Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Introducción a Amazon Managed Workflows para Apache Airflow
Amazon Managed Workflows para Apache Airflow usa la VPC de Amazon, archivos de DAG y los archivos auxiliares de su bucket de almacenamiento de Amazon S3 para crear un entorno. En esta guía, se describen los requisitos previos y los recursos de AWS necesarios para empezar a usar Amazon MWAA.
**Topics**
+ [Requisitos previos](#prerequisites)
+ [Acerca de esta guía](#prerequisites-infra)
+ [Antes de empezar](#prerequisites-before)
+ [Regiones disponibles](#regions)
+ [Creación de un bucket de Amazon S3 para Amazon MWAA](mwaa-s3-bucket.md)
+ [Creación de la red de VPC](vpc-create.md)
+ [Creación de entornos de Amazon MWAA](create-environment.md)
+ [Siguientes pasos](#mwaa-s3-bucket-next-up)
## Requisitos previos
Para crear un entorno de Amazon MWAA, procure tener permiso para acceder a los recursos de AWS que necesita para crearlo.
+ **Cuenta de AWS**: una Cuenta de AWS con permiso para usar Amazon MWAA y los servicios y recursos de AWS que use su entorno.
## Acerca de esta guía
En esta sección, se describen la infraestructura y los recursos de AWS que creará en esta guía.
+ **Amazon VPC**: componentes de red de Amazon VPC que necesita un entorno de Amazon MWAA. Puede configurar una VPC existente que cumpla estos requisitos (avanzados), como se indica en [Acerca de las redes en Amazon MWAA](networking-about.md), o crear la VPC y los componentes de red, como se define en [Creación de la red de VPC](vpc-create.md).
+ **Bucket de Amazon S3**: bucket de Amazon S3 para almacenar sus DAG y los archivos asociados, como `plugins.zip` y `requirements.txt`. Su bucket de Amazon S3 debe estar configurado para **bloquear todo el acceso público**, con el control de **versiones del bucket** activado, tal y como se define en [Creación de un bucket de Amazon S3 para Amazon MWAA](mwaa-s3-bucket.md).
+ **Entorno de Amazon MWAA**: entorno de Amazon MWAA configurado con la ubicación de su bucket de Amazon S3, la ruta al código DAG y todos los complementos personalizados o dependencias de Python, y su Amazon VPC y su grupo de seguridad, tal y como se define en [Creación de entornos de Amazon MWAA](create-environment.md).
## Antes de empezar
Para crear un entorno de Amazon MWAA, puede crear y configurar otros recursos de AWS antes de crear el entorno.
Para crear un entorno, necesitará lo siguiente:
+ **Clave AWS KMS**: clave AWS KMS para el cifrado de datos en su entorno. Puede elegir la opción predeterminada en la consola de Amazon MWAA para crear una [clave de AWS propia](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) al crear un entorno o especificar una [clave existente administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) con permisos configurados para otros servicios de AWS usados en su entorno (avanzados). Consulte [Uso de claves maestras de cliente para el cifrado](custom-keys-certs.md) para obtener más información.
+ **Rol de ejecución**: rol de ejecución que permite a Amazon MWAA acceder a los recursos de AWS de su entorno. Puede elegir la opción predeterminada en la consola de Amazon MWAA para crear un rol de ejecución al crear un entorno. Consulte [Rol de ejecución de Amazon MWAA](mwaa-create-role.md) para obtener más información.
+ **Grupo de seguridad de VPC**: grupo de seguridad de VPC que permite a Amazon MWAA acceder a otros recursos de AWS de la red de VPC. Puede elegir la opción predeterminada de la consola de Amazon MWAA para crear un grupo de seguridad al crear un entorno o proporcionar a un grupo de seguridad las reglas de entrada y salida adecuadas (avanzadas). Consulte [Seguridad en la VPC en Amazon MWAA](vpc-security.md) para obtener más información.
## Regiones disponibles
Amazon MWAA ya está disponible en las siguientes Regiones de AWS. Para obtener más información sobre cada región, por ejemplo, cuáles están habilitadas o deshabilitadas de forma predeterminada, consulte [Regiones de AWS](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html).
