Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erste Schritte mit von Amazon verwalteten Workflows für Apache Airflow
Amazon Managed Workflows for Apache Airflow verwendet die Amazon VPC-, DAG-Dateien und unterstützenden Dateien in Ihrem Amazon S3 S3-Speicher-Bucket, um eine Umgebung zu erstellen. In diesem Kapitel werden die Voraussetzungen und AWS Ressourcen beschrieben, die für den Einstieg in Amazon MWAA erforderlich sind.
**Topics**
+ [Voraussetzungen](#prerequisites)
+ [Informationen zu diesem Handbuch](#prerequisites-infra)
+ [Bevor Sie beginnen](#prerequisites-before)
+ [Verfügbare Regionen](#regions)
+ [Erstellen Sie einen Amazon S3 S3-Bucket für Amazon MWAA](mwaa-s3-bucket.md)
+ [Erstellen Sie das VPC-Netzwerk](vpc-create.md)
+ [Erstellen Sie eine Amazon MWAA-Umgebung](create-environment.md)
+ [Als nächstes](#mwaa-s3-bucket-next-up)
## Voraussetzungen
Um eine Amazon MWAA-Umgebung zu erstellen, stellen Sie sicher, dass Sie über Berechtigungen für die AWS Ressourcen verfügen, die Sie erstellen müssen.
+ **AWS-Konto**— Und AWS-Konto mit der Genehmigung zur Nutzung von Amazon MWAA und der von Ihrer Umgebung verwendeten AWS Dienste und Ressourcen.
## Informationen zu diesem Handbuch
Dieser Leitfaden behandelt die AWS Infrastruktur und die Ressourcen, die Sie erstellen werden.
+ **Amazon VPC** — Die Amazon VPC-Netzwerkkomponenten, die für eine Amazon MWAA-Umgebung erforderlich sind. Sie können eine vorhandene VPC konfigurieren, die diese (erweiterten) Anforderungen erfüllt, wie unter beschrieben[Über Netzwerke auf Amazon MWAA](networking-about.md), oder die VPC- und Netzwerkkomponenten erstellen, wie unter definiert. [Erstellen Sie das VPC-Netzwerk](vpc-create.md)
+ **Amazon S3 S3-Bucket** — Ein Amazon S3 S3-Bucket zum Speichern Ihrer DAGs und der zugehörigen Dateien wie `plugins.zip` und`requirements.txt`. Ihr Amazon S3 S3-Bucket muss so konfiguriert sein, dass er **jeglichen öffentlichen Zugriff blockiert** und die **Bucket-Versionierung** aktiviert ist, wie unter definiert. [Erstellen Sie einen Amazon S3 S3-Bucket für Amazon MWAA](mwaa-s3-bucket.md)
+ **Amazon MWAA-Umgebung** — Eine Amazon MWAA-Umgebung, die mit dem Speicherort Ihres Amazon S3 S3-Buckets, dem Pfad zu Ihrem DAG-Code und allen benutzerdefinierten Plugins oder Python-Abhängigkeiten sowie Ihrer Amazon VPC und der zugehörigen Sicherheitsgruppe konfiguriert ist, wie unter definiert. [Erstellen Sie eine Amazon MWAA-Umgebung](create-environment.md)
## Bevor Sie beginnen
Um eine Amazon MWAA-Umgebung zu erstellen, können Sie zusätzliche Schritte unternehmen, um andere AWS Ressourcen zu erstellen und zu konfigurieren, bevor Sie Ihre Umgebung erstellen.
Um eine Umgebung zu erstellen, benötigen Sie Folgendes:
+ **AWS KMS Schlüssel** — Ein AWS KMS Schlüssel für die Datenverschlüsselung in Ihrer Umgebung. Sie können die Standardoption auf der Amazon [AWS MWAA-Konsole wählen, um beim Erstellen einer Umgebung einen eigenen Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) zu erstellen, oder einen vorhandenen vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) mit Berechtigungen für andere AWS Dienste angeben, die von Ihrer Umgebung verwendet werden, konfiguriert (erweitert). Weitere Informationen finden Sie unter. [Verwendung von vom Kunden verwalteten Schlüsseln zur Verschlüsselung](custom-keys-certs.md)
+ **Ausführungsrolle** — Eine Ausführungsrolle, die Amazon MWAA den Zugriff auf AWS Ressourcen in Ihrer Umgebung ermöglicht. Sie können die Standardoption auf der Amazon MWAA-Konsole wählen, um beim Erstellen einer Umgebung eine Ausführungsrolle zu erstellen. Weitere Informationen finden Sie unter. [Amazon MWAA-Ausführungsrolle](mwaa-create-role.md)
+ **VPC-Sicherheitsgruppe** — Eine VPC-Sicherheitsgruppe, die Amazon MWAA den Zugriff auf andere AWS Ressourcen in Ihrem VPC-Netzwerk ermöglicht. Sie können die Standardoption auf der Amazon MWAA-Konsole wählen, um beim Erstellen einer Umgebung eine Sicherheitsgruppe zu erstellen, oder eine Sicherheitsgruppe mit den entsprechenden Regeln für eingehenden und ausgehenden Datenverkehr (erweitert) bereitstellen. Weitere Informationen finden Sie unter. [Sicherheit in Ihrer VPC auf Amazon MWAA](vpc-security.md)
## Verfügbare Regionen
Amazon MWAA ist im Folgenden verfügbar. AWS-Regionen Weitere Informationen zu den einzelnen Regionen, z. B. darüber, welche standardmäßig aktiviert oder deaktiviert sind, finden Sie unter. [AWS-Regionen](https://docs.aws.amazon.com/global-infrastructure/latest/regions/aws-regions.html)
| Code | Name |
| --- | --- |
| us-east-1 | USA Ost (Nord-Virginia) |
| us-east-2 | USA Ost (Ohio) |
| us-west-1 | USA West (Nordkalifornien) |
| us-west-2 | USA West (Oregon) |
| af-south-1 | Afrika (Kapstadt) |
| ap-east-1 | Asien-Pazifik (Hongkong) |
| ap-south-2 | Asien-Pazifik (Hyderabad) |
| ap-southeast-3 | Asien-Pazifik (Jakarta) |
