Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Commencez avec Amazon Managed Workflows for Apache Airflow
Amazon Managed Workflows pour Apache Airflow utilise le VPC Amazon, les fichiers DAG et les fichiers de support de votre compartiment de stockage Amazon S3 pour créer un environnement. Ce chapitre décrit les prérequis et les AWS ressources nécessaires pour démarrer avec Amazon MWAA.
**Topics**
+ [Prérequis](#prerequisites)
+ [A propos de ce manuel](#prerequisites-infra)
+ [Avant de commencer](#prerequisites-before)
+ [Régions disponibles](#regions)
+ [Création d'un compartiment Amazon S3 pour Amazon MWAA](mwaa-s3-bucket.md)
+ [Création du réseau VPC](vpc-create.md)
+ [Création d'un environnement Amazon MWAA](create-environment.md)
+ [Quelle est la prochaine étape ?](#mwaa-s3-bucket-next-up)
## Prérequis
Pour créer un environnement Amazon MWAA, assurez-vous que vous êtes autorisé à accéder aux AWS ressources que vous devez créer.
+ **Compte AWS**— Et Compte AWS avec l'autorisation d'utiliser Amazon MWAA et les AWS services et ressources utilisés par votre environnement.
## A propos de ce manuel
Ce guide couvre l' AWS infrastructure et les ressources que vous allez créer.
+ **Amazon VPC** — Les composants réseau Amazon VPC requis par un environnement Amazon MWAA. Vous pouvez configurer un VPC existant qui répond à ces exigences (avancées), comme indiqué dans[À propos de la mise en réseau sur Amazon MWAA](networking-about.md), ou créer le VPC et les composants réseau, tels que définis dans. [Création du réseau VPC](vpc-create.md)
+ Compartiment **Amazon S3** : compartiment Amazon S3 pour stocker vos fichiers DAGs et ceux associés, tels que `plugins.zip` et`requirements.txt`. Votre compartiment Amazon S3 doit être configuré pour **bloquer tout accès public**, avec le contrôle de **version des compartiments** activé, comme défini dans[Création d'un compartiment Amazon S3 pour Amazon MWAA](mwaa-s3-bucket.md).
+ Environnement **Amazon MWAA : environnement** Amazon MWAA configuré avec l'emplacement de votre compartiment Amazon S3, le chemin d'accès à votre code DAG et à tous les plugins personnalisés ou dépendances Python, ainsi que votre Amazon VPC et son groupe de sécurité, tels que définis dans. [Création d'un environnement Amazon MWAA](create-environment.md)
## Avant de commencer
Pour créer un environnement Amazon MWAA, vous pouvez prendre des mesures supplémentaires pour créer et configurer d'autres AWS ressources avant de créer votre environnement.
Pour créer un environnement, vous avez besoin des éléments suivants :
+ **AWS KMS clé** : AWS KMS clé pour le chiffrement des données de votre environnement. Vous pouvez choisir l'option par défaut sur la console Amazon MWAA pour créer une [cléAWS détenue](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) lorsque vous créez un environnement, ou spécifier une [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) existante avec des autorisations pour les autres AWS services utilisés par votre environnement configurées (avancées). Pour en savoir plus, reportez-vous à[Utilisation de clés gérées par le client pour le chiffrement](custom-keys-certs.md).
+ **Rôle d'exécution : rôle** d'exécution qui permet à Amazon MWAA d'accéder aux AWS ressources de votre environnement. Vous pouvez choisir l'option par défaut sur la console Amazon MWAA pour créer un rôle d'exécution lorsque vous créez un environnement. Pour en savoir plus, reportez-vous à[Rôle d'exécution Amazon MWAA](mwaa-create-role.md).
+ Groupe de **sécurité VPC : groupe** de sécurité VPC qui permet à Amazon MWAA d'accéder à d'autres ressources AWS de votre réseau VPC. Vous pouvez choisir l'option par défaut sur la console Amazon MWAA pour créer un groupe de sécurité lorsque vous créez un environnement, ou fournir à un groupe de sécurité les règles entrantes et sortantes appropriées (avancées). Pour en savoir plus, reportez-vous à[Sécurité de votre VPC sur Amazon MWAA](vpc-security.md).
## Régions disponibles
Amazon MWAA est disponible dans les versions suivantes Régions AWS. Pour en savoir plus sur chaque région, notamment celles qui sont activées ou désactivées par défaut, reportez-vous à [Régions AWS](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html).