| Code | Nombre |
| --- | --- |
| us-east-1 | Este de EE. UU. (Norte de Virginia) |
| us-east-2 | Este de EE. UU. (Ohio) |
| us-west-1 | Oeste de EE. UU. (Norte de California) |
| us-west-2 | Oeste de EE. UU. (Oregón) |
| af-south-1 | África (Ciudad del Cabo) |
| ap-east-1 | Asia-Pacífico (Hong Kong) |
| ap-south-2 | Asia-Pacífico (Hyderabad) |
| ap-southeast-3 | Asia-Pacífico (Yakarta) |
| ap-southeast-5 | Asia-Pacífico (Malasia) |
| ap-southeast-4 | Asia-Pacífico (Melbourne) |
| ap-south-1 | Asia-Pacífico (Mumbai) |
| ap-northeast-3 | Asia-Pacífico (Osaka) |
| ap-northeast-2 | Asia-Pacífico (Seúl) |
| ap-southeast-1 | Asia-Pacífico (Singapur) |
| ap-southeast-2 | Asia-Pacífico (Sídney) |
| ap-northeast-1 | Asia-Pacífico (Tokio) |
| ca-central-1 | Canadá (centro) |
| ca-west-1 | Oeste de Canadá (Calgary) |
| eu-central-1 | Europa (Fráncfort) |
| eu-west-1 | Europa (Irlanda) |
| eu-west-2 | Europa (Londres) |
| eu-south-1 | Europa (Milán) |
| eu-west-3 | Europa (París) |
| eu-south-2 | Europa (España) |
| eu-north-1 | Europa (Estocolmo) |
| eu-central-2 | Europa (Zúrich) |
| il-central-1 | Israel (Tel Aviv) |
| me-south-1 | Medio Oriente (Baréin) |
| me-central-1 | Medio Oriente (EAU) |
| sa-east-1 | América del Sur (São Paulo) |
# Creación de un bucket de Amazon S3 para Amazon MWAA
Esta guía describe los pasos para crear un bucket de Amazon S3 para almacenar los gráficos acíclicos dirigidos por Apache Airflow (DAGs), los complementos personalizados en un `plugins.zip` archivo y las dependencias de Python en un archivo. `requirements.txt`
**Contents**
+ [Antes de empezar](#mwaa-s3-bucket-before)
+ [Creación de buckets](#mwaa-s3-bucket-create)
+ [Siguientes pasos](#mwaa-s3-bucket-next-up)
## Antes de empezar
+ No puede cambiar el nombre de un bucket de Amazon S3 después de crearlo. Para obtener más información, consulte [Reglas para nombrar buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html#bucketnamingrules) en la *guía del usuario de Amazon Simple Storage Service*.
+ De debe configurar un bucket de Amazon S3 para un entorno de Amazon MWAA para **Bloquear todo el acceso público**, con **Control de versiones de buckets** activado.
+ Un bucket de Amazon S3 utilizado para un entorno de Amazon MWAA debe estar ubicado en el mismo Región de AWS lugar que un entorno de Amazon MWAA. Para acceder a una lista de Regiones de AWS Amazon MWAA, consulte los [puntos de enlace y las cuotas de Amazon MWAA en](https://docs.aws.amazon.com/general/latest/gr/mwaa.html). *Referencia general de AWS*
## Creación de buckets
En esta sección se describen los pasos para crear el bucket de Amazon S3 para su entorno.
**Creación de un bucket**
1. Inicie sesión en la consola de Amazon S3 Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Elija **Crear bucket**.
1. En **Nombre del bucket**, escriba un nombre compatible con DNS para el bucket.
El nombre del bucket debe:
+ Ser único en todo Amazon S3.
+ Tener entre 3 y 63 caracteres.
+ No contiene caracteres en mayúsculas.
+ Comenzar por una letra minúscula o un número.
**importante**
Evite incluir información confidencial, como números de cuenta, en el nombre del bucket. El nombre del bucket está disponible URLs cuando apunta a los objetos del bucket.
1. Elija una **región Región de AWS de entrada**. Debe ser el mismo que el Región de AWS de su entorno de Amazon MWAA.
1. Recomendamos que se elija una región cercana para minimizar la latencia y los costos, así como para satisfacer los requisitos reglamentarios.
1. Elija **Bloquear todo el acceso público**.
1. Seleccione **Enable** (Habilitar) en **Bucket versioning** (Control de versiones de buckets).
1. **Opcional**: *etiquetas*. Añada pares de etiquetas clave-valor para identificar su bucket de Amazon S3 en **Etiquetas**. Por ejemplo, `Bucket`: `Staging`.
1. **Opcional**: *cifrado del lado del servidor*. Si lo desea, puede **habilitar** una de las siguientes opciones de cifrado en su bucket de Amazon S3.
1. Elija **Amazon S3 (SSE-S3)** en el **cifrado del servidor** para activar el cifrado del bucket en el servidor.
1. Elija **AWS Key Management Service la clave (SSE-KMS)** para usar una AWS KMS clave de cifrado en su bucket de Amazon S3:
1. **AWS clave gestionada (aws/s3)**: si elige esta opción, puede utilizar una clave propia gestionada por Amazon MWAA o especificar una [clave AWS gestionada](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) por el [cliente para](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) el cifrado de su entorno de Amazon MWAA.
1. **Elija una de sus AWS KMS claves** o **introduzca el ARN de la AWS KMS clave**: si decide especificar una [clave gestionada por el cliente en este paso, debe especificar un AWS KMS identificador de clave](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) o un ARN. [AWS KMS Amazon MWAA no admite alias ni claves multirregionales](custom-keys-certs.md). La AWS KMS clave que especifique también debe usarse para el cifrado en su entorno de Amazon MWAA.
