翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Managed Workflows for Apache Airflow を使い始める
Amazon Managed Workflows for Apache Airflow は、Amazon S3 ストレージバケット内の Amazon VPC、DAG ファイル、およびサポートファイルを使用して環境を作成します。この章では、Amazon MWAA の利用を開始するための前提条件と AWS リソースについて説明します。
**Topics**
+ [前提条件](#prerequisites)
+ [本ガイドについて](#prerequisites-infra)
+ [開始する前に](#prerequisites-before)
+ [利用できるリージョン](#regions)
+ [Amazon MWAA 用の Amazon S3 バケットの作成](mwaa-s3-bucket.md)
+ [VPC ネットワークを作成する](vpc-create.md)
+ [Amazon MWAA 環境を作成する](create-environment.md)
+ [次のステップ](#mwaa-s3-bucket-next-up)
## 前提条件
Amazon MWAA 環境を作成するには、作成する必要がある AWS リソースに対するアクセス許可があることを確認してください。
+ **AWS アカウント** — Amazon の MWAA および AWS サービスと、お客様の環境で使用されているリソースを使用することができる AWS アカウント です。
## 本ガイドについて
このガイドでは、作成する AWS インフラストラクチャとリソースについて説明します。
+ **Amazon VPC** — Amazon MWAA 環境に必要な Amazon VPC ネットワークコンポーネントです。[Amazon MWAA でのネットワーキングについて](networking-about.md) に記載されているように、これらの要件(上級)を満たす既存の VPC を設定することも、[VPC ネットワークを作成する](vpc-create.md) で定義されているように VPC とネットワークコンポーネントを作成することもできます。
+ **Amazon S3 バケット** — DAG および関連ファイル (`plugins.zip` や `requirements.txt` など) を保存するための Amazon S3 バケットです。Amazon S3 バケットは、[Amazon MWAA 用の Amazon S3 バケットの作成](mwaa-s3-bucket.md) で定義されているように、**バケットバージョニング** を有効にして、**すべてのパブリックアクセスをブロック** するように設定する必要があります。
+ **Amazon MWAA 環境** — Amazon S3バケットの場所、DAG コードと任意のカスタムプラグインまたは Python 依存関係へのパス、および Amazon VPC とそのセキュリティグループの場所が [Amazon MWAA 環境を作成する](create-environment.md) で定義されているように構成された Amazon MWAA 環境。
## 開始する前に
Amazon MWAA 環境を作成するには、環境を作成する前に、追加の AWS リソースを作成および設定する追加の手順が必要になる場合があります。
環境を作成するには、以下が必要です。
+ **AWS KMS キー** — 環境内のデータ暗号化の AWS KMS キー。Amazon MWAA コンソールでデフォルトオプションを選択して、環境の作成時に [AWS が所有するキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) を作成したり、環境設定 (詳細) で使用する他の AWS サービスに対するアクセス許可を持つ既存の[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) を指定することができます。詳細については、[暗号化のためのカスタマーマネージドキーの使用](custom-keys-certs.md) を参照してください。
+ **実行ロール** — Amazon MWAA が環境内にある AWS のリソースにアクセスできるようにする実行ロール。環境を作成するとき、Amazon MWAA コンソールでデフォルトのオプションを選択して実行ロールを作成できます。 詳細については、[Amazon MWAA 実行ロール](mwaa-create-role.md) を参照してください。
+ **VPC セキュリティグループ** — Amazon MWAA が VPC ネットワーク内の他の AWS リソースにアクセスできるようにする VPC セキュリティグループ。Amazon MWAA コンソールのデフォルトオプションを選択して、環境の作成時にセキュリティグループを作成したり、セキュリティグループに適切なインバウンドルールとアウトバウンドルールを設定したりできます (上級者向け)。詳細については、[Amazon MWAA の VPC のセキュリティ](vpc-security.md) を参照してください。
## 利用できるリージョン
Amazon MWAA は、次の AWS リージョン で利用できます。デフォルトでは有効または無効になっている など、各リージョンの詳細については、[AWS リージョン](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html) を参照してください。
| コード | 名前 |
| --- | --- |
| us-east-1 | 米国東部 (バージニア北部) |
| us-east-2 | 米国東部 (オハイオ) |
| us-west-1 | 米国西部 (北カリフォルニア) |
| us-west-2 | 米国西部 (オレゴン) |
| af-south-1 | アフリカ (ケープタウン) |
| ap-east-1 | アジアパシフィック (香港) |
| ap-south-2 | アジアパシフィック (ハイデラバード) |
| ap-southeast-3 | アジアパシフィック (ジャカルタ) |
| ap-southeast-5 | アジアパシフィック (マレーシア) |
| ap-southeast-4 | アジアパシフィック (メルボルン) |
| ap-south-1 | アジアパシフィック (ムンバイ) |
| ap-northeast-3 | アジアパシフィック (大阪) |
| ap-northeast-2 | アジアパシフィック (ソウル) |
| ap-southeast-1 | アジアパシフィック (シンガポール) |
| ap-southeast-2 | アジアパシフィック (シドニー) |
| ap-northeast-1 | アジアパシフィック (東京) |
| ca-central-1 | カナダ (中部) |
| ca-west-1 | カナダ西部 (カルガリー) |
| eu-central-1 | 欧州 (フランクフルト) |
| eu-west-1 | 欧州 (アイルランド) |
| eu-west-2 | 欧州 (ロンドン) |