| Code | Nom |
| --- | --- |
| us-east-1 | USA Est (Virginie du Nord) |
| us-east-2 | USA Est (Ohio) |
| us-west-1 | USA Ouest (Californie du Nord) |
| us-west-2 | USA Ouest (Oregon) |
| af-south-1 | Afrique (Le Cap) |
| ap-east-1 | Asie-Pacifique (Hong Kong) |
| ap-south-2 | Asie-Pacifique (Hyderabad) |
| ap-southeast-3 | Asie-Pacifique (Jakarta) |
| ap-southeast-5 | Asie-Pacifique (Malaisie) |
| ap-southeast-4 | Asie-Pacifique (Melbourne) |
| ap-south-1 | Asie-Pacifique (Mumbai) |
| ap-northeast-3 | Asie-Pacifique (Osaka) |
| ap-northeast-2 | Asie-Pacifique (Séoul) |
| ap-southeast-1 | Asie-Pacifique (Singapour) |
| ap-southeast-2 | Asie-Pacifique (Sydney) |
| ap-northeast-1 | Asie-Pacifique (Tokyo) |
| ca-central-1 | Canada (Centre) |
| ca-west-1 | Canada-Ouest (Calgary) |
| eu-central-1 | Europe (Francfort) |
| eu-west-1 | Europe (Irlande) |
| eu-west-2 | Europe (Londres) |
| eu-south-1 | Europe (Milan) |
| eu-west-3 | Europe (Paris) |
| eu-south-2 | Europe (Espagne) |
| eu-north-1 | Europe (Stockholm) |
| eu-central-2 | Europe (Zurich) |
| il-central-1 | Israël (Tel Aviv) |
| me-south-1 | Middle East (Bahrain) |
| me-central-1 | Moyen-Orient (EAU) |
| sa-east-1 | Amérique du Sud (São Paulo) |
# Création d'un compartiment Amazon S3 pour Amazon MWAA
Ce guide décrit les étapes de création d'un compartiment Amazon S3 pour stocker vos graphes acycliques dirigés Apache Airflow (DAGs), vos plugins personnalisés dans un `plugins.zip` fichier et vos dépendances Python dans un fichier. `requirements.txt`
**Contents**
+ [Avant de commencer](#mwaa-s3-bucket-before)
+ [Créez le bucket](#mwaa-s3-bucket-create)
+ [Quelle est la prochaine étape ?](#mwaa-s3-bucket-next-up)
## Avant de commencer
+ Le nom du compartiment Amazon S3 ne peut pas être modifié une fois que vous l'avez créé. Pour en savoir plus, consultez [les règles relatives à la dénomination des compartiments](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html#bucketnamingrules) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
+ Un compartiment Amazon S3 utilisé pour un environnement Amazon MWAA doit être configuré pour **bloquer tout accès public**, le contrôle de **version des compartiments étant activé.**
+ Un compartiment Amazon S3 utilisé pour un environnement Amazon MWAA doit être situé au même endroit Région AWS qu'un environnement Amazon MWAA. Pour accéder à la Régions AWS liste des [points de terminaison et quotas Amazon MWAA destinés à Amazon MWAA](https://docs.aws.amazon.com/general/latest/gr/mwaa.html) dans le. *Références générales AWS*
## Créez le bucket
Cette section décrit les étapes de création du compartiment Amazon S3 pour votre environnement.
**Pour créer un compartiment**
1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Choisissez **Créer un compartiment**.
1. Dans **Nom du compartiment**, saisissez un nom compatible DNS pour votre compartiment.
Le nom du compartiment doit présenter les caractéristiques suivantes :
+ Il doit être unique sur l'ensemble d'Amazon S3.
+ Il doit comporter entre 3 et 63 caractères.
+ Ne contient pas de majuscules.
+ Il doit commencer par une minuscule ou un chiffre.
**Important**
Évitez d’inclure des informations sensibles, notamment des numéros de compte, dans le nom du compartiment. Le nom du compartiment est disponible en URLs pointant vers les objets du compartiment.
1. Choisissez une Région AWS **région**. Il doit être Région AWS identique à votre environnement Amazon MWAA.
1. Nous vous recommandons de choisir une région proche de chez vous afin de minimiser la latence et les coûts et de répondre aux exigences réglementaires.
1. Choisissez **Block all public access (Bloquer tous les accès publics)**.
1. Choisissez **Activer** dans la gestion des **versions des compartiments.**
1. **Facultatif** - *Balises*. **Ajoutez des paires de balises clé-valeur pour identifier votre compartiment Amazon S3 dans Tags.** Par exemple, `Bucket` : `Staging`.
1. **Facultatif** - *Chiffrement côté serveur.* Vous pouvez éventuellement **activer** l'une des options de chiffrement suivantes sur votre compartiment Amazon S3.
1. Choisissez la **clé Amazon S3 (SSE-S3)** dans le **chiffrement côté serveur pour activer le chiffrement côté** serveur pour le compartiment.
1. Choisissez une **AWS Key Management Service clé (SSE-KMS)** pour utiliser une AWS KMS clé de chiffrement sur votre compartiment Amazon S3 :
1. **AWS clé gérée (aws/s3)** - Si vous choisissez cette option, vous pouvez soit utiliser une [cléAWS appartenant à Amazon MWAA, soit spécifier une clé](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) [gérée par le client pour](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) le chiffrement de votre environnement Amazon MWAA.
1. **Choisissez parmi vos AWS KMS clés** ou **entrez l'ARN de la AWS KMS clé** : si vous choisissez de spécifier une [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) à cette étape, vous devez spécifier un ID de AWS KMS clé ou un ARN. [AWS KMS les alias et les clés multirégionales ne sont pas pris en charge par Amazon MWAA](custom-keys-certs.md). La AWS KMS clé que vous spécifiez doit également être utilisée pour le chiffrement de votre environnement Amazon MWAA.
