As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Comece a usar o Amazon Managed Workflows for Apache Airflow
O Amazon Managed Workflows para Apache Airflow usa Amazon VPC, arquivos DAG e arquivos complementares em seu bucket de armazenamento do Amazon S3 para criar um ambiente. Este capítulo descreve os pré-requisitos e os recursos da AWS necessários para começar a usar o Amazon MWAA.
**Topics**
+ [Pré-requisitos](#prerequisites)
+ [Sobre este Guia](#prerequisites-infra)
+ [Antes de começar](#prerequisites-before)
+ [Regiões disponíveis](#regions)
+ [Criar um bucket do Amazon S3 para o Amazon MWAA](mwaa-s3-bucket.md)
+ [Criar a rede VPC](vpc-create.md)
+ [Criar um ambiente do Amazon MWAA](create-environment.md)
+ [Próximas etapas](#mwaa-s3-bucket-next-up)
## Pré-requisitos
Para criar um ambiente Amazon MWAA, assegure que você tenha permissão para os recursos da AWS que precise criar.
+ **Conta da AWS** – Uma Conta da AWS com permissão para usar o Amazon MWAA e os serviços e recursos da AWS usados pelo seu ambiente.
## Sobre este Guia
Este guia aborda a infraestrutura da AWS e os recursos que você criará.
+ **Amazon VPC**: os componentes de rede Amazon VPC exigidos por um ambiente Amazon MWAA. Você pode configurar uma VPC existente que atenda a esses requisitos (avançados), conforme visto em [Sobre a rede do Amazon MWAA](networking-about.md), ou criar a VPC e os componentes de rede, conforme definido em [Criar a rede VPC](vpc-create.md).
+ **Bucket do Amazon S3**: um bucket do Amazon S3 para armazenar seus DAGs e arquivos associados, como `plugins.zip` e `requirements.txt`. Seu bucket do Amazon S3 deve ser configurado para **bloquear todo o acesso público**, com o **versionamento do bucket** ativado, conforme definido em [Criar um bucket do Amazon S3 para o Amazon MWAA](mwaa-s3-bucket.md).
+ **Ambiente Amazon MWAA**: um ambiente Amazon MWAA configurado com a localização do seu bucket do Amazon S3, o caminho para seu código DAG e quaisquer plug-ins personalizados ou dependências do Python, e seu Amazon VPC e seu grupo de segurança, conforme definido em [Criar um ambiente do Amazon MWAA](create-environment.md).
## Antes de começar
Para criar um ambiente Amazon MWAA, talvez você queira tomar medidas adicionais para criar e configurar outros recursos da AWS antes de criar seu ambiente.
Para criar um ambiente, você precisará fazer o seguinte:
+ **Chave AWS KMS**: uma chave AWS KMS para criptografia de dados em seu ambiente. Você pode escolher a opção padrão no console do Amazon MWAA para criar uma [chave pertencente à AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) ao criar um ambiente ou especificar uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) existente com permissões para outros serviços da AWS usados pelo seu ambiente configurado (avançado). Consulte [Como usar chaves gerenciadas pelo cliente para criptografia](custom-keys-certs.md) para saber mais.
+ **Perfil de execução**: um perfil de execução que permite que o Amazon MWAA acesse recursos da AWS em seu ambiente. Você pode escolher a opção padrão no console do Amazon MWAA para criar um perfil de execução ao criar um ambiente. Consulte [Perfil de execução do Amazon MWAA](mwaa-create-role.md) para saber mais.
+ **Grupo de segurança VPC**: um grupo de segurança VPC que permite que o Amazon MWAA acesse outros recursos da AWS em sua rede VPC. Você pode escolher a opção padrão no console do Amazon MWAA para criar um grupo de segurança ao criar um ambiente ou fornecer a um grupo de segurança as regras de entrada e saída apropriadas (avançadas). Consulte [Segurança em sua VPC no Amazon MWAA](vpc-security.md) para saber mais.
## Regiões disponíveis
O Amazon MWAA está disponível nas seguintes Regiões da AWS. Para saber mais sobre cada região, por exemplo, quais são ativadas ou desativadas por padrão, consulte [Regiões da AWS](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html).