1. **Opcional**: *Configuración avanzada*. Si desea habilitar Amazon S3 Object Lock:
1. Elija **Ajustes avanzados** y, luego, **Habilitar**.
**importante**
Al habilitar Object Lock, se bloquearán permanentemente los objetos de este bucket. Para obtener más información, consulte [Bloqueo de objetos mediante Amazon S3 Object Lock](https://docs.aws.amazon.com//AmazonS3/latest/dev/object-lock.html) en la *guía del usuario de Amazon Simple Storage Service*.
1. Elija la confirmación.
1. Elija **Crear bucket**.
## Siguientes pasos
+ Aprenda a crear la red de Amazon VPC necesaria para un entorno en [Creación de la red de VPC](vpc-create.md).
+ Obtenga información sobre cómo administrar los permisos de acceso en [¿Cómo se configuran los permisos de los buckets de ACL](https://docs.aws.amazon.com//AmazonS3/latest/user-guide/set-bucket-permissions.html)?
+ Aprenda a eliminar un bucket de almacenamiento en [¿Cómo se elimina un bucket de S3?](https://docs.aws.amazon.com//AmazonS3/latest/user-guide/delete-bucket.html).
# Creación de la red de VPC
Los flujos de trabajo de Amazon para Apache Airflow requieren una VPC de Amazon y componentes de red específicos para dar soporte a un entorno. En esta guía se describen las diferentes opciones para crear la red de Amazon VPC para un entorno de Amazon Managed Workflows para Apache Airflow.
**nota**
Apache Airflow funciona mejor en un entorno de red de baja latencia. Si utiliza una Amazon VPC existente que enruta el tráfico a otra región o a un entorno local, le recomendamos que agregue puntos de conexión de AWS PrivateLink para Amazon SQS, CloudWatch, Amazon S3 y AWS KMS. Para más información sobre la configuración de AWS PrivateLink para Amazon MWAA, consulte [Creación de una red VPC de Amazon sin acceso a Internet](#vpc-create-template-private-only).
**Contents**
+ [Requisitos previos](#vpc-create-prereqs)
+ [Antes de empezar](#vpc-create-how-networking)
+ [Opciones para crear la red de Amazon VPC](#vpc-create-options)
+ [Opción 1: crear la red de VPC en la consola de Amazon MWAA](#vpc-create-mwaa-console)
+ [Opción 2: Creación de una red Amazon VPC *con* acceso a Internet](#vpc-create-template-private-or-public)
+ [Opción 3: Creación de una red de Amazon VPC *sin* acceso a Internet](#vpc-create-template-private-only)
+ [Siguientes pasos](#create-vpc-next-up)
## Requisitos previos
La AWS Command Line Interface (AWS CLI) es una herramienta de código abierto que le permite interactuar con los servicios de AWS mediante el uso de comandos en el shell de la línea de comandos. Para completar los pasos de esta página, necesita lo siguiente:
+ [AWS CLI: instalar la versión 2](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html).
+ [AWS CLI: configuración rápida con `aws configure`](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
## Antes de empezar
+ La [red de VPC](#vpc-create) que especifique para su entorno no se puede cambiar después crearlo.
+ Puede usar el enrutamiento público o privado para su servidor web de Amazon VPC y Apache Airflow. Para acceder a una lista de opciones, consulte [Ejemplos de casos de uso para un modo de acceso a Amazon VPC y Apache Airflow](networking-about.md#networking-about-network-usecase).
## Opciones para crear la red de Amazon VPC
En la sección siguiente se describen las opciones disponibles para crear la red de Amazon VPC para un entorno.
**nota**
Amazon MWAA no admite el uso de la zona de disponibilidad (AZ) `use1-az3` en la región Este de EE. UU. (Norte de Virginia). Cuando crea la VPC para Amazon MWAA en la región Este de EE. UU. (Norte de Virginia), debe asignar la `AvailabilityZone` de forma explícita en la plantilla CloudFormation (CFN). No se debe asignar a `use1-az3` el nombre de la zona de disponibilidad asignada. Puede obtener la asignación detallada de los nombres de las zonas de disponibilidad (AZ) a sus correspondientes ID de zona de disponibilidad mediante la ejecución del siguiente comando:
```
aws ec2 describe-availability-zones --region us-east-1
```
### Opción 1: crear la red de VPC en la consola de Amazon MWAA
En la siguiente sección, se muestra cómo crear una red de Amazon VPC en la consola de Amazon MWAA. Esta opción usa [Enrutamiento público a través de Internet](networking-about.md#networking-about-overview-public). Se puede usar para un servidor web de Apache Airflow con el modo de acceso de **Red privada** o **Red pública**.
En la siguiente imagen, se muestra dónde puede encontrar el botón **Create MWAA VPC** (Crear VPC de MWAA) en la consola de Amazon MWAA.
