As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança no Amazon Managed Workflows for Apache Airflow
A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.
A segurança é uma responsabilidade compartilhada entre você AWS e você (o cliente). O [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isso como segurança *da* nuvem e segurança *na* nuvem:
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços na AWS nuvem. AWS também fornece serviços que você pode usar com segurança. Auditores terceirizados testam e verificam regularmente a eficácia de nossa segurança como parte dos Programas de Conformidade Programas de [AWS](https://aws.amazon.com/compliance/programs/) de . Para saber mais sobre os programas de conformidade que se aplicam ao Amazon MWAA, consulte [AWS Serviços no escopo por programa de conformidade AWS Serviços em Escopo por programa](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Você também é responsável por outros fatores, incluindo a confidencialidade de seus dados, os requisitos da empresa e as leis e regulamentos aplicáveis.
Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar o Amazon Managed Workflows for Apache Airflow. Use-a para configurar o Amazon MWAA para atender aos objetivos de segurança e conformidade. Você também aprende a usar outros AWS serviços que ajudam a monitorar e proteger seus recursos do Amazon MWAA.
**Topics**
+ [Proteção de dados](data-protection.md)
+ [
# AWS Identity and Access Management
](security-iam.md)
+ [Validação de conformidade](compliance-validation.md)
+ [Resiliência](disaster-recovery-resiliency.md)
+ [Segurança da infraestrutura](infrastructure-security.md)
+ [Análise de configuração e vulnerabilidade](configuration-vulnerability-analysis.md)
+ [Práticas recomendadas](security-best-practices.md)
# Proteção de dados no Amazon Managed Workflows for Apache Airflow
O modelo de [responsabilidade AWS compartilhada O modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados no Amazon Managed Workflows para Apache Airflow. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nesta infraestrutura. Esse conteúdo inclui as tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que você usar. Para obter mais informações sobre a privacidade de dados, consulte as [Perguntas frequentes sobre privacidade de dados](https://aws.amazon.com/compliance/data-privacy-faq). Para obter informações sobre a proteção de dados na Europa, consulte a publicação [Modelo de responsabilidade compartilhada da AWS e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure contas de usuário individuais com AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Recomendamos usar o TLS 1.2 ou posterior.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail.
+ Use soluções AWS de criptografia, juntamente com todos os controles de segurança padrão nos AWS serviços.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados pessoais armazenados no Amazon S3.
É altamente recomendável que você nunca coloque informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo **Name** (Nome). Isso inclui quando você trabalha com o Amazon MWAA ou outros AWS serviços usando o console, a API ou. AWS CLI AWS SDKs Quaisquer dados inseridos em tags ou campos de formato livre usados para nomes podem ser usados para logs de cobrança ou diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
# Criptografia no Amazon MWAA
Os tópicos a seguir descrevem como o Amazon MWAA protege seus dados em repouso e em trânsito. Use essas informações para saber como o Amazon MWAA se integra AWS KMS para criptografar dados em repouso e como os dados são criptografados usando o protocolo Transport Layer Security (TLS) em trânsito.
**Topics**
+ [
## Criptografia em repouso
](#encryption-at-rest)
+ [
## Criptografia em trânsito
](#encryption-in-transit)
## Criptografia em repouso
No Amazon MWAA, dados *em repouso* são dados que o serviço salva em mídia persistente.
Você pode usar uma [chave pertencente àAWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) para criptografia de dados em repouso ou, opcionalmente, fornecer uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para criptografia adicional ao criar um ambiente. Se você optar por usar uma chave KMS gerenciada pelo cliente, ela deverá estar na mesma conta dos outros AWS recursos e serviços que você está usando com seu ambiente.
Para usar uma chave KMS gerenciada pelo cliente, você deve anexar a declaração de política necessária para CloudWatch acessar sua política de chaves. Quando você usa uma chave KMS gerenciada pelo cliente para seu ambiente, o Amazon MWAA atribui quatro [concessões](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) em seu nome. Para obter mais informações sobre as concessões que o Amazon MWAA atribui a uma chave KMS gerenciada pelo cliente, consulte [Chaves gerenciadas pelo cliente para criptografia de dados](custom-keys-certs.md).
Se você não especificar uma chave KMS gerenciada pelo cliente, por padrão, o Amazon MWAA usa uma chave KMS AWS própria para criptografar e descriptografar seus dados. Recomendamos usar uma chave AWS KMS própria para gerenciar a criptografia de dados no Amazon MWAA.
