Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Tutorial per Amazon Managed Workflows per Apache Airflow
Questa guida include step-by-step tutorial sull'uso e la configurazione di un ambiente Amazon Managed Workflows for Apache Airflow.
**Topics**
+ [Tutorial: configurazione dell'accesso alla rete privata utilizzando un AWS Client VPN](tutorials-private-network-vpn-client.md)
+ [Tutorial: configurazione dell'accesso alla rete privata utilizzando un host Linux Bastion](tutorials-private-network-bastion.md)
+ [Tutorial: limitazione dell'accesso di un utente Amazon MWAA a un sottoinsieme di DAGs](limit-access-to-dags.md)
+ [Tutorial: automatizza la gestione degli endpoint del tuo ambiente su Amazon MWAA](tutorials-customer-managed-endpoints.md)
# Tutorial: configurazione dell'accesso alla rete privata utilizzando un AWS Client VPN
Questo tutorial illustra i passaggi per creare un tunnel VPN dal tuo computer al server web Apache Airflow per il tuo ambiente Amazon Managed Workflows for Apache Airflow. Per connetterti a Internet tramite un tunnel VPN, devi prima creare un endpoint. AWS Client VPN Una volta configurato, un endpoint Client VPN funge da server VPN che consente una connessione sicura dal computer alle risorse del VPC. Ti connetterai quindi a Client VPN dal tuo computer utilizzando [AWS Client VPN for Desktop](https://aws.amazon.com/vpn/client-vpn-download/).
**Topics**
+ [Rete privata](#private-network-vpn-onconsole)
+ [Casi d'uso](#private-network-vpn-usecases)
+ [Prima di iniziare](#private-network-vpn-prereqs)
+ [Obiettivi](#private-network-vpn-objectives)
+ [(Facoltativo) Fase uno: Identifica il tuo VPC, le regole CIDR e la sicurezza VPC](#private-network-vpn-optional)
+ [Fase due: creare i certificati del server e del client](#private-network-vpn-certs)
+ [Fase tre: salvare il CloudFormation modello localmente](#private-network-vpn-template)
+ [Fase quattro: creare lo CloudFormation stack Client VPN](#private-network-vpn-create)
+ [Fase cinque: Associa le sottoreti al tuo Client VPN](#private-network-vpn-associate)
+ [Fase sei: aggiungi una regola di autorizzazione all'ingresso al tuo Client VPN](#private-network-vpn-autho)
+ [Fase sette: scaricare il file di configurazione dell'endpoint Client VPN](#private-network-vpn-download)
+ [Fase otto: Connect a AWS Client VPN](#private-network-vpn-connect)
+ [Fasi successive](#create-vpc-vpn-next-up)
## Rete privata
Questo tutorial presuppone che tu abbia scelto la modalità di accesso alla **rete privata** per il tuo server web Apache Airflow.
![\[Questa immagine mostra l'architettura di un ambiente Amazon MWAA con un server web privato.\]](http://docs.aws.amazon.com/it_it/mwaa/latest/userguide/images/mwaa-private-web-server.png)
La modalità di accesso alla rete privata limita l'accesso all'interfaccia utente di Apache Airflow agli utenti del tuo *Amazon VPC a* cui è stato concesso l'accesso alla policy IAM per [il](access-policies.md) tuo ambiente.
Quando crei un ambiente con accesso privato al server web, devi impacchettare tutte le tue dipendenze in un archivio Python wheel (`.whl`), quindi fare riferimento a nel tuo. `.whl` `requirements.txt` Per istruzioni su come impacchettare e installare le dipendenze usando wheel, consulta [Gestire le dipendenze usando Python](best-practices-dependencies.md#best-practices-dependencies-python-wheels) wheel.
L'immagine seguente mostra dove trovare l'opzione **Rete privata** sulla console Amazon MWAA.
