Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengakses lingkungan Amazon MWAA
Untuk menggunakan Alur Kerja Terkelola Amazon untuk Apache Airflow, Anda harus menggunakan akun dan entitas IAM dengan izin yang diperlukan. Topik ini menjelaskan kebijakan akses yang dapat Anda lampirkan ke tim pengembangan Apache Airflow dan pengguna Apache Airflow untuk lingkungan Alur Kerja Terkelola Amazon untuk lingkungan Apache Airflow.
Sebaiknya gunakan kredensi sementara dan konfigurasi identitas gabungan dengan grup dan peran untuk mengakses sumber daya Amazon MWAA Anda. Sebagai praktik terbaik, hindari melampirkan kebijakan langsung ke pengguna IAM Anda. Sebaliknya, tentukan grup atau peran untuk menyediakan akses sementara ke AWS sumber daya.
Sebuah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) adalah identitas IAM yang dapat Anda buat di akun yang memiliki izin tertentu. Peran IAM mirip dengan pengguna IAM karena merupakan AWS identitas dengan kebijakan izin yang menentukan apa yang dapat dan tidak dapat dilakukan identitas. AWS Namun, alih-alih secara unik terkait dengan satu orang, peran dimaksudkan untuk menjadi dapat diambil oleh siapa pun yang membutuhkannya. Selain itu, peran tidak memiliki kredensial jangka panjang standar seperti kata sandi atau kunci akses yang terkait dengannya. Sebagai gantinya, saat Anda mengambil peran, peran tersebut akan memberikan kredensial keamanan sementara untuk sesi peran.
Untuk menetapkan izin ke identitas federasi, Anda membuat peran dan menentukan izin untuk peran tersebut. Ketika identitas terfederasi mengautentikasi, identitas tersebut terhubung dengan peran dan diberi izin yang ditentukan oleh peran. Untuk informasi tentang peran untuk federasi, lihat [Buat peran untuk penyedia identitas pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*. Jika menggunakan Pusat Identitas IAM, Anda harus mengonfigurasi set izin. Untuk mengontrol apa yang dapat diakses identitas Anda setelah identitas tersebut diautentikasi, Pusat Identitas IAM akan mengorelasikan set izin ke peran dalam IAM. Untuk informasi tentang set izin, lihat [Set izin](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
Anda dapat menggunakan peran IAM di akun Anda untuk memberikan Akun AWS izin lain untuk mengakses sumber daya akun Anda. Sebagai contoh, lihat [Tutorial IAM: Mendelegasikan akses Akun AWS menggunakan peran IAM dalam Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) *IAM*.
**Topics**
+ [Cara kerjanya](#access-policies-how)
+ [Kebijakan akses konsol penuh: Amazon MWAAFull ConsoleAccess](#console-full-access)
+ [Kebijakan akses API dan konsol lengkap: Amazon MWAAFull ApiAccess](#full-access-policy)
+ [Kebijakan akses konsol hanya-baca: Amazon MWAARead OnlyAccess](#mwaa-read-only)
+ [Kebijakan akses Apache Airflow UI: Amazon MWAAWeb ServerAccess](#web-ui-access)
+ [Kebijakan akses API Apache Airflow Rest: Amazon MWAARest APIAccess](#rest-api-access)
+ [Kebijakan CLI Apache Airflow: Amazon MWAAAirflow CliAccess](#cli-access)
+ [Membuat kebijakan JSON](#access-policy-iam-console-create)
+ [Contoh kasus penggunaan untuk melampirkan kebijakan ke grup pengembang](#access-policy-use-case)
+ [Apa selanjutnya?](#access-policy-next-up)
## Cara kerjanya
Sumber daya dan layanan yang digunakan dalam lingkungan Amazon MWAA tidak dapat diakses oleh semua entitas AWS Identity and Access Management (IAM). Anda harus membuat kebijakan yang memberikan izin kepada pengguna Apache Airflow untuk mengakses sumber daya ini. Misalnya, Anda perlu memberikan akses ke tim pengembangan Apache Airflow Anda.
Amazon MWAA menggunakan kebijakan ini untuk memvalidasi apakah pengguna memiliki izin yang diperlukan untuk melakukan tindakan di AWS konsol atau melalui lingkungan yang APIs digunakan.
Anda dapat menggunakan kebijakan JSON dalam topik ini untuk membuat kebijakan bagi pengguna Apache Airflow Anda di IAM, lalu melampirkan kebijakan tersebut ke pengguna, grup, atau peran di IAM.