**nota**
Você paga pelo armazenamento e uso de chaves KMS AWS próprias ou gerenciadas pelo cliente no Amazon MWAA. Para obter mais informações, consulte [Preços do AWS KMS](https://aws.amazon.com/kms/pricing/).
### Artefatos de criptografia
Você especifica os artefatos de criptografia usados para criptografia em repouso especificando uma [chave pertencente àAWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) ou uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) ao criar seu ambiente do Amazon MWAA. O Amazon MWAA adiciona as [concessões](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) necessárias à sua chave especificada.
**Amazon S3**: os dados do Amazon S3 são criptografados no nível do objeto usando criptografia do lado do servidor (SSE). A criptografia e a descriptografia do Amazon S3 ocorrem no bucket do Amazon S3 onde seu código DAG e os arquivos de suporte são armazenados. Os objetos são criptografados quando são carregados para o Amazon S3 e descriptografados quando são baixados para seu ambiente do Amazon MWAA. Por padrão, se você estiver usando uma chave KMS gerenciada pelo cliente, o Amazon MWAA a usará para ler e descriptografar os dados no seu bucket do Amazon S3.
**CloudWatch Registros** — Se você estiver usando uma chave KMS própria, os registros do Apache Airflow enviados CloudWatch para o Logs serão criptografados usando SSE CloudWatch com a chave KMS de AWS propriedade da Logs AWS . Se você estiver usando uma chave KMS gerenciada pelo cliente, deverá adicionar uma [política de chaves à sua chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) KMS para permitir que os CloudWatch Logs usem sua chave.
**Amazon SQS**: o Amazon MWAA cria uma fila do Amazon SQS para seu ambiente. O Amazon MWAA manipula a criptografia de dados passados de e para a fila usando SSE com uma chave KMS própria ou uma AWS chave KMS gerenciada pelo cliente que você especificar. Você deve adicionar permissões do Amazon SQS à sua função de execução, independentemente de estar usando uma chave KMS AWS própria ou gerenciada pelo cliente.
**Aurora PostgreSQL**: o Amazon MWAA cria um cluster PostgreSQL para seu ambiente. O Aurora PostgreSQL criptografa o conteúdo com uma chave KMS AWS própria ou gerenciada pelo cliente usando SSE. Se você estiver usando uma chave KMS gerenciada pelo cliente, o Amazon RDS adiciona pelo menos duas concessões à chave: uma para o cluster e outra para a instância do banco de dados. O Amazon RDS pode criar concessões adicionais se você optar por usar sua chave KMS gerenciada pelo cliente em vários ambientes. Para obter mais informações, consulte [Proteção de dados no Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/DataDurability.html).
## Criptografia em trânsito
Os dados em trânsito são chamados de dados que podem ser interceptados enquanto viajam pela rede.
O Transport Layer Security (TLS) criptografa os objetos do Amazon MWAA em trânsito entre os componentes do Apache Airflow do seu ambiente e outros serviços AWS que se integram ao Amazon MWAA, como o Amazon S3. Para obter mais informações sobre a criptografia do Amazon S3, consulte [Proteger dados com criptografia](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html).
# Como usar chaves gerenciadas pelo cliente para criptografia
Opcionalmente, você pode fornecer uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para criptografia de dados em seu ambiente. Você deve criar uma chave KMS gerenciada pelo cliente na mesma região da sua instância do ambiente do Amazon MWAA e do seu bucket do Amazon S3 onde você armazena recursos para seus fluxos de trabalho. Se a chave KMS gerenciada pelo cliente que você especificou estiver em uma conta diferente da que foi usada para configurar um ambiente, será necessário especificar a chave usando o respectivo ARN para acesso entre contas. Para obter mais informações sobre como criar chaves, consulte [Criação de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) no *Guia do desenvolvedor do AWS Key Management Service *.
## O que é compatível
| AWS KMS recurso | Compatível |
| --- | --- |
| Um [ID de chave ou ARN AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html). | Sim |
| Um [alias de chave AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/kms-alias.html). | Não |
| Uma [chave de várias regiões AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html). | Não |
## Como usar concessões para criptografia
Este tópico descreve as concessões que o Amazon MWAA atribui a uma chave do KMS gerenciada pelo cliente em seu nome para criptografar e descriptografar os dados.
### Como funciona
[https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)
A política de chave é usada quando a permissão é principalmente estática e usada no modo de serviço síncrono. A concessão é usada quando são necessárias permissões mais dinâmicas e granulares, como quando um serviço precisa definir permissões de acesso diferentes para si mesmo ou para outras contas.