![\[Questa immagine mostra dove trovare l'opzione Rete privata sulla console Amazon MWAA.\]](http://docs.aws.amazon.com/it_it/mwaa/latest/userguide/images/mwaa-console-private-network.png)
## Casi d'uso
Puoi utilizzare questo tutorial prima o dopo aver creato un ambiente Amazon MWAA. È necessario utilizzare lo stesso Amazon VPC, gli stessi gruppi di sicurezza VPC e le stesse sottoreti private del tuo ambiente. **Se utilizzi questo tutorial dopo aver creato un ambiente Amazon MWAA, una volta completati i passaggi, puoi tornare alla console Amazon MWAA e modificare la modalità di accesso al server web Apache Airflow su Rete privata.**
## Prima di iniziare
1. Verifica le autorizzazioni degli utenti. Assicurati che il tuo account in AWS Identity and Access Management (IAM) disponga di autorizzazioni sufficienti per creare e gestire risorse VPC.
1. Usa il tuo Amazon MWAA VPC. Questo tutorial presuppone che tu stia associando Client VPN a un VPC esistente. Amazon VPC deve essere nello stesso Regione AWS ambiente Amazon MWAA e avere due sottoreti private. Se non hai creato un Amazon VPC, usa il CloudFormation modello in. [Opzione tre: creazione di una rete Amazon VPC *senza* accesso a Internet](vpc-create.md#vpc-create-template-private-only)
## Obiettivi
In questo tutorial, verranno eseguite le operazioni seguenti:
1. Crea un AWS Client VPN endpoint utilizzando un CloudFormation modello per un Amazon VPC esistente.
1. Genera certificati e chiavi server e client, quindi carica il certificato e la chiave del server AWS Certificate Manager nello Regione AWS stesso ambiente Amazon MWAA.
1. Scarica e modifica un file di configurazione degli endpoint Client VPN per il tuo Client VPN e utilizza il file per creare un profilo VPN per connetterti utilizzando Client VPN for Desktop.
## (Facoltativo) Fase uno: Identifica il tuo VPC, le regole CIDR e la sicurezza VPC
La sezione seguente descrive come trovare IDs il tuo Amazon VPC, il tuo gruppo di sicurezza VPC e un modo per identificare le regole CIDR necessarie per creare il tuo Client VPN nei passaggi successivi.
### Identifica le tue regole CIDR
La sezione seguente spiega come identificare le regole CIDR necessarie per creare il tuo Client VPN.
**Per identificare il CIDR per il tuo Client VPN**
1. Apri la [ VPCs pagina Your Amazon](https://console.aws.amazon.com/vpc/home#/vpcs:) sulla console Amazon VPC.
1. Usa il selettore di regione nella barra di navigazione per scegliere lo Regione AWS stesso ambiente Amazon MWAA.
1. Scegli il tuo Amazon VPC.
1. Supponendo che CIDRs per le tue sottoreti private siano:
+ Sottorete privata 1:10.192.10.0 `/24`
+ Sottorete privata 2:10.192.11.0 `/24`
Se il CIDR per il tuo Amazon VPC è `/16` 10.192.0.0, il CIDR del client che specificheresti per **il tuo IPv4 Client** VPN sarebbe 10.192.0.0. `/22`
1. Salva questo valore CIDR e il valore del tuo ID VPC per i passaggi successivi.
### Identifica il tuo VPC e i tuoi gruppi di sicurezza
La sezione seguente spiega come trovare l'ID del tuo Amazon VPC e dei gruppi di sicurezza, necessari per creare il tuo Client VPN.
**Nota**
Potresti utilizzare più di un gruppo di sicurezza. Dovrai specificare tutti i gruppi di sicurezza del tuo VPC nei passaggi successivi.
**Per identificare i gruppi di sicurezza**
1. Apri la [pagina Security Groups](https://console.aws.amazon.com/vpc/home#/securityGroups:) sulla console Amazon VPC.
1. Usa il selettore di regione nella barra di navigazione per scegliere. Regione AWS
1. Cerca Amazon VPC nell'**ID VPC** e identifica i gruppi di sicurezza associati al VPC.
1. Salva l'ID dei tuoi gruppi di sicurezza e del VPC per i passaggi successivi.
## Fase due: creare i certificati del server e del client
Un endpoint Client VPN supporta solo chiavi RSA a 1024 bit e 2048 bit. La sezione seguente spiega come utilizzare OpenVPN easy-rsa per generare i certificati e le chiavi del server e del client e quindi caricare i certificati su ACM utilizzando (). AWS Command Line Interface AWS CLI
**Per creare i certificati client**
1. Segui questi rapidi passaggi per creare e caricare i certificati su ACM tramite la AWS CLI sezione [Autenticazione e autorizzazione del client: autenticazione reciproca](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/client-authentication.html#mutual).