| Código | Name |
| --- | --- |
| us-east-1 | Leste dos EUA (Norte da Virgínia) |
| us-east-2 | Leste dos EUA (Ohio) |
| us-west-1 | Oeste dos EUA (Norte da Califórnia) |
| us-west-2 | Oeste dos EUA (Oregon) |
| af-south-1 | África (Cidade do Cabo) |
| ap-east-1 | Ásia-Pacífico (Hong Kong) |
| ap-south-2 | Ásia-Pacífico (Hyderabad) |
| ap-southeast-3 | Ásia-Pacífico (Jacarta) |
| ap-southeast-5 | Ásia-Pacífico (Malásia) |
| ap-southeast-4 | Ásia-Pacífico (Melbourne) |
| ap-south-1 | Ásia-Pacífico (Mumbai) |
| ap-northeast-3 | Ásia-Pacífico (Osaka) |
| ap-northeast-2 | Ásia-Pacífico (Seul) |
| ap-southeast-1 | Ásia-Pacífico (Singapura) |
| ap-southeast-2 | Ásia-Pacífico (Sydney) |
| ap-northeast-1 | Ásia-Pacífico (Tóquio) |
| ca-central-1 | Canadá (Central) |
| ca-west-1 | Oeste do Canadá (Calgary) |
| eu-central-1 | Europa (Frankfurt) |
| eu-west-1 | Europa (Irlanda) |
| eu-west-2 | Europa (Londres) |
| eu-south-1 | Europa (Milão) |
| eu-west-3 | Europa (Paris) |
| eu-south-2 | Europa (Espanha) |
| eu-north-1 | Europa (Estocolmo) |
| eu-central-2 | Europa (Zurique) |
| il-central-1 | Israel (Tel Aviv) |
| me-south-1 | Oriente Médio (Bahrein) |
| me-central-1 | Oriente Médio (Emirados Árabes Unidos) |
| sa-east-1 | América do Sul (São Paulo) |
# Criar um bucket do Amazon S3 para o Amazon MWAA
Este guia descreve as etapas para criar um bucket do Amazon S3 para armazenar seus gráficos acíclicos direcionados ao Apache Airflow DAGs (), plug-ins personalizados em um arquivo e dependências do Python em um `plugins.zip` arquivo. `requirements.txt`
**Contents**
+ [Antes de começar](#mwaa-s3-bucket-before)
+ [Crie o bucket](#mwaa-s3-bucket-create)
+ [Próximas etapas](#mwaa-s3-bucket-next-up)
## Antes de começar
+ O nome de um bucket do Amazon S3 não pode ser alterado depois de criar o bucket. Para saber mais, consulte [Regras de atribuição de nomes de buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html#bucketnamingrules) no *Manual do usuário do Amazon Simple Storage Service*.
+ Um bucket do Amazon S3 usado para um ambiente Amazon MWAA deve ser configurado para **bloquear todo o acesso público**, com o **Versionamento do bucket** ativado.
+ Um bucket do Amazon S3 usado para um ambiente do Amazon MWAA deve estar localizado no mesmo ambiente do Amazon MWAA. Região da AWS Para acessar uma lista do Regiões da AWS Amazon MWAA, consulte os [endpoints e cotas do Amazon MWAA](https://docs.aws.amazon.com/general/latest/gr/mwaa.html) no. *Referência geral da AWS*
## Crie o bucket
Esta seção descreve as etapas para criar o bucket do Amazon S3 para o seu ambiente.
**Para criar um bucket**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)
1. Selecione **Criar bucket**.
1. Em **Bucket name (Nome do bucket)**, insira um nome compatível com o DNS para seu bucket.
O nome do bucket deve:
+ Seja exclusivo em todo o Amazon S3.
+ Ter entre 3 e 63 caracteres.
+ Não contém caracteres maiúsculos.
+ Começar com uma letra minúscula ou um número.
**Importante**
Evite incluir informações confidenciais, como números de conta, no nome do bucket. O nome do bucket está disponível URLs nesse ponto para os objetos no bucket.
1. Escolha um Região da AWS na **região**. Ele deve ser o mesmo Região da AWS do seu ambiente Amazon MWAA.
1. Recomendamos escolher uma região próxima de você para minimizar a latência e os custos e atender aos requisitos regulatórios.
1. Selecione **Block all public access (Bloquear todo o acesso público)**.
1. Escolha **Ativar** em **Versionamento de bucket**.
1. **Opcional** - *Etiquetas*. Adicione pares de etiquetas de chave-valor para identificar seu bucket do Amazon S3 em **Etiquetas**. Por exemplo, `Bucket` : `Staging`.
1. **Opcional** - *Criptografia do lado do servidor*. Como opção, é possível **habilitar** uma das seguintes opções de criptografia em seu bucket do Amazon S3.
1. Escolha **Chave do Amazon S3 (SSE-S3** em **Criptografia do lado do servidor** para habilitar a criptografia do lado do servidor para o bucket.
1. Escolha a **AWS Key Management Service chave (SSE-KMS)** para usar uma AWS KMS chave para criptografia em seu bucket Amazon S3:
1. **AWS chave gerenciada (aws/s3)** - Se você escolher essa opção, poderá usar uma chave [AWS própria gerenciada pela Amazon MWAA ou especificar uma chave gerenciada](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) [pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) para criptografia do seu ambiente Amazon MWAA.
1. **Escolha entre suas AWS KMS chaves** ou **insira o ARN da AWS KMS chave** - Se você optar por especificar uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nesta etapa, deverá especificar um AWS KMS ID de chave ou ARN. [AWS KMS aliases e chaves multirregionais não são compatíveis com o Amazon](custom-keys-certs.md) MWAA. A AWS KMS chave que você especificar também deve ser usada para criptografia em seu ambiente Amazon MWAA.