![\[En esta imagen, se muestra dónde puede encontrar el botón Creare MWAA VPC (Crear VPC de MWAA) en la consola de Amazon MWAA.\]](http://docs.aws.amazon.com/es_es/mwaa/latest/userguide/images/mwaa-console-create-vpc.png)
### Opción 2: Creación de una red Amazon VPC *con* acceso a Internet
La siguiente plantilla de CloudFormation crea una red de Amazon VPC con acceso a Internet en su región predeterminada de Región de AWS. Esta opción usa [Enrutamiento público a través de Internet](networking-about.md#networking-about-overview-public). Esta plantilla se puede usar para un servidor web de Apache Airflow con el modo de acceso de **Red privada** o **Red pública**.
1. Copie el contenido de la siguiente plantilla y guárdelo localmente como `cfn-vpc-public-private.yaml`. También puede [descargar la plantilla](./samples/cfn-vpc-public-private.zip).
```
Description: This template deploys a VPC, with a pair of public and private subnets spread
across two Availability Zones. It deploys an internet gateway, with a default
route on the public subnets. It deploys a pair of NAT gateways (one in each AZ),
and default routes for them in the private subnets.
Parameters:
EnvironmentName:
Description: An environment name that is prefixed to resource names
Type: String
Default: mwaa-
VpcCIDR:
Description: Please enter the IP range (CIDR notation) for this VPC
Type: String
Default: 10.192.0.0/16
PublicSubnet1CIDR:
Description: Please enter the IP range (CIDR notation) for the public subnet in the first Availability Zone
Type: String
Default: 10.192.10.0/24
PublicSubnet2CIDR:
Description: Please enter the IP range (CIDR notation) for the public subnet in the second Availability Zone
Type: String
Default: 10.192.11.0/24
PrivateSubnet1CIDR:
Description: Please enter the IP range (CIDR notation) for the private subnet in the first Availability Zone
Type: String
Default: 10.192.20.0/24
PrivateSubnet2CIDR:
Description: Please enter the IP range (CIDR notation) for the private subnet in the second Availability Zone
Type: String
Default: 10.192.21.0/24
Resources:
VPC:
Type: AWS::EC2::VPC
Properties:
CidrBlock: !Ref VpcCIDR
EnableDnsSupport: true
EnableDnsHostnames: true
Tags:
- Key: Name
Value: !Ref EnvironmentName
InternetGateway:
Type: AWS::EC2::InternetGateway
Properties:
Tags:
- Key: Name
Value: !Ref EnvironmentName
InternetGatewayAttachment:
Type: AWS::EC2::VPCGatewayAttachment
Properties:
InternetGatewayId: !Ref InternetGateway
VpcId: !Ref VPC
PublicSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PublicSubnet1CIDR
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Subnet (AZ1)
PublicSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PublicSubnet2CIDR
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Subnet (AZ2)
PrivateSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet1CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Subnet (AZ1)
PrivateSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet2CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Subnet (AZ2)
NatGateway1EIP:
Type: AWS::EC2::EIP
DependsOn: InternetGatewayAttachment
Properties:
Domain: vpc
NatGateway2EIP:
Type: AWS::EC2::EIP
DependsOn: InternetGatewayAttachment
Properties:
Domain: vpc
NatGateway1:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt NatGateway1EIP.AllocationId
SubnetId: !Ref PublicSubnet1
NatGateway2:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt NatGateway2EIP.AllocationId
SubnetId: !Ref PublicSubnet2
PublicRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Routes
DefaultPublicRoute:
Type: AWS::EC2::Route
DependsOn: InternetGatewayAttachment
Properties:
RouteTableId: !Ref PublicRouteTable
DestinationCidrBlock: 0.0.0.0/0
GatewayId: !Ref InternetGateway
PublicSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnet1
PublicSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnet2
PrivateRouteTable1:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Routes (AZ1)
DefaultPrivateRoute1:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref PrivateRouteTable1
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway1
PrivateSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PrivateRouteTable1
SubnetId: !Ref PrivateSubnet1
PrivateRouteTable2:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Routes (AZ2)
DefaultPrivateRoute2:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref PrivateRouteTable2
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway2
PrivateSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PrivateRouteTable2
SubnetId: !Ref PrivateSubnet2
SecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupName: "mwaa-security-group"
GroupDescription: "Security group with a self-referencing inbound rule."
VpcId: !Ref VPC
SecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: !Ref SecurityGroup
IpProtocol: "-1"
SourceSecurityGroupId: !Ref SecurityGroup
Outputs:
VPC:
Description: A reference to the created VPC
Value: !Ref VPC
PublicSubnets:
Description: A list of the public subnets
Value: !Join [ ",", [ !Ref PublicSubnet1, !Ref PublicSubnet2 ]]
PrivateSubnets:
Description: A list of the private subnets
Value: !Join [ ",", [ !Ref PrivateSubnet1, !Ref PrivateSubnet2 ]]
PublicSubnet1:
Description: A reference to the public subnet in the 1st Availability Zone
Value: !Ref PublicSubnet1
PublicSubnet2:
Description: A reference to the public subnet in the 2nd Availability Zone
Value: !Ref PublicSubnet2
PrivateSubnet1:
Description: A reference to the private subnet in the 1st Availability Zone
Value: !Ref PrivateSubnet1
PrivateSubnet2:
Description: A reference to the private subnet in the 2nd Availability Zone
Value: !Ref PrivateSubnet2
SecurityGroupIngress:
Description: Security group with self-referencing inbound rule
Value: !Ref SecurityGroupIngress
```
1. En el símbolo del sistema, vaya hasta el directorio en el que está almacenado `cfn-vpc-public-private.yaml`. Por ejemplo:
```
cd mwaaproject
```
1. Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html) para crear la pila con la AWS CLI.