| eu-south-1 | 欧州 (ミラノ) |
| eu-west-3 | 欧州 (パリ) |
| eu-south-2 | 欧州 (スペイン) |
| eu-north-1 | 欧州 (ストックホルム) |
| eu-central-2 | 欧州 (チューリッヒ) |
| il-central-1 | イスラエル (テルアビブ) |
| me-south-1 | 中東 (バーレーン) |
| me-central-1 | 中東 (アラブ首長国連邦) |
| sa-east-1 | 南米 (サンパウロ) |
# Amazon MWAA 用の Amazon S3 バケットの作成
このガイドでは、Amazon S3 バケットを作成して、Apache Airflow 指向非循環グラフ (DAG)、カスタムプラグイン、`plugins.zip`ファイル内の Python 依存関係を`requirements.txt`ファイルに保存する手順について説明します。
**Contents**
+ [[開始する前に]](#mwaa-s3-bucket-before)
+ [バケットを作成する](#mwaa-s3-bucket-create)
+ [次のステップ](#mwaa-s3-bucket-next-up)
## [開始する前に]
+ Amazon S3 バケットを作成した後は、名前を変更することはできません。詳細については、*Amazon Simple Storage Service ユーザーガイド* の [バケットの命名規則](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html#bucketnamingrules) を参照してください。
+ Amazon MWAA 環境に使用する Amazon S3 バケットは、**バケットバージョニング**を有効にして、**すべてのパブリックアクセス**をブロックするように設定する必要があります。
+ Amazon MWAA 環境に使用される Amazon S3 バケットは、Amazon MWAA 環境 AWS リージョン と同じ に配置する必要があります。Amazon MWAA AWS リージョン の のリストにアクセスするには、 の[「Amazon MWAA エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/mwaa.html)」を参照してください*AWS 全般のリファレンス*。
## バケットを作成する
このセクションでは、環境に合わせて Amazon S3 バケットを作成する手順について説明します。
**バケットを作成するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) で Amazon S3 コンソールを開きます。
1. **[バケットを作成]** を選択します。
1. **[バケット名]** に、バケットの DNS に準拠する名前を入力します。
バケット名には次の条件があります。
+ すべての Amazon S3 で一意にする。
+ 3~63 文字で指定する。
+ 大文字を含めないでください。
+ 先頭の文字には小文字の英文字または数字を使用する。
**重要**
バケット名にアカウント番号などの機密情報を含めないでください。バケット名は、バケット内のオブジェクトを指す URL で使用できます。
1. **リージョン** AWS リージョン で を選択します。これは Amazon MWAA 環境 AWS リージョン と同じである必要があります。
1. レイテンシーとコストを最小化するため、さらに規制条件に対応するために、最寄りのリージョンを選択します。
1. [**Block all public access (すべてのパブリックアクセスをブロック)**] を選択します。
1. **バケットバージョニング** で **有効化** を選択します。
1. **オプション** - *タグ*。キーと値のタグペアを追加して、Amazon S3 バケットを **タグ** で識別します。例えば、`Bucket` : `Staging` です。
1. **オプション** - *サーバー側の暗号化*。オプションで、Amazon S3 バケットで次の暗号化オプションのいずれかを**有効にする**ことができます。
1. バケットに対してサーバー側の暗号化を有効にするには、**サーバー側の暗号化** で **Amazon S3 key (SSE-S3)** を選択します。
1. Amazon **AWS Key Management Service S3 バケットの暗号化に キーを使用するキー (SSE-KMS)** Amazon S3を選択します。 AWS KMS
1. **AWS マネージドキー (aws/s3)** - このオプションを選択すると、Amazon MWAA が管理する [AWS所有のキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk)を使用するか、Amazon MWAA 環境の暗号化に[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)を指定できます。
1. ** AWS KMS キーから選択**するか** AWS KMS 、キー ARN を入力** - このステップで[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)を指定する場合は、 AWS KMS キー ID または ARN を指定する必要があります。 [AWS KMS エイリアスとマルチリージョンキーは Amazon MWAA ではサポートされていません](custom-keys-certs.md)。指定する AWS KMS キーは、Amazon MWAA 環境での暗号化にも使用する必要があります。
1. **オプション** - *アドバンスト設定*。Amazon S3 Object Lock を有効にする場合:
1. **アドバンスト設定**、**有効にする** を選択します。
**重要**
Object Lock を有効にすると、このバケット内のオブジェクトは永久にロックされます。Amazon S3 Object Lock の詳細については、*Amazon Simple Storage Service ユーザーガイド* の[Amazon S3 Object Lock の使用](https://docs.aws.amazon.com//AmazonS3/latest/dev/object-lock.html) を参照してください。
1. 承認を選択します。
1. **バケットの作成** を選択します。
## 次のステップ
+ [VPC ネットワークを作成する](vpc-create.md) の環境に必要な Amazon VPC ネットワークを作成する方法を学んでください。
+ アクセス許可の管理方法については、[ACL バケット権限の設定方法](https://docs.aws.amazon.com//AmazonS3/latest/user-guide/set-bucket-permissions.html) を参照してください。
+ [S3 バケット](https://docs.aws.amazon.com//AmazonS3/latest/user-guide/delete-bucket.html)でストレージバケットを削除する方法 。