1. **Opcional** - *Configurações avançadas*. Se você quiser ativar o bloqueio de objetos do Amazon S3:
1. Selecione **Configurações avançadas**, **Habilitar**.
**Importante**
A ativação do bloqueio de objetos permitirá permanentemente que os objetos desse bucket sejam bloqueados. Para saber mais, consulte [Bloqueio de objetos usando o bloqueio de objetos do Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/dev/object-lock.html) em *Guia do usuário do Amazon Simple Storage Service*.
1. Escolha a confirmação.
1. Selecione **Criar bucket**.
## Próximas etapas
+ Saiba como criar a rede da Amazon VPC necessária para um ambiente em [Criar a rede VPC](vpc-create.md).
+ Saiba como gerenciar as permissões de acesso em [Como faço para definir as permissões do bucket da ACL?](https://docs.aws.amazon.com//AmazonS3/latest/user-guide/set-bucket-permissions.html)
+ Saiba como excluir um bucket armazenado em [Como eu faço para excluir um bucket do S3?](https://docs.aws.amazon.com//AmazonS3/latest/user-guide/delete-bucket.html).
# Criar a rede VPC
O Amazon Managed Workflows for Apache Airflow requer uma Amazon VPC e componentes da rede específicos para oferecer suporte a um ambiente. Este guia descreve as diferentes opções da criação da rede da Amazon VPC para o ambiente do Amazon Managed Workflows for Apache Airflow.
**nota**
O Apache Airflow funciona melhor em um ambiente de rede de baixa latência. Se você estiver usando uma Amazon VPC existente que roteia o tráfego para outra região ou para um ambiente on-premises, recomendamos adicionar endpoints do AWS PrivateLink para Amazon SQS, CloudWatch, Amazon S3 e AWS KMS. Para obter mais informações sobre a configuração do AWS PrivateLink para o Amazon MWAA, consulte [Criação de uma rede Amazon VPC sem acesso à internet](#vpc-create-template-private-only).
**Contents**
+ [Pré-requisitos](#vpc-create-prereqs)
+ [Antes de começar](#vpc-create-how-networking)
+ [Opções para criar a rede Amazon VPC](#vpc-create-options)
+ [Opção um: criar a rede VPC no console Amazon MWAA](#vpc-create-mwaa-console)
+ [Opção dois: criar uma rede Amazon VPC *com* acesso à internet](#vpc-create-template-private-or-public)
+ [Opção três: criar uma rede Amazon VPC *sem* acesso à internet](#vpc-create-template-private-only)
+ [Próximas etapas](#create-vpc-next-up)
## Pré-requisitos
A AWS Command Line Interface (AWS CLI) é uma ferramenta de código aberto que pode ser usada para interagir com os serviços da AWS por meio de comandos no shell da linha de comando. Para concluir as etapas nesta página, é necessário o seguinte:
+ [AWS CLI – instalar a versão 2](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html).
+ [AWS CLI: configuração rápida com `aws configure`](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
## Antes de começar
+ A [rede VPC](#vpc-create) que você especifica para seu ambiente não pode ser alterada após a criação do ambiente.
+ É possível usar roteamento privado ou público para seu servidor Web da Amazon VPC e do Apache Airflow. Para acessar uma lista de opções, consulte [Exemplos de casos de uso para um modo de acesso Amazon VPC e Apache Airflow](networking-about.md#networking-about-network-usecase).
## Opções para criar a rede Amazon VPC
A seção a seguir descreve as opções disponíveis para criar a rede Amazon VPC para um ambiente.
**nota**
O Amazon MWAA não é compatível com o uso da zona de disponibilidade (AZ) `use1-az3` da região Leste dos EUA (Norte da Virgínia). Ao criar a VPC para o Amazon MWAA na região Leste dos EUA (Norte da Virgínia), atribua explicitamente a `AvailabilityZone` no modelo do CloudFormation (CFN). O nome da zona de disponibilidade atribuída não deve ser mapeado para `use1-az3`. É possível recuperar o mapeamento detalhado de nomes de AZ para os IDs de AZ correspondentes executando o seguinte comando:
```
aws ec2 describe-availability-zones --region us-east-1
```
### Opção um: criar a rede VPC no console Amazon MWAA
A seção a seguir explica como criar uma rede da Amazon VPC no console do Amazon MWAA. Esta opção usa [Roteamento público pela internet](networking-about.md#networking-about-overview-public). Ela pode ser usada para um servidor Web do Apache Airflow com os modos de acesso à **rede privada** ou à **rede pública**.
A imagem a seguir mostra onde você pode encontrar o botão **Criar MWAA VPC** no console do Amazon MWAA.