O Amazon MWAA usa e anexa quatro políticas de concessão à sua chave KMS gerenciada pelo cliente. Isso se deve às permissões granulares necessárias para que um ambiente criptografe dados em repouso a partir de CloudWatch Logs, da fila do Amazon SQS, do banco de dados do banco de dados Aurora PostgreSQL, dos segredos do Secrets Manager, do bucket do Amazon S3 e das tabelas do DynamoDB.
Ao criar um ambiente do Amazon MWAA e especificar uma chave KMS gerenciada pelo cliente, o Amazon MWAA anexa as políticas de concessão à sua chave KMS gerenciada pelo cliente. Essas políticas permitem que o Amazon MWAA em `airflow.us-east-1.amazonaws.com` use sua chave KMS gerenciada pelo cliente para criptografar recursos em seu nome que são de propriedade do Amazon MWAA.
O Amazon MWAA cria e anexa concessões adicionais a uma chave KMS especificada em seu nome. Isso inclui políticas para retirar uma concessão se você excluir seu ambiente, usar sua chave KMS gerenciada pelo cliente para criptografia do lado do cliente (CSE) e para a função de AWS Fargate execução que precisa acessar segredos protegidos por sua chave gerenciada pelo cliente no Secrets Manager.
## Políticas de concessões
O Amazon MWAA adiciona as seguintes concessões de [políticas baseadas em recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) em seu nome a uma chave KMS gerenciada pelo cliente. Essas políticas permitem que o beneficiário e a entidade principal (Amazon MWAA) realizem ações definidas na política.
### Concessão 1: usada para criar recursos do plano de dados
```
{
"Name": "mwaa-grant-for-env-mgmt-role-environment name",
"GranteePrincipal": "airflow.us-east-1.amazonaws.com",
"RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
"Operations": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:CreateGrant",
"kms:DescribeKey",
"kms:RetireGrant"
]
}
```
### Concessão 2: usada para o acesso `ControllerLambdaExecutionRole`
```
{
"Name": "mwaa-grant-for-lambda-exec-environment name",
"GranteePrincipal": "airflow.us-east-1.amazonaws.com",
"RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
"Operations": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:RetireGrant"
]
}
```
### Concessão 3: usada para o acesso `CfnManagementLambdaExecutionRole`
```
{
"Name": " mwaa-grant-for-cfn-mgmt-environment name",
"GranteePrincipal": "airflow.us-east-1.amazonaws.com",
"RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
"Operations": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
]
}
```
### Concessão 4: usada para o perfil de execução do Fargate para acessar segredos de back-end
```
{
"Name": "mwaa-fargate-access-for-environment name",
"GranteePrincipal": "airflow.us-east-1.amazonaws.com",
"RetiringPrincipal": "airflow.us-east-1.amazonaws.com",
"Operations": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey",
"kms:RetireGrant"
]
}
```
## Como anexar políticas de chave a uma chave gerenciada pelo cliente
Se você optar por usar sua própria chave KMS gerenciada pelo cliente com o Amazon MWAA, deverá anexar a seguinte política à chave para permitir que o Amazon MWAA a use para criptografar seus dados.
Se a chave KMS gerenciada pelo cliente que você usou para seu ambiente Amazon MWAA ainda não estiver configurada para funcionar CloudWatch, você deverá atualizar a [política de chaves](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) para permitir registros criptografados. CloudWatch Para obter mais informações, consulte o [AWS Key Management Service serviço Criptografar dados de log no CloudWatch uso](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html).
O exemplo a seguir representa uma política fundamental para o CloudWatch Logs. Substituir os valores de amostra fornecidos para a região.
```
{
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:us-east-1:*:*"
}
}
}
```
# AWS Identity and Access Management
AWS Identity and Access Management (IAM) é um AWS serviço que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser autenticado (conectado) e autorizado (ter permissões) para usar os recursos do Amazon Managed Workflows for Apache Airflow. O IAM é um AWS serviço que você pode usar sem custo adicional.
Este tópico fornece uma visão geral básica de como o Amazon MWAA usa AWS Identity and Access Management (IAM). Para saber mais sobre como gerenciar o acesso ao Amazon MWAA, consulte [Gerenciamento de acesso a um ambiente do Amazon MWAA](manage-access.md).