+ [Amazon MWAAFull ConsoleAccess](#console-full-access) — Gunakan kebijakan ini untuk memberikan izin mengonfigurasi lingkungan di konsol Amazon MWAA.
+ [Amazon MWAAFull ApiAccess](#full-access-policy) — Gunakan kebijakan ini untuk memberikan akses ke semua Amazon MWAA yang APIs digunakan untuk mengelola lingkungan.
+ [Amazon MWAARead OnlyAccess](#mwaa-read-only) — Gunakan kebijakan ini untuk memberikan akses ke sumber daya yang digunakan oleh lingkungan di konsol Amazon MWAA.
+ [Amazon MWAAWeb ServerAccess](#web-ui-access) — Gunakan kebijakan ini untuk memberikan akses ke server web Apache Airflow.
+ [Amazon MWAAAirflow CliAccess](#cli-access) — Gunakan kebijakan ini untuk memberikan akses untuk menjalankan perintah Apache Airflow CLI.
Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.
## Kebijakan akses konsol penuh: Amazon MWAAFull ConsoleAccess
Pengguna mungkin memerlukan akses ke kebijakan `AmazonMWAAFullConsoleAccess` izin jika mereka perlu mengonfigurasi lingkungan di konsol Amazon MWAA.
**catatan**
Kebijakan akses konsol lengkap Anda harus menyertakan izin untuk melakukan`iam:PassRole`. Hal ini memungkinkan pengguna untuk meneruskan [peran terkait layanan, dan peran](mwaa-slr.md) [eksekusi](mwaa-create-role.md), ke Amazon MWAA. Amazon MWAA mengasumsikan setiap peran untuk memanggil AWS layanan lain atas nama Anda. Contoh berikut menggunakan kunci `iam:PassedToService` kondisi untuk menentukan Amazon MWAA service principal (`airflow.amazonaws.com`) sebagai layanan yang dapat diteruskan peran.
Untuk informasi selengkapnya`iam:PassRole`, lihat [Memberikan izin pengguna untuk meneruskan peran ke AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) di Panduan Pengguna *IAM*.
Gunakan kebijakan berikut jika Anda ingin membuat, dan mengelola, lingkungan Amazon MWAA Anda menggunakan [enkripsi [Kunci milik AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)](encryption.md#encryption-at-rest)for at-rest.
### Menggunakan sebuah Kunci milik AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "airflow:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "airflow.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "arn:aws:iam::111122223333:policy/service-role/MWAA-Execution-Policy*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole"
],
"Resource": "arn:aws:iam::111122223333:role/service-role/AmazonMWAA*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutObject",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRouteTables"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup"
],
"Resource": "arn:aws:ec2:*:*:security-group/airflow-security-group-*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*",
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
------
Gunakan kebijakan berikut jika Anda ingin membuat, dan mengelola, lingkungan Amazon MWAA Anda menggunakan [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) untuk enkripsi saat istirahat. Untuk menggunakan kunci yang dikelola pelanggan, prinsipal IAM harus memiliki izin untuk mengakses AWS KMS sumber daya menggunakan kunci yang disimpan di akun Anda.
### Menggunakan kunci yang dikelola pelanggan
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "airflow:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "airflow.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreatePolicy"
],
"Resource": "arn:aws:iam::111122223333:policy/service-role/MWAA-Execution-Policy*"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:CreateRole"
],
"Resource": "arn:aws:iam::111122223333:role/service-role/AmazonMWAA*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListBucketVersions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutObject",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRouteTables"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateSecurityGroup"
],
"Resource": "arn:aws:ec2:*:*:security-group/airflow-security-group-*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListGrants",
"kms:CreateGrant",
"kms:RevokeGrant",
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/YOUR_KMS_ID"
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*",
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
------
## Kebijakan akses API dan konsol lengkap: Amazon MWAAFull ApiAccess
Pengguna mungkin memerlukan akses ke kebijakan `AmazonMWAAFullApiAccess` izin jika mereka memerlukan akses ke semua Amazon MWAA yang APIs digunakan untuk mengelola lingkungan. Itu tidak memberikan izin untuk mengakses Apache Airflow UI.