# VPC ネットワークを作成する
Amazon Managed Workflows for Apache Airflow には、環境をサポートするために Amazon VPC と特定のネットワークコンポーネントが必要です。このガイドでは、Amazon Managed Workflows for Apache Airflow 用に Amazon VPC ネットワークを作成するためのさまざまなオプションについて説明します。
**注記**
Apache Airflow は、ローレイテンシーのネットワーク環境で最もよく機能します。既存の Amazon VPC を使用しており、トラフィックが他のリージョンやオンプレミス環境にルーティングされている場合、Amazon SQS、CloudWatch、Amazon S3、および AWS KMS の AWS PrivateLink エンドポイントを追加することをお勧めします。Amazon MWAA 用の AWS PrivateLink の設定の詳細については、[インターネットアクセスのない Amazon VPC ネットワークの作成](#vpc-create-template-private-only) を参照してください。
**Contents**
+ [前提条件](#vpc-create-prereqs)
+ [開始する前に](#vpc-create-how-networking)
+ [Amazon VPC ネットワークを作成するためのオプション](#vpc-create-options)
+ [オプション 1: Amazon MWAA コンソールで VPC ネットワークを作成する](#vpc-create-mwaa-console)
+ [オプション 2: インターネットにアクセス *可能な* Amazon VPC ネットワークの作成](#vpc-create-template-private-or-public)
+ [オプション 3: インターネットにアクセス *せずに* Amazon VPC ネットワークを作成する](#vpc-create-template-private-only)
+ [次のステップ](#create-vpc-next-up)
## 前提条件
AWS Command Line Interface (AWS CLI) は、コマンドラインシェルでコマンドを使用して AWS サービスとやり取りできるオープンソースツールです。このページのステップを完了するには、以下のものが必要です。
+ [AWS CLI - バージョン 2 のインストール](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html)
+ [AWS CLI - `aws configure` によるクイック設定](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
## 開始する前に
+ 環境に指定する [VPC ネットワーク](#vpc-create) の内容は、環境作成後に変更することはできません。
+ Amazon VPC と Apache Airflow ウェブサーバーには、プライベートルーティングまたはパブリックルーティングを使用できます。オプションのリストにアクセスするには、[Amazon VPC と Apache エアフローアクセスモードのユースケース例](networking-about.md#networking-about-network-usecase) を参照してください。
## Amazon VPC ネットワークを作成するためのオプション
次のセクションでは、環境用の Amazon VPC ネットワークを作成するために使用するオプションについて説明します。
**注記**
Amazon MWAA は、米国東部 (バージニア北部) リージョンでの `use1-az3` アベイラビリティーゾーン (AZ) の使用をサポートしていません。米国東部 (バージニア北部) リージョンで Amazon MWAA 用 VPC を作成する場合は、CloudFormation (CFN) テンプレートで `AvailabilityZone` を明示的に割り当てる必要があります。割り当てられたアベイラビリティーゾーン名を `use1-az3` にマッピングすることはできません。次のコマンドを実行すると、AZ 名と対応する AZ IDs の詳細なマッピングを取得できます。
```
aws ec2 describe-availability-zones --region us-east-1
```
### オプション 1: Amazon MWAA コンソールで VPC ネットワークを作成する
次のセクションでは、Amazon MWAA コンソールで Amazon VPC ネットワークの作成方法を説明します。このオプションは [インターネット経由のパブリックルーティング](networking-about.md#networking-about-overview-public) を使用します。これは、**プライベートネットワーク** または **パブリックネットワーク** アクセスモードを持つ Apache Airflow ウェブサーバーに使用できます。
次の図は、Amazon MWAA コンソールの **MWAA VPC の作成** ボタンの場所を示しています。
![\[この画像は、Amazon MWAA コンソールで MWAA VPC の作成 の場所を示しています。\]](http://docs.aws.amazon.com/ja_jp/mwaa/latest/userguide/images/mwaa-console-create-vpc.png)
### オプション 2: インターネットにアクセス *可能な* Amazon VPC ネットワークの作成
以下の CloudFormation テンプレートは、デフォルト AWS リージョン でインターネットアクセスを備えた Amazon VPC ネットワークを作成します。このオプションは [インターネット経由のパブリックルーティング](networking-about.md#networking-about-overview-public) を使用します。このテンプレートは、**プライベートネットワーク** または **パブリックネットワーク** アクセスモードを持つ Apache Airflow ウェブサーバーに使用できます。
1. 以下テンプレートの内容をコピーし、`cfn-vpc-public-private.yaml` としてローカルに保存します。[テンプレートをダウンロードする](./samples/cfn-vpc-public-private.zip)こともできます。
```
Description: This template deploys a VPC, with a pair of public and private subnets spread
across two Availability Zones. It deploys an internet gateway, with a default
route on the public subnets. It deploys a pair of NAT gateways (one in each AZ),
and default routes for them in the private subnets.