| ap-southeast-5 | Asien-Pazifik (Malaysia) |
| ap-southeast-4 | Asien-Pazifik (Melbourne) |
| ap-south-1 | Asien-Pazifik (Mumbai) |
| ap-northeast-3 | Asien-Pazifik (Osaka) |
| ap-northeast-2 | Asien-Pazifik (Seoul) |
| ap-southeast-1 | Asien-Pazifik (Singapur) |
| ap-southeast-2 | Asien-Pazifik (Sydney) |
| ap-northeast-1 | Asien-Pazifik (Tokio) |
| ca-central-1 | Kanada (Zentral) |
| ca-west-1 | Kanada West (Calgary) |
| eu-central-1 | Europa (Frankfurt) |
| eu-west-1 | Europa (Irland) |
| eu-west-2 | Europa (London) |
| eu-south-1 | Europa (Milan) |
| eu-west-3 | Europa (Paris) |
| eu-south-2 | Europa (Spain) |
| eu-north-1 | Europa (Stockholm) |
| eu-central-2 | Europa (Zürich) |
| il-central-1 | Israel (Tel Aviv) |
| me-south-1 | Middle East (Bahrain) |
| me-central-1 | Naher Osten (VAE) |
| sa-east-1 | Südamerika (São Paulo) |
# Erstellen Sie einen Amazon S3 S3-Bucket für Amazon MWAA
In diesem Handbuch werden die Schritte zum Erstellen eines Amazon S3 S3-Buckets beschrieben, um Ihre Apache Airflow Directed Acyclic Graphs (DAGs), benutzerdefinierte Plugins in einer `plugins.zip` Datei und Python-Abhängigkeiten in einer Datei zu speichern. `requirements.txt`
**Contents**
+ [Bevor Sie beginnen](#mwaa-s3-bucket-before)
+ [Erstellen Sie den Bucket](#mwaa-s3-bucket-create)
+ [Als nächstes](#mwaa-s3-bucket-next-up)
## Bevor Sie beginnen
+ Der Name des Amazon S3 S3-Buckets kann nicht geändert werden, nachdem Sie den Bucket erstellt haben. Weitere Informationen finden Sie unter [Regeln für die Benennung von Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/BucketRestrictions.html#bucketnamingrules) im *Amazon Simple Storage Service-Benutzerhandbuch*.
+ Ein Amazon S3 S3-Bucket, der für eine Amazon MWAA-Umgebung verwendet wird, muss so konfiguriert sein, dass er **jeglichen öffentlichen Zugriff blockiert**, wobei **Bucket Versioning** aktiviert ist.
+ Ein Amazon S3 S3-Bucket, der für eine Amazon MWAA-Umgebung verwendet wird, muss sich in derselben Umgebung AWS-Region wie eine Amazon MWAA-Umgebung befinden. Eine Liste von AWS-Regionen Amazon MWAA finden Sie unter Amazon [MWAA-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/mwaa.html) in der. *Allgemeine AWS-Referenz*
## Erstellen Sie den Bucket
In diesem Abschnitt werden die Schritte zum Erstellen des Amazon S3 S3-Buckets für Ihre Umgebung beschrieben.
**So erstellen Sie einen Bucket**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie **Create Bucket** (Bucket erstellen) aus.
1. Geben Sie unter **Bucket name (Bucket-Name)** einen DNS-kompatiblen Namen für Ihren Bucket ein.
Der Bucket-Name muss ...:
+ überall in Amazon S3 eindeutig sein.
+ zwischen 3 und 63 Zeichen lang sein,
+ Enthält keine Großbuchstaben.
+ mit einem Kleinbuchstaben oder einer Zahl beginnen.
**Wichtig**
Vermeiden Sie, vertrauliche Informationen, wie Kontonummern, in den Bucket-Namen einzubeziehen. Der Bucket-Name ist in dem Punkt verfügbar URLs , der auf die Objekte im Bucket verweist.
1. Wählen Sie eine AWS-Region **In-Region** aus. Dies muss mit Ihrer Amazon MWAA-Umgebung identisch AWS-Region sein.
1. Wir empfehlen, eine Region in Ihrer Nähe zu wählen, um Latenz und Kosten zu minimieren und gesetzliche Anforderungen zu erfüllen.
1. Wählen Sie **Block all public access (Öffentlichen Zugriff blockieren)** aus.
1. Wählen Sie unter **Bucket Versioning** die Option **Aktivieren** aus.
1. **Optional** — *Tags*. **Fügen Sie Schlüssel-Wert-Tag-Paare hinzu, um Ihren Amazon S3 S3-Bucket in Tags zu identifizieren.** Beispiel: `Bucket` : `Staging`.
1. **Optional** — *Serverseitige Verschlüsselung*. Sie können optional eine der folgenden Verschlüsselungsoptionen in Ihrem Amazon S3 S3-Bucket **aktivieren**.
1. Wählen Sie **Amazon S3 S3-Schlüssel (SSE-S3)** unter Serverseitige Verschlüsselung, um die **serverseitige Verschlüsselung** für den Bucket zu aktivieren.
1. Wählen Sie den **AWS Key Management Service Schlüssel (SSE-KMS)**, um einen AWS KMS Schlüssel für die Verschlüsselung in Ihrem Amazon S3 S3-Bucket zu verwenden:
1. **AWS verwalteter Schlüssel (aws/s3)** — Wenn Sie diese Option wählen, können Sie entweder einen [AWS eigenen Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-owned-cmk) verwenden, der von Amazon MWAA verwaltet wird, oder einen vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) für die Verschlüsselung Ihrer Amazon MWAA-Umgebung angeben.
1. **Wählen Sie aus Ihren AWS KMS Schlüsseln** oder **geben Sie den AWS KMS Schlüssel-ARN** ein — Wenn Sie in diesem Schritt [einen vom Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) angeben möchten, müssen Sie eine AWS KMS Schlüssel-ID oder einen ARN angeben. [AWS KMS Aliase und Schlüssel für mehrere Regionen werden von Amazon MWAA nicht unterstützt](custom-keys-certs.md). Der von Ihnen angegebene AWS KMS Schlüssel muss auch für die Verschlüsselung in Ihrer Amazon MWAA-Umgebung verwendet werden.