**catatan**
Kebijakan akses API lengkap harus menyertakan izin untuk melakukan`iam:PassRole`. Hal ini memungkinkan pengguna untuk meneruskan [peran terkait layanan, dan peran](mwaa-slr.md) [eksekusi](mwaa-create-role.md), ke Amazon MWAA. Amazon MWAA mengasumsikan setiap peran untuk memanggil AWS layanan lain atas nama Anda. Contoh berikut menggunakan kunci `iam:PassedToService` kondisi untuk menentukan Amazon MWAA service principal (`airflow.amazonaws.com`) sebagai layanan yang dapat diteruskan peran.
Untuk informasi selengkapnya`iam:PassRole`, lihat [Memberikan izin pengguna untuk meneruskan peran ke AWS layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) di Panduan Pengguna *IAM*.
Gunakan kebijakan berikut jika Anda ingin membuat, dan mengelola, lingkungan Amazon MWAA Anda menggunakan enkripsi Kunci milik AWS for at-rest.
### Menggunakan sebuah Kunci milik AWS
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"airflow:*",
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"iam:PassRole"
],
"Resource":"*",
"Condition":{
"StringLike":{
"iam:PassedToService":"airflow.amazonaws.com"
}
}
},
{
"Effect":"Allow",
"Action":[
"iam:CreateServiceLinkedRole"
],
"Resource":"arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
},
{
"Effect":"Allow",
"Action":[
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRouteTables"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":[
"s3:GetEncryptionConfiguration"
],
"Resource":"arn:aws:s3:::*"
},
{
"Effect":"Allow",
"Action":"ec2:CreateVpcEndpoint",
"Resource":[
"arn:aws:ec2:*:*:vpc-endpoint/*",
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect":"Allow",
"Action":[
"ec2:CreateNetworkInterface"
],
"Resource":[
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
------
Gunakan kebijakan berikut jika Anda ingin membuat, dan mengelola, lingkungan Amazon MWAA Anda menggunakan kunci terkelola pelanggan untuk enkripsi saat istirahat. Untuk menggunakan kunci yang dikelola pelanggan, prinsipal IAM harus memiliki izin untuk mengakses AWS KMS sumber daya menggunakan kunci yang disimpan di akun Anda.
### Menggunakan kunci yang dikelola pelanggan
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "airflow:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "airflow.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/airflow.amazonaws.com/AWSServiceRoleForAmazonMWAA"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DescribeRouteTables"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey",
"kms:ListGrants",
"kms:CreateGrant",
"kms:RevokeGrant",
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey*",
"kms:ReEncrypt*"
],
"Resource": "arn:aws:kms:*:111122223333:key/YOUR_KMS_ID"
},
{
"Effect": "Allow",
"Action": [
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateVpcEndpoint",
"Resource": [
"arn:aws:ec2:*:*:vpc-endpoint/*",
"arn:aws:ec2:*:*:vpc/*",
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:security-group/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface"
],
"Resource": [
"arn:aws:ec2:*:*:subnet/*",
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
------
## Kebijakan akses konsol hanya-baca: Amazon MWAARead OnlyAccess
Pengguna mungkin memerlukan akses ke kebijakan `AmazonMWAAReadOnlyAccess` izin jika mereka perlu mengakses sumber daya yang digunakan oleh lingkungan di halaman detail lingkungan konsol Amazon MWAA. Itu tidak memungkinkan pengguna untuk membuat lingkungan baru, mengedit lingkungan yang ada, atau mengizinkan pengguna untuk mengakses UI Apache Airflow.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"airflow:ListEnvironments",
"airflow:GetEnvironment",
"airflow:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Kebijakan akses Apache Airflow UI: Amazon MWAAWeb ServerAccess
Pengguna mungkin memerlukan akses ke kebijakan `AmazonMWAAWebServerAccess` izin jika mereka perlu mengakses UI Apache Airflow. Itu tidak memungkinkan pengguna untuk mengakses lingkungan di konsol Amazon MWAA atau menggunakan Amazon MWAA APIs untuk melakukan tindakan apa pun. Tentukan `Admin``Op`,`User`,, `Viewer` atau `Public` peran dalam `{airflow-role}` untuk menyesuaikan tingkat akses bagi pengguna token web. Untuk informasi selengkapnya, lihat [Peran Default](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles) dalam panduan referensi *Apache Airflow*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "airflow:CreateWebLoginToken",
"Resource": [
"arn:aws:airflow:us-east-1:111122223333:role/{your-environment-name}/{airflow-role}"
]
}
]
}
```
------
**catatan**
Amazon MWAA menyediakan integrasi IAM dengan lima peran kontrol akses berbasis peran [Apache Airflow (RBAC) default](https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html?highlight=roles). Untuk informasi selengkapnya tentang bekerja dengan peran Apache Airflow kustom, lihat. [Tutorial: Membatasi akses pengguna Amazon MWAA ke subset DAGs](limit-access-to-dags.md)
`Resource`Bidang dalam kebijakan ini dapat digunakan untuk menentukan peran kontrol akses berbasis peran Apache Airflow untuk lingkungan Amazon MWAA. Namun, itu tidak mendukung lingkungan Amazon MWAA ARN (Nama Sumber Daya Amazon) di bidang `Resource` kebijakan.
