Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza nei flussi di lavoro gestiti da Amazon per Apache Airflow
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra te AWS e te (il cliente). Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi nel AWS cloud. AWS ti fornisce anche servizi che puoi utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per informazioni sui programmi di conformità applicabili ad Amazon MWAA, consulta [AWS Services in Scope by Compliance Program ](https://aws.amazon.com/compliance/services-in-scope/) Program.
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi Amazon Managed Workflows for Apache Airflow. Usalo per configurare Amazon MWAA per soddisfare i tuoi obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse Amazon MWAA.
**Topics**
+ [Protezione dei dati](data-protection.md)
+ [AWS Identity and Access Management](security-iam.md)
+ [Convalida della conformità](compliance-validation.md)
+ [Resilienza](disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura](infrastructure-security.md)
+ [Analisi della configurazione e delle vulnerabilità](configuration-vulnerability-analysis.md)
+ [Best practice](security-best-practices.md)
# Protezione dei dati in Amazon Managed Workflows per Apache Airflow
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) si applica alla protezione dei dati in Amazon Managed Workflows for Apache Airflow. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i. Cloud AWS Sei responsabile del mantenimento del controllo sui contenuti ospitati su questa infrastruttura. Questo contenuto include le attività di configurazione e gestione della sicurezza per l'uso Servizi AWS che utilizzi. Per ulteriori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq). Per informazioni sulla protezione dei dati in Europa, consulta il [modello di responsabilitàAWS condivisa e il post sul blog sul GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sul *AWS Security Blog*.
Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare account utente individuali con AWS Identity and Access Management (IAM). In questo modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere il proprio lavoro. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È consigliabile TLS 1.2 o versioni successive.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno AWS dei servizi.
+ Utilizza i servizi di sicurezza gestiti avanzati, ad esempio Amazon Macie, che aiutano a individuare e proteggere i dati personali archiviati in Amazon S3.
Ti suggeriamo vivamente di non inserire mai informazioni identificative sensibili, ad esempio i numeri di account dei clienti, in campi a formato libero, ad esempio un campo **Nome**. Ciò include quando lavori con Amazon MWAA o altri AWS servizi utilizzando la console, l'API o. AWS CLI AWS SDKs Tutti i dati inseriti nei tag o nei campi in formato libero utilizzati per i nomi possono essere utilizzati per i registri di fatturazione o diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
# Crittografia su Amazon MWAA
I seguenti argomenti descrivono come Amazon MWAA protegge i dati a riposo e in transito. Utilizza queste informazioni per scoprire come Amazon MWAA si integra AWS KMS per crittografare i dati inattivi e come i dati vengono crittografati utilizzando il protocollo Transport Layer Security (TLS) in transito.
**Topics**
+ [Crittografia dei dati a riposo](#encryption-at-rest)
+ [Crittografia dei dati in transito](#encryption-in-transit)
## Crittografia dei dati a riposo
Su Amazon MWAA, i dati *inattivi sono* dati che il servizio salva su supporti persistenti.
Puoi utilizzare una [chiave di AWS proprietà](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) per la crittografia dei dati a riposo o, facoltativamente, fornire una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per una crittografia aggiuntiva quando crei un ambiente. Se scegli di utilizzare una chiave KMS gestita dal cliente, questa deve trovarsi nello stesso account AWS delle altre risorse e servizi che utilizzi con il tuo ambiente.
Per utilizzare una chiave KMS gestita dal cliente, devi allegare la dichiarazione politica richiesta per CloudWatch l'accesso alla tua politica chiave. [Quando utilizzi una chiave KMS gestita dal cliente per il tuo ambiente, Amazon MWAA assegna quattro sovvenzioni per tuo conto.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) [Per ulteriori informazioni sulle sovvenzioni che Amazon MWAA attribuisce a una chiave KMS gestita dal cliente, consulta Chiavi gestite dal cliente per la crittografia dei dati.](custom-keys-certs.md)
Se non specifichi una chiave KMS gestita dal cliente, per impostazione predefinita, Amazon MWAA utilizza una chiave KMS di AWS proprietà per crittografare e decrittografare i dati. Ti consigliamo di utilizzare una chiave KMS AWS proprietaria per gestire la crittografia dei dati su Amazon MWAA.