1. In questi passaggi, **devi** specificare lo Regione AWS stesso di un ambiente Amazon MWAA nel AWS CLI comando quando carichi i certificati del server e del client. Ecco alcuni esempi di come specificare la regione in questi comandi:
1.
**Example regione per il certificato del server**
```
aws acm import-certificate --certificate fileb://server.crt --private-key fileb://server.key --certificate-chain fileb://ca.crt --region us-west-2
```
1.
**Example regione per il certificato del client**
```
aws acm import-certificate --certificate fileb://client1.domain.tld.crt --private-key fileb://client1.domain.tld.key --certificate-chain fileb://ca.crt --region us-west-2
```
1. Dopo questi passaggi, salva il valore restituito nella AWS CLI risposta per il certificato del server e il certificato del client ARNs. Li specificherai ARNs nel tuo CloudFormation modello per creare il Client VPN.
1. In questi passaggi, un certificato client e una chiave privata vengono salvati sul tuo computer. Ecco un esempio di dove trovare queste credenziali:
1.
**Example su macOS**
Su macOS i contenuti vengono salvati in. `/Users/your-user/custom_folder` Se elenchi tutti i contenuti (`ls -a`) di questa directory, otterrai qualcosa di simile al seguente:
```
.
..
ca.crt
client1.domain.tld.crt
client1.domain.tld.key
server.crt
server.key
```
1. Dopo questi passaggi, salva il contenuto o annota la posizione del certificato client in `client1.domain.tld.crt` e la chiave privata`client1.domain.tld.key`. Aggiungerai questi valori al file di configurazione per il tuo Client VPN.
## Fase tre: salvare il CloudFormation modello localmente
La sezione seguente contiene il CloudFormation modello per creare il Client VPN. È necessario specificare gli stessi Amazon VPC, gruppi di sicurezza VPC e sottoreti private dell'ambiente Amazon MWAA.
+ Copia il contenuto del seguente modello e salvalo localmente con nome. `mwaa_vpn_client.yaml` Puoi anche [scaricare il modello](./samples/mwaa_vpn_client.zip).
Sostituisci i seguenti valori:
+ **YOUR\$1CLIENT\$1ROOT\$1CERTIFICATE\$1ARN**— L'ARN per il tuo certificato **client1.domain.tld** in. `ClientRootCertificateChainArn`
+ **YOUR\$1SERVER\$1CERTIFICATE\$1ARN**— L'ARN per il certificato **del server** in. `ServerCertificateArn`
+ La regola Client IPv4 CIDR in. `ClientCidrBlock` `10.192.0.0/22`Viene fornita una regola CIDR di.
+ Il tuo ID Amazon VPC è inserito. `VpcId` `vpc-010101010101`Viene fornito un VPC di.
+ Il tuo gruppo IDs di sicurezza VPC in. `SecurityGroupIds` `sg-0101010101`Viene fornito un gruppo di sicurezza di.
```
AWSTemplateFormatVersion: 2010-09-09
Description: This template deploys a VPN Client Endpoint.