1. **Optional** — *Erweiterte* Einstellungen. Wenn Sie Amazon S3 Object Lock aktivieren möchten:
1. Wählen Sie **Erweiterte Einstellungen**, **Aktivieren**.
**Wichtig**
Wenn Sie die Objektsperre aktivieren, können Objekte in diesem Bucket dauerhaft gesperrt werden. Weitere Informationen finden Sie unter [Sperren von Objekten mithilfe von Amazon S3 Object Lock](https://docs.aws.amazon.com//AmazonS3/latest/dev/object-lock.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
1. Wählen Sie die Bestätigung aus.
1. Wählen Sie **Create Bucket** (Bucket erstellen) aus.
## Als nächstes
+ Erfahren Sie in, wie Sie das erforderliche Amazon VPC-Netzwerk für eine Umgebung erstellen. [Erstellen Sie das VPC-Netzwerk](vpc-create.md)
+ Informationen zur Verwaltung von Zugriffsberechtigungen finden Sie unter [Wie lege ich ACL-Bucket-Berechtigungen fest](https://docs.aws.amazon.com//AmazonS3/latest/user-guide/set-bucket-permissions.html)?
+ Weitere Informationen zum Löschen eines Speicher-Buckets finden [Sie unter Wie lösche ich einen S3-Bucket?](https://docs.aws.amazon.com//AmazonS3/latest/user-guide/delete-bucket.html) .
# Erstellen Sie das VPC-Netzwerk
Amazon Managed Workflows for Apache Airflow erfordert eine Amazon VPC und spezifische Netzwerkkomponenten zur Unterstützung einer Umgebung. In diesem Handbuch werden die verschiedenen Optionen zum Erstellen des Amazon VPC-Netzwerks für eine Amazon Managed Workflows for Apache Airflow Airflow-Umgebung beschrieben.
**Anmerkung**
Apache Airflow funktioniert am besten in einer Netzwerkumgebung mit niedriger Latenz. Wenn Sie eine bestehende Amazon VPC verwenden, die den Datenverkehr in eine andere Region oder in eine lokale Umgebung weiterleitet, empfehlen wir, AWS PrivateLink Endpunkte für Amazon SQS CloudWatch, Amazon S3 und hinzuzufügen. AWS KMS Weitere Informationen zur Konfiguration AWS PrivateLink für Amazon MWAA finden Sie unter [Erstellen eines Amazon VPC-Netzwerks ohne Internetzugang](#vpc-create-template-private-only).
**Contents**
+ [Voraussetzungen](#vpc-create-prereqs)
+ [Bevor Sie beginnen](#vpc-create-how-networking)
+ [Optionen zum Erstellen des Amazon VPC-Netzwerks](#vpc-create-options)
+ [Option eins: Erstellen des VPC-Netzwerks auf der Amazon MWAA-Konsole](#vpc-create-mwaa-console)
+ [Option zwei: Erstellen eines Amazon VPC-Netzwerks *mit* Internetzugang](#vpc-create-template-private-or-public)
+ [Option drei: Erstellen eines Amazon VPC-Netzwerks *ohne* Internetzugang](#vpc-create-template-private-only)
+ [Als nächstes](#create-vpc-next-up)
## Voraussetzungen
Das AWS Command Line Interface (AWS CLI) ist ein Open-Source-Tool, mit dem Sie mithilfe von Befehlen in Ihrer AWS Befehlszeilen-Shell mit Diensten interagieren können. Um die Schritte auf dieser Seite abzuschließen, benötigen Sie Folgendes:
+ [AWS CLI — Installieren Sie Version 2.](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2.html)
+ [AWS CLI — Schnelle Konfiguration mit `aws configure`](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
## Bevor Sie beginnen
+ Das [VPC-Netzwerk](#vpc-create), das Sie für Ihre Umgebung angeben, kann nach der Erstellung der Umgebung nicht geändert werden.
+ Sie können privates oder öffentliches Routing für Ihre Amazon VPC- und Apache Airflow Airflow-Webserver verwenden. Eine Liste mit Optionen finden Sie unter. [Beispielanwendungsfälle für eine Amazon VPC und den Apache Airflow Airflow-Zugriffsmodus](networking-about.md#networking-about-network-usecase)
## Optionen zum Erstellen des Amazon VPC-Netzwerks
Im folgenden Abschnitt werden die verfügbaren Optionen beschrieben, um das Amazon VPC-Netzwerk für eine Umgebung zu erstellen.
**Anmerkung**
Amazon MWAA unterstützt die Verwendung der `use1-az3` Availability Zone (AZ) in der Region USA Ost (Nord-Virginia) nicht. Wenn Sie die VPC für Amazon MWAA in der Region USA Ost (Nord-Virginia) erstellen, müssen Sie die `AvailabilityZone` in der Vorlage CloudFormation (CFN) explizit zuweisen. Der zugewiesene Name der Verfügbarkeitszone darf nicht zugeordnet sein. `use1-az3` Sie können die detaillierte Zuordnung der AZ-Namen zu ihrer entsprechenden AZ abrufen, IDs indem Sie den folgenden Befehl ausführen:
```
aws ec2 describe-availability-zones --region us-east-1
```
### Option eins: Erstellen des VPC-Netzwerks auf der Amazon MWAA-Konsole
Im folgenden Abschnitt wird erklärt, wie Sie ein Amazon VPC-Netzwerk auf der Amazon MWAA-Konsole erstellen. Diese Option verwendet. [Öffentliches Routing über das Internet](networking-about.md#networking-about-overview-public) Es kann für einen Apache Airflow Airflow-Webserver mit den Zugriffsmodi **Privates Netzwerk** oder **Öffentliches Netzwerk** verwendet werden.
Die folgende Abbildung zeigt, wo Sie die Schaltfläche **MWAA-VPC erstellen auf der Amazon MWAA-Konsole** finden.