![\[Esta imagem mostra onde você pode encontrar Criar MWAA VPC no console do Amazon MWAA.\]](http://docs.aws.amazon.com/pt_br/mwaa/latest/userguide/images/mwaa-console-create-vpc.png)
### Opção dois: criar uma rede Amazon VPC *com* acesso à internet
O modelo CloudFormation a seguir cria uma rede Amazon VPC com acesso à internet em sua Região da AWS padrão. Esta opção usa [Roteamento público pela internet](networking-about.md#networking-about-overview-public). Este modelo pode ser usado para um servidor Web do Apache Airflow com os modos de acesso à **rede privada** ou à **rede pública**.
1. Copie o conteúdo do modelo a seguir e salve localmente como `cfn-vpc-public-private.yaml`. Também é possível [baixar o modelo](./samples/cfn-vpc-public-private.zip).
```
Description: This template deploys a VPC, with a pair of public and private subnets spread
across two Availability Zones. It deploys an internet gateway, with a default
route on the public subnets. It deploys a pair of NAT gateways (one in each AZ),
and default routes for them in the private subnets.
Parameters:
EnvironmentName:
Description: An environment name that is prefixed to resource names
Type: String
Default: mwaa-
VpcCIDR:
Description: Please enter the IP range (CIDR notation) for this VPC
Type: String
Default: 10.192.0.0/16
PublicSubnet1CIDR:
Description: Please enter the IP range (CIDR notation) for the public subnet in the first Availability Zone
Type: String
Default: 10.192.10.0/24
PublicSubnet2CIDR:
Description: Please enter the IP range (CIDR notation) for the public subnet in the second Availability Zone
Type: String
Default: 10.192.11.0/24
PrivateSubnet1CIDR:
Description: Please enter the IP range (CIDR notation) for the private subnet in the first Availability Zone
Type: String
Default: 10.192.20.0/24
PrivateSubnet2CIDR:
Description: Please enter the IP range (CIDR notation) for the private subnet in the second Availability Zone
Type: String
Default: 10.192.21.0/24
Resources:
VPC:
Type: AWS::EC2::VPC
Properties:
CidrBlock: !Ref VpcCIDR
EnableDnsSupport: true
EnableDnsHostnames: true
Tags:
- Key: Name
Value: !Ref EnvironmentName
InternetGateway:
Type: AWS::EC2::InternetGateway
Properties:
Tags:
- Key: Name
Value: !Ref EnvironmentName
InternetGatewayAttachment:
Type: AWS::EC2::VPCGatewayAttachment
Properties:
InternetGatewayId: !Ref InternetGateway
VpcId: !Ref VPC
PublicSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PublicSubnet1CIDR
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Subnet (AZ1)
PublicSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PublicSubnet2CIDR
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Subnet (AZ2)
PrivateSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet1CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Subnet (AZ1)
PrivateSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet2CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Subnet (AZ2)
NatGateway1EIP:
Type: AWS::EC2::EIP
DependsOn: InternetGatewayAttachment
Properties:
Domain: vpc
NatGateway2EIP:
Type: AWS::EC2::EIP
DependsOn: InternetGatewayAttachment
Properties:
Domain: vpc
NatGateway1:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt NatGateway1EIP.AllocationId
SubnetId: !Ref PublicSubnet1
NatGateway2:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt NatGateway2EIP.AllocationId
SubnetId: !Ref PublicSubnet2
PublicRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Routes
DefaultPublicRoute:
Type: AWS::EC2::Route
DependsOn: InternetGatewayAttachment
Properties:
RouteTableId: !Ref PublicRouteTable
DestinationCidrBlock: 0.0.0.0/0
GatewayId: !Ref InternetGateway
PublicSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnet1
PublicSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnet2
PrivateRouteTable1:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Routes (AZ1)
DefaultPrivateRoute1:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref PrivateRouteTable1
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway1
PrivateSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PrivateRouteTable1
SubnetId: !Ref PrivateSubnet1
PrivateRouteTable2:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Routes (AZ2)
DefaultPrivateRoute2:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref PrivateRouteTable2
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway2
PrivateSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PrivateRouteTable2
SubnetId: !Ref PrivateSubnet2
SecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupName: "mwaa-security-group"
GroupDescription: "Security group with a self-referencing inbound rule."
VpcId: !Ref VPC
SecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: !Ref SecurityGroup
IpProtocol: "-1"
SourceSecurityGroupId: !Ref SecurityGroup
Outputs:
VPC:
Description: A reference to the created VPC
Value: !Ref VPC
PublicSubnets:
Description: A list of the public subnets
Value: !Join [ ",", [ !Ref PublicSubnet1, !Ref PublicSubnet2 ]]
PrivateSubnets:
Description: A list of the private subnets
Value: !Join [ ",", [ !Ref PrivateSubnet1, !Ref PrivateSubnet2 ]]
PublicSubnet1:
Description: A reference to the public subnet in the 1st Availability Zone
Value: !Ref PublicSubnet1
PublicSubnet2:
Description: A reference to the public subnet in the 2nd Availability Zone
Value: !Ref PublicSubnet2
PrivateSubnet1:
Description: A reference to the private subnet in the 1st Availability Zone
Value: !Ref PrivateSubnet1
PrivateSubnet2:
Description: A reference to the private subnet in the 2nd Availability Zone
Value: !Ref PrivateSubnet2
SecurityGroupIngress:
Description: Security group with self-referencing inbound rule
Value: !Ref SecurityGroupIngress
```
1. No prompt de comando, navegue até o diretório em que `cfn-vpc-public-private.yaml` está armazenado. Por exemplo:
```
cd mwaaproject
```
1. Use o comando [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html) para criar a pilha usando o AWS CLI.
```
aws cloudformation create-stack --stack-name mwaa-environment --template-body file://cfn-vpc-public-private.yaml
```
**nota**
A criação da infraestrutura da Amazon VPC requer cerca de 30 minutos.