Resources:
ClientVpnEndpoint:
Type: 'AWS::EC2::ClientVpnEndpoint'
Properties:
AuthenticationOptions:
- Type: "certificate-authentication"
MutualAuthentication:
ClientRootCertificateChainArn: "YOUR_CLIENT_ROOT_CERTIFICATE_ARN"
ClientCidrBlock: 10.192.0.0/22
ClientConnectOptions:
Enabled: false
ConnectionLogOptions:
Enabled: false
Description: "MWAA Client VPN"
DnsServers: []
SecurityGroupIds:
- sg-0101010101
SelfServicePortal: ''
ServerCertificateArn: "YOUR_SERVER_CERTIFICATE_ARN"
SplitTunnel: true
TagSpecifications:
- ResourceType: "client-vpn-endpoint"
Tags:
- Key: Name
Value: MWAA-Client-VPN
TransportProtocol: udp
VpcId: vpc-010101010101
VpnPort: 443
```
**Nota**
Se utilizzi più di un gruppo di sicurezza per il tuo ambiente, puoi specificare più gruppi di sicurezza nel seguente formato:
```
SecurityGroupIds:
- sg-0112233445566778b
- sg-0223344556677889f
```
## Fase quattro: creare lo CloudFormation stack Client VPN
**Per creare il AWS Client VPN**
1. Apri la [AWS CloudFormation console](https://console.aws.amazon.com/cloudformation/home#).
1. Scegli il **modello è pronto**, **carica un file modello**.
1. **Scegli il file** e seleziona il tuo `mwaa_vpn_client.yaml` file.
1. Scegli **Avanti**, **Avanti**.
1. Seleziona la conferma, quindi scegli **Crea** pila.
## Fase cinque: Associa le sottoreti al tuo Client VPN
**Per associare sottoreti private a AWS Client VPN**
1. Apri la [Console Amazon VPC](https://console.aws.amazon.com/vpc/home#).
1. Scegli la pagina **Client VPN Endpoints**.
1. Seleziona il tuo Client VPN, quindi scegli la scheda **Associazioni**, **Associa**.
1. Scegli quanto segue nell'elenco a discesa:
+ **Il tuo Amazon VPC in VPC.**
+ Una delle tue sottoreti private in **Scegli una** sottorete da associare.
1. Selezionare **Associate (Associa)**.
**Nota**
Sono necessari alcuni minuti per associare il VPC e la sottorete al Client VPN.
## Fase sei: aggiungi una regola di autorizzazione all'ingresso al tuo Client VPN
Devi aggiungere una regola di autorizzazione all'ingresso utilizzando la regola CIDR per il tuo VPC al tuo Client VPN. *Se desideri autorizzare utenti o gruppi specifici dal tuo gruppo Active Directory o dall'Identity Provider (IdP) basato su SAML, consulta le regole di [autorizzazione nella guida Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-rules.html).*
**Per aggiungere il CIDR al AWS Client VPN**
1. Apri la [Console Amazon VPC](https://console.aws.amazon.com/vpc/home#).
1. Scegli la pagina **Client VPN Endpoints**.
1. Seleziona il tuo Client VPN, quindi scegli la scheda **Autorizzazione**, **Autorizza l'ingresso**.
1. Specificare le impostazioni seguenti:
+ La regola CIDR di Amazon VPC nella **rete di destinazione da** abilitare. Ad esempio:
```
10.192.0.0/16
```
+ Seleziona **Consenti l'accesso a tutti gli utenti** in **Concedi l'accesso** a.
+ Inserisci un nome descrittivo in **Descrizione**.
1. Scegli **Aggiungi regola di autorizzazione**.
**Nota**
A seconda dei componenti di rete del tuo Amazon VPC, potresti dover applicare questa regola di autorizzazione all'ingresso anche nella tua lista di controllo degli accessi alla rete (NACL).
## Fase sette: scaricare il file di configurazione dell'endpoint Client VPN
**Per scaricare il file di configurazione**
1. Segui questi rapidi passaggi per scaricare il file di configurazione Client VPN in [Scarica il file di configurazione dell'endpoint Client VPN](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-getting-started.html#cvpn-getting-started-config).
1. In questi passaggi, ti viene chiesto di anteporre una stringa al nome DNS dell'endpoint Client VPN. Ecco un esempio:
1.
**Example nome DNS dell'endpoint**
Se il nome DNS dell'endpoint Client VPN è:
```
remote cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443
```
Puoi aggiungere una stringa per identificare il tuo endpoint Client VPN in questo modo:
```
remote mwaavpn.cvpn-endpoint-0909091212aaee1.prod.clientvpn.us-west-1.amazonaws.com 443
```
1. In questi passaggi, ti viene chiesto di aggiungere il contenuto del certificato client tra un nuovo set di `` tag e il contenuto della chiave privata tra un nuovo set di `` tag. Ecco un esempio:
1. Apri un prompt dei comandi e modifica le directory in cui si trovano il certificato client e la chiave privata.
1.