```
aws cloudformation create-stack --stack-name mwaa-environment --template-body file://cfn-vpc-public-private.yaml
```
**nota**
Se tardan unos 30 minutos en crear la infraestructura de Amazon VPC.
### Opción 3: Creación de una red de Amazon VPC *sin* acceso a Internet
La siguiente plantilla de CloudFormation crea una red de Amazon VPC *sin acceso a Internet* en su Región de AWS predeterminada.
Esta opción usa [Enrutamiento privado sin acceso a Internet](networking-about.md#networking-about-overview-private). Esta plantilla se puede usar solo para un servidor web de Apache Airflow con el modo de acceso a la **red privada**. Crea los [puntos de conexión de VPC necesarios para los servicios de AWS que utiliza un entorno](vpc-vpe-create-access.md#vpc-vpe-create-view-endpoints-attach-services).
1. Copie el contenido de la siguiente plantilla y guárdelo localmente como `cfn-vpc-private.yaml`. También puede [descargar la plantilla](./samples/cfn-vpc-private-no-ops.zip).
```
AWSTemplateFormatVersion: "2010-09-09"
Parameters:
VpcCIDR:
Description: The IP range (CIDR notation) for this VPC
Type: String
Default: 10.192.0.0/16
PrivateSubnet1CIDR:
Description: The IP range (CIDR notation) for the private subnet in the first Availability Zone
Type: String
Default: 10.192.10.0/24
PrivateSubnet2CIDR:
Description: The IP range (CIDR notation) for the private subnet in the second Availability Zone
Type: String
Default: 10.192.11.0/24
Resources:
VPC:
Type: AWS::EC2::VPC
Properties:
CidrBlock: !Ref VpcCIDR
EnableDnsSupport: true
EnableDnsHostnames: true
Tags:
- Key: Name
Value: !Ref AWS::StackName
RouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub "${AWS::StackName}-route-table"
PrivateSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet1CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub "${AWS::StackName} Private Subnet (AZ1)"
PrivateSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet2CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub "${AWS::StackName} Private Subnet (AZ2)"
PrivateSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref RouteTable
SubnetId: !Ref PrivateSubnet1
PrivateSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref RouteTable
SubnetId: !Ref PrivateSubnet2
S3VpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.s3"
VpcEndpointType: Gateway
VpcId: !Ref VPC
RouteTableIds:
- !Ref RouteTable
SecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
VpcId: !Ref VPC
GroupDescription: Security Group for Amazon MWAA Environments to access VPC endpoints
GroupName: !Sub "${AWS::StackName}-mwaa-vpc-endpoints"
SecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: !Ref SecurityGroup
IpProtocol: "-1"
SourceSecurityGroupId: !Ref SecurityGroup
SqsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.sqs"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
CloudWatchLogsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.logs"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
CloudWatchMonitoringVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.monitoring"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
KmsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.kms"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
Outputs:
VPC:
Description: A reference to the created VPC
Value: !Ref VPC
MwaaSecurityGroupId:
Description: Associates the Security Group to the environment to allow access to the VPC endpoints
Value: !Ref SecurityGroup
PrivateSubnets:
Description: A list of the private subnets
Value: !Join [ ",", [ !Ref PrivateSubnet1, !Ref PrivateSubnet2 ]]
PrivateSubnet1:
Description: A reference to the private subnet in the 1st Availability Zone
Value: !Ref PrivateSubnet1
PrivateSubnet2:
Description: A reference to the private subnet in the 2nd Availability Zone
Value: !Ref PrivateSubnet2
```
1. En el símbolo del sistema, vaya hasta el directorio en el que está almacenado `cfn-vpc-private.yml`. Por ejemplo:
```
cd mwaaproject
```
1. Utilice el comando [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html) para crear la pila con la AWS CLI.
```
aws cloudformation create-stack --stack-name mwaa-private-environment --template-body file://cfn-vpc-private.yml
```
**nota**
Se tardan unos 30 minutos en crear la infraestructura de Amazon VPC.
1. Deberá crear un mecanismo para acceder a estos puntos de conexión de VPC desde su ordenador. Consulte [Administración del acceso a los puntos de conexión de Amazon VPC específicos del servicio en Amazon MWAA](vpc-vpe-access.md) para obtener más información.