![\[Dieses Bild zeigt, wo Sie die Create MWAA VPC auf der Amazon MWAA-Konsole finden.\]](http://docs.aws.amazon.com/de_de/mwaa/latest/userguide/images/mwaa-console-create-vpc.png)
### Option zwei: Erstellen eines Amazon VPC-Netzwerks *mit* Internetzugang
Die folgende CloudFormation Vorlage erstellt standardmäßig AWS-Region ein Amazon VPC-Netzwerk mit Internetzugang. Diese Option verwendet[Öffentliches Routing über das Internet](networking-about.md#networking-about-overview-public). Diese Vorlage kann für einen Apache Airflow Airflow-Webserver mit den Zugriffsmodi **Privates Netzwerk** oder **Öffentliches Netzwerk** verwendet werden.
1. Kopieren Sie den Inhalt der folgenden Vorlage und speichern Sie ihn lokal unter. `cfn-vpc-public-private.yaml` Sie können [die Vorlage auch herunterladen](./samples/cfn-vpc-public-private.zip).
```
Description: This template deploys a VPC, with a pair of public and private subnets spread
across two Availability Zones. It deploys an internet gateway, with a default
route on the public subnets. It deploys a pair of NAT gateways (one in each AZ),
and default routes for them in the private subnets.
Parameters:
EnvironmentName:
Description: An environment name that is prefixed to resource names
Type: String
Default: mwaa-
VpcCIDR:
Description: Please enter the IP range (CIDR notation) for this VPC
Type: String
Default: 10.192.0.0/16
PublicSubnet1CIDR:
Description: Please enter the IP range (CIDR notation) for the public subnet in the first Availability Zone
Type: String
Default: 10.192.10.0/24
PublicSubnet2CIDR:
Description: Please enter the IP range (CIDR notation) for the public subnet in the second Availability Zone
Type: String
Default: 10.192.11.0/24
PrivateSubnet1CIDR:
Description: Please enter the IP range (CIDR notation) for the private subnet in the first Availability Zone
Type: String
Default: 10.192.20.0/24
PrivateSubnet2CIDR:
Description: Please enter the IP range (CIDR notation) for the private subnet in the second Availability Zone
Type: String
Default: 10.192.21.0/24
Resources:
VPC:
Type: AWS::EC2::VPC
Properties:
CidrBlock: !Ref VpcCIDR
EnableDnsSupport: true
EnableDnsHostnames: true
Tags:
- Key: Name
Value: !Ref EnvironmentName
InternetGateway:
Type: AWS::EC2::InternetGateway
Properties:
Tags:
- Key: Name
Value: !Ref EnvironmentName
InternetGatewayAttachment:
Type: AWS::EC2::VPCGatewayAttachment
Properties:
InternetGatewayId: !Ref InternetGateway
VpcId: !Ref VPC
PublicSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PublicSubnet1CIDR
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Subnet (AZ1)
PublicSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PublicSubnet2CIDR
MapPublicIpOnLaunch: true
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Subnet (AZ2)
PrivateSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet1CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Subnet (AZ1)
PrivateSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet2CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Subnet (AZ2)
NatGateway1EIP:
Type: AWS::EC2::EIP
DependsOn: InternetGatewayAttachment
Properties:
Domain: vpc
NatGateway2EIP:
Type: AWS::EC2::EIP
DependsOn: InternetGatewayAttachment
Properties:
Domain: vpc
NatGateway1:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt NatGateway1EIP.AllocationId
SubnetId: !Ref PublicSubnet1
NatGateway2:
Type: AWS::EC2::NatGateway
Properties:
AllocationId: !GetAtt NatGateway2EIP.AllocationId
SubnetId: !Ref PublicSubnet2
PublicRouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Public Routes
DefaultPublicRoute:
Type: AWS::EC2::Route
DependsOn: InternetGatewayAttachment
Properties:
RouteTableId: !Ref PublicRouteTable
DestinationCidrBlock: 0.0.0.0/0
GatewayId: !Ref InternetGateway
PublicSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnet1
PublicSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PublicRouteTable
SubnetId: !Ref PublicSubnet2
PrivateRouteTable1:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Routes (AZ1)
DefaultPrivateRoute1:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref PrivateRouteTable1
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway1
PrivateSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PrivateRouteTable1
SubnetId: !Ref PrivateSubnet1
PrivateRouteTable2:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub ${EnvironmentName} Private Routes (AZ2)
DefaultPrivateRoute2:
Type: AWS::EC2::Route
Properties:
RouteTableId: !Ref PrivateRouteTable2
DestinationCidrBlock: 0.0.0.0/0
NatGatewayId: !Ref NatGateway2
PrivateSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref PrivateRouteTable2
SubnetId: !Ref PrivateSubnet2
SecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
GroupName: "mwaa-security-group"
GroupDescription: "Security group with a self-referencing inbound rule."
VpcId: !Ref VPC
SecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: !Ref SecurityGroup
IpProtocol: "-1"
SourceSecurityGroupId: !Ref SecurityGroup
Outputs:
VPC:
Description: A reference to the created VPC
Value: !Ref VPC
PublicSubnets:
Description: A list of the public subnets
Value: !Join [ ",", [ !Ref PublicSubnet1, !Ref PublicSubnet2 ]]
PrivateSubnets:
Description: A list of the private subnets
Value: !Join [ ",", [ !Ref PrivateSubnet1, !Ref PrivateSubnet2 ]]
PublicSubnet1:
Description: A reference to the public subnet in the 1st Availability Zone
Value: !Ref PublicSubnet1
PublicSubnet2:
Description: A reference to the public subnet in the 2nd Availability Zone
Value: !Ref PublicSubnet2
PrivateSubnet1:
Description: A reference to the private subnet in the 1st Availability Zone
Value: !Ref PrivateSubnet1
PrivateSubnet2:
Description: A reference to the private subnet in the 2nd Availability Zone
Value: !Ref PrivateSubnet2
SecurityGroupIngress:
Description: Security group with self-referencing inbound rule
Value: !Ref SecurityGroupIngress
```
1. Navigieren Sie in der Befehlszeile zu dem Verzeichnis, in dem `cfn-vpc-public-private.yaml` es gespeichert ist. Zum Beispiel:
```
cd mwaaproject
```
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html)Befehl, um den Stack mit dem zu erstellen AWS CLI.
```
aws cloudformation create-stack --stack-name mwaa-environment --template-body file://cfn-vpc-public-private.yaml
```
**Anmerkung**
Die Erstellung der Amazon VPC-Infrastruktur dauert etwa 30 Minuten.