Parameters:
EnvironmentName:
Description: An environment name that is prefixed to resource names
Type: String
Default: mwaa-
VpcCIDR:
Description: Please enter the IP range (CIDR notation) for this VPC
Type: String
Default: 10.192.0.0/16
PublicSubnet1CIDR:
Description: Please enter the IP range (CIDR notation) for the public subnet in the first Availability Zone
Type: String
Default: 10.192.10.0/24
PublicSubnet2CIDR:
Description: Please enter the IP range (CIDR notation) for the public subnet in the second Availability Zone
Type: String
Default: 10.192.11.0/24
PrivateSubnet1CIDR:
Description: Please enter the IP range (CIDR notation) for the private subnet in the first Availability Zone
Type: String
Default: 10.192.20.0/24
PrivateSubnet2CIDR:
Description: Please enter the IP range (CIDR notation) for the private subnet in the second Availability Zone
Type: String
Default: 10.192.21.0/24
Resources:
VPC:
Type: AWS::EC2::VPC
Properties:
CidrBlock: !Ref VpcCIDR
EnableDnsSupport: true
EnableDnsHostnames: true
Tags:
- Key: Name
Value: !Ref EnvironmentName
InternetGateway:
Type: AWS::EC2::InternetGateway
Properties:
Tags:
- Key: Name
Value: !Ref EnvironmentName
InternetGatewayAttachment:
Type: AWS::EC2::VPCGatewayAttachment
Properties:
InternetGatewayId: !Ref InternetGateway
VpcId: !Ref VPC
PublicSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PublicSubnet1CIDR
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Subnet (AZ1)
PublicSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PublicSubnet2CIDR
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Subnet (AZ2)
PrivateSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet1CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Subnet (AZ1)
PrivateSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet2CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Subnet (AZ2)
NatGateway1EIP:
Type: AWS::EC2::EIP
DependsOn: InternetGatewayAttachment
Properties:
Domain: vpc
NatGateway2EIP:
Type: AWS::EC2::EIP
DependsOn: InternetGatewayAttachment
Properties:
Domain: vpc
NatGateway1:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt NatGateway1EIP.AllocationId
SubnetId: !Ref PublicSubnet1
NatGateway2:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt NatGateway2EIP.AllocationId
SubnetId: !Ref PublicSubnet2
PublicRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Routes
DefaultPublicRoute:
Type: AWS::EC2::Route
DependsOn: InternetGatewayAttachment
Properties:
RouteTableId: !Ref PublicRouteTable
DestinationCidrBlock: 0.0.0.0/0
GatewayId: !Ref InternetGateway
PublicSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnet1
PublicSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnet2
PrivateRouteTable1:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Routes (AZ1)
DefaultPrivateRoute1:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref PrivateRouteTable1
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway1
PrivateSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PrivateRouteTable1
SubnetId: !Ref PrivateSubnet1
PrivateRouteTable2:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Routes (AZ2)
DefaultPrivateRoute2:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref PrivateRouteTable2
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway2
PrivateSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PrivateRouteTable2
SubnetId: !Ref PrivateSubnet2
SecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupName: "mwaa-security-group"
GroupDescription: "Security group with a self-referencing inbound rule."