**nota**
Puede restringir aún más el acceso saliente en el CIDR de su grupo de seguridad de Amazon MWAA. Por ejemplo, puede restringirse a sí mismo añadiendo una regla de salida autorreferenciada, la [lista de prefijos](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html) de Amazon S3 y el CIDR de su Amazon VPC.
## Siguientes pasos
+ Obtenga información sobre cómo crear un entorno Amazon MWAA en [Creación de entornos de Amazon MWAA](create-environment.md).
+ Aprenda a crear un túnel VPN desde su ordenador a su Amazon VPC con enrutamiento privado en [Tutorial: Configuración del acceso a la red privada mediante una AWS Client VPN](tutorials-private-network-vpn-client.md).
# Creación de entornos de Amazon MWAA
Amazon Managed Workflows para Apache Airflow configura Apache Airflow en un entorno de la versión que elija utilizando el mismo Airflow de código abierto y la misma interfaz de usuario que Apache. En esta guía se describen los pasos para crear entornos de Amazon MWAA.
**Contents**
+ [Antes de empezar](#create-environment-before)
+ [Versiones de Apache Airflow](#create-environment-regions-aa-versions)
+ [Creación de un entorno](#create-environment-start)
+ [Paso 1: especificar los detalles](#create-environment-start-details)
+ [Paso 2: configurar los ajustes avanzados](#create-environment-start-advanced)
+ [Paso 3: consultar y crear](#create-environment-start-review)
## Antes de empezar
+ La [red de VPC](vpc-create.md) que especifica para su entorno no se puede cambiar después crearlo.
+ Necesita un bucket de Amazon S3 configurado para **bloquear todo el acceso público**, con el **control de versiones del bucket** activado.
+ Necesita un Cuenta de AWS con [permisos para usar Amazon MWAA](manage-access.md) y permiso en AWS Identity and Access Management (IAM) para crear funciones de IAM. Si elige el modo de acceso de **red privada** para el servidor web de Apache Airflow, que limita el acceso de Apache Airflow dentro de su Amazon VPC, necesitará permiso en IAM para crear puntos de conexión de Amazon VPC.
**nota**
Amazon MWAA determina la red de forma dinámica durante la creación. Si utiliza IPv6 subredes, Amazon MWAA crea una conectividad de enlace IPv6 privado con la base de datos y el servidor web. Amazon MWAA no admite la transición entre tipos de red y no puede actualizar los entornos existentes a ellos. IPv6
## Versiones de Apache Airflow
Las siguientes versiones de Apache Airflow son compatibles con Amazon Managed Workflows para Apache Airflow.
**nota**
A partir del 30 de diciembre de 2025, Amazon MWAA dejará de ser compatible con las versiones v2.4.3, v2.5.1 y v2.6.3 de Apache Airflow. Para obtener más información, consulta [Preguntas frecuentes y compatibilidad de Apache Airflow](airflow-versions.md#airflow-versions-support).
A partir de Apache Airflow v2.2.2, Amazon MWAA admite la instalación de requisitos de Python, paquetes de proveedores y complementos personalizados directamente en el servidor web Apache Airflow.
A partir de la versión 2.7.2 de Apache Airflow, su archivo de requisitos debe incluir una instrucción `--constraint`. Si no proporciona ninguna restricción, Amazon MWAA especificará una para garantizar que los paquetes que figuran en sus requisitos sean compatibles con la versión de Apache Airflow que se está usando.
Para obtener más información sobre la configuración de restricciones en su archivo de requisitos, consulte cómo [instalar dependencias de Python](working-dags-dependencies.md#working-dags-dependencies-syntax-create).
| Versión de Apache Airflow | Fecha de la versión de Apache Airflow | Fecha de disponibilidad en Amazon MWAA | Restricciones de Apache Airflow | Versión de Python |
| --- | --- | --- | --- | --- |
| [v2.11.0](https://airflow.apache.org/docs/apache-airflow/2.11.0) | [20 de mayo de 2025](https://airflow.apache.org/docs/apache-airflow/2.11.0/release_notes.html#airflow-2-11-0-2022-05-20) | 7 de enero de 2026 | [Archivo de restricciones v2.11.0](https://raw.githubusercontent.com/apache/airflow/constraints-2.11.0/constraints-3.12.txt) | [Python 3.12](https://peps.python.org/pep-0693/) |
| [v3.0.6](https://airflow.apache.org/docs/apache-airflow/3.0.6) | [29 de agosto de 2025](https://airflow.apache.org/docs/apache-airflow/3.0.6/release_notes.html#airflow-3-0-6-2025-08-29) | 1 de octubre de 2025 | [archivo de restricciones v3.0.6](https://raw.githubusercontent.com/apache/airflow/constraints-3.0.6/constraints-3.12.txt) | [Python 3.12](https://peps.python.org/pep-0693/) |