### Option drei: Erstellen eines Amazon VPC-Netzwerks *ohne* Internetzugang
Die folgende CloudFormation Vorlage erstellt standardmäßig AWS-Region ein Amazon VPC-Netzwerk *ohne Internetzugang*.
Diese Option verwendet[Privates Routing ohne Internetzugang](networking-about.md#networking-about-overview-private). Diese Vorlage kann nur für einen Apache Airflow Airflow-Webserver mit dem **privaten Netzwerkzugriffsmodus** verwendet werden. Es erstellt die erforderlichen [VPC-Endpunkte für die von einer AWS Umgebung verwendeten Dienste](vpc-vpe-create-access.md#vpc-vpe-create-view-endpoints-attach-services).
1. Kopieren Sie den Inhalt der folgenden Vorlage und speichern Sie ihn lokal unter. `cfn-vpc-private.yaml` Sie können [die Vorlage auch herunterladen](./samples/cfn-vpc-private-no-ops.zip).
```
AWSTemplateFormatVersion: "2010-09-09"
Parameters:
VpcCIDR:
Description: The IP range (CIDR notation) for this VPC
Type: String
Default: 10.192.0.0/16
PrivateSubnet1CIDR:
Description: The IP range (CIDR notation) for the private subnet in the first Availability Zone
Type: String
Default: 10.192.10.0/24
PrivateSubnet2CIDR:
Description: The IP range (CIDR notation) for the private subnet in the second Availability Zone
Type: String
Default: 10.192.11.0/24
Resources:
VPC:
Type: AWS::EC2::VPC
Properties:
CidrBlock: !Ref VpcCIDR
EnableDnsSupport: true
EnableDnsHostnames: true
Tags:
- Key: Name
Value: !Ref AWS::StackName
RouteTable:
Type: AWS::EC2::RouteTable
Properties:
VpcId: !Ref VPC
Tags:
- Key: Name
Value: !Sub "${AWS::StackName}-route-table"
PrivateSubnet1:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 0, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet1CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub "${AWS::StackName} Private Subnet (AZ1)"
PrivateSubnet2:
Type: AWS::EC2::Subnet
Properties:
VpcId: !Ref VPC
AvailabilityZone: !Select [ 1, !GetAZs '' ]
CidrBlock: !Ref PrivateSubnet2CIDR
MapPublicIpOnLaunch: false
Tags:
- Key: Name
Value: !Sub "${AWS::StackName} Private Subnet (AZ2)"
PrivateSubnet1RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref RouteTable
SubnetId: !Ref PrivateSubnet1
PrivateSubnet2RouteTableAssociation:
Type: AWS::EC2::SubnetRouteTableAssociation
Properties:
RouteTableId: !Ref RouteTable
SubnetId: !Ref PrivateSubnet2
S3VpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.s3"
VpcEndpointType: Gateway
VpcId: !Ref VPC
RouteTableIds:
- !Ref RouteTable
SecurityGroup:
Type: AWS::EC2::SecurityGroup
Properties:
VpcId: !Ref VPC
GroupDescription: Security Group for Amazon MWAA Environments to access VPC endpoints
GroupName: !Sub "${AWS::StackName}-mwaa-vpc-endpoints"
SecurityGroupIngress:
Type: AWS::EC2::SecurityGroupIngress
Properties:
GroupId: !Ref SecurityGroup
IpProtocol: "-1"
SourceSecurityGroupId: !Ref SecurityGroup
SqsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.sqs"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
CloudWatchLogsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.logs"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
CloudWatchMonitoringVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.monitoring"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
KmsVpcEndoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: !Sub "com.amazonaws.${AWS::Region}.kms"
VpcEndpointType: Interface
VpcId: !Ref VPC
PrivateDnsEnabled: true
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
SecurityGroupIds:
- !Ref SecurityGroup
Outputs:
VPC:
Description: A reference to the created VPC
Value: !Ref VPC
MwaaSecurityGroupId:
Description: Associates the Security Group to the environment to allow access to the VPC endpoints
Value: !Ref SecurityGroup
PrivateSubnets:
Description: A list of the private subnets
Value: !Join [ ",", [ !Ref PrivateSubnet1, !Ref PrivateSubnet2 ]]
PrivateSubnet1:
Description: A reference to the private subnet in the 1st Availability Zone
Value: !Ref PrivateSubnet1
PrivateSubnet2:
Description: A reference to the private subnet in the 2nd Availability Zone
Value: !Ref PrivateSubnet2
```
1. Navigieren Sie in der Befehlszeile zu dem Verzeichnis, in dem `cfn-vpc-private.yml` es gespeichert ist. Zum Beispiel:
```
cd mwaaproject
```
1. Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html)Befehl, um den Stack mit dem zu erstellen AWS CLI.
```
aws cloudformation create-stack --stack-name mwaa-private-environment --template-body file://cfn-vpc-private.yml
```
**Anmerkung**
Die Erstellung der Amazon VPC-Infrastruktur dauert etwa 30 Minuten.
1. Sie müssen einen Mechanismus erstellen, um von Ihrem Computer aus auf diese VPC-Endpunkte zuzugreifen. Weitere Informationen finden Sie unter. [Verwaltung des Zugriffs auf servicespezifische Amazon VPC-Endpunkte auf Amazon MWAA](vpc-vpe-access.md)
**Anmerkung**
Sie können den ausgehenden Zugriff im CIDR Ihrer Amazon MWAA-Sicherheitsgruppe weiter einschränken. Sie können sich beispielsweise auf sich selbst beschränken, indem Sie eine selbstreferenzierende ausgehende Regel, die [Präfixliste](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html) für Amazon S3 und die CIDR Ihrer Amazon VPC hinzufügen.