### Opção três: criar uma rede Amazon VPC *sem* acesso à internet
O modelo CloudFormation a seguir cria uma rede Amazon VPC *sem acesso à internet* em sua região padrão Região da AWS.
Esta opção usa [Roteamento privado sem acesso à internet](networking-about.md#networking-about-overview-private). Este modelo pode ser usado para um servidor Web Apache Airflow somente com o modo de acesso à **rede privada**. Ele cria os [endpoints da VPC necessários para os serviços da AWS usados por um ambiente](vpc-vpe-create-access.md#vpc-vpe-create-view-endpoints-attach-services).
1. Copie o conteúdo do modelo a seguir e salve localmente como `cfn-vpc-private.yaml`. Também é possível [baixar o modelo](./samples/cfn-vpc-private-no-ops.zip).
```
AWSTemplateFormatVersion: "2010-09-09"
Parameters:
VpcCIDR:
Description: The IP range (CIDR notation) for this VPC
Type: String
Default: 10.192.0.0/16
PrivateSubnet1CIDR:
Description: The IP range (CIDR notation) for the private subnet in the first Availability Zone
Type: String
Default: 10.192.10.0/24
PrivateSubnet2CIDR:
Description: The IP range (CIDR notation) for the private subnet in the second Availability Zone
Type: String
Default: 10.192.11.0/24
Resources:
VPC:
Type: AWS::EC2::VPC
Properties:
CidrBlock: !Ref VpcCIDR
EnableDnsSupport: true
EnableDnsHostnames: true
Tags:
- Key: Name
Value: !Ref AWS::StackName
RouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub "${AWS::StackName}-route-table"
PrivateSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet1CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub "${AWS::StackName} Private Subnet (AZ1)"
PrivateSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet2CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub "${AWS::StackName} Private Subnet (AZ2)"
PrivateSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref RouteTable
SubnetId: !Ref PrivateSubnet1
PrivateSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref RouteTable
SubnetId: !Ref PrivateSubnet2
S3VpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.s3"
VpcEndpointType: Gateway
VpcId: !Ref VPC
RouteTableIds:
- !Ref RouteTable
SecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
VpcId: !Ref VPC
GroupDescription: Security Group for Amazon MWAA Environments to access VPC endpoints
GroupName: !Sub "${AWS::StackName}-mwaa-vpc-endpoints"
SecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: !Ref SecurityGroup
IpProtocol: "-1"
SourceSecurityGroupId: !Ref SecurityGroup
SqsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.sqs"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
CloudWatchLogsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.logs"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
CloudWatchMonitoringVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.monitoring"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
KmsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.kms"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
Outputs:
VPC:
Description: A reference to the created VPC
Value: !Ref VPC
MwaaSecurityGroupId:
Description: Associates the Security Group to the environment to allow access to the VPC endpoints
Value: !Ref SecurityGroup
PrivateSubnets:
Description: A list of the private subnets
Value: !Join [ ",", [ !Ref PrivateSubnet1, !Ref PrivateSubnet2 ]]
PrivateSubnet1:
Description: A reference to the private subnet in the 1st Availability Zone
Value: !Ref PrivateSubnet1
PrivateSubnet2:
Description: A reference to the private subnet in the 2nd Availability Zone
Value: !Ref PrivateSubnet2
```
1. No prompt de comando, navegue até o diretório em que `cfn-vpc-private.yml` está armazenado. Por exemplo:
```
cd mwaaproject
```
1. Use o comando [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html) para criar a pilha usando o AWS CLI.
```
aws cloudformation create-stack --stack-name mwaa-private-environment --template-body file://cfn-vpc-private.yml
```
**nota**
A criação da infraestrutura da Amazon VPC requer cerca de 30 minutos.
1. Você precisará criar um mecanismo para acessar esses endpoints da VPC a partir do seu computador. Consulte [Como gerenciar o acesso a endpoints da Amazon VPC específicos do serviço no Amazon MWAA](vpc-vpe-access.md) para saber mais.
**nota**
É possível restringir ainda mais o acesso de saída no CIDR do seu grupo de segurança do Amazon MWAA. Por exemplo, você pode se restringir adicionando uma regra de saída de autorreferência, a [prefix list](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html) (lista de prefixos) do Amazon S3 e o CIDR da sua Amazon VPC.