VpcId: !Ref VPC
SecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: !Ref SecurityGroup
IpProtocol: "-1"
SourceSecurityGroupId: !Ref SecurityGroup
Outputs:
VPC:
Description: A reference to the created VPC
Value: !Ref VPC
PublicSubnets:
Description: A list of the public subnets
Value: !Join [ ",", [ !Ref PublicSubnet1, !Ref PublicSubnet2 ]]
PrivateSubnets:
Description: A list of the private subnets
Value: !Join [ ",", [ !Ref PrivateSubnet1, !Ref PrivateSubnet2 ]]
PublicSubnet1:
Description: A reference to the public subnet in the 1st Availability Zone
Value: !Ref PublicSubnet1
PublicSubnet2:
Description: A reference to the public subnet in the 2nd Availability Zone
Value: !Ref PublicSubnet2
PrivateSubnet1:
Description: A reference to the private subnet in the 1st Availability Zone
Value: !Ref PrivateSubnet1
PrivateSubnet2:
Description: A reference to the private subnet in the 2nd Availability Zone
Value: !Ref PrivateSubnet2
SecurityGroupIngress:
Description: Security group with self-referencing inbound rule
Value: !Ref SecurityGroupIngress
```
1. コマンドプロンプトで、`cfn-vpc-public-private.yaml` が保存されているディレクトリに移動します。例:
```
cd mwaaproject
```
1. AWS CLI を使用してスタックを作成するには、[https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html) コマンドを用います。
```
aws cloudformation create-stack --stack-name mwaa-environment --template-body file://cfn-vpc-public-private.yaml
```
**注記**
Amazon VPC インフラストラクチャの作成には 30 分ほどかかります。
### オプション 3: インターネットにアクセス *せずに* Amazon VPC ネットワークを作成する
以下の CloudFormation テンプレートは、デフォルト AWS リージョン に *インターネットアクセスなし* で Amazon VPC ネットワーク を作成します。
このオプションは [インターネットにアクセスできないプライベートルーティング](networking-about.md#networking-about-overview-private) を使用します。このテンプレートは、**プライベートネットワーク** アクセスモードを持つ Apache Airflow ウェブサーバーでのみ使用できます。それは [環境で使用される AWS のサービスに必要な VPC エンドポイント](vpc-vpe-create-access.md#vpc-vpe-create-view-endpoints-attach-services) を作成します。
1. 以下テンプレートの内容をコピーし、`cfn-vpc-private.yaml` としてローカルに保存します。[テンプレートをダウンロードする](./samples/cfn-vpc-private-no-ops.zip) こともできます。
```
AWSTemplateFormatVersion: "2010-09-09"
Parameters:
VpcCIDR:
Description: The IP range (CIDR notation) for this VPC
Type: String
Default: 10.192.0.0/16
PrivateSubnet1CIDR:
Description: The IP range (CIDR notation) for the private subnet in the first Availability Zone
Type: String
Default: 10.192.10.0/24
PrivateSubnet2CIDR:
Description: The IP range (CIDR notation) for the private subnet in the second Availability Zone
Type: String
Default: 10.192.11.0/24
Resources:
VPC:
Type: AWS::EC2::VPC
Properties:
CidrBlock: !Ref VpcCIDR
EnableDnsSupport: true
EnableDnsHostnames: true
Tags:
- Key: Name
Value: !Ref AWS::StackName
RouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub "${AWS::StackName}-route-table"
PrivateSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet1CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub "${AWS::StackName} Private Subnet (AZ1)"
PrivateSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet2CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub "${AWS::StackName} Private Subnet (AZ2)"
PrivateSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref RouteTable
SubnetId: !Ref PrivateSubnet1
PrivateSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref RouteTable
SubnetId: !Ref PrivateSubnet2
S3VpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.s3"
VpcEndpointType: Gateway
VpcId: !Ref VPC
RouteTableIds:
- !Ref RouteTable
SecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
VpcId: !Ref VPC
GroupDescription: Security Group for Amazon MWAA Environments to access VPC endpoints
GroupName: !Sub "${AWS::StackName}-mwaa-vpc-endpoints"
SecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: !Ref SecurityGroup
IpProtocol: "-1"