1. **Facultatif** - *Paramètres avancés*. Si vous souhaitez activer Amazon S3 Object Lock :
1. Choisissez **Paramètres avancés**, puis **Activer**.
**Important**
L'activation du verrouillage des objets permet de verrouiller définitivement les objets de ce compartiment. Pour en savoir plus, reportez-vous à la section [Verrouillage d'objets à l'aide d'Amazon S3 Object Lock](https://docs.aws.amazon.com//AmazonS3/latest/dev/object-lock.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
1. Choisissez l'accusé de réception.
1. Choisissez **Créer un compartiment**.
## Quelle est la prochaine étape ?
+ Découvrez comment créer le réseau Amazon VPC requis pour un environnement dans. [Création du réseau VPC](vpc-create.md)
+ Découvrez comment gérer les autorisations d'accès dans [Comment définir les autorisations du bucket ACL ?](https://docs.aws.amazon.com//AmazonS3/latest/user-guide/set-bucket-permissions.html)
+ Découvrez comment supprimer un compartiment de stockage dans [Comment supprimer un compartiment S3 ?](https://docs.aws.amazon.com//AmazonS3/latest/user-guide/delete-bucket.html) .
# Création du réseau VPC
Amazon Managed Workflows pour Apache Airflow nécessite un Amazon VPC et des composants réseau spécifiques pour prendre en charge un environnement. Ce guide décrit les différentes options permettant de créer le réseau Amazon VPC pour un environnement Amazon Managed Workflows for Apache Airflow.
**Note**
Apache Airflow fonctionne mieux dans un environnement réseau à faible latence. Si vous utilisez un Amazon VPC existant qui achemine le trafic vers une autre région ou vers un environnement sur site, nous vous recommandons d'ajouter des points de AWS PrivateLink terminaison pour Amazon SQS, CloudWatch Amazon S3 et. AWS KMS Pour plus d'informations sur la configuration AWS PrivateLink pour Amazon MWAA, consultez [Création d'un réseau Amazon VPC sans](#vpc-create-template-private-only) accès à Internet.
**Contents**
+ [Prérequis](#vpc-create-prereqs)
+ [Avant de commencer](#vpc-create-how-networking)
+ [Options pour créer le réseau Amazon VPC](#vpc-create-options)
+ [Première option : créer le réseau VPC sur la console Amazon MWAA](#vpc-create-mwaa-console)
+ [Deuxième option : créer un réseau Amazon VPC *avec* accès à Internet](#vpc-create-template-private-or-public)
+ [Troisième option : créer un réseau Amazon VPC *sans* accès à Internet](#vpc-create-template-private-only)
+ [Quelle est la prochaine étape ?](#create-vpc-next-up)
## Prérequis
The AWS Command Line Interface (AWS CLI) est un outil open source que vous pouvez utiliser pour interagir avec les AWS services à l'aide de commandes dans votre interface de ligne de commande. Pour effectuer les étapes indiquées sur cette page, vous avez besoin des éléments suivants :
+ [AWS CLI — Installez la version 2](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html).
+ [AWS CLI — Configuration rapide avec `aws configure`](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
## Avant de commencer
+ Le [réseau VPC](#vpc-create) que vous spécifiez pour votre environnement ne peut pas être modifié une fois l'environnement créé.
+ Vous pouvez utiliser un routage privé ou public pour votre Amazon VPC et votre serveur Web Apache Airflow. Pour accéder à la liste des options, reportez-vous à[Exemples de cas d'utilisation pour un Amazon VPC et le mode d'accès Apache Airflow](networking-about.md#networking-about-network-usecase).
## Options pour créer le réseau Amazon VPC
La section suivante décrit les options disponibles pour créer le réseau Amazon VPC pour un environnement.
**Note**
Amazon MWAA ne prend pas en charge l'utilisation de `use1-az3` la zone de disponibilité (AZ) dans la région USA Est (Virginie du Nord). Lorsque vous créez le VPC pour Amazon MWAA dans la région USA Est (Virginie du Nord), vous devez l'attribuer explicitement `AvailabilityZone` dans le modèle CloudFormation (CFN). Le nom de zone de disponibilité attribué ne doit pas être mappé à`use1-az3`. Vous pouvez récupérer le mappage détaillé des noms d'AZ avec leur AZ correspondant IDs en exécutant la commande suivante :
```
aws ec2 describe-availability-zones --region us-east-1
```
### Première option : créer le réseau VPC sur la console Amazon MWAA
La section suivante explique comment créer un réseau Amazon VPC sur la console Amazon MWAA. Cette option utilise[Routage public sur Internet](networking-about.md#networking-about-overview-public). Il peut être utilisé pour un serveur Web Apache Airflow avec les modes d'accès **réseau privé ou réseau** **public**.
L'image suivante montre où se trouve le bouton **Create MWAA VPC sur** la console Amazon MWAA.