## Kebijakan akses API Apache Airflow Rest: Amazon MWAARest APIAccess
Untuk mengakses Apache Airflow REST API, Anda harus memberikan `airflow:InvokeRestApi` izin dalam kebijakan IAM Anda. Dalam contoh kebijakan berikut, tentukan `Admin``Op`,`User`,, `Viewer` atau `Public` peran `{airflow-role}` untuk menyesuaikan tingkat akses pengguna. Untuk informasi selengkapnya, lihat [Peran Default](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles) dalam panduan referensi *Apache Airflow*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMwaaRestApiAccess",
"Effect": "Allow",
"Action": "airflow:InvokeRestApi",
"Resource": [
"arn:aws:airflow:us-east-1:111122223333:role/{your-environment-name}/{airflow-role}"
]
}
]
}
```
------
**catatan**
Saat mengonfigurasi server web pribadi, `InvokeRestApi` tindakan tidak dapat dipanggil dari luar Virtual Private Cloud (VPC). Anda dapat menggunakan `aws:SourceVpc` kunci untuk menerapkan kontrol akses yang lebih terperinci untuk operasi ini. Untuk informasi lebih lanjut, lihat [aws: SourceVpc](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcevpc)
`Resource`Bidang dalam kebijakan ini dapat digunakan untuk menentukan peran kontrol akses berbasis peran Apache Airflow untuk lingkungan Amazon MWAA. Namun, itu tidak mendukung lingkungan Amazon MWAA ARN (Nama Sumber Daya Amazon) di bidang `Resource` kebijakan.
## Kebijakan CLI Apache Airflow: Amazon MWAAAirflow CliAccess
Pengguna mungkin memerlukan akses ke kebijakan `AmazonMWAAAirflowCliAccess` izin jika mereka perlu menjalankan perintah Apache Airflow CLI (seperti). `trigger_dag` Itu tidak memungkinkan pengguna untuk mengakses lingkungan di konsol Amazon MWAA atau menggunakan Amazon MWAA APIs untuk melakukan tindakan apa pun.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"airflow:CreateCliToken"
],
"Resource": "arn:aws:airflow:us-east-1:111122223333:environment/${EnvironmentName}"
}
]
}
```
------
## Membuat kebijakan JSON
Anda dapat membuat kebijakan JSON, dan melampirkan kebijakan tersebut ke pengguna, peran, atau grup Anda di konsol IAM. Langkah-langkah berikut menjelaskan cara membuat kebijakan JSON di IAM.
**Untuk membuat kebijakan JSON**
1. Buka [halaman Kebijakan](https://console.aws.amazon.com/iam/home#/policies) di konsol IAM.
1. Pilih **Buat kebijakan**.
1. Pilih tab **JSON**.
1. Tambahkan kebijakan JSON Anda.
1. Pilih **Tinjau kebijakan**.
1. Masukkan nilai di bidang teks untuk **Nama** dan **Deskripsi** (opsional).
Misalnya, Anda dapat memberi nama kebijakan`AmazonMWAAReadOnlyAccess`.
1. Pilih **Buat kebijakan**.
## Contoh kasus penggunaan untuk melampirkan kebijakan ke grup pengembang
Katakanlah Anda menggunakan grup di IAM bernama `AirflowDevelopmentGroup` untuk menerapkan izin ke semua pengembang di tim pengembangan Apache Airflow Anda. Pengguna ini memerlukan akses ke`AmazonMWAAFullConsoleAccess`,`AmazonMWAAAirflowCliAccess`, dan kebijakan `AmazonMWAAWebServerAccess` izin. Bagian ini menjelaskan cara membuat grup di IAM, membuat dan melampirkan kebijakan ini, dan mengaitkan grup ke pengguna IAM. Langkah-langkahnya mengasumsikan Anda menggunakan [kunci yang AWS dimiliki](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk).