## Próximas etapas
+ Saiba como criar um ambiente do Amazon MWAA em [Criar um ambiente do Amazon MWAA](create-environment.md).
+ Aprenda a criar um túnel VPN do seu computador para a Amazon VPC com roteamento privado em [Tutorial: Como configurar o acesso à rede privada usando um AWS Client VPN](tutorials-private-network-vpn-client.md).
# Criar um ambiente do Amazon MWAA
A solução Workflows gerenciados pela Amazon para Apache Airflow configura o Apache Airflow em um ambiente na versão escolhida usando o mesmo Apache Airflow e a mesma interface de usuário de código aberto disponíveis no Apache. Este guia descreve as etapas para criar um ambiente do Amazon MWAA.
**Contents**
+ [Antes de começar](#create-environment-before)
+ [Versões do Apache Airflow](#create-environment-regions-aa-versions)
+ [Criar um ambiente](#create-environment-start)
+ [Etapa um: especificar detalhes](#create-environment-start-details)
+ [Etapa 2: definir as configurações avançadas](#create-environment-start-advanced)
+ [Etapa 3: Revisar e criar](#create-environment-start-review)
## Antes de começar
+ A [rede da VPC](vpc-create.md) que você especifica para o ambiente não pode ser alterada após a criação dele.
+ Você precisa de um bucket do Amazon S3 configurado para **bloquear todo o acesso público**, com o controle **de versionamento do bucket ativado**.
+ Você precisa de um Conta da AWS com [permissões para usar o Amazon MWAA](manage-access.md) e permissão no AWS Identity and Access Management (IAM) para criar funções do IAM. Caso escolha o modo de acesso **Rede privada** para o servidor Web do Apache Airflow, que limita o acesso do Apache Airflow na Amazon VPC, você precisará de permissão no IAM para criar endpoints da Amazon VPC.
**nota**
O Amazon MWAA determina dinamicamente a rede durante a criação. Se você usa IPv6 sub-redes, o Amazon MWAA cria conectividade de link IPv6 privado com o banco de dados e o servidor web. O Amazon MWAA não oferece suporte à transição entre tipos de rede e não pode atualizar ambientes existentes para o. IPv6
## Versões do Apache Airflow
As seguintes versões do Apache Airflow são compatíveis no Amazon Managed Workflows for Apache Airflow.
**nota**
A partir de 30 de dezembro de 2025, o Amazon MWAA encerrará o suporte para as versões v2.4.3, v2.5.1 e v2.6.3 do Apache Airflow. Para obter mais informações, consulte [Suporte à versão do Apache Airflow e perguntas frequentes](airflow-versions.md#airflow-versions-support).
A partir do Apache Airflow v2.2.2, o Amazon MWAA oferece suporte à instalação de requisitos de Python, pacotes de provedores e plug-ins personalizados diretamente no servidor Web do Apache Airflow.
A partir do Apache Airflow v2.7.2, seu arquivo de requisitos deve incluir uma declaração `--constraint`. Se você não fornecer uma restrição, o Amazon MWAA especificará uma para garantir que os pacotes listados em seus requisitos sejam compatíveis com a versão do Apache Airflow que você estiver usando.
Para obter mais informações sobre como configurar restrições em seu arquivo de requisitos, consulte [Instalando dependências do Python](working-dags-dependencies.md#working-dags-dependencies-syntax-create).
| Versão do Apache Airflow | Data de lançamento do Apache Airflow | Data de disponibilidade do Amazon MWAA | Restrições do Apache Airflow | Versão do Python |
| --- | --- | --- | --- | --- |
| [v2.11.0](https://airflow.apache.org/docs/apache-airflow/2.11.0) | [20 de maio de 2025](https://airflow.apache.org/docs/apache-airflow/2.11.0/release_notes.html#airflow-2-11-0-2022-05-20) | 7 de janeiro de 2026 | [Arquivo de restrições v2.11.0](https://raw.githubusercontent.com/apache/airflow/constraints-2.11.0/constraints-3.12.txt) | [Python 3.12](https://peps.python.org/pep-0693/) |
| [v3.0.6](https://airflow.apache.org/docs/apache-airflow/3.0.6) | [29 de agosto de 2025](https://airflow.apache.org/docs/apache-airflow/3.0.6/release_notes.html#airflow-3-0-6-2025-08-29) | 1.º de outubro de 2025 | [Arquivo de restrições da v3.0.6](https://raw.githubusercontent.com/apache/airflow/constraints-3.0.6/constraints-3.12.txt) | [Python 3.12](https://peps.python.org/pep-0693/) |
