配置 Amazon Verified Permissions¶

Amazon Verified Permissions 由 AWS 身份验证管理器使用，以做出所有用户授权决策。所有用户权限策略都需要由 Airflow 环境管理员在 Amazon Verified Permissions 中定义。

创建策略存储¶

AWS 身份验证管理器在 AWS IAM Identity Center 中需要一个资源：策略存储。您可以通过提供的 CLI 命令或手动创建它。

使用 CLI¶

注意

为了创建 AWS 身份验证管理器所需的所有资源，您可以使用作为 AWS 身份验证管理器一部分提供的 CLI 命令。要使用它，您首先需要将 AWS 身份验证管理器设置为 Airflow 配置中的身份验证管理器。请参阅如何将 AWS 身份验证管理器设置为身份验证管理器。

要创建策略存储，请运行以下命令

airflow aws-auth-manager init-avp

CLI 命令应成功退出。如果出现以下错误消息，则表示您已经为 Airflow 创建了一个策略存储。在这种情况下，您可能需要手动更新其架构。

Since an existing policy store with description ... has been found in Amazon Verified Permissions,
the CLI made no changes to this policy store for security reasons.
Any modification to this policy store must be done manually.

手动¶

请按照以下说明创建 Amazon Verified Permissions 策略存储。

打开 Amazon Verified Permissions 控制台。
选择创建策略存储。
在配置方法部分，选择空策略存储。
在详细信息部分，输入 Airflow 作为描述。
选择创建策略存储。策略存储现已创建。

您现在需要定义刚刚创建的策略存储的架构。

更新策略存储架构¶

注意

您只需要在某些特殊情况下更新策略存储架构。如果您的情境符合以下情况之一，您应该更新它，否则您可以跳过此部分。

您手动创建了策略存储，并且策略存储中尚未定义任何架构。
您有一个用于 Airflow 的现有策略存储，并且对其架构进行了一些修改，您想要还原。
您有一个用于 Airflow 的现有策略存储，并且想要将其架构更新到最新版本。只有当您的策略存储架构和最新的架构版本不同时，才需要这样做。如果不同，则在 Airflow 启动时应该会出现一条警告消息。

使用 CLI¶

要将策略存储架构更新到最新版本，请运行以下命令

airflow aws-auth-manager update-avp-schema

手动¶

请按照以下说明将 Amazon Verified Permissions 策略存储架构更新到最新版本。

打开 Amazon Verified Permissions 控制台。
选择 Airflow 使用的策略存储（默认情况下，其描述为 Airflow）。
在左侧的导航窗格中，选择架构。
选择编辑架构，然后选择JSON 模式。
在内容字段中输入最新架构版本的内容。
选择保存更改。

配置 Airflow¶

您需要在 Airflow 配置中设置之前创建的 Amazon Verified Permissions 策略存储 ID 文件。

[aws_auth_manager]
avp_policy_store_id = <avp_policy_store_id>

或

export AIRFLOW__AWS_AUTH_MANAGER__AVP_POLICY_STORE_ID='<avp_policy_store_id>'

AWS 身份验证管理器现已配置完毕并可以使用。请参阅使用 AWS 身份验证管理器管理 Airflow 环境，了解如何通过 AWS IAM Identity Center 和 Amazon Verified Permissions 管理用户和权限。