**Nota**
Paghi per lo storage e l'uso di chiavi KMS AWS possedute o gestite dal cliente su Amazon MWAA. [Per ulteriori informazioni, consulta la sezione Prezzi.AWS KMS](https://aws.amazon.com/kms/pricing/)
### Artefatti di crittografia
Specifichi gli artefatti di crittografia utilizzati per la crittografia at rest specificando una chiave di [AWS proprietà o una chiave [gestita dal cliente quando](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) crei il tuo ambiente Amazon MWAA](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk). Amazon MWAA aggiunge le [sovvenzioni](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) necessarie alla chiave specificata.
**Amazon S3**: i dati di Amazon S3 vengono crittografati a livello di oggetto utilizzando Server-Side Encryption (SSE). La crittografia e la decrittografia di Amazon S3 avvengono nel bucket Amazon S3 in cui sono archiviati il codice DAG e i file di supporto. Gli oggetti vengono crittografati quando vengono caricati su Amazon S3 e decrittografati quando vengono scaricati nell'ambiente Amazon MWAA. Per impostazione predefinita, se utilizzi una chiave KMS gestita dal cliente, Amazon MWAA la utilizza per leggere e decrittografare i dati sul tuo bucket Amazon S3.
**CloudWatch Registri: se si utilizza una chiave KMS di AWS proprietà, i** log di Apache Airflow inviati CloudWatch a Logs vengono crittografati utilizzando SSE con la chiave KMS di proprietà di Logs. CloudWatch AWS Se utilizzi una chiave KMS gestita dal cliente, devi aggiungere una [policy chiave alla tua chiave KMS per consentire a Logs di utilizzare la tua chiave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). CloudWatch
**Amazon SQS:** Amazon MWAA crea una coda Amazon SQS per il tuo ambiente. Amazon MWAA gestisce la crittografia dei dati trasmessi da e verso la coda utilizzando SSE con una chiave KMS di AWS proprietà o una chiave KMS gestita dal cliente specificata. Devi aggiungere le autorizzazioni Amazon SQS al tuo ruolo di esecuzione indipendentemente dal fatto che tu stia utilizzando una chiave KMS di AWS proprietà o gestita dal cliente.
**Aurora PostgreSQL — Amazon MWAA crea un cluster PostgreSQL** per il tuo ambiente. Aurora PostgreSQL crittografa il contenuto con una chiave KMS di proprietà o gestita dal cliente tramite SSE. AWS Se utilizzi una chiave KMS gestita dal cliente, Amazon RDS aggiunge almeno due concessioni alla chiave: una per il cluster e una per l'istanza del database. Amazon RDS può creare sovvenzioni aggiuntive se scegli di utilizzare la tua chiave KMS gestita dal cliente in più ambienti. Per ulteriori informazioni, consulta la sezione [Protezione dei dati in Amazon RDS.](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/DataDurability.html)
## Crittografia dei dati in transito
I dati in transito sono definiti dati che possono essere intercettati mentre viaggiano sulla rete.
Transport Layer Security (TLS) crittografa gli oggetti Amazon MWAA in transito tra i componenti Apache Airflow dell'ambiente e altri servizi AWS che si integrano con Amazon MWAA, come Amazon S3. Per ulteriori informazioni sulla crittografia di Amazon S3, consulta [Protezione dei dati tramite](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html) crittografia.
# Utilizzo di chiavi gestite dal cliente per la crittografia
Facoltativamente, puoi fornire una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) per la crittografia dei dati nel tuo ambiente. È necessario creare la chiave KMS gestita dal cliente nella stessa regione dell'istanza di ambiente Amazon MWAA e del bucket Amazon S3 in cui archiviare le risorse per i flussi di lavoro. Se la chiave KMS gestita dal cliente specificata si trova in un account diverso da quello utilizzato per configurare un ambiente, è necessario specificare la chiave utilizzando il relativo ARN per l'accesso tra account. *Per ulteriori informazioni sulla creazione di chiavi, consulta Creating Keys nella Developer [Guide](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).AWS Key Management Service *
## Cosa è supportato
| AWS KMS funzionalità | Supportato |
| --- | --- |
| Un [ID AWS KMS chiave o ARN](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html). | Sì |
| Qualsiasi [alias AWS KMS chiave](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html). | No |
| Una chiave [AWS KMS multiregionale.](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) | No |
## Utilizzo di Grants for Encryption
Questo argomento descrive le sovvenzioni che Amazon MWAA attribuisce a una chiave KMS gestita dal cliente per tuo conto per crittografare e decrittografare i tuoi dati.