## Als nächstes
+ Erfahren Sie in, wie Sie eine Amazon MWAA-Umgebung erstellen. [Erstellen Sie eine Amazon MWAA-Umgebung](create-environment.md)
+ Erfahren Sie, wie Sie einen VPN-Tunnel von Ihrem Computer zu Ihrer Amazon VPC mit privatem Routing einrichten. [Tutorial: Konfiguration des privaten Netzwerkzugriffs mit einem AWS Client VPN](tutorials-private-network-vpn-client.md)
# Erstellen Sie eine Amazon MWAA-Umgebung
Amazon Managed Workflows for Apache Airflow richtet Apache Airflow in einer Umgebung in der von Ihnen ausgewählten Version ein und verwendet dabei denselben Open-Source-Apache Airflow und dieselbe Benutzeroberfläche, die von Apache erhältlich sind. In diesem Handbuch werden die Schritte zum Erstellen einer Amazon MWAA-Umgebung beschrieben.
**Contents**
+ [Bevor Sie beginnen](#create-environment-before)
+ [Apache Airflow versionen](#create-environment-regions-aa-versions)
+ [Erstellen einer Umgebung](#create-environment-start)
+ [Erster Schritt: Geben Sie Details an](#create-environment-start-details)
+ [Schritt zwei: Konfigurieren Sie erweiterte Einstellungen](#create-environment-start-advanced)
+ [Schritt drei: Überprüfen und erstellen](#create-environment-start-review)
## Bevor Sie beginnen
+ Das [VPC-Netzwerk](vpc-create.md), das Sie für Ihre Umgebung angeben, kann nach der Erstellung der Umgebung nicht geändert werden.
+ Sie benötigen einen Amazon S3 S3-Bucket, der so konfiguriert ist, dass er den **gesamten öffentlichen Zugriff blockiert** und die **Bucket-Versionierung** aktiviert ist.
+ Sie benötigen eine AWS-Konto mit [Berechtigungen zur Verwendung von Amazon MWAA und eine](manage-access.md) Berechtigung in AWS Identity and Access Management (IAM), um IAM-Rollen zu erstellen. Wenn Sie den **privaten Netzwerkzugriffsmodus** für den Apache Airflow Airflow-Webserver wählen, der den Apache Airflow Airflow-Zugriff innerhalb Ihrer Amazon VPC einschränkt, benötigen Sie eine Genehmigung in IAM, um Amazon VPC-Endpunkte zu erstellen.
**Anmerkung**
Amazon MWAA bestimmt das Netzwerk während der Erstellung dynamisch. Wenn Sie IPv6 Subnetze verwenden, stellt Amazon MWAA IPv6 private Link-Konnektivität zur Datenbank und zum Webserver her. Amazon MWAA unterstützt keinen Übergang zwischen Netzwerktypen und kann bestehende Umgebungen nicht darauf aufrüsten. IPv6
## Apache Airflow versionen
Die folgenden Apache Airflow-Versionen werden von Amazon Managed Workflows for Apache Airflow unterstützt.
**Anmerkung**
Mit Wirkung zum 30. Dezember 2025 wird Amazon MWAA die Unterstützung für die Apache Airflow Airflow-Versionen v2.4.3, v2.5.1 und v2.6.3 einstellen. Weitere Informationen finden Sie unter [Apache Airflow Airflow-Versionsunterstützung und häufig gestellte Fragen](airflow-versions.md#airflow-versions-support).
Ab Apache Airflow v2.2.2 unterstützt Amazon MWAA die Installation von Python-Anforderungen, Provider-Paketen und benutzerdefinierten Plugins direkt auf dem Apache Airflow Airflow-Webserver.
Ab Apache Airflow v2.7.2 muss Ihre Anforderungsdatei eine Erklärung enthalten. `--constraint` Wenn Sie keine Einschränkung angeben, gibt Amazon MWAA eine für Sie an, um sicherzustellen, dass die in Ihren Anforderungen aufgeführten Pakete mit der Version von Apache Airflow kompatibel sind, die Sie verwenden.
Weitere Informationen zum Einrichten von Einschränkungen in Ihrer Anforderungsdatei finden Sie unter [Python-Abhängigkeiten installieren](working-dags-dependencies.md#working-dags-dependencies-syntax-create).
| Apache Airflow Airflow-Ausführung | Veröffentlichungsdatum von Apache Airflow | Verfügbarkeitsdatum von Amazon MWAA | Einschränkungen bei Apache Airflow | Python-Version |
| --- | --- | --- | --- | --- |
| [v2.11.0](https://airflow.apache.org/docs/apache-airflow/2.11.0) | [20. Mai 2025](https://airflow.apache.org/docs/apache-airflow/2.11.0/release_notes.html#airflow-2-11-0-2022-05-20) | 7. Januar 2026 | [Datei mit Einschränkungen für Version 2.11.0](https://raw.githubusercontent.com/apache/airflow/constraints-2.11.0/constraints-3.12.txt) | [Python 3.12](https://peps.python.org/pep-0693/) |
| [Version 3.0.6](https://airflow.apache.org/docs/apache-airflow/3.0.6) | [29. August 2025](https://airflow.apache.org/docs/apache-airflow/3.0.6/release_notes.html#airflow-3-0-6-2025-08-29) | 1. Oktober 2025 | [Datei mit Einschränkungen für Version 3.0.6](https://raw.githubusercontent.com/apache/airflow/constraints-3.0.6/constraints-3.12.txt) | [Python 3.12](https://peps.python.org/pep-0693/) |
| [v2.10.3](https://airflow.apache.org/docs/apache-airflow/2.10.3) | [4. November 2024](https://airflow.apache.org/docs/apache-airflow/2.10.3/release_notes.html#airflow-2-10-3-2024-11-04) | 18. Dezember 2024 | [v2.10.3-Einschränkungsdatei](https://raw.githubusercontent.com/apache/airflow/constraints-2.10.3/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [Version 2.10.1](https://airflow.apache.org/docs/apache-airflow/2.10.1) | [5. September 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-10-1-2024-09-05) | 26. September 2024 | [Datei mit Einschränkungen für Version 2.10.1](https://raw.githubusercontent.com/apache/airflow/constraints-2.10.1/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [v2.9.2](https://airflow.apache.org/docs/apache-airflow/2.9.2) | [10. Juni 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-9-2-2024-06-10) | 9. Juli 2024 | [Datei mit Einschränkungen für Version 2.9.2](https://raw.githubusercontent.com/apache/airflow/constraints-2.9.2/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [Version 2.8.1](https://airflow.apache.org/docs/apache-airflow/2.8.1) | [19. Januar 2024](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-8-1-2024-01-19) | 23. Februar 2024 | [Datei mit Einschränkungen für Version 2.8.1](https://raw.githubusercontent.com/apache/airflow/constraints-2.8.1/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
| [Version 2.7.2](https://airflow.apache.org/docs/apache-airflow/2.7.2) | [12. Oktober 2023](https://airflow.apache.org/docs/apache-airflow/2.10.1/release_notes.html#airflow-2-7-2-2023-10-12) | 6. November 2023 | [v2.7.2 Einschränkungsdatei](https://raw.githubusercontent.com/apache/airflow/constraints-2.7.2/constraints-3.11.txt) | [Python 3.11](https://peps.python.org/pep-0664/) |
[Weitere Informationen zur Migration Ihrer selbstverwalteten Apache Airflow Airflow-Bereitstellungen oder zur Migration einer vorhandenen Amazon MWAA-Umgebung, einschließlich Anweisungen zur Sicherung Ihrer Metadatendatenbank, finden Sie im Amazon MWAA-Migrationshandbuch.](https://docs.aws.amazon.com/mwaa/latest/migrationguide/index.html)
## Erstellen einer Umgebung
Im folgenden Abschnitt werden die Schritte zum Erstellen einer Amazon MWAA-Umgebung beschrieben.