SourceSecurityGroupId: !Ref SecurityGroup
SqsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.sqs"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
CloudWatchLogsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.logs"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
CloudWatchMonitoringVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.monitoring"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
KmsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.kms"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
Outputs:
VPC:
Description: A reference to the created VPC
Value: !Ref VPC
MwaaSecurityGroupId:
Description: Associates the Security Group to the environment to allow access to the VPC endpoints
Value: !Ref SecurityGroup
PrivateSubnets:
Description: A list of the private subnets
Value: !Join [ ",", [ !Ref PrivateSubnet1, !Ref PrivateSubnet2 ]]
PrivateSubnet1:
Description: A reference to the private subnet in the 1st Availability Zone
Value: !Ref PrivateSubnet1
PrivateSubnet2:
Description: A reference to the private subnet in the 2nd Availability Zone
Value: !Ref PrivateSubnet2
```
1. コマンドプロンプトで、`cfn-vpc-private.yml` が保存されているディレクトリに移動します。例:
```
cd mwaaproject
```
1. AWS CLI を使用してスタックを作成するには、[https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html) コマンドを用います。
```
aws cloudformation create-stack --stack-name mwaa-private-environment --template-body file://cfn-vpc-private.yml
```
**注記**
Amazon VPC インフラストラクチャの作成には 30 分ほどかかります。
1. お客様のコンピュータから、これらの VPC エンドポイントにアクセスするためのメカニズムを作成する必要があります。詳細については、[Amazon MWAA でのサービス固有の Amazon VPC エンドポイントへのアクセスの管理](vpc-vpe-access.md) を参照してください。
**注記**
Amazon MWAA セキュリティグループの CIDR でアウトバウンドアクセスをさらに制限することができます。例えば、自己参照型のアウトバウンドルール、Amazon S3 の [プレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html)、Amazon VPC の CIDR を追加することで、それ自体に制限することができます。
## 次のステップ
+ [Amazon MWAA 環境を作成する](create-environment.md) で Amazon MWAA 環境を作成する方法を学びます。
+ [チュートリアル: AWS Client VPN を使用したプライベートネットワークアクセスの設定](tutorials-private-network-vpn-client.md) で専用ルートを使用して、コンピュータから Amazon VPC への VPN トンネルを作成する方法を学習します。
# Amazon MWAA 環境を作成する
Amazon Managed Workflows for Apache Airflow は、Apache が提供するのと同じオープンソースの Apache Airflow とユーザーインターフェイスを使用して、選択したバージョンの環境に Apache Airflow を設定します。このガイドでは、Amazon MWAA 環境を作成する手順について説明します。
**Contents**
+ [[開始する前に]](#create-environment-before)
+ [Apache Airflow のバージョン](#create-environment-regions-aa-versions)
+ [環境を作成する](#create-environment-start)
+ [ステップ1:詳細の指定](#create-environment-start-details)
+ [ステップ2:詳細設定の設定](#create-environment-start-advanced)
+ [ステップ 3: レビューと作成](#create-environment-start-review)
## [開始する前に]
+ 環境に指定する [VPC ネットワーク](vpc-create.md) の内容は、環境作成後に変更することはできません。
+ **すべてのパブリックアクセスをブロック** し、**バケットバージョニング** 管理を有効にするには、Amazon S3 バケットを設定する必要があります。
+ [Amazon MWAA を使用するためのアクセス許可と](manage-access.md)、IAM ロールを作成するための AWS Identity and Access Management (IAM) のアクセス許可 AWS アカウント を持つ が必要です。Apache Airflow Web サーバー の **プライベートネットワーク** アクセスモードを選択して、Amazon VPC 内の Apache Airflow アクセスを制限する場合は、Amazon VPC エンドポイントを作成するために IAM のアクセス許可が必要になります。
**注記**
Amazon MWAA は、作成時にネットワークを動的に決定します。IPv6 サブネットを使用する場合、Amazon MWAA はデータベースとウェブサーバーへの IPv6 プライベートリンク接続を作成します。Amazon MWAA はネットワークタイプ間の移行をサポートしておらず、既存の環境を IPv6 にアップグレードすることはできません。
## Apache Airflow のバージョン
以下の Apache Airflow バージョンは、Amazon Managed Workflows for Apache Airflow でサポートされています。
**注記**
2025 年 12 月 30 日以降、Amazon MWAA は、Apache Airflow バージョン v2.4.3、v2.5.1、および v2.6.3 のサポートを終了します。詳細については、[Apache Airflow のバージョンサポートとよくある質問](airflow-versions.md#airflow-versions-support) を参照してください。
Apache Airflow v2.2.2 以降、Amazon MWAA は Python 要件、プロバイダーパッケージ、カスタムプラグインを Apache Airflow ウェブサーバーに直接インストールすることをサポートしています。