### Come funziona
[https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)
Una politica chiave viene utilizzata quando l'autorizzazione è per lo più statica e utilizzata in modalità di servizio sincrona. Una concessione viene utilizzata quando sono richieste autorizzazioni più dinamiche e granulari, ad esempio quando un servizio deve definire autorizzazioni di accesso diverse per se stesso o per altri account.
Amazon MWAA utilizza e associa quattro politiche di concessione alla tua chiave KMS gestita dal cliente. Ciò è dovuto alle autorizzazioni granulari necessarie per un ambiente per crittografare i dati inattivi da CloudWatch Logs, dalla coda Amazon SQS, dal database del database Aurora PostgreSQL, dai segreti di Secrets Manager, dal bucket Amazon S3 e dalle tabelle DynamoDB.
Quando crei un ambiente Amazon MWAA e specifichi una chiave KMS gestita dal cliente, Amazon MWAA allega le politiche di concessione alla tua chiave KMS gestita dal cliente. Queste policy consentono ad Amazon MWAA di `airflow.us-east-1.amazonaws.com` utilizzare la tua chiave KMS gestita dal cliente per crittografare le risorse di proprietà di Amazon MWAA per tuo conto.
Amazon MWAA crea e assegna ulteriori concessioni a una chiave KMS specificata per tuo conto. Ciò include le politiche per ritirare una sovvenzione in caso di eliminazione dell'ambiente, per utilizzare la chiave KMS gestita dal cliente per la crittografia lato client (CSE) e per il ruolo di AWS Fargate esecuzione che deve accedere ai segreti protetti dalla chiave gestita dal cliente in Secrets Manager.
## Politiche di concessione
Amazon MWAA aggiunge le seguenti concessioni di [policy basate sulle risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) per tuo conto a una chiave KMS gestita dal cliente. Queste politiche consentono al beneficiario e al committente (Amazon MWAA) di eseguire le azioni definite nella politica.
### Grant 1: utilizzato per creare risorse sul piano dati
```
{
"Name": "mwaa-grant-for-env-mgmt-role-environment name",
"GranteePrincipal": "airflow.us-east-1.amazonaws.com",
"RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
"Operations": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:DescribeKey",
"kms:RetireGrant"
]
}
```
### Grant 2: utilizzato per `ControllerLambdaExecutionRole` l'accesso
```
{
"Name": "mwaa-grant-for-lambda-exec-environment name",
"GranteePrincipal": "airflow.us-east-1.amazonaws.com",
"RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
"Operations": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:RetireGrant"
]
}
```
### Grant 3: utilizzato per `CfnManagementLambdaExecutionRole` l'accesso
```
{
"Name": " mwaa-grant-for-cfn-mgmt-environment name",
"GranteePrincipal": "airflow.us-east-1.amazonaws.com",
"RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
"Operations": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
]
}
```
### Grant 4: utilizzato per il ruolo di esecuzione di Fargate per accedere ai segreti del backend
```
{
"Name": "mwaa-fargate-access-for-environment name",
"GranteePrincipal": "airflow.us-east-1.amazonaws.com",
"RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
"Operations": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:RetireGrant"
]
}
```
## Allegare le politiche chiave a una chiave gestita dal cliente
Se scegli di utilizzare la tua chiave KMS gestita dal cliente con Amazon MWAA, devi allegare la seguente policy alla chiave per consentire ad Amazon MWAA di utilizzarla per crittografare i tuoi dati.
Se la chiave KMS gestita dal cliente che hai utilizzato per il tuo ambiente Amazon MWAA non è già configurata per funzionare CloudWatch, devi aggiornare la [policy delle chiavi per consentire i log crittografati](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html). CloudWatch Per ulteriori informazioni, consulta il servizio [Encrypt](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html) log data in using. CloudWatch AWS Key Management Service
L'esempio seguente rappresenta una politica chiave per CloudWatch Logs. Sostituisci i valori di esempio forniti per la regione.
```
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:*:*"
}
}
}
```
# AWS Identity and Access Management
AWS Identity and Access Management (IAM) è un AWS servizio che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere autenticato (effettuato l'accesso) e autorizzato (disporre delle autorizzazioni) a utilizzare le risorse di Amazon Managed Workflows for Apache Airflow. IAM è un AWS servizio che puoi utilizzare senza costi aggiuntivi.