![\[Cette image montre où vous pouvez trouver le VPC Create MWAA sur la console Amazon MWAA.\]](http://docs.aws.amazon.com/fr_fr/mwaa/latest/userguide/images/mwaa-console-create-vpc.png)
### Deuxième option : créer un réseau Amazon VPC *avec* accès à Internet
Le CloudFormation modèle suivant crée un réseau Amazon VPC avec un accès Internet par défaut. Région AWS Cette option utilise[Routage public sur Internet](networking-about.md#networking-about-overview-public). Ce modèle peut être utilisé pour un serveur Web Apache Airflow avec les modes d'accès **réseau privé ou réseau** **public**.
1. Copiez le contenu du modèle suivant et enregistrez-le localement sous`cfn-vpc-public-private.yaml`. Vous pouvez également [télécharger le modèle](./samples/cfn-vpc-public-private.zip).
```
Description: This template deploys a VPC, with a pair of public and private subnets spread
across two Availability Zones. It deploys an internet gateway, with a default
route on the public subnets. It deploys a pair of NAT gateways (one in each AZ),
and default routes for them in the private subnets.
Parameters:
EnvironmentName:
Description: An environment name that is prefixed to resource names
Type: String
Default: mwaa-
VpcCIDR:
Description: Please enter the IP range (CIDR notation) for this VPC
Type: String
Default: 10.192.0.0/16
PublicSubnet1CIDR:
Description: Please enter the IP range (CIDR notation) for the public subnet in the first Availability Zone
Type: String
Default: 10.192.10.0/24
PublicSubnet2CIDR:
Description: Please enter the IP range (CIDR notation) for the public subnet in the second Availability Zone
Type: String
Default: 10.192.11.0/24
PrivateSubnet1CIDR:
Description: Please enter the IP range (CIDR notation) for the private subnet in the first Availability Zone
Type: String
Default: 10.192.20.0/24
PrivateSubnet2CIDR:
Description: Please enter the IP range (CIDR notation) for the private subnet in the second Availability Zone
Type: String
Default: 10.192.21.0/24
Resources:
VPC:
Type: AWS::EC2::VPC
Properties:
CidrBlock: !Ref VpcCIDR
EnableDnsSupport: true
EnableDnsHostnames: true
Tags:
- Key: Name
Value: !Ref EnvironmentName
InternetGateway:
Type: AWS::EC2::InternetGateway
Properties:
Tags:
- Key: Name
Value: !Ref EnvironmentName
InternetGatewayAttachment:
Type: AWS::EC2::VPCGatewayAttachment
Properties:
InternetGatewayId: !Ref InternetGateway
VpcId: !Ref VPC
PublicSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PublicSubnet1CIDR
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Subnet (AZ1)
PublicSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PublicSubnet2CIDR
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Subnet (AZ2)
PrivateSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet1CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Subnet (AZ1)
PrivateSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet2CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Subnet (AZ2)
NatGateway1EIP:
Type: AWS::EC2::EIP
DependsOn: InternetGatewayAttachment
Properties:
Domain: vpc
NatGateway2EIP:
Type: AWS::EC2::EIP
DependsOn: InternetGatewayAttachment
Properties:
Domain: vpc
NatGateway1:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt NatGateway1EIP.AllocationId
SubnetId: !Ref PublicSubnet1
NatGateway2:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt NatGateway2EIP.AllocationId
SubnetId: !Ref PublicSubnet2
PublicRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Routes
DefaultPublicRoute:
Type: AWS::EC2::Route
DependsOn: InternetGatewayAttachment
Properties:
RouteTableId: !Ref PublicRouteTable
DestinationCidrBlock: 0.0.0.0/0
GatewayId: !Ref InternetGateway
PublicSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnet1
PublicSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnet2
PrivateRouteTable1:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Routes (AZ1)
DefaultPrivateRoute1:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref PrivateRouteTable1
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway1
PrivateSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PrivateRouteTable1
SubnetId: !Ref PrivateSubnet1
PrivateRouteTable2:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Routes (AZ2)
DefaultPrivateRoute2:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref PrivateRouteTable2
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway2
PrivateSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PrivateRouteTable2
SubnetId: !Ref PrivateSubnet2
SecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupName: "mwaa-security-group"
GroupDescription: "Security group with a self-referencing inbound rule."
VpcId: !Ref VPC
SecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: !Ref SecurityGroup
IpProtocol: "-1"
SourceSecurityGroupId: !Ref SecurityGroup
Outputs:
VPC:
Description: A reference to the created VPC
Value: !Ref VPC
PublicSubnets:
Description: A list of the public subnets
Value: !Join [ ",", [ !Ref PublicSubnet1, !Ref PublicSubnet2 ]]
PrivateSubnets:
Description: A list of the private subnets
Value: !Join [ ",", [ !Ref PrivateSubnet1, !Ref PrivateSubnet2 ]]
PublicSubnet1:
Description: A reference to the public subnet in the 1st Availability Zone
Value: !Ref PublicSubnet1
PublicSubnet2:
Description: A reference to the public subnet in the 2nd Availability Zone
Value: !Ref PublicSubnet2
PrivateSubnet1:
Description: A reference to the private subnet in the 1st Availability Zone
Value: !Ref PrivateSubnet1
PrivateSubnet2:
Description: A reference to the private subnet in the 2nd Availability Zone
Value: !Ref PrivateSubnet2
SecurityGroupIngress:
Description: Security group with self-referencing inbound rule
Value: !Ref SecurityGroupIngress
```
1. Dans votre invite de commande, accédez au répertoire dans lequel `cfn-vpc-public-private.yaml` est stocké. Par exemple :
```
cd mwaaproject
```
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html)commande pour créer la pile à l'aide du AWS CLI.