Apache Airflow v2.7.2 から、要件ファイルには `--constraint` ステートメントを含める必要があります。制約を指定しない場合、要件に記載されているパッケージが使用している Apache Airflow のバージョンと互換性があることを確認するため、Amazon MWAA はお客様に代わって制約を指定します。
要件ファイルに制約を設定する方法の詳細については、[Python 依存関係のインストール](working-dags-dependencies.md#working-dags-dependencies-syntax-create) を参照してください。
| Apache Airflow のバージョン | Apache Airflow リリース日 | Amazon MWAA 利用開始日 | Apache Airflow の制約 | Python バージョン |
| --- | --- | --- | --- | --- |
| [v2.11.0](https://airflow.apache.org/docs/apache-airflow/2.11.0) | [2025 年 5 月 20 日](https://airflow.apache.org/docs/apache-airflow/2.11.0/release_notes.html#airflow-2-11-0-2022-05-20) | 2026 年 1 月 7 日 | [v2.11.0 制約ファイル](https://raw.githubusercontent.com/apache/airflow/constraints-2.11.0/constraints-3.12.txt) | [Python 3.12](https://peps.python.org/pep-0693/) |
| [v3.0.6](https://airflow.apache.org/docs/apache-airflow/3.0.6) | [2025 年 8 月 29 日](https://airflow.apache.org/docs/apache-airflow/3.0.6/release_notes.html#airflow-3-0-6-2025-08-29) | 2025 年 10 月 1 日 | [v3.0.6 制約ファイル](https://raw.githubusercontent.com/apache/airflow/constraints-3.0.6/constraints-3.12.txt) | [Python 3.12](https://peps.python.org/pep-0693/) |
| [v2.10.3](https://airflow.apache.org/docs/apache-airflow/2.10.3) | [2024 年 11 月 4 日](https://airflow.apache.org/docs/apache-airflow/2.10.3/release_notes.html#airflow-2-10-3-2024-11-04) | 2024 年 12 月 18 日 | [v2.10.3 制約ファイル](https://raw.githubusercontent.com/apache/airflow/constraints-2.10.3/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.10.1](https://airflow.apache.org/docs/apache-airflow/2.10.1) | [2024 年 9 月 5 日](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-10-1-2024-09-05) | 2024 年 9 月 26 日 | [v2.10.1 制約ファイル](https://raw.githubusercontent.com/apache/airflow/constraints-2.10.1/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.9.2](https://airflow.apache.org/docs/apache-airflow/2.9.2) | [2024 年 6 月 10 日](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-9-2-2024-06-10) | 2024 年 7 月 9 日 | [v2.9.2 制約ファイル](https://raw.githubusercontent.com/apache/airflow/constraints-2.9.2/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.8.1](https://airflow.apache.org/docs/apache-airflow/2.8.1) | [2024 年 1 月 19 日](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-8-1-2024-01-19) | 2024 年 2 月 23 日 | [v2.8.1 制約ファイル](https://raw.githubusercontent.com/apache/airflow/constraints-2.8.1/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.7.2](https://airflow.apache.org/docs/apache-airflow/2.7.2) | [2023 年 10 月 12 日](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-7-2-2023-10-12) | 2023 年 11 月 6 日 | [v2.7.2 制約ファイル](https://raw.githubusercontent.com/apache/airflow/constraints-2.7.2/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
自己管理型の Apache Airflow デプロイの移行、または既存の Amazon MWAA 環境の移行について、メタデータデータベースのバックアップ手順を含む詳細情報は、[Amazon MWAA 移行ガイド](https://docs.aws.amazon.com/mwaa/latest/migrationguide/index.html) を参照してください。
## 環境を作成する
以下のセクションでは、Amazon MWAA 環境の作成手順について説明します。
### ステップ1:詳細の指定
**環境の詳細を指定します**
1. [Amazon MWAA コンソール](https://console.aws.amazon.com/mwaa/home/) を開きます。
1. を選択します AWS リージョン。
1. [**環境を作成**] を選択します。
1. **詳細を指定** ページの **環境の詳細** で:
1. **名前** に環境の一意の名前を入力します。
1. **[エアフローバージョン]** で Apache エアフローバージョンを選択します。
**注記**
値が指定されない場合、デフォルトは最新の Apache Airflow バージョンとなります。利用可能な最新バージョンは Apache Airflow v3.0.6 です。
1. **Amazon S3 の DAG コード** で以下を指定します。
1. **S3 バケット**。**Browse S3**を選択して Amazon S3 バケットを選択するか、Amazon S3 URI を入力します。
1. **DAG フォルダー**。**Browse S3** を選択し、Amazon S3 バケット内の `dags` フォルダを選択するか、Amazon S3 URI を入力します。
1. **プラグインファイル - *オプション***。**Browse S3** を選択し、Amazon S3 バケット上の `plugins.zip` ファイルを選択するか、Amazon S3 の URI を入力します。
1. **要件ファイル - *オプション***.。**Browse S3** を選択し、Amazon S3 バケット上の `requirements.txt` ファイルを選択するか、Amazon S3 の URI を入力します。