Questo argomento fornisce una panoramica di base sull'utilizzo di Amazon MWAA AWS Identity and Access Management (IAM). Per ulteriori informazioni sulla gestione dell'accesso ad Amazon MWAA, consulta. [Gestione dell'accesso a un ambiente Amazon MWAA](manage-access.md)
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell'accesso tramite policy](#security_iam_access-manage)
+ [Consentire agli utenti di accedere alle proprie autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Managed Workflows per Apache Airflow](security_iam_troubleshoot.md)
+ [Come funziona Amazon MWAA con IAM](security_iam_service-with-iam.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Managed Workflows per Apache Airflow](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come funziona Amazon MWAA con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità di Amazon MWAA](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali come utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente di IAM*.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) per l'*utente IAM*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell'accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sulle identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate su risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Liste di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
## Consentire agli utenti di accedere alle proprie autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Risoluzione dei problemi relativi all'identità e all'accesso ad Amazon Managed Workflows per Apache Airflow
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che puoi riscontrare quando lavori con Amazon MWAA e IAM.
## Non sono autorizzato a eseguire un'azione in Amazon MWAA
Se ti Console di gestione AWS dice che non sei autorizzato a eseguire un'azione, devi contattare l'amministratore per ricevere assistenza. L'amministratore è la persona da cui si sono ricevuti il nome utente e la password.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo ad Amazon MWAA.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio anziché creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Amazon MWAA. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Amazon MWAA
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali policy per consentire alle persone di accedere alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Amazon MWAA supporta queste funzionalità, consulta. [Come funziona Amazon MWAA con IAM](security_iam_service-with-iam.md)
+ Per sapere come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente di IAM*.
# Come funziona Amazon MWAA con IAM
Amazon MWAA utilizza policy basate sull'identità IAM per concedere autorizzazioni ad azioni e risorse Amazon MWAA. Per esempi consigliati di policy IAM personalizzate che puoi utilizzare per controllare l'accesso alle tue risorse Amazon MWAA, consulta. [Accesso a un ambiente Amazon MWAA](access-policies.md)
*Per ottenere un accesso di alto livello al modo in cui Amazon MWAA e altri AWS servizi funzionano con IAM, consulta [AWS Services That Work with IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) User Guide.*
## Policy basate sull'identità di Amazon MWAA
Con le policy basate su identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o rifiutate, nonché le condizioni in base alle quali le operazioni sono consentite o rifiutate. Amazon MWAA supporta azioni, risorse e chiavi di condizione specifiche.
I passaggi seguenti illustrano come creare una nuova policy JSON utilizzando la console IAM. Questa policy fornisce l'accesso in sola lettura alle tue risorse Amazon MWAA.
**Come utilizzare l'editor di policy JSON per creare una policy**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Nel riquadro di navigazione a sinistra, seleziona **Policies (Policy)**.
Se è la prima volta che selezioni **Policy**, verrà visualizzata la pagina **Benvenuto nelle policy gestite**. Seleziona **Inizia**.
1. Nella parte superiore della pagina, scegli **Crea policy**.
1. Nella sezione **Editor di policy**, scegli l'opzione **JSON**.
1. Inserisci il documento di policy JSON seguente:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"airflow:ListEnvironments",
"airflow:GetEnvironment",
"airflow:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
1. Scegli **Next (Successivo)**.
**Nota**
È possibile alternare le opzioni dell'editor **Visivo** e **JSON** in qualsiasi momento. Se tuttavia si apportano modifiche o si seleziona **Successivo** nell'editor **Visivo**, IAM potrebbe ristrutturare la policy in modo da ottimizzarla per l'editor visivo. Per ulteriori informazioni, consulta [Modifica della struttura delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) nella *Guida per l'utente di IAM*.
1. Nella pagina **Rivedi e crea**, inserisci un valore in **Nome policy** e **Descrizione** (facoltativo) per la policy in fase di creazione. Rivedi **Autorizzazioni definite in questa policy** per visualizzare le autorizzazioni concesse dalla policy.
1. Seleziona **Crea policy** per salvare la nuova policy.
Per conoscere tutti gli elementi che utilizzi in una policy JSON, consulta [IAM JSON Policy Elements Reference](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *IAM User* Guide.
### Azioni
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Le istruzioni della policy devono includere un elemento `Action` o un elemento `NotAction`. L'elemento `Action` elenca le azioni consentite dalla policy. L'elemento `NotAction` elenca le operazioni non consentite.