### Erster Schritt: Geben Sie Details an
**Um Details für die Umgebung anzugeben**
1. Öffnen Sie die [Amazon MWAA-Konsole](https://console.aws.amazon.com/mwaa/home/).
1. Wählen Sie Ihre. AWS-Region
1. Wählen Sie **Create environment (Umgebung erstellen)** aus.
1. Gehen Sie auf der Seite **„Details angeben**“ unter **Umgebungsdetails** wie folgt vor:
1. Geben Sie im Feld Name einen eindeutigen Namen für Ihre Umgebung **ein**.
1. Wählen Sie in **Airflow-Version** die Apache-Airflow-Version aus.
**Anmerkung**
Wenn kein Wert angegeben ist, wird standardmäßig die neueste Apache Airflow Airflow-Version verwendet. Die neueste verfügbare Version ist Apache Airflow v3.0.6.
1. Geben Sie unter **DAG-Code in Amazon S3** Folgendes an:
1. **S3-Bucket**. Wählen Sie **Browse S3** und wählen Sie Ihren Amazon S3 S3-Bucket aus, oder geben Sie die Amazon S3 S3-URI ein.
1. **DAGs folder**. Wählen Sie **Browse S3** und wählen Sie den `dags` Ordner in Ihrem Amazon S3 S3-Bucket aus, oder geben Sie die Amazon S3 S3-URI ein.
1. **Plugin-Datei — *optional***. Wählen Sie **Browse S3** und wählen Sie die `plugins.zip` Datei in Ihrem Amazon S3 S3-Bucket aus, oder geben Sie die Amazon S3 S3-URI ein.
1. **Anforderungsdatei — *optional***. Wählen Sie **Browse S3** und wählen Sie die `requirements.txt` Datei in Ihrem Amazon S3 S3-Bucket aus, oder geben Sie die Amazon S3 S3-URI ein.
1. **Startskriptdatei — *optional***, wählen Sie **Durchsuchen S3** und wählen Sie die Skriptdatei in Ihrem Amazon S3 S3-Bucket aus, oder geben Sie den Amazon S3 S3-URI ein.
1. Wählen Sie **Weiter** aus.
### Schritt zwei: Konfigurieren Sie erweiterte Einstellungen
**Konfigurieren von erweiterten Einstellungen**
1. Gehen Sie auf der Seite **Erweiterte Einstellungen konfigurieren** unter **Netzwerk** wie folgt vor:
1. Wählen Sie Ihre [Amazon VPC](vpc-create.md).
In diesem Schritt werden zwei der privaten Subnetze in Ihrer Amazon VPC gefüllt.
1. Wählen Sie unter **Webserver-Zugriff** Ihren bevorzugten [Apache Airflow Airflow-Zugriffsmodus](configuring-networking.md) aus:
1. **Privates Netzwerk**. Dadurch wird der Zugriff auf die Apache Airflow Airflow-Benutzeroberfläche auf Benutzer *in Ihrer Amazon VPC* beschränkt, denen Zugriff auf die [IAM-Richtlinie für](access-policies.md) Ihre Umgebung gewährt wurde. Für diesen Schritt benötigen Sie die Erlaubnis, Amazon VPC-Endpoints zu erstellen.
**Anmerkung**
Wählen Sie die Option **Privates Netzwerk**, wenn auf Ihre Apache Airflow Airflow-Benutzeroberfläche nur innerhalb eines Unternehmensnetzwerks zugegriffen wird und Sie für die Installation der Webserver-Anforderungen keinen Zugriff auf öffentliche Repositorys benötigen. Wenn Sie diese Option für den Zugriffsmodus wählen, müssen Sie einen Mechanismus für den Zugriff auf Ihren Apache Airflow Airflow-Webserver in Ihrer Amazon VPC erstellen. Weitere Informationen finden Sie unter [Zugriff auf den VPC-Endpunkt für Ihren Apache Airflow Airflow-Webserver (privater Netzwerkzugriff)](vpc-vpe-access.md#vpc-vpe-access-endpoints).
1. **Öffentliches Netzwerk.** Dadurch können Benutzer, denen Zugriff auf die [IAM-Richtlinie für Ihre](access-policies.md) Umgebung gewährt wurde, über das Internet auf die Apache Airflow Airflow-Benutzeroberfläche zugreifen.
1. Wählen Sie unter **Sicherheitsgruppen** die Sicherheitsgruppe aus, die zum Schutz Ihrer [Amazon VPC](vpc-create.md) verwendet wird:
1. **Standardmäßig erstellt Amazon MWAA eine Sicherheitsgruppe in Ihrer Amazon VPC mit spezifischen Regeln für eingehenden und ausgehenden Datenverkehr unter Neue Sicherheitsgruppe erstellen.**
1. **Optional**. Deaktivieren Sie das Kontrollkästchen unter **Neue Sicherheitsgruppe erstellen, um bis zu 5 Sicherheitsgruppen** auszuwählen.