1. **スタートアップスクリプトファイル - *オプション***、**参照S3** を選択し、Amazon S3 バケット上のスクリプトファイルを選択するか、Amazon S3 URI を入力します。
1. **次へ** を選択します。
### ステップ2:詳細設定の設定
**詳細設定を設定するには**
1. **詳細設定の設定** ページの **ネットワーク** で:
1. [Amazon VPC](vpc-create.md) を選択してください。
このステップでは、Amazon VPC の 2 つのサブネットを設定します。
1. **ウェブサーバーアクセス**で、お好みの [Apache Airflow アクセスモード](configuring-networking.md) を選択します。
1. **プライベートネットワーク**。これは、Apache Airflow UI へのアクセスを、[あなたの環境の IAM ポリシー](access-policies.md)にアクセスを許可されたあなたの *Amazon VPC 内* のユーザーに制限します このステップには Amazon VPC エンドポイントを作成する権限が必要です。
**注記**
Apache Airflow UI にアクセスできるのは企業ネットワークのみで、ウェブサーバ要件をインストールするためにパブリックリポジトリにアクセスする必要がない場合は、**プライベートネットワーク** オプションを選択します。このアクセスモードオプションを選択する場合は、Amazon VPC 内の Apache Airflow ウェブサーバーにアクセスするメカニズムを作成する必要があります。詳細については、[Apache Airflow ウェブサーバーの VPC エンドポイントへのアクセス (プライベートネットワークアクセス)](vpc-vpe-access.md#vpc-vpe-access-endpoints) を参照してください。
1. **パブリックネットワーク**。これにより、[環境の IAM ポリシー](access-policies.md) へのアクセスを許可されたユーザーは、インターネット経由で Apache Airflow UI にアクセスできます。
1. **セキュリティグループ** で、[Amazon VPC](vpc-create.md) を保護するために使用するセキュリティグループを選択します。
1. デフォルトでは、Amazon MWAA は Amazon VPC にセキュリティグループを作成し、**新しいセキュリティグループの作成** で特定のインバウンドルールとアウトバウンドルールを設定します。
1. **オプション**。**新しいセキュリティグループの作成** のチェックボックスをオフにして、最大 5 つのセキュリティグループを選択します。
**注記**
既存の Amazon VPC セキュリティグループでは、ネットワークトラフィックを許可する特定のインバウンドルールとアウトバウンドルールを設定する必要があります。詳細については、[Amazon MWAA の VPC のセキュリティ](vpc-security.md) を参照してください。
1. **環境クラス** で、[環境クラス](environment-class.md) を選択します。
ワークロードをサポートするために必要な最小サイズを選択することをお勧めします。環境クラスは、随時変更できます。
1. **最大ワーカー数** は、環境内で実行する Apache Airflow ワーカーの最大数を指定します。
詳細については、[高パフォーマンスのユースケースの例](mwaa-autoscaling.md#mwaa-autoscaling-high-volume) を参照してください。
1. **最大ウェブサーバー数** と **最小ウェブサーバー数** を指定して、Amazon MWAA が環境内の Apache Airflow ウェブサーバーをスケールする方法を設定します。
ウェブサーバーの自動スケーリングの詳細については、[Amazon MWAA ウェブサーバーの自動スケーリングの設定](mwaa-web-server-autoscaling.md) を参照してください。
1. **暗号化** で、データ暗号化オプションを選択します。
1. デフォルトでは、Amazon MWAA は AWS所有のキーを使用してデータを暗号化します。
1. **オプション**。**暗号化設定をカスタマイズ (詳細)** を選択して、別の AWS KMS キーを選択します。このステップで[カスタマーマネージドキー](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk)を指定する場合は、 AWS KMS キー ID または ARN を指定する必要があります。 エイ[AWS KMS リアスとマルチリージョンキーは Amazon MWAA ではサポートされていません](custom-keys-certs.md)。Amazon S3 バケットでサーバー側の暗号化用に Amazon S3 キーを指定した場合、Amazon MWAA 環境にも同じキーを指定する必要があります。
**注記**
Amazon MWAA コンソールでキーを選択するには、そのキーに対するアクセス許可が必要です。また、[キーポリシーの添付](custom-keys-certs.md#custom-keys-certs-grant-policies-attach) で説明されているポリシーを追加して Amazon MWAA にキーを使用するアクセス許可を付与する必要があります。
1. **推奨**。**モニタリング** で、Apache Airflow ログを CloudWatch Logs に送信するための **Airflow ログ記録設定** のログカテゴリを 1 つ以上選択します。
1. **Airflow タスクログ**。**ログレベル** で CloudWatch ログに送信する Apache Airflow タスクログのタイプを選択します。
1. **Airflow ウェブサーバーのログ**。**ログレベル** で CloudWatch ログに送信する Apache Airflow タスクログのタイプを選択します。
1. **Airflow スケジューラーログ**。**ログレベル** で CloudWatch Logs に送信する Apache Airflow スケジューラログのタイプを選択します。
1. **Airflow ワーカーログ**。**ログレベル**で CloudWatch Logs に送信する Apache Airflow ワーカーログのタイプを選択します。
1. **Airflow DAG 処理ログ**。**ログレベル** で CloudWatch Logs に送信する Apache Airflow DAG 処理ログのタイプを選択します。
1. **オプション**。**エアフロー設定オプション**で、**カスタム設定オプションの追加** を選択します。
Apache Airflow バージョンの [Apache Airflow 構成オプション](configuring-env-variables.md) の推奨ドロップダウンリストから選択するか、カスタム設定オプションを指定できます。例えば、`core.default_task_retries` : `3` です。
1. **オプション**。**タグ** で **新しいタグ** の追加を選択し、タグを環境に関連付けます。例えば、`Environment` : `Staging` です。
1. **アクセス許可** で、実行ロールを選択する:
1. デフォルトでは、Amazon MWAA は **新しいロールの作成** で [実行ロール](mwaa-create-role.md)を作成します。このオプションを使用するには、IAM ロールを作成する権限が必要です。
1. **オプション**。**ロール ARN を入力** を選択して、既存の実行ロールの Amazon リソースネーム (ARN) を入力します。
1. **次へ** を選択します。
### ステップ 3: レビューと作成
**環境の概要の表示**
+ 環境の概要を確認し、**環境作成** を選択します。
**注記**
環境の作成には約 20 ~ 30 分かかります。
## 次のステップ
+ [Amazon MWAA 用の Amazon S3 バケットの作成](mwaa-s3-bucket.md) で Amazon S3 バケットを作成する方法を学びます。