**Topics**
+ [
## Público
](#security_iam_audience)
+ [
## Autenticação com identidades
](#security_iam_authentication)
+ [
## Gerenciamento do acesso usando políticas
](#security_iam_access-manage)
+ [
## Permitir que os usuários acessem suas próprias permissões
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [
# Solução de problemas de identidade e acesso do Amazon Managed Workflows for Apache Airflow
](security_iam_troubleshoot.md)
+ [
# Como o Amazon MWAA funciona com o IAM
](security_iam_service-with-iam.md)
## Público
A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas de identidade e acesso do Amazon Managed Workflows for Apache Airflow](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como o Amazon MWAA funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade do Amazon MWAA](security_iam_id-based-policy-examples.md))
## Autenticação com identidades
A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS
Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.
Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.
### Conta da AWS usuário root
Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*.
### Grupos e usuários do IAM
Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.
Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.
### Perfis do IAM
Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.
Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
## Gerenciamento do acesso usando políticas
Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.
Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.
Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.
### Políticas baseadas em identidade
As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.
### Políticas baseadas em recurso
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.
Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.
### Listas de controle de acesso (ACLs)
As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
O Amazon S3 e o AWS WAF Amazon VPC são exemplos de serviços que oferecem suporte. ACLs Para saber mais ACLs, consulte a [visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do desenvolvedor do Amazon Simple Storage Service*.
### Outros tipos de política
AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.
### Vários tipos de política
Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.
## Permitir que os usuários acessem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Solução de problemas de identidade e acesso do Amazon Managed Workflows for Apache Airflow
Use as informações a seguir para ajudar a diagnosticar e corrigir problemas comuns que você possa encontrar ao trabalhar com a Amazon MWAA e o IAM.
## Não tenho autorização para executar uma ação no Amazon MWAA
Se isso Console de gerenciamento da AWS indicar que você não está autorizado a realizar uma ação, entre em contato com o administrador para obter ajuda. O administrador é a pessoa que forneceu o seu nome de usuário e senha.
## Não estou autorizado a realizar iam: PassRole
Caso receba uma mensagem de erro informando que você não tem autorização para executar a ação `iam:PassRole`, as políticas deverão ser atualizadas para permitir a transmissão de um perfil ao Amazon MWAA.
Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazer isso, é preciso ter permissões para passar o perfil para o serviço.
O erro exemplificado a seguir ocorre quando um usuário do IAM chamado `marymajor` tenta usar o console para executar uma ação no Amazon MWAA. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.
Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.
## Quero permitir que pessoas de fora da minha acessem meus Conta da AWS recursos do Amazon MWAA
É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.
Para saber mais, consulte:
+ Para saber se o Amazon MWAA é compatível com esses atributos, consulte [Como o Amazon MWAA funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para saber a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.
# Como o Amazon MWAA funciona com o IAM
O Amazon MWAA usa políticas baseadas em identidade do IAM para conceder permissões às ações e recursos do Amazon MWAA. Para obter exemplos recomendados de políticas personalizadas do IAM que você pode usar para controlar o acesso aos seus recursos do Amazon MWAA, consulte. [Como acessar um ambiente do Amazon MWAA](access-policies.md)
Para obter um acesso de alto nível sobre como o Amazon MWAA e outros AWS serviços funcionam com o IAM, consulte [AWS Serviços que funcionam com o IAM no Guia do](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) usuário do *IAM*.
## Políticas baseadas em identidade do Amazon MWAA
Com as políticas baseadas em identidade do IAM, é possível especificar ações ou recursos permitidos ou negados, bem como as condições sob as quais as ações são permitidas ou negadas. O Amazon MWAA é compatível com ações, chaves de condição e recursos específicos.
As etapas a seguir mostram como você pode criar uma nova política JSON usando o console do IAM. Essa política fornece acesso somente leitura aos recursos do seu Amazon MWAA.
**Para usar o editor de políticas JSON para criar uma política**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação à esquerda, escolha **Políticas**.
Se essa for a primeira vez que você escolhe **Políticas**, a página **Bem-vindo às políticas gerenciadas** será exibida. Escolha **Começar**.
1. Na parte superior da página, escolha **Criar política**.
1. Na seção **Editor de políticas**, escolha a opção **JSON**.
1. Insira o seguinte documento de política JSON:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"airflow:ListEnvironments",
"airflow:GetEnvironment",
"airflow:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
1. Escolha **Próximo**.
**nota**
É possível alternar entre as opções de editor **Visual** e **JSON** a qualquer momento. Porém, se você fizer alterações ou escolher **Próximo** no editor **Visual**, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para obter mais informações, consulte [Restruturação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) no *Guia do usuário do IAM*.