| [v2.10.3](https://airflow.apache.org/docs/apache-airflow/2.10.3) | [4 de novembro de 2024](https://airflow.apache.org/docs/apache-airflow/2.10.3/release_notes.html#airflow-2-10-3-2024-11-04) | 18 de dezembro de 2024 | [Arquivo de restrições da v2.10.3](https://raw.githubusercontent.com/apache/airflow/constraints-2.10.3/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.10.1](https://airflow.apache.org/docs/apache-airflow/2.10.1) | [5 de setembro de 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-10-1-2024-09-05) | 26 de setembro de 2024 | [Arquivo de restrições da v2.10.1](https://raw.githubusercontent.com/apache/airflow/constraints-2.10.1/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.9.2](https://airflow.apache.org/docs/apache-airflow/2.9.2) | [10 de junho de 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-9-2-2024-06-10) | 9 de julho de 2024 | [Arquivo de restrições da v2.9.2](https://raw.githubusercontent.com/apache/airflow/constraints-2.9.2/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.8.1](https://airflow.apache.org/docs/apache-airflow/2.8.1) | [19 de janeiro de 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-8-1-2024-01-19) | 23 de fevereiro de 2024 | [Arquivo de restrições da v2.8.1](https://raw.githubusercontent.com/apache/airflow/constraints-2.8.1/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.7.2](https://airflow.apache.org/docs/apache-airflow/2.7.2) | [12 de outubro de 2023](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-7-2-2023-10-12) | 6 de novembro de 2023 | [Arquivo de restrições da v2.7.2](https://raw.githubusercontent.com/apache/airflow/constraints-2.7.2/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
Para obter mais informações sobre como migrar suas implantações autogerenciadas do Apache Airflow ou migrar um ambiente Amazon MWAA existente, incluindo instruções para fazer backup do seu banco de dados de metadados, consulte o [Guia de migração do Amazon MWAA](https://docs.aws.amazon.com/mwaa/latest/migrationguide/index.html).
## Criar um ambiente
A seção a seguir descreve as etapas para criar um ambiente do Amazon MWAA.
### Etapa um: especificar detalhes
**Para especificar detalhes do ambiente**
1. Abra o console do [Amazon MWAA](https://console.aws.amazon.com/mwaa/home/).
1. Selecione seu Região da AWS.
1. Selecione **Criar ambiente**.
1. Na página **Especificar detalhes**, em **Detalhes do ambiente**:
1. Insira um nome exclusivo para o ambiente em **Nome**.
1. Escolha a versão Apache Airflow na versão **Airflow**.
**nota**
Se nenhum valor for especificado, a versão será padronizada para a mais recente do Apache Airflow. A versão mais recente disponível é o Apache Airflow v3.0.6.
1. Em **Código DAG no Amazon S3**, selecione seu bucket do Amazon S3, especifique o seguinte:
1. **S3 Bucket**. Escolha **Browse S3** e selecione seu bucket do Amazon S3 ou insira o URI do Amazon S3.
1. **DAGs folder**. Escolha **Browse S3** e selecione a pasta `dags` em seu bucket do Amazon S3 ou insira o URI do Amazon S3.
1. **Arquivo de plug-ins - *opcional***. Escolha **Browse S3** e selecione o arquivo `plugins.zip` em seu bucket do Amazon S3 ou insira o URI do Amazon S3.
1. **Arquivo de requisitos - *opcional***. Escolha **Browse S3** e selecione o arquivo `requirements.txt` em seu bucket do Amazon S3 ou insira o URI do Amazon S3.
1. **Arquivo de script de inicialização - *opcional***, escolha **Browse S3** e selecione o arquivo de script em seu bucket do Amazon S3 ou insira o URI do Amazon S3.
1. Escolha **Próximo**.
### Etapa 2: definir as configurações avançadas
**Para definir configurações avançadas**
1. Na página **Definir configurações avançadas**, em **Rede**:
1. Escolha sua [Amazon VPC](vpc-create.md).
Essa etapa preenche duas das sub-redes privadas em seu Amazon VPC.
1. Em **Acesso ao servidor Web**, selecione seu [modo preferido de acesso ao Apache Airflow](configuring-networking.md):
1. **Rede privada**. Isso limita o acesso da interface do usuário do Apache Airflow aos usuários *dentro de seu Amazon VPC* que receberam acesso à [política do IAM para seu ambiente](access-policies.md). Você precisa de permissão para criar endpoints da VPC Amazon para esta etapa.
**nota**
Escolha a opção de **rede privada** se sua IU do Apache Airflow for acessada somente dentro de uma rede corporativa e você não precisar de acesso a repositórios públicos para a instalação dos requisitos do servidor Web. Se escolher essa opção de modo de acesso, você precisará criar um mecanismo para acessar seu servidor Web do Apache Airflow em sua Amazon VPC. Para obter mais informações, consulte [Como acessar o endpoint da VPC para seu servidor Web do Apache Airflow (acesso à rede privada)](vpc-vpe-access.md#vpc-vpe-access-endpoints).
1. **Rede pública**. Isso permite que a IU do Apache Airflow seja acessada pela internet por usuários com acesso à [política do IAM do seu ambiente](access-policies.md).