**Untuk membuat MWAAFull ConsoleAccess kebijakan Amazon**
1. Unduh [kebijakan MWAAFull ConsoleAccess akses Amazon](./samples/AmazonMWAAFullConsoleAccess.zip).
1. Buka [halaman Kebijakan](https://console.aws.amazon.com/iam/home#/policies) di konsol IAM.
1. Pilih **Buat kebijakan**.
1. Pilih tab **JSON**.
1. Tempel kebijakan JSON untuk`AmazonMWAAFullConsoleAccess`.
1. Gantikan nilai-nilai berikut:
1. *123456789012*— Akun AWS ID Anda (seperti`0123456789`)
1. *\$1your-kms-id\$1*— Pengidentifikasi unik untuk kunci yang dikelola pelanggan, hanya berlaku jika Anda menggunakan kunci yang dikelola pelanggan untuk enkripsi saat istirahat.
1. Pilih **kebijakan Tinjauan**.
1. `AmazonMWAAFullConsoleAccess`Ketik **Nama**.
1. Pilih **Buat kebijakan**.
**Untuk membuat MWAAWeb ServerAccess kebijakan Amazon**
1. Unduh [kebijakan MWAAWeb ServerAccess akses Amazon](./samples/AmazonMWAAWebServerAccess.zip).
1. Buka [halaman Kebijakan](https://console.aws.amazon.com/iam/home#/policies) di konsol IAM.
1. Pilih **Buat kebijakan**.
1. Pilih tab **JSON**.
1. Tempel kebijakan JSON untuk`AmazonMWAAWebServerAccess`.
1. Gantikan nilai-nilai berikut:
1. *us-east-1*— wilayah lingkungan Amazon MWAA Anda (seperti) `us-east-1`
1. *123456789012*— Akun AWS ID Anda (seperti`0123456789`)
1. *\$1your-environment-name\$1*— nama lingkungan Amazon MWAA Anda (seperti) `MyAirflowEnvironment`
1. *\$1airflow-role\$1*[— Peran `Admin` Default Apache Airflow](https://airflow.apache.org/docs/apache-airflow/1.10.6/security.html?highlight=ldap#default-roles)
1. Pilih **Tinjau kebijakan**.
1. `AmazonMWAAWebServerAccess`Ketik **Nama**.
1. Pilih **Buat kebijakan**.
**Untuk membuat MWAAAirflow CliAccess kebijakan Amazon**
1. Unduh [kebijakan MWAAAirflow CliAccess akses Amazon](./samples/AmazonMWAAAirflowCliAccess.zip).
1. Buka [halaman Kebijakan](https://console.aws.amazon.com/iam/home#/policies) di konsol IAM.
1. Pilih **Buat kebijakan**.
1. Pilih tab **JSON**.
1. Tempel kebijakan JSON untuk`AmazonMWAAAirflowCliAccess`.
1. Pilih **kebijakan Tinjauan**.
1. `AmazonMWAAAirflowCliAccess`Ketik **Nama**.
1. Pilih **Buat kebijakan**.
**Untuk membuat grup**
1. Buka [halaman Grup](https://console.aws.amazon.com/iam/home#/groups) di konsol IAM.
1. Masukkan nama`AirflowDevelopmentGroup`.
1. Pilih **Langkah Selanjutnya.**
1. Ketik `AmazonMWAA` untuk memfilter hasil di **Filter**.
1. Pilih tiga kebijakan yang Anda buat.
1. Pilih **Langkah Selanjutnya.**
1. Pilih **Buat group**.
**Untuk mengaitkan dengan pengguna**
1. Buka [halaman Pengguna](https://console.aws.amazon.com/iam/home#/users) di konsol IAM.
1. Pilih pengguna.
1. Pilih **Grup**.
1. Pilih **Tambahkan pengguna ke grup**.
1. Pilih **AirflowDevelopmentGroup**.
1. Pilih **Tambahkan ke Grup**.
## Apa selanjutnya?
+ Pelajari cara membuat token untuk mengakses UI Apache Airflow. [Mengakses Apache Airflow](access-airflow-ui.md)
+ Pelajari lebih lanjut cara membuat kebijakan IAM di [Membuat kebijakan IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html).