```
aws cloudformation create-stack --stack-name mwaa-environment --template-body file://cfn-vpc-public-private.yaml
```
**Note**
La création de l'infrastructure Amazon VPC prend environ 30 minutes.
### Troisième option : créer un réseau Amazon VPC *sans* accès à Internet
Le CloudFormation modèle suivant crée un réseau Amazon VPC *sans accès à Internet par* défaut. Région AWS
Cette option utilise[Routage privé sans accès à Internet](networking-about.md#networking-about-overview-private). Ce modèle peut être utilisé pour un serveur Web Apache Airflow avec le mode d'accès **réseau privé uniquement**. Il crée les [points de terminaison VPC requis pour les AWS services utilisés par](vpc-vpe-create-access.md#vpc-vpe-create-view-endpoints-attach-services) un environnement.
1. Copiez le contenu du modèle suivant et enregistrez-le localement sous`cfn-vpc-private.yaml`. Vous pouvez également [télécharger le modèle](./samples/cfn-vpc-private-no-ops.zip).
```
AWSTemplateFormatVersion: "2010-09-09"
Parameters:
VpcCIDR:
Description: The IP range (CIDR notation) for this VPC
Type: String
Default: 10.192.0.0/16
PrivateSubnet1CIDR:
Description: The IP range (CIDR notation) for the private subnet in the first Availability Zone
Type: String
Default: 10.192.10.0/24
PrivateSubnet2CIDR:
Description: The IP range (CIDR notation) for the private subnet in the second Availability Zone
Type: String
Default: 10.192.11.0/24
Resources:
VPC:
Type: AWS::EC2::VPC
Properties:
CidrBlock: !Ref VpcCIDR
EnableDnsSupport: true
EnableDnsHostnames: true
Tags:
- Key: Name
Value: !Ref AWS::StackName
RouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub "${AWS::StackName}-route-table"
PrivateSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet1CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub "${AWS::StackName} Private Subnet (AZ1)"
PrivateSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet2CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub "${AWS::StackName} Private Subnet (AZ2)"
PrivateSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref RouteTable
SubnetId: !Ref PrivateSubnet1
PrivateSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref RouteTable
SubnetId: !Ref PrivateSubnet2
S3VpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.s3"
VpcEndpointType: Gateway
VpcId: !Ref VPC
RouteTableIds:
- !Ref RouteTable
SecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
VpcId: !Ref VPC
GroupDescription: Security Group for Amazon MWAA Environments to access VPC endpoints
GroupName: !Sub "${AWS::StackName}-mwaa-vpc-endpoints"
SecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: !Ref SecurityGroup
IpProtocol: "-1"
SourceSecurityGroupId: !Ref SecurityGroup
SqsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.sqs"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
CloudWatchLogsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.logs"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
CloudWatchMonitoringVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.monitoring"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
KmsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.kms"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
Outputs:
VPC:
Description: A reference to the created VPC
Value: !Ref VPC
MwaaSecurityGroupId:
Description: Associates the Security Group to the environment to allow access to the VPC endpoints
Value: !Ref SecurityGroup
PrivateSubnets:
Description: A list of the private subnets
Value: !Join [ ",", [ !Ref PrivateSubnet1, !Ref PrivateSubnet2 ]]
PrivateSubnet1:
Description: A reference to the private subnet in the 1st Availability Zone
Value: !Ref PrivateSubnet1
PrivateSubnet2:
Description: A reference to the private subnet in the 2nd Availability Zone
Value: !Ref PrivateSubnet2
```
1. Dans votre invite de commande, accédez au répertoire dans lequel `cfn-vpc-private.yml` est stocké. Par exemple :
```
cd mwaaproject
```
1. Utilisez la [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html)commande pour créer la pile à l'aide du AWS CLI.
```
aws cloudformation create-stack --stack-name mwaa-private-environment --template-body file://cfn-vpc-private.yml
```
**Note**
La création de l'infrastructure Amazon VPC prend environ 30 minutes.
1. Vous devez créer un mécanisme pour accéder à ces points de terminaison VPC depuis votre ordinateur. Pour en savoir plus, reportez-vous à[Gestion de l'accès aux points de terminaison Amazon VPC spécifiques à un service sur Amazon MWAA](vpc-vpe-access.md).
**Note**
Vous pouvez restreindre davantage l'accès sortant dans le CIDR de votre groupe de sécurité Amazon MWAA. Par exemple, vous pouvez vous limiter à elle-même en ajoutant une règle d'autoréférencement sortant, la liste de [préfixes pour Amazon](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html) S3 et le CIDR de votre Amazon VPC.
## Quelle est la prochaine étape ?
+ Découvrez comment créer un environnement Amazon MWAA dans[Création d'un environnement Amazon MWAA](create-environment.md).