1. Na página **Revisar e criar**, insira um **Nome de política** e uma **Descrição** (opcional) para a política que você está criando. Revise **Permissões definidas nessa política** para ver as permissões que são concedidas pela política.
1. Escolha **Criar política** para salvar sua nova política.
Para conhecer todos os elementos usados em uma política JSON, consulte [Referência de elementos de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
### Ações
Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.
O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
As instruções de política devem incluir um elemento `Action` ou um elemento `NotAction`. O elemento `Action` lista as ações permitidas pela política. O elemento `NotAction` lista as ações que não são permitidas.
As ações definidas para o Amazon MWAA refletem tarefas que você pode realizar usando o Amazon MWAA. As ações políticas em Detective têm o seguinte prefixo: `airflow:`.
Você pode usar curingas (\$1) para especificar várias ações. Em vez de listar essas ações separadamente, você pode conceder acesso a todas as ações que terminam, por exemplo, com a palavra `environment`.
Para ver uma lista das ações do Amazon MWAA, consulte [Ações definidas pelo Amazon Managed Workflows for Apache Airflow](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_mwaa.html#mwaa-actions-as-permissions) no *Guia do usuário do IAM*.
# Exemplos de políticas baseadas em identidade do Amazon MWAA
Para acessar as políticas do Amazon MWAA, consulte [Gerenciamento de acesso a um ambiente do Amazon MWAA](manage-access.md).
Por padrão, os usuários e os perfis do IAM não têm permissão para criar ou modificar recursos do Amazon ECS. Eles também não podem realizar tarefas usando a AWS API Console de gerenciamento da AWS AWS CLI, ou.
Um administrador do IAM deve criar políticas do IAM que concedam aos usuários e perfis permissão para executarem operações de API específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos do IAM que exigem essas permissões.
**Importante**
Recomendamos usar perfis do IAM e credenciais temporárias para fornecer acesso aos seus recursos do Amazon MWAA. Como evitar anexar políticas de permissão diretamente aos usuários do IAM.
Para saber como criar uma política baseada em identidade do IAM usando esses exemplos de documentos de política JSON, consulte [Criar políticas na guia JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) no *Guia do usuário do IAM*.
**Topics**
+ [
## Práticas recomendadas de política
](#security_iam_service-with-iam-policy-best-practices)
+ [
## Como usar o console do Amazon SNS
](#security_iam_id-based-policy-examples-console)
+ [
## Permitir que os usuários acessem suas próprias permissões
](#security_iam_id-based-policy-examples-view-own-permissions)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do Amazon MWAA em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Como usar o console do Amazon SNS
Para usar o console do Amazon MWAA, o usuário ou o perfil devem ter acesso às ações relevantes que correspondam às ações correspondentes na API.
Para acessar as políticas do Amazon MWAA, consulte [Gerenciamento de acesso a um ambiente do Amazon MWAA](manage-access.md).
## Permitir que os usuários acessem suas próprias permissões
Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Validação de conformidade para o Amazon Managed Workflows for Apache Airflow
Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .
Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).
# Resiliência no Amazon Managed Workflows for Apache Airflow
A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. As regiões fornecem várias zonas de disponibilidade separadas e isoladas fisicamente, que são conectadas com baixa latência, alta throughput e redes altamente redundantes. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que automaticamente executam o failover entre as zonas sem interrupção. As zonas de disponibilidade são altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais.
Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).
# Segurança da infraestrutura no Amazon MWAA
Como um serviço gerenciado, o Amazon Managed Workflows para Apache Airflow é protegido AWS pela segurança de rede global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.
Você usa chamadas de API AWS publicadas para acessar o Amazon MWAA pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.
# Análise de configuração e vulnerabilidade no Amazon MWAA
A configuração e os controles de TI são uma responsabilidade compartilhada entre você AWS e você, nosso cliente.
O Amazon Managed Workflows for Apache Airflow periodicamente corrige e atualiza o Apache Airflow em seus ambientes. Certifique-se de que as políticas de acesso apropriadas sejam usadas para seu VPCs.
Para obter mais detalhes, consulte os seguintes recursos:
+ [Validação de conformidade para o Amazon Managed Workflows for Apache Airflow](compliance-validation.md)
+ [Modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Amazon Web Services: visão geral dos processos de segurança](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)
+ [Segurança da infraestrutura no Amazon MWAA](infrastructure-security.md)
+ [Práticas recomendadas de segurança para o Amazon MWAA](security-best-practices.md)
# Práticas recomendadas de segurança para o Amazon MWAA
O Amazon MWAA fornece uma série de atributos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As práticas recomendadas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.