1. Em **Grupos de segurança**, escolha o grupo de segurança usado para proteger sua [Amazon VPC](vpc-create.md):
1. Por padrão, o Amazon MWAA cria um grupo de segurança em sua Amazon VPC com regras específicas de entrada e saída em **Criar novo grupo de segurança.**
1. **Opcional.** Desmarque a caixa de seleção em **Criar novo grupo de segurança** para selecionar até 5 grupos de segurança.
**nota**
Um grupo de segurança existente do Amazon VPC deve ser configurado com regras específicas de entrada e saída para permitir o tráfego na rede. Consulte [Segurança em sua VPC no Amazon MWAA](vpc-security.md) para saber mais.
1. Em **Classe de ambiente**, escolha uma [classe de ambiente](environment-class.md).
Recomendamos escolher o menor tamanho necessário para dar suporte a sua workload. É possível fazer alterações na classe de ambiente a qualquer momento.
1. Em **Contagem máxima de operadores**, especifique o número máximo de operadores do Apache Airflow a serem executados no ambiente.
Para obter mais informações, consulte [Exemplo de caso de uso de alto desempenho](mwaa-autoscaling.md#mwaa-autoscaling-high-volume).
1. Especifique a **contagem máxima de servidores Web** e a **contagem mínima de servidores Web** para configurar como o Amazon MWAA escala os servidores Web do Apache Airflow no ambiente.
Para obter mais informações sobre o ajuste de escala automático de servidores Web, consulte [Como configurar o ajuste de escala automático do servidor Web do Amazon MWAA](mwaa-web-server-autoscaling.md).
1. Em **Criptografia**, escolha uma opção de criptografia de dados:
1. Por padrão, o Amazon MWAA usa uma chave AWS própria para criptografar seus dados.
1. **Opcional.** Escolha **Personalizar configurações de criptografia (avançadas)** para escolher uma AWS KMS chave diferente. Se você optar por especificar uma [chave gerenciada pelo cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) nesta etapa, deverá especificar um ID de AWS KMS chave ou ARN. [AWS KMS aliases e chaves multirregionais não são compatíveis com o Amazon](custom-keys-certs.md) MWAA. Se você especificou uma chave Amazon S3 para criptografia do lado do servidor em seu bucket Amazon S3, você deve especificar a mesma chave para seu ambiente Amazon MWAA.
**nota**
Você deve ter permissões para a chave para selecioná-la no console do Amazon MWAA. Você também deve conceder permissões para que o Amazon MWAA use a chave anexando a política descrita em [Anexar política de chave](custom-keys-certs.md#custom-keys-certs-grant-policies-attach).
1. **Recomendado**. Em **Monitoramento**, escolha uma ou mais categorias de registro para a **configuração de registro do Airflow** para enviar os registros do Apache Airflow para os registros: CloudWatch
1. **Logs de tarefas do Airflow**. **Escolha o tipo de registros de tarefas do Apache Airflow a serem enviados para Logs no nível CloudWatch de registro.**
1. **Logs do servidor Web do Airflow**. **Escolha o tipo de registros do servidor web Apache Airflow a serem enviados CloudWatch para Logs no nível de registro.**
1. **Logs do agendador de Airflow**. **Escolha o tipo de registros do agendador do Apache Airflow a serem enviados CloudWatch para Logs no nível de registro.**
1. **Logs de operadores do Airflow**. **Escolha o tipo de registros de trabalho do Apache Airflow a serem enviados para Logs no nível CloudWatch de registro.**
1. **Logs de processamento do Airflow DAG**. **Escolha o tipo de registros de processamento do Apache Airflow DAG a serem enviados CloudWatch para Logs no nível de registro.**
1. **Opcional.** Para **opções de configuração do Airflow**, escolha **Adicionar opção de configuração personalizada**.
É possível escolher na lista suspensa sugerida das [opções de configuração do Apache Airflow](configuring-env-variables.md) para sua versão do Apache Airflow ou especificar opções de configuração personalizadas. Por exemplo, `core.default_task_retries` : `3`.
1. **Opcional.** Em **Tags**, escolha **Adicionar nova tag** para associar tags ao seu ambiente. Por exemplo, `Environment`: `Staging`.
1. Em **Permissões**, escolha um perfil de execução:
1. Por padrão, o Amazon MWAA cria um [perfil de execução](mwaa-create-role.md) em **Create a new role** (Criar um nova perfil). Você deve ter permissão para criar perfis do IAM.
1. **Opcional.** Escolha **Inserir ARN de perfil** (ARN) para inserir o nome do recurso da Amazon (ARN) de um perfil de execução existente.
1. Escolha **Next** (Próximo).
### Etapa 3: Revisar e criar
**Para revisar um resumo do ambiente**
+ Revise o resumo do ambiente e escolha **Criar ambiente**.
**nota**
Leva cerca de vinte a trinta minutos para criar um ambiente.
## Próximas etapas
+ Saiba como criar um bucket do Amazon S3 em [Criar um bucket do Amazon S3 para o Amazon MWAA](mwaa-s3-bucket.md).