements de la console Amazon MWAA ni à utiliser l'Amazon MWAA APIs pour effectuer des actions.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"airflow:CreateCliToken"
],
"Resource": "arn:aws:airflow:us-east-1:111122223333:environment/${EnvironmentName}"
}
]
}
```
------
## Création d'une politique JSON
Vous pouvez créer la politique JSON et l'associer à votre utilisateur, rôle ou groupe sur la console IAM. Les étapes suivantes décrivent comment créer une politique JSON dans IAM.
**Pour créer la politique JSON**
1. Ouvrez la [page Politiques](https://console.aws.amazon.com/iam/home#/policies) sur la console IAM.
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON**.
1. Ajoutez votre politique JSON.
1. Choisissez **Examiner une politique**.
1. Entrez une valeur dans le champ de texte pour le **nom** et **la description** (facultatif).
Par exemple, vous pouvez donner un nom à la politique`AmazonMWAAReadOnlyAccess`.
1. Choisissez **Create Policy** (Créer une politique).
## Exemple de cas d'utilisation pour associer des politiques à un groupe de développeurs
Supposons que vous utilisiez un groupe dans IAM nommé `AirflowDevelopmentGroup` pour appliquer des autorisations à tous les développeurs de votre équipe de développement Apache Airflow. Ces utilisateurs doivent avoir accès aux politiques de `AmazonMWAAFullConsoleAccess``AmazonMWAAAirflowCliAccess`, et `AmazonMWAAWebServerAccess` d'autorisation. Cette section décrit comment créer un groupe dans IAM, créer et associer ces politiques, et comment associer le groupe à un utilisateur IAM. Les étapes supposent que vous utilisez une [cléAWS qui vous appartient](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk).
**Pour créer la MWAAFull ConsoleAccess politique Amazon**
1. Téléchargez la [politique d'MWAAFullConsoleAccess accès d'Amazon](./samples/AmazonMWAAFullConsoleAccess.zip).
1. Ouvrez la [page Politiques](https://console.aws.amazon.com/iam/home#/policies) sur la console IAM.
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON**.
1. Collez la politique JSON pour`AmazonMWAAFullConsoleAccess`.
1. Remplacez les valeurs suivantes :
1. *123456789012*— Votre Compte AWS identifiant (tel que`0123456789`)
1. *\$1your-kms-id\$1*— L'identifiant unique d'une clé gérée par le client, applicable uniquement si vous utilisez une clé gérée par le client pour le chiffrement au repos.
1. Choisissez la **politique de révision**.
1. Tapez `AmazonMWAAFullConsoleAccess` le **nom**.
1. Choisissez **Create Policy** (Créer une politique).
**Pour créer la MWAAWeb ServerAccess politique Amazon**
1. Téléchargez la [politique d'MWAAWebServerAccess accès d'Amazon](./samples/AmazonMWAAWebServerAccess.zip).
1. Ouvrez la [page Politiques](https://console.aws.amazon.com/iam/home#/policies) sur la console IAM.
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON**.
1. Collez la politique JSON pour`AmazonMWAAWebServerAccess`.
1. Remplacez les valeurs suivantes :
1. *us-east-1*— la région de votre environnement Amazon MWAA (telle que`us-east-1`)
1. *123456789012*— votre Compte AWS identifiant (tel que`0123456789`)
1. *\$1your-environment-name\$1*— le nom de votre environnement Amazon MWAA (tel que`MyAirflowEnvironment`)
1. *\$1airflow-role\$1*[— le rôle par `Admin` défaut d'Apache Airflow](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles)
1. Choisissez **Examiner une politique**.
1. Tapez `AmazonMWAAWebServerAccess` le **nom**.
1. Choisissez **Create Policy** (Créer une politique).
**Pour créer la MWAAAirflow CliAccess politique Amazon**
1. Téléchargez la [politique d'MWAAAirflowCliAccess accès d'Amazon](./samples/AmazonMWAAAirflowCliAccess.zip).
1. Ouvrez la [page Politiques](https://console.aws.amazon.com/iam/home#/policies) sur la console IAM.
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON**.
1. Collez la politique JSON pour`AmazonMWAAAirflowCliAccess`.
1. Choisissez la **politique de révision**.
1. Tapez `AmazonMWAAAirflowCliAccess` le **nom**.
1. Choisissez **Create Policy** (Créer une politique).
**Pour créer le groupe**
1. Ouvrez la [page Groupes](https://console.aws.amazon.com/iam/home#/groups) sur la console IAM.
1. Entrez le nom de`AirflowDevelopmentGroup`.
1. Choisissez **Étape suivante**.
1. Tapez `AmazonMWAA` pour filtrer les résultats dans **Filtrer**.
1. Sélectionnez les trois politiques que vous avez créées.
1. Choisissez **Étape suivante**.
1. Choisissez **Create Group**.
**Pour l'associer à un utilisateur**
1. Ouvrez la [page Utilisateurs](https://console.aws.amazon.com/iam/home#/users) sur la console IAM.
1. Choisissez un utilisateur.
1. Choisissez **Groupes**.
1. Choisissez **Ajouter l’utilisateur aux groupes**.
1. Sélectionnez la **AirflowDevelopmentGroup**.
1. Choisissez **Add to Groups (Ajouter aux groupes)**.
## Quelle est la prochaine étape ?
+ Découvrez comment générer un jeton pour accéder à l'interface utilisateur d'Apache Airflow dans. [Accès à Apache Airflow](access-airflow-ui.md)
+ Pour en savoir plus sur la création de politiques IAM, consultez la section [Création de politiques IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html).