+ Découvrez comment créer un tunnel VPN entre votre ordinateur et votre Amazon VPC avec un routage privé intégré. [Tutoriel : Configuration de l'accès au réseau privé à l'aide d'un AWS Client VPN](tutorials-private-network-vpn-client.md)
# Création d'un environnement Amazon MWAA
Amazon Managed Workflows pour Apache Airflow configure Apache Airflow dans un environnement de la version que vous avez choisie en utilisant le même Apache Airflow open source et la même interface utilisateur disponibles auprès d'Apache. Ce guide décrit les étapes de création d'un environnement Amazon MWAA.
**Contents**
+ [Avant de commencer](#create-environment-before)
+ [Versions d'Apache Airflow](#create-environment-regions-aa-versions)
+ [Création d'un environnement](#create-environment-start)
+ [Première étape : Spécifier les détails](#create-environment-start-details)
+ [Deuxième étape : configurer les paramètres avancés](#create-environment-start-advanced)
+ [Troisième étape : révision et création](#create-environment-start-review)
## Avant de commencer
+ Le [réseau VPC](vpc-create.md) que vous spécifiez pour votre environnement ne peut pas être modifié une fois l'environnement créé.
+ Vous avez besoin d'un compartiment Amazon S3 configuré pour **bloquer tout accès public**, avec activation de la gestion des **versions des compartiments**.
+ Vous avez besoin Compte AWS d'une [autorisation pour utiliser Amazon MWAA](manage-access.md) et d'une autorisation in Gestion des identités et des accès AWS (IAM) pour créer des rôles IAM. Si vous choisissez le mode d'accès au **réseau privé** pour le serveur Web Apache Airflow, qui limite l'accès à Apache Airflow au sein de votre Amazon VPC, vous aurez besoin d'une autorisation dans IAM pour créer des points de terminaison Amazon VPC.
**Note**
Amazon MWAA détermine le réseau de manière dynamique lors de la création. Si vous utilisez des IPv6 sous-réseaux, Amazon MWAA crée une connectivité par lien IPv6 privé vers la base de données et le serveur Web. Amazon MWAA ne prend pas en charge la transition entre les types de réseaux et ne peut pas mettre à niveau les environnements existants vers. IPv6
## Versions d'Apache Airflow
Les versions d'Apache Airflow suivantes sont prises en charge sur Amazon Managed Workflows pour Apache Airflow.
**Note**
À compter du 30 décembre 2025, Amazon MWAA cessera de prendre en charge les versions 2.4.3, 2.5.1 et 2.6.3 d'Apache Airflow. Pour plus d’informations, consultez [Support des versions d'Apache Airflow et FAQ](airflow-versions.md#airflow-versions-support).
À partir de la version 2.2.2 d'Apache Airflow, Amazon MWAA prend en charge l'installation des exigences relatives à Python, des packages de fournisseurs et des plug-ins personnalisés directement sur le serveur Web Apache Airflow.
À partir de la version 2.7.2 d'Apache Airflow, votre fichier d'exigences doit inclure une déclaration. `--constraint` Si vous ne fournissez aucune contrainte, Amazon MWAA vous en indiquera une afin de garantir que les packages répertoriés dans vos exigences sont compatibles avec la version d'Apache Airflow que vous utilisez.
Pour plus d'informations sur la configuration des contraintes dans votre fichier d'exigences, reportez-vous à la section [Installation des dépendances Python](working-dags-dependencies.md#working-dags-dependencies-syntax-create).
| Version d'Apache Airflow | Date de sortie d'Apache Airflow | Date de disponibilité d'Amazon MWAA | Contraintes d'Apache Airflow | Version de Python |
| --- | --- | --- | --- | --- |
| [v2.11.0](https://airflow.apache.org/docs/apache-airflow/2.11.0) | [20 mai 2025](https://airflow.apache.org/docs/apache-airflow/2.11.0/release_notes.html#airflow-2-11-0-2022-05-20) | 7 janvier 2026 | [fichier de contraintes v2.11.0](https://raw.githubusercontent.com/apache/airflow/constraints-2.11.0/constraints-3.12.txt) | [Python 3.12](https://peps.python.org/pep-0693/) |
| [v3.0.6](https://airflow.apache.org/docs/apache-airflow/3.0.6) | [29 août 2025](https://airflow.apache.org/docs/apache-airflow/3.0.6/release_notes.html#airflow-3-0-6-2025-08-29) | 1er octobre 2025 | [fichier de contraintes v3.0.6](https://raw.githubusercontent.com/apache/airflow/constraints-3.0.6/constraints-3.12.txt) | [Python 3.12](https://peps.python.org/pep-0693/) |
| [v2.10.3](https://airflow.apache.org/docs/apache-airflow/2.10.3) | [4 novembre 2024](https://airflow.apache.org/docs/apache-airflow/2.10.3/release_notes.html#airflow-2-10-3-2024-11-04) | 18 décembre 2024 | [fichier de contraintes v2.10.3](https://raw.githubusercontent.com/apache/airflow/constraints-2.10.3/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.10.1](https://airflow.apache.org/docs/apache-airflow/2.10.1) | [5 septembre 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-10-1-2024-09-05) | 26 septembre 2024 | [fichier de contraintes v2.10.1](https://raw.githubusercontent.com/apache/airflow/constraints-2.10.1/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.9.2](https://airflow.apache.org/docs/apache-airflow/2.9.2) | [10 juin 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-9-2-2024-06-10) | 9 juillet 2024 | [fichier de contraintes v2.9.2](https://raw.githubusercontent.com/apache/airflow/constraints-2.9.2/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.8.1](https://airflow.apache.org/docs/apache-airflow/2.8.1) | [19 janvier 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-8-1-2024-01-19) | 23 février 2024 | [fichier de contraintes v2.8.1](https://raw.githubusercontent.com/apache/airflow/constraints-2.8.1/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.7.2](https://airflow.apache.org/docs/apache-airflow/2.7.2) | [12 octobre 2023](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-7-2-2023-10-12) | 6 novembre 2023 | [fichier de contraintes v2.7.2](https://raw.githubusercontent.com/apache/airflow/constraints-2.7.2/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
[Pour plus d'informations sur la migration de vos déploiements Apache Airflow autogérés ou sur la migration d'un environnement Amazon MWAA existant, y compris les instructions pour sauvegarder votre base de données de métadonnées, consultez le guide de migration Amazon MWAA.](https://docs.aws.amazon.com/mwaa/latest/migrationguide/index.html)
## Création d'un environnement
La section suivante décrit les étapes de création d'un environnement Amazon MWAA.