**Anmerkung**
Eine bestehende Amazon VPC-Sicherheitsgruppe muss mit bestimmten Regeln für eingehenden und ausgehenden Datenverkehr konfiguriert werden, um Netzwerkverkehr zuzulassen. Weitere Informationen finden Sie unter. [Sicherheit in Ihrer VPC auf Amazon MWAA](vpc-security.md)
1. Wählen Sie unter **Umgebungsklasse** eine [Umgebungsklasse aus](environment-class.md).
Wir empfehlen, die kleinste Größe zu wählen, die zur Unterstützung Ihrer Arbeitslast erforderlich ist. Sie können die Umgebungsklasse jederzeit ändern.
1. Geben Sie für **Maximale Anzahl von Arbeitern** die maximale Anzahl von Apache Airflow Airflow-Workern an, die in der Umgebung ausgeführt werden sollen.
Weitere Informationen finden Sie unter [Beispiel für einen Anwendungsfall mit hoher Leistung](mwaa-autoscaling.md#mwaa-autoscaling-high-volume).
1. Geben Sie die **maximale Anzahl an Webservern und die minimale Anzahl** **an Webservern** an, um zu konfigurieren, wie Amazon MWAA die Apache Airflow Airflow-Webserver in Ihrer Umgebung skaliert.
Weitere Informationen zur automatischen Skalierung von Webservern finden Sie unter. [Konfiguration der automatischen Skalierung des Amazon MWAA-Webservers](mwaa-web-server-autoscaling.md)
1. Wählen Sie unter **Verschlüsselung** eine Datenverschlüsselungsoption aus:
1. Standardmäßig verwendet Amazon MWAA einen AWS eigenen Schlüssel, um Ihre Daten zu verschlüsseln.
1. **Optional**. Wählen Sie **Verschlüsselungseinstellungen anpassen (erweitert), um einen anderen** Schlüssel auszuwählen. AWS KMS Wenn Sie in diesem Schritt einen [vom Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) angeben möchten, müssen Sie eine AWS KMS Schlüssel-ID oder einen ARN angeben. [AWS KMS Aliase und Schlüssel für mehrere Regionen werden von Amazon MWAA nicht unterstützt](custom-keys-certs.md). Wenn Sie in Ihrem Amazon S3-Bucket einen Amazon S3-Schlüssel für die serverseitige Verschlüsselung angegeben haben, müssen Sie denselben Schlüssel für Ihre Amazon MWAA-Umgebung angeben.
**Anmerkung**
Sie müssen über Berechtigungen für den Schlüssel verfügen, um ihn auf der Amazon MWAA-Konsole auswählen zu können. Sie müssen Amazon MWAA außerdem Berechtigungen zur Verwendung des Schlüssels erteilen, indem Sie die unter beschriebene Richtlinie anhängen. [Wichtige Richtlinien anhängen](custom-keys-certs.md#custom-keys-certs-grant-policies-attach)
1. **Empfohlen**. Wählen Sie unter **Überwachung** eine oder mehrere Protokollkategorien für die **Airflow-Protokollierungskonfiguration aus, um Apache Airflow** Airflow-Protokolle an Logs zu CloudWatch senden:
1. **Airflow-Aufgabenprotokolle**. Wählen Sie den Typ der Apache Airflow-Taskprotokolle aus, die an CloudWatch Protokolle auf **Protokollebene** gesendet werden sollen.
1. **Airflow-Webserver-Protokolle**. Wählen Sie den Typ der Apache Airflow Airflow-Webserver-Protokolle, die an Logs in **Log CloudWatch ** Level gesendet werden sollen.
1. **Airflow Scheduler-Protokolle**. Wählen Sie den Typ der Apache Airflow Scheduler-Protokolle aus, die an Logs in CloudWatch **Log-Ebene** gesendet werden sollen.
1. **Airflow-Worker-Protokolle**. Wählen Sie den Typ der Apache Airflow Airflow-Worker-Logs aus, die an CloudWatch Logs in **Log-Ebene** gesendet werden sollen.
1. **Airflow DAG-Verarbeitungsprotokolle**. Wählen Sie den Typ der Apache Airflow DAG-Verarbeitungsprotokolle aus, die an CloudWatch Protokolle auf **Protokollebene** gesendet werden sollen.
1. **Optional**. Wählen Sie für **Airflow-Konfigurationsoptionen** die Option **Benutzerdefinierte Konfigurationsoption hinzufügen** aus.
Sie können aus der vorgeschlagenen Dropdownliste der [Apache Airflow Airflow-Konfigurationsoptionen](configuring-env-variables.md) für Ihre Apache Airflow Airflow-Version wählen oder benutzerdefinierte Konfigurationsoptionen angeben. Beispiel: `core.default_task_retries` : `3`.
1. **Optional**. Wählen Sie unter **Tags** die Option **Neues Tag hinzufügen** aus, um Ihrer Umgebung Tags zuzuordnen. Zum Beispiel`Environment`:`Staging`.
1. Wählen Sie unter **Berechtigungen** eine Ausführungsrolle aus:
1. Standardmäßig erstellt Amazon MWAA unter **Neue Rolle erstellen eine** [Ausführungsrolle](mwaa-create-role.md). Sie müssen über die Berechtigung zum Erstellen von IAM-Rollen verfügen, um diese Option verwenden zu können.
1. **Optional**. Wählen **Sie „Rollen-ARN** eingeben“, um den Amazon-Ressourcennamen (ARN) einer vorhandenen Ausführungsrolle einzugeben.
1. Wählen Sie **Weiter** aus.
### Schritt drei: Überprüfen und erstellen
**Um eine Zusammenfassung der Umgebung zu überprüfen**
+ Sehen Sie sich die Zusammenfassung der Umgebung an und wählen Sie **Umgebung erstellen** aus.
**Anmerkung**
Das Erstellen einer Umgebung dauert etwa zwanzig bis dreißig Minuten.
## Als nächstes
+ Erfahren Sie in, wie Sie einen Amazon S3 S3-Bucket erstellen[Erstellen Sie einen Amazon S3 S3-Bucket für Amazon MWAA](mwaa-s3-bucket.md).