**Example client macOS 1.domain.tld.crt**
Per mostrare il contenuto del `client1.domain.tld.crt` file su macOS, puoi usare. `cat client1.domain.tld.crt`
Copia il valore dal terminale e incollalo in questo `downloaded-client-config.ovpn` modo:
```
ZZZ1111dddaBBB
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
YOUR client1.domain.tld.crt
-----END CERTIFICATE-----
```
1.
**Example client macOS 1.domain.tld.key**
Per mostrare il contenuto di, puoi usare. `client1.domain.tld.key` `cat client1.domain.tld.key`
Copia il valore dal terminale e incollalo in `downloaded-client-config.ovpn` questo modo:
```
ZZZ1111dddaBBB
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
YOUR client1.domain.tld.crt
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
YOUR client1.domain.tld.key
-----END CERTIFICATE-----
```
## Fase otto: Connect a AWS Client VPN
Il client for AWS Client VPN viene fornito gratuitamente. Puoi connettere il tuo computer direttamente a AWS Client VPN per un'esperienza end-to-end VPN.
**Per connettersi al Client VPN**
1. Scarica e installa la [versione AWS Client VPN per Desktop](https://aws.amazon.com/vpn/client-vpn-download/).
1. Apri il AWS Client VPN.
1. Scegli **File**, **Profili gestiti** nel menu del client VPN.
1. Scegli **Aggiungi profilo**, quindi scegli`downloaded-client-config.ovpn`.
1. Inserisci un nome descrittivo in **Nome visualizzato**.
1. Scegli **Aggiungi profilo**, **Fine.**
1. Scegli **Connetti**.
Dopo esserti connesso a Client VPN, dovrai disconnetterti dagli altri VPNs per accedere a qualsiasi risorsa del tuo Amazon VPC.
**Nota**
Potrebbe essere necessario chiudere il client e ricominciare da capo prima di poterti connettere.
## Fasi successive
+ Scopri come creare un ambiente Amazon MWAA in. [Nozioni di base sui Flussi di lavoro gestiti di Amazon per Apache Airflow](get-started.md) È necessario creare un ambiente Regione AWS uguale a Client VPN e utilizzare lo stesso VPC, sottoreti private e gruppo di sicurezza del Client VPN.
# Tutorial: configurazione dell'accesso alla rete privata utilizzando un host Linux Bastion
Questo tutorial illustra i passaggi per creare un tunnel SSH dal computer al server web Apache Airflow per l'ambiente Amazon Managed Workflows for Apache Airflow. Si presuppone che tu abbia già creato un ambiente Amazon MWAA. Una volta configurato, un Linux Bastion Host funge da jump server che consente una connessione sicura dal computer alle risorse del VPC. Utilizzerai quindi un componente aggiuntivo di gestione proxy SOCKS per controllare le impostazioni del proxy nel browser per accedere all'interfaccia utente di Apache Airflow.
**Topics**
+ [Rete privata](#private-network-lb-onconsole)
+ [Casi d'uso](#private-network-lb-usecases)
+ [Prima di iniziare](#private-network-lb-prereqs)
+ [Obiettivi](#private-network-lb-objectives)
+ [Fase uno: creare l'istanza bastion](#private-network-lb-create-bastion)
+ [Fase due: creare il tunnel ssh](#private-network-lb-create-test)
+ [Fase tre: configura il bastion security group come regola in entrata](#private-network-lb-create-sgsource)
+ [Fase quattro: Copia l'URL di Apache Airflow](#private-network-lb-view-env)
+ [Fase cinque: configurare le impostazioni del proxy](#private-network-lb-browser-extension)
+ [Fase 6: Aprire l'interfaccia utente di Apache Airflow](#private-network-lb-open)
+ [Fasi successive](#bastion-next-up)
## Rete privata
Questo tutorial presuppone che tu abbia scelto la modalità di accesso alla **rete privata** per il tuo server web Apache Airflow.