+ Use políticas de permissão com permissão mínima. Conceda permissões somente aos recursos ou ações de que os usuários precisam para realizar tarefas.
+ Use AWS CloudTrail para monitorar a atividade do usuário em sua conta.
+ Certifique-se de que a política e o objeto do bucket do Amazon S3 ACLs concedam permissões aos usuários do ambiente associado do Amazon MWAA para colocar objetos no bucket. Isso garante que os usuários com permissões para adicionar fluxos de trabalho ao bucket também tenham permissões para executar os fluxos de trabalho no Airflow.
+ Use os buckets do Amazon S3 associados aos ambientes do Amazon MWAA. Seu bucket do Amazon S3 pode ter qualquer nome. Não armazene outros objetos no bucket nem use o bucket com outro serviço.
## Práticas recomendadas de segurança no Apache Airflow
O Apache Airflow não é multilocatário. Embora existam [medidas de controle de acesso](https://airflow.apache.org/docs/apache-airflow/2.0.2/security/access-control.html) para limitar alguns recursos a usuários específicos, [implementadas pelo Amazon MWAA](access-policies.md#web-ui-access), os criadores do DAG têm a capacidade de escrever DAGs que podem alterar os privilégios de usuário do Apache Airflow e interagir com o banco de dados subjacente.
Recomendamos as seguintes etapas ao trabalhar com o Apache Airflow no Amazon MWAA para garantir que o banco de dados de metadados do seu ambiente esteja seguro. DAGs
+ Use ambientes separados para equipes separadas com acesso de gravação do DAG ou a capacidade de adicionar arquivos à sua pasta `/dags` do Amazon S3, supondo que qualquer coisa acessível pelo [Perfil de execução do Amazon MWAA](mwaa-create-role.md) ou pelas [conexões do Apache Airflow](https://airflow.apache.org/docs/apache-airflow/2.0.2/howto/connection.html) também esteja acessível aos usuários que possam gravar no ambiente.
+ Não forneça acesso direto às DAGs pastas do Amazon S3. Em vez disso, use CI/CD ferramentas DAGs para gravar no Amazon S3, com uma etapa de validação garantindo que o código do DAG atenda às diretrizes de segurança da sua equipe.
+ Impeça o acesso do usuário ao bucket do Amazon S3 do seu ambiente. Em vez disso, use uma fábrica de DAG que gera DAGs com base em um arquivo YAML, JSON ou outro arquivo de definição armazenado em um local separado do seu bucket Amazon MWAA Amazon S3 onde você armazena. DAGs
+ Segredos armazenados no [Secrets Manager](connections-secrets-manager.md). Embora isso não impeça que os usuários que sabem escrever DAGs leiam segredos, isso impedirá que eles modifiquem os segredos que seu ambiente usa.
### Como detectar alterações nos privilégios de usuário do Apache Airflow
Você pode usar o CloudWatch Logs Insights para detectar ocorrências de DAGs alteração dos privilégios de usuário do Apache Airflow. Para fazer isso, você pode usar uma regra EventBridge programada, uma função Lambda e o CloudWatch Logs Insights para enviar notificações às CloudWatch métricas sempre que um de seus privilégios de usuário do DAGs Apache Airflow alterar.
#### Pré-requisitos
Para concluir as etapas a seguir, é necessário:
+ Um ambiente do Amazon MWAA com todos os tipos de log do Apache Airflow habilitados no nível do log `INFO`. Para obter mais informações, consulte [Acessando registros do Airflow na Amazon CloudWatch](monitoring-airflow.md).
**Para configurar notificações para alterações nos privilégios de usuário do Apache Airflow**
1. [Crie uma função Lambda](https://docs.aws.amazon.com/lambda/latest/dg/getting-started-create-function.html) que execute a seguinte string de consulta do CloudWatch Logs Insights nos cinco grupos de log do ambiente Amazon MWAA (`DAGProcessing`,, `Scheduler``Task`, `WebServer` e). `Worker`
```
fields @log, @timestamp, @message | filter @message like "add-role" | stats count() by @log
```
1. [Crie uma EventBridge regra que seja executada em um cronograma](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-rule-schedule.html), com a função Lambda que você criou na etapa anterior como destino da regra. Configure sua programação usando uma expressão cron ou rate para executar a intervalos regulares.