配置 Amazon Verified Permissions¶

Amazon Verified Permissions 被 AWS 认证管理器用于做出所有用户授权决策。所有用户权限策略都需要由 Airflow 环境管理员在 Amazon Verified Permissions 中定义。

创建策略存储¶

AWS 认证管理器在 AWS IAM Identity Center 中需要一个资源：一个策略存储。您可以通过提供的 CLI 命令或手动创建它。

使用 CLI¶

注意

为了创建 AWS 认证管理器所需的所有资源，您可以使用作为 AWS 认证管理器一部分提供的 CLI 命令。为了使用它，您首先需要在 Airflow 配置中将 AWS 认证管理器设置为认证管理器。请参阅如何将 AWS 认证管理器设置为认证管理器。

要创建策略存储，请运行以下命令

airflow aws-auth-manager init-avp

CLI 命令应该成功退出。如果出现以下错误消息，则表示您已经为 Airflow 创建了一个策略存储。在这种情况下，您可能需要手动更新其架构。

Since an existing policy store with description ... has been found in Amazon Verified Permissions,
the CLI made no changes to this policy store for security reasons.
Any modification to this policy store must be done manually.

手动¶

请按照以下说明创建 Amazon Verified Permissions 策略存储。

打开 Amazon Verified Permissions 控制台。
选择 创建策略存储。
在 配置方法 部分，选择 空策略存储。
在 详细信息 部分，输入 Airflow 作为描述。
选择 创建策略存储。策略存储现在已创建。

您现在需要为您刚刚创建的策略存储定义架构。

更新策略存储架构¶

注意

您只在某些特殊情况下需要更新策略存储架构。如果您的情境符合以下任一情况，您应该更新它；否则，您可以跳过此部分。

您手动创建了策略存储，并且尚未在该策略存储中定义架构。
您有一个用于 Airflow 的现有策略存储，并且您对它的架构进行了一些修改，您想回滚这些修改。
您有一个用于 Airflow 的现有策略存储，并且您想将其架构更新到最新版本。仅当您的策略存储架构与最新架构版本不同时才需要这样做。如果是这样，Airflow 启动时应该会有一个警告消息。

使用 CLI¶

要将策略存储架构更新到最新版本，请运行以下命令

airflow aws-auth-manager update-avp-schema

手动¶

请按照以下说明将 Amazon Verified Permissions 策略存储架构更新到最新版本。

打开 Amazon Verified Permissions 控制台。
选择 Airflow 使用的策略存储（默认情况下其描述为 Airflow）。
在左侧导航窗格中，选择架构。
选择 编辑架构，然后选择 JSON 模式。
在内容字段中输入最新架构版本的内容。
选择 保存更改。

配置 Airflow¶

您需要在 Airflow 配置中设置先前创建的 Amazon Verified Permissions 策略存储 ID 文件。

[aws_auth_manager]
avp_policy_store_id = <avp_policy_store_id>

或

export AIRFLOW__AWS_AUTH_MANAGER__AVP_POLICY_STORE_ID='<avp_policy_store_id>'

AWS 认证管理器现在已配置并准备就绪。请参阅使用 AWS 认证管理器管理 Airflow 环境以了解如何通过 AWS IAM Identity Center 和 Amazon Verified Permissions 管理用户和权限。