| [v2.10.3](https://airflow.apache.org/docs/apache-airflow/2.10.3) | [4 de noviembre de 2024](https://airflow.apache.org/docs/apache-airflow/2.10.3/release_notes.html#airflow-2-10-3-2024-11-04) | 18 de diciembre de 2024 | [archivo de restricciones v2.10.3](https://raw.githubusercontent.com/apache/airflow/constraints-2.10.3/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.10.1](https://airflow.apache.org/docs/apache-airflow/2.10.1) | [5 de septiembre de 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-10-1-2024-09-05) | 26 de septiembre de 2024 | [Archivo de restricciones v2.10.1](https://raw.githubusercontent.com/apache/airflow/constraints-2.10.1/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.9.2](https://airflow.apache.org/docs/apache-airflow/2.9.2) | [10 de junio de 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-9-2-2024-06-10) | 9 de julio de 2024 | [Archivo de restricciones v2.9.2](https://raw.githubusercontent.com/apache/airflow/constraints-2.9.2/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.8.1](https://airflow.apache.org/docs/apache-airflow/2.8.1) | [19 de enero de 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-8-1-2024-01-19) | 23 de febrero de 2024 | [Archivo de restricciones v2.8.1](https://raw.githubusercontent.com/apache/airflow/constraints-2.8.1/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.7.2](https://airflow.apache.org/docs/apache-airflow/2.7.2) | [12 de octubre de 2023](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-7-2-2023-10-12) | 6 de noviembre de 2023 | [Archivo de restricciones v2.7.2](https://raw.githubusercontent.com/apache/airflow/constraints-2.7.2/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
Para obtener más información sobre la migración de sus implementaciones autoadministradas de Apache Airflow o la migración de un entorno Amazon MWAA existente, incluidas las instrucciones para realizar copias de seguridad de su base de datos de metadatos, consulte la [guía de migración a Amazon MWAA](https://docs.aws.amazon.com/mwaa/latest/migrationguide/index.html).
## Creación de un entorno
En la siguiente sección se describen los pasos para crear entornos de Amazon MWAA.
### Paso 1: especificar los detalles
**Pasos para especificar los detalles del entorno**
1. Abra la [consola de Amazon MWAA](https://console.aws.amazon.com/mwaa/home/).
1. Selecciona tu Región de AWS.
1. Seleccione **Crear entorno**.
1. Siga los pasos que se detallan a continuación en la página **Especificar detalles**, en **Detalles del entorno**:
1. Escriba un nombre para el entorno en **Name** (Nombre).
1. Elija la versión Apache Airflow en **versión de Airflow**.
**nota**
Si no se especifica ningún valor, el valor predeterminado será la última versión de Apache Airflow. La última versión disponible es Apache Airflow v3.0.6.
1. En **Código DAG de Amazon S3**, especifique lo siguiente:
1. Un **bucket de S3**. Elija **Explorar S3** y seleccione su bucket de Amazon S3 o introduzca el URI de Amazon S3.
1. **DAGs folder**. Elija **Explorar S3** y seleccione la carpeta `dags` en su bucket de Amazon S3 o introduzca el URI de Amazon S3.
1. Un **archivo de complementos (*opcional*)**. Elija **Explorar S3** y seleccione el archivo `plugins.zip` en su bucket de Amazon S3 o introduzca el URI de Amazon S3.
1. Un **archivo de requisitos (*opcional*)**. Elija **Explorar S3** y seleccione el archivo `requirements.txt` en su bucket de Amazon S3 o introduzca el URI de Amazon S3.
1. Un **archivo de script de inicio (*opcional)***. Elija **Browse S3** (Explorar) y seleccione el archivo de script en su bucket de Amazon S3 o introduzca el URI de Amazon S3.
1. Elija **Siguiente**.
### Paso 2: configurar los ajustes avanzados
**Configuración de opciones avanzadas**
1. En la página **Configurar los ajustes avanzados**, en **Redes**,
1. Elija su [Amazon VPC](vpc-create.md).
Este paso rellena dos de las subredes privadas de su Amazon VPC.
1. En **Webserver access** (Acceso al servidor web), seleccione el [modo de acceso de Apache Airflow](configuring-networking.md) preferido:
1. **Una red privada**. Esto limita el acceso a la interfaz de usuario de Apache Airflow a los usuarios *de su Amazon VPC* a los que se les ha concedido acceso a la [política de IAM de su entorno](access-policies.md). Para este paso, necesita permiso para crear puntos de conexión de VPC de Amazon.
**nota**
Elija la opción **red privada** si solo se puede acceder a la UI de Apache Airflow desde una red corporativa y no necesita acceder a repositorios públicos para cumplir con los requisitos de instalación del servidor web. Si elige este modo de acceso, deberá crear un mecanismo para acceder al servidor web de Apache Airflow en su VPC de Amazon. Para obtener más información, consulta [Acceso al punto de conexión de VPC del servidor web Apache Airflow (acceso mediante red privada)](vpc-vpe-access.md#vpc-vpe-access-endpoints).
1. **Red pública**. Esto permite que los usuarios con acceso a la [política de IAM de su entorno](access-policies.md) accedan a la UI de Apache Airflow a través de Internet.