Le azioni definite per Amazon MWAA riflettono le attività che puoi eseguire utilizzando Amazon MWAA. Le operazioni delle policy in Detective hanno il seguente prefisso: `airflow:`.
Per specificare più operazioni, è possibile utilizzare i caratteri jolly (\$1). Invece di elencare queste azioni separatamente, puoi concedere l'accesso a tutte le azioni che terminano con la parola, ad esempio,. `environment`
*Per ottenere un elenco delle azioni di Amazon MWAA, consulta [Actions Defined by Amazon Managed Workflows for Apache Airflow nella IAM User Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_mwaa.html#mwaa-actions-as-permissions).*
# Esempi di policy basate sull'identità di Amazon MWAA
Per accedere alle policy di Amazon MWAA, consulta. [Gestione dell'accesso a un ambiente Amazon MWAA](manage-access.md)
Per impostazione predefinita, gli utenti e i ruoli IAM non dispongono dell'autorizzazione per creare o modificare risorse Amazon MWAA. Inoltre, non possono eseguire attività utilizzando l'API Console di gestione AWS AWS CLI, o AWS .
Un amministratore IAM deve creare policy IAM che concedono a utenti e ruoli l'autorizzazione per eseguire operazioni API specifiche sulle risorse specificate di cui hanno bisogno. L'amministratore deve quindi collegare queste policy a utenti o gruppi IAM che richiedono tali autorizzazioni.
**Importante**
Ti consigliamo di utilizzare ruoli IAM e credenziali temporanee per fornire l'accesso alle tue risorse Amazon MWAA. Evita di allegare policy di autorizzazione direttamente agli utenti IAM.
*Per scoprire come creare una policy basata sull'identità IAM utilizzando questi esempi di documenti di policy JSON, consulta [Creating Policies on the JSON Tab nella IAM User](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) Guide.*
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Amazon MWAA](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di accedere alle proprie autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
## Best practice per le policy
Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare risorse Amazon MWAA nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Amazon MWAA
Per utilizzare la console Amazon MWAA, l'utente o il ruolo deve avere accesso alle azioni pertinenti, che corrispondono alle azioni corrispondenti nell'API.
Per accedere alle policy di Amazon MWAA, consulta. [Gestione dell'accesso a un ambiente Amazon MWAA](manage-access.md)
## Consentire agli utenti di accedere alle proprie autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Convalida della conformità per Amazon Managed Workflows for Apache Airflow
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta [AWS la documentazione sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza nei flussi di lavoro gestiti da Amazon per Apache Airflow
L'infrastruttura AWS globale è costruita attorno a zone di disponibilità. Regioni AWS Le regioni forniscono più zone di disponibilità fisicamente separate e isolate, connesse tramite reti altamente ridondanti, a bassa latenza e throughput elevato. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
Per ulteriori informazioni sulle zone Regioni AWS di disponibilità, consulta [AWS Global Infrastructure](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sicurezza dell'infrastruttura in Amazon MWAA
In quanto servizio gestito, Amazon Managed Workflows for Apache Airflow è protetto dalla AWS sicurezza di rete globale. [Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security.](https://aws.amazon.com/security/) Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Utilizzi chiamate API AWS pubblicate per accedere ad Amazon MWAA attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# Analisi della configurazione e delle vulnerabilità in Amazon MWAA
La configurazione e i controlli IT sono una responsabilità condivisa tra te AWS e te, nostro cliente.
Amazon Managed Workflows for Apache Airflow applica periodicamente patch e aggiorna Apache Airflow nei tuoi ambienti. Assicurati che vengano utilizzate le politiche di accesso appropriate per i tuoi. VPCs
Per maggiori dettagli, consulta le seguenti risorse:
+ [Convalida della conformità per Amazon Managed Workflows for Apache Airflow](compliance-validation.md)
+ [Modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Amazon Web Services: panoramica dei processi di sicurezza](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)
+ [Sicurezza dell'infrastruttura in Amazon MWAA](infrastructure-security.md)
+ [Best practice di sicurezza su Amazon MWAA](security-best-practices.md)
# Best practice di sicurezza su Amazon MWAA
Amazon MWAA offre una serie di funzionalità di sicurezza da prendere in considerazione durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l’ambiente, sono da considerare come considerazioni utili anziché prescrizioni.
+ Utilizza politiche di autorizzazione meno permissive. Concedi le autorizzazioni solo alle risorse o alle azioni di cui gli utenti hanno bisogno per eseguire le attività.
