配置 Amazon Verified Permissions¶

AWS 身份验证管理器使用 Amazon Verified Permissions 来做出所有用户授权决定。所有用户权限策略都需要由 Airflow 环境管理员在 Amazon Verified Permissions 中定义。

创建策略存储¶

AWS 身份验证管理器在 AWS IAM Identity Center 中需要一个资源：策略存储。您可以通过提供的 CLI 命令或手动创建它。

使用 CLI¶

注意

为了创建 AWS 身份验证管理器所需的所有资源，您可以使用作为 AWS 身份验证管理器一部分提供的 CLI 命令。为了使用它，您首先需要在 Airflow 配置中将 AWS 身份验证管理器设置为身份验证管理器。请参阅如何将 AWS 身份验证管理器设置为身份验证管理器。

要创建策略存储，请运行以下命令

airflow aws-auth-manager init-avp

CLI 命令应该成功退出。如果出现以下错误消息，则表示您已经为 Airflow 创建了一个策略存储。在这种情况下，您可能需要手动更新其架构。

Since an existing policy store with description ... has been found in Amazon Verified Permissions,
the CLI made no changes to this policy store for security reasons.
Any modification to this policy store must be done manually.

手动¶

请按照以下说明创建 Amazon Verified Permissions 策略存储。

打开 Amazon Verified Permissions 控制台。
选择 创建策略存储。
在 配置方法 部分，选择 空策略存储。
在 详细信息 部分，键入 Airflow 作为描述。
选择 创建策略存储。现在已创建策略存储。

您现在需要定义刚刚创建的策略存储的架构。

更新策略存储架构¶

注意

您只需在某些特殊情况下更新策略存储架构。如果您的情况与以下情况之一相符，则应更新它，否则可以跳过此部分。

您手动创建了策略存储，并且策略存储中尚未定义架构。
您有一个用于 Airflow 的现有策略存储，并且您对其架构进行了一些修改，您想恢复这些修改。
您有一个用于 Airflow 的现有策略存储，并且您想将其架构更新到最新版本。只有当您的策略存储架构和最新架构版本不同时，才需要这样做。如果是这样，则 Airflow 启动时应该会出现警告消息。

使用 CLI¶

要将策略存储架构更新到最新版本，请运行以下命令

airflow aws-auth-manager update-avp-schema

手动¶

请按照以下说明将 Amazon Verified Permissions 策略存储架构更新到最新版本。

打开 Amazon Verified Permissions 控制台。
选择 Airflow 使用的策略存储（默认情况下，其描述为 Airflow）。
在左侧的导航窗格中，选择架构。
选择 编辑架构，然后选择 JSON 模式。
在内容字段中输入最新架构版本的内容。
选择 保存更改。

配置 Airflow¶

您需要在 Airflow 配置中设置先前创建的 Amazon Verified Permissions 策略存储 ID 文件。

[aws_auth_manager]
avp_policy_store_id = <avp_policy_store_id>

或

export AIRFLOW__AWS_AUTH_MANAGER__AVP_POLICY_STORE_ID='<avp_policy_store_id>'

AWS 身份验证管理器现在已配置完毕，可以使用了。请参阅使用 AWS 身份验证管理器管理 Airflow 环境，了解如何通过 AWS IAM Identity Center 和 Amazon Verified Permissions 管理用户和权限。