### Première étape : Spécifier les détails
**Pour spécifier les détails de l'environnement**
1. Ouvrez la console [Amazon MWAA](https://console.aws.amazon.com/mwaa/home/).
1. Sélectionnez votre Région AWS.
1. Choisissez **Create environment**.
1. Sur la page **Spécifier les détails**, sous **Détails de l'environnement** :
1. Entrez un nom unique pour votre environnement dans **Nom**.
1. Choisissez la version Apache Airflow dans la **Version Airflow**.
**Note**
Si aucune valeur n'est spécifiée, la dernière version d'Apache Airflow est utilisée par défaut. La dernière version disponible est Apache Airflow v3.0.6.
1. Sous le **code DAG dans Amazon S3**, spécifiez les éléments suivants :
1. **Seau S3**. Choisissez **Browse S3** et sélectionnez votre compartiment Amazon S3, ou entrez l'URI Amazon S3.
1. **DAGs folder**. Choisissez **Browse S3** et sélectionnez le `dags` dossier dans votre compartiment Amazon S3, ou entrez l'URI Amazon S3.
1. **Fichier de plugins : *facultatif***. Choisissez **Browse S3** et sélectionnez le `plugins.zip` fichier dans votre compartiment Amazon S3, ou entrez l'URI Amazon S3.
1. **Fichier des exigences : *facultatif***. Choisissez **Browse S3** et sélectionnez le `requirements.txt` fichier dans votre compartiment Amazon S3, ou entrez l'URI Amazon S3.
1. **Fichier de script de démarrage : *facultatif***. Choisissez **Browse S3** et sélectionnez le fichier de script dans votre compartiment Amazon S3, ou entrez l'URI Amazon S3.
1. Choisissez **Suivant**.
### Deuxième étape : configurer les paramètres avancés
**Pour configurer les paramètres avancés**
1. Sur la page **Configurer les paramètres avancés**, sous **Mise en réseau** :
1. Choisissez votre [Amazon VPC](vpc-create.md).
Cette étape permet de remplir deux des sous-réseaux privés de votre Amazon VPC.
1. Sous **Accès au serveur Web**, sélectionnez votre mode d'accès [Apache Airflow](configuring-networking.md) préféré :
1. **Réseau privé**. Cela limite l'accès à l'interface utilisateur d'Apache Airflow aux utilisateurs de votre *Amazon VPC* qui ont obtenu l'accès à la politique [IAM](access-policies.md) de votre environnement. Pour cette étape, vous devez disposer d'une autorisation pour créer des points de terminaison Amazon VPC.
**Note**
Choisissez l'option **Réseau privé** si l'interface utilisateur d'Apache Airflow n'est accessible qu'au sein d'un réseau d'entreprise et si vous n'avez pas besoin d'accéder aux référentiels publics pour l'installation des exigences du serveur Web. Si vous choisissez cette option de mode d'accès, vous devez créer un mécanisme pour accéder à votre serveur Web Apache Airflow dans votre Amazon VPC. Pour plus d’informations, consultez [Accès au point de terminaison VPC de votre serveur Web Apache Airflow (accès réseau privé)](vpc-vpe-access.md#vpc-vpe-access-endpoints).
1. **Réseau public**. Cela permet aux utilisateurs autorisés à accéder à l'interface utilisateur d'Apache Airflow via Internet à la [politique IAM de](access-policies.md) votre environnement.
1. Sous **Groupes de sécurité**, choisissez le groupe de sécurité utilisé pour sécuriser votre [Amazon VPC](vpc-create.md) :
1. Par défaut, Amazon MWAA crée un groupe de sécurité dans votre Amazon VPC avec des règles d'entrée et de sortie spécifiques **dans** Créer un nouveau groupe de sécurité.