![\[Questa immagine mostra l'architettura di un ambiente Amazon MWAA con un server web privato.\]](http://docs.aws.amazon.com/it_it/mwaa/latest/userguide/images/mwaa-private-web-server.png)
La modalità di accesso alla rete privata limita l'accesso all'interfaccia utente di Apache Airflow agli utenti del tuo *Amazon VPC a* cui è stato concesso l'accesso alla policy IAM per [il](access-policies.md) tuo ambiente.
Quando crei un ambiente con accesso privato al server web, devi impacchettare tutte le tue dipendenze in un archivio Python wheel (`.whl`), quindi fare riferimento a nel tuo. `.whl` `requirements.txt` Per istruzioni su come impacchettare e installare le dipendenze usando wheel, consulta [Gestire le dipendenze usando Python](best-practices-dependencies.md#best-practices-dependencies-python-wheels) wheel.
L'immagine seguente mostra dove trovare l'opzione **Rete privata** sulla console Amazon MWAA.
![\[Questa immagine mostra dove trovare l'opzione Rete privata sulla console Amazon MWAA.\]](http://docs.aws.amazon.com/it_it/mwaa/latest/userguide/images/mwaa-console-private-network.png)
## Casi d'uso
Puoi utilizzare questo tutorial dopo aver creato un ambiente Amazon MWAA. È necessario utilizzare lo stesso Amazon VPC, gli stessi gruppi di sicurezza VPC e le stesse sottoreti pubbliche del tuo ambiente.
## Prima di iniziare
1. Verifica le autorizzazioni degli utenti. Assicurati che il tuo account in AWS Identity and Access Management (IAM) disponga di autorizzazioni sufficienti per creare e gestire risorse VPC.
1. Usa il tuo Amazon MWAA VPC. Questo tutorial presuppone che tu stia associando l'host bastion a un VPC esistente. Amazon VPC deve trovarsi nella stessa regione dell'ambiente Amazon MWAA e avere due sottoreti private, come definito in. [Crea la rete VPC](vpc-create.md)
1. Crea una chiave SSH. È necessario creare una chiave Amazon EC2 SSH (**.pem**) nella stessa regione dell'ambiente Amazon MWAA per connettersi ai server virtuali. Se non disponi di una chiave SSH, consulta la sezione [Creare o importare una coppia di chiavi](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html#prepare-key-pair) nella *Amazon EC2 User Guide*.
## Obiettivi
In questo tutorial, verranno eseguite le operazioni seguenti:
1. Crea un'istanza Linux Bastion Host utilizzando un [CloudFormation modello per un VPC esistente](https://fwd.aws/vWMxm).
1. Autorizza il traffico in entrata verso il gruppo di sicurezza dell'istanza bastion utilizzando una regola di ingresso sulla porta. `22`
1. Autorizza il traffico in entrata dal gruppo di sicurezza di un ambiente Amazon MWAA al gruppo di sicurezza dell'istanza bastion.
1. Crea un tunnel SSH verso l'istanza bastion.
1. Installa e configura il FoxyProxy componente aggiuntivo per il browser Firefox per accedere all'interfaccia utente Apache Airflow.
## Fase uno: creare l'istanza bastion
La sezione seguente descrive i passaggi per creare l'istanza linux bastion utilizzando un [CloudFormation modello per un VPC esistente](https://fwd.aws/vWMxm) sulla CloudFormation console.