+ Utilizzalo AWS CloudTrail per monitorare l'attività degli utenti nel tuo account.
+ Assicurati che la policy e l'oggetto del bucket Amazon S3 ACLs concedano le autorizzazioni agli utenti dell'ambiente Amazon MWAA associato per inserire oggetti nel bucket. Ciò garantisce che gli utenti con le autorizzazioni per aggiungere flussi di lavoro al bucket dispongano anche delle autorizzazioni per eseguire i flussi di lavoro in Airflow.
+ Usa i bucket Amazon S3 associati agli ambienti Amazon MWAA. Il tuo bucket Amazon S3 può avere qualsiasi nome. Non memorizzare altri oggetti nel bucket o utilizzare il bucket con un altro servizio.
## Le migliori pratiche di sicurezza in Apache Airflow
Apache Airflow non è multi-tenant. Sebbene esistano [misure di controllo dell'accesso](https://airflow.apache.org/docs/apache-airflow/2.0.2/security/access-control.html) per limitare alcune funzionalità a utenti specifici, [implementate da Amazon MWAA](access-policies.md#web-ui-access), i creatori di DAG hanno la capacità di scrivere che possono DAGs modificare i privilegi utente di Apache Airflow e interagire con il metadatabase sottostante.
Ti consigliamo di seguire i seguenti passaggi quando lavori con Apache Airflow su Amazon MWAA per garantire la sicurezza e il metadatabase del tuo ambiente. DAGs
+ Utilizza ambienti separati per team separati con accesso alla scrittura DAG o la possibilità di aggiungere file alla cartella Amazon `/dags` S3, presupponendo che tutto ciò che è accessibile tramite le connessioni [Amazon MWAA Execution Role o](mwaa-create-role.md) Apache [Airflow](https://airflow.apache.org/docs/apache-airflow/2.0.2/howto/connection.html) sia accessibile anche agli utenti in grado di scrivere nell'ambiente.
+ Non fornire l'accesso diretto alle DAGs cartelle Amazon S3. Utilizza invece CI/CD strumenti per DAGs scrivere su Amazon S3, con una fase di convalida che assicuri che il codice DAG soddisfi le linee guida di sicurezza del tuo team.
+ Impedisci l'accesso degli utenti al bucket Amazon S3 del tuo ambiente. Utilizza invece un DAG factory che genera in DAGs base a un file YAML, JSON o altro file di definizione archiviato in una posizione separata dal bucket Amazon MWAA Amazon S3 in cui memorizzi. DAGs
+ Memorizza i [segreti in Secrets Manager](connections-secrets-manager.md). Ciò non impedirà agli utenti in grado di scrivere DAGs di leggere i segreti, ma impedirà loro di modificare i segreti utilizzati dall'ambiente.
### Rilevamento delle modifiche ai privilegi utente di Apache Airflow
È possibile utilizzare CloudWatch Logs Insights per rilevare eventuali DAGs modifiche dei privilegi utente di Apache Airflow. A tale scopo, puoi utilizzare una regola EventBridge pianificata, una funzione Lambda e CloudWatch Logs Insights per inviare notifiche alle CloudWatch metriche ogni volta che una delle tue modifiche ai privilegi utente di Apache DAGs Airflow.
#### Prerequisiti
Per completare i seguenti passaggi, avrai bisogno di quanto segue:
+ Un ambiente Amazon MWAA con tutti i tipi di log Apache Airflow abilitati a livello di log. `INFO` Per ulteriori informazioni, vedi [Accesso ai log Airflow in Amazon CloudWatch](monitoring-airflow.md).
**Per configurare le notifiche per le modifiche ai privilegi utente di Apache Airflow**
1. [Crea una funzione Lambda](https://docs.aws.amazon.com/lambda/latest/dg/getting-started-create-function.html) che esegua la seguente stringa di query CloudWatch Logs Insights sui cinque gruppi di log dell'ambiente Amazon MWAA (`DAGProcessing`,,`Scheduler`, `Task` e). `WebServer` `Worker`
```
fields @log, @timestamp, @message | filter @message like "add-role" | stats count() by @log
```
1. [Crea una EventBridge regola che viene eseguita secondo una pianificazione](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule-schedule.html), con la funzione Lambda creata nel passaggio precedente come obiettivo della regola. Configura la tua pianificazione utilizzando un'espressione cron o rate da eseguire a intervalli regolari.