1. En **Security groups** (Grupos de seguridad), elija el grupo de seguridad que se haya usado para proteger su [VPC de Amazon](vpc-create.md):
1. Por defecto, Amazon MWAA crea un grupo de seguridad en su VPC de Amazon con reglas de entrada y salida específicas en **Crear un nuevo grupo de seguridad**.
1. **Opcional.** Desactive la casilla de verificación de **Crear nuevo grupo de seguridad** para seleccionar hasta 5 grupos de seguridad.
**nota**
Debe configurarse un grupo de seguridad de Amazon VPC existente con reglas de entrada y salida específicas para permitir el tráfico de red. Consulte [Seguridad en la VPC en Amazon MWAA](vpc-security.md) para obtener más información.
1. En **Clase de entorno**, elija una [clase de entorno](environment-class.md).
Le recomendamos que elija el tamaño más pequeño necesario para soportar su carga de trabajo. Puede cambiar la clase de entorno en cualquier momento.
1. En **Número máximo de procesos de trabajo**, especifique el número máximo de procesos de trabajo de Apache Airflow que se ejecutarán en el entorno.
Para obtener más información, consulta [Ejemplo de caso de uso de alto rendimiento](mwaa-autoscaling.md#mwaa-autoscaling-high-volume).
1. Especifique el **número máximo de servidores web** y el **número mínimo de servidores web** para configurar la forma en la que Amazon MWAA escala los servidores web Apache Airflow en su entorno.
Para obtener más información sobre el escalado automático del servidor web, consulte [Configuración del escalado automático del servidor web de Amazon MWAA](mwaa-web-server-autoscaling.md).
1. En **Cifrado**, elija una opción de cifrado de datos:
1. De forma predeterminada, Amazon MWAA utiliza una clave AWS propia para cifrar los datos.
1. **Opcional.** Seleccione **Personalizar la configuración de cifrado (avanzada)** para elegir una clave diferente. AWS KMS Si decide especificar una [clave administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) en este paso, debe especificar un ID de AWS KMS clave o un ARN. [AWS KMS Amazon MWAA no admite alias ni claves multirregionales](custom-keys-certs.md). Si especificó una clave de Amazon S3 para el cifrado del servidor en su bucket de Amazon S3, debe especificar la misma clave para su entorno de Amazon MWAA.
**nota**
Debe tener permisos sobre la clave para seleccionarla en la consola de Amazon MWAA. También debe conceder permisos para que Amazon MWAA utilice la clave adjuntando la política descrita en [Asociación de políticas de claves](custom-keys-certs.md#custom-keys-certs-grant-policies-attach).
1. **Recomendado**. En **Supervisión**, elija una o más categorías de registro para la **configuración de registro de Airflow** para enviar los registros CloudWatch de Apache Airflow a Logs:
1. **Registros de tareas de Airflow**. Elija el tipo de registros de tareas de Apache Airflow para enviarlos al nivel CloudWatch Logs in **Log**.
1. **Registros del servidor web de Airflow**. **Elija el tipo de registros del servidor web Apache Airflow para enviarlos al nivel CloudWatch Logs in Log.**
1. **Registros del programador de Airflow**. **Elija el tipo de registros del programador de Apache Airflow para enviarlos al nivel CloudWatch Logs in Log.**
1. **Registros de procesos de trabajo de Airflow**. Elija el tipo de registros de trabajo de Apache Airflow para enviarlos al nivel CloudWatch Logs in **Log**.
1. **Registros de procesamiento del DAG de Airflow**. Elija el tipo de registros de procesamiento del DAG de Apache Airflow para enviarlos al nivel CloudWatch Logs in **Log**.
1. **Opcional.** Para ver las **opciones de configuración de Airflow**, elija **Agregar una opción de configuración personalizada**.
Puede elegir de la lista desplegable sugerida de [opciones de configuración de Apache Airflow](configuring-env-variables.md) para su versión de Apache Airflow o especificar opciones de configuración personalizadas. Por ejemplo, `core.default_task_retries`: `3`.
1. **Opcional.** En **Etiquetas**, elija **Agregar nueva etiqueta** para asociar etiquetas a su entorno. Por ejemplo, `Environment`: `Staging`.
1. En **Permisos**, elija un rol de ejecución:
1. Por defecto, Amazon MWAA crea un [rol de ejecución](mwaa-create-role.md) en **Crear un rol nuevo**. Para usar esta opción, debe tener permiso para crear roles de IAM.
1. **Opcional.** Elija **Introduzca el ARN del rol** para escribir el nombre de recurso de Amazon (ARN) de un rol de ejecución existente.
1. Elija **Siguiente**.
### Paso 3: consultar y crear
**Pasos para consultar un resumen del entorno**
+ Consulte el resumen del entorno y elija **Creación de entorno**.
**nota**
Se tarda entre 20 y 30 minutos en crear un entorno.
## Siguientes pasos
+ Conozca cómo crear un bucket de Amazon S3 en [Creación de un bucket de Amazon S3 para Amazon MWAA](mwaa-s3-bucket.md).