1. **Facultatif**. Décochez la case dans **Créer un nouveau groupe de sécurité** pour sélectionner jusqu'à 5 groupes de sécurité.
**Note**
Un groupe de sécurité Amazon VPC existant doit être configuré avec des règles entrantes et sortantes spécifiques pour autoriser le trafic réseau. Pour en savoir plus, reportez-vous à[Sécurité de votre VPC sur Amazon MWAA](vpc-security.md).
1. Sous **Classe d'environnement**, choisissez une [classe d'environnement](environment-class.md).
Nous vous recommandons de choisir la plus petite taille nécessaire pour supporter votre charge de travail. Vous pouvez modifier la classe d'environnement à tout moment.
1. Pour le **nombre maximal de travailleurs**, spécifiez le nombre maximum de travailleurs Apache Airflow à exécuter dans l'environnement.
Pour plus d’informations, consultez [Exemple de cas d'utilisation à hautes performances](mwaa-autoscaling.md#mwaa-autoscaling-high-volume).
1. Spécifiez le nombre **maximal de serveurs Web et le nombre** **minimal de serveurs Web** pour configurer la manière dont Amazon MWAA adapte les serveurs Web Apache Airflow dans votre environnement.
Pour plus d'informations sur le dimensionnement automatique du serveur Web, reportez-vous à[Configuration du dimensionnement automatique du serveur Web Amazon MWAA](mwaa-web-server-autoscaling.md).
1. Sous **Chiffrement**, choisissez une option de chiffrement des données :
1. Par défaut, Amazon MWAA utilise une clé AWS appartenant à Amazon pour chiffrer vos données.
1. **Facultatif**. Choisissez **Personnaliser les paramètres de chiffrement (avancés)** pour choisir une autre AWS KMS clé. Si vous choisissez de spécifier une [clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) à cette étape, vous devez spécifier un ID de AWS KMS clé ou un ARN. [AWS KMS les alias et les clés multirégionales ne sont pas pris en charge par Amazon MWAA](custom-keys-certs.md). Si vous avez spécifié une clé Amazon S3 pour le chiffrement côté serveur sur votre compartiment Amazon S3, vous devez spécifier la même clé pour votre environnement Amazon MWAA.
**Note**
Vous devez être autorisé à accéder à la clé pour la sélectionner sur la console Amazon MWAA. Vous devez également autoriser Amazon MWAA à utiliser la clé en joignant la politique décrite dans[Joindre une politique clé](custom-keys-certs.md#custom-keys-certs-grant-policies-attach).
1. **Recommandé** Sous **Surveillance**, choisissez une ou plusieurs catégories de journaux pour la **configuration de journalisation Airflow** afin d'envoyer les journaux Apache Airflow à Logs CloudWatch :
1. **Journaux des tâches Airflow**. Choisissez le type de journaux de tâches Apache Airflow à envoyer au niveau CloudWatch Logs in **Log**.
1. Journaux du **serveur Web Airflow**. **Choisissez le type de journaux du serveur Web Apache Airflow à envoyer au niveau CloudWatch Logs in Log.**
1. Journaux **du planificateur de débit** d'air. **Choisissez le type de journaux du planificateur Apache Airflow à envoyer au niveau Logs in CloudWatch Log.**
1. **Journaux des travailleurs de Airflow**. Choisissez le type de journaux de travail d'Apache Airflow à envoyer au niveau CloudWatch Logs in **Log**.
1. **Journaux de traitement Airflow DAG**. Choisissez le type de journaux de traitement du DAG Apache Airflow à envoyer au niveau CloudWatch Logs in **Log**.
1. **Facultatif**. Pour les **options de configuration Airflow**, choisissez l'**option Ajouter une configuration personnalisée**.
Vous pouvez choisir parmi la liste déroulante suggérée des options de [configuration d'Apache Airflow](configuring-env-variables.md) pour votre version d'Apache Airflow, ou spécifier des options de configuration personnalisées. Par exemple, `core.default_task_retries` : `3`.
1. **Facultatif**. Sous **Balises**, choisissez **Ajouter une nouvelle balise** pour associer des balises à votre environnement. Par exemple, `Environment` :`Staging`.
1. Sous **Autorisations**, choisissez un rôle d'exécution :
1. Par défaut, Amazon MWAA crée un [rôle d'exécution](mwaa-create-role.md) dans **Create a new role**. Vous devez être autorisé à créer des rôles IAM pour utiliser cette option.
1. **Facultatif**. Choisissez **Enter role ARN** pour saisir le Amazon Resource Name (ARN) d'un rôle d'exécution existant.
1. Choisissez **Suivant**.
### Troisième étape : révision et création
**Pour consulter un résumé de l'environnement**
+ Consultez le résumé de l'environnement, puis choisissez **Créer un environnement**.
**Note**
Il faut environ vingt à trente minutes pour créer un environnement.
## Quelle est la prochaine étape ?
+ Découvrez comment créer un compartiment Amazon S3 dans[Création d'un compartiment Amazon S3 pour Amazon MWAA](mwaa-s3-bucket.md).