**Per creare Linux Bastion Host**
1. Apri la pagina [Deploy Quick Start](https://fwd.aws/Jwzqv) sulla CloudFormation console.
1. Utilizza il selettore di regione nella barra di navigazione per scegliere lo Regione AWS stesso ambiente Amazon MWAA.
1. Scegli **Next (Successivo)**.
1. Inserisci un nome nel campo di testo **Stack name**, ad esempio. `mwaa-linux-bastion`
1. Nel riquadro **Parametri**, **Configurazione di rete**, scegli le seguenti opzioni:
1. **Scegli l'ID VPC del tuo ambiente Amazon MWAA.**
1. Scegli l'ID **Public Subnet** 1 del tuo ambiente Amazon MWAA.
1. Scegli l'ID **Public Subnet** 2 del tuo ambiente Amazon MWAA.
1. **Inserisci l'intervallo di indirizzi più ristretto possibile (ad esempio, un intervallo CIDR interno) in Allowed bastion external access CIDR.**
**Nota**
Il modo più semplice per identificare un intervallo consiste nell'utilizzare lo stesso intervallo CIDR delle sottoreti pubbliche. Ad esempio, le sottoreti pubbliche nel CloudFormation modello sulla pagina sono e. [Crea la rete VPC](vpc-create.md) `10.192.10.0/24` `10.192.11.0/24`
1. Nel riquadro ** EC2 di configurazione di Amazon**, scegli quanto segue:
1. Scegli la tua chiave SSH nell'elenco a discesa in Nome della **coppia di chiavi**.
1. Inserisci un nome in **Bastion** Host Name.
1. Scegli **true per l'inoltro** **TCP**.
**avvertimento**
**L'inoltro TCP deve essere impostato su true in questo passaggio.** Altrimenti, non sarai in grado di creare un tunnel SSH nel passaggio successivo.
1. Scegli **Avanti**, **Avanti**.
1. **Seleziona la conferma, quindi scegli Crea pila.**
Per saperne di più sull'architettura del tuo Linux Bastion Host, consulta Linux [Bastion Hosts on](https://docs.aws.amazon.com/quickstart/latest/linux-bastion/architecture.html) the Cloud: Architecture. AWS
## Fase due: creare il tunnel ssh
I passaggi seguenti descrivono come creare il tunnel ssh per il tuo bastione Linux. Un tunnel SSH riceve la richiesta dal tuo indirizzo IP locale al bastione linux, motivo per cui l'inoltro TCP per il bastione Linux era impostato come nei passaggi precedenti. `true`
------
#### [ macOS/Linux ]
**Per creare un tunnel utilizzando la riga di comando**
1. Apri la pagina [Istanze](https://console.aws.amazon.com/ec2/v2/home#/Instances:) sulla EC2 console Amazon.
1. Scegli un'istanza.
1. Copia l'indirizzo nel ** IPv4 DNS pubblico**. Ad esempio, `ec2-4-82-142-1.compute-1.amazonaws.com`.
1. Nel prompt dei comandi, accedi alla directory in cui è archiviata la tua chiave SSH.
1. Esegui il comando seguente per connetterti all'istanza bastion usando ssh. Sostituisci il valore di esempio con il nome della tua chiave SSH in. `mykeypair.pem`
```
ssh -i mykeypair.pem -N -D 8157 ec2-user@YOUR_PUBLIC_IPV4_DNS
```
------
#### [ Windows (PuTTY) ]
**Per creare un tunnel usando PuTTY**
1. Apri la pagina [Istanze](https://console.aws.amazon.com/ec2/v2/home#/Instances:) sulla EC2 console Amazon.
1. Scegli un'istanza.
1. Copia l'indirizzo nel ** IPv4 DNS pubblico**. Ad esempio, `ec2-4-82-142-1.compute-1.amazonaws.com`.
1. **Apri [PuTTY,](https://www.putty.org/) seleziona Sessione.**
1. **Inserisci il nome host in **Nome host** come ec2-user@ *YOUR\$1PUBLIC\$1IPV4\$1DNS* e la porta come.** `22`
1. **Espandi la scheda **SSH**, seleziona Auth.** Nel **file con chiave privata per l'autenticazione**, scegli il tuo file «ppk» locale.
1. *In SSH, scegli la scheda **Tunnel**, quindi seleziona le opzioni *Dynamic e Auto*.*
1. In **Porta di origine**, aggiungi la `8157` porta (o qualsiasi altra porta inutilizzata), quindi lascia vuota la porta di **destinazione**. Scegli **Aggiungi**.
1. Scegli la scheda **Sessione** e inserisci un nome per la sessione. Ad esempio, `SSH Tunnel`.
1. Scegli **Salva**, **Apri**.
**Nota**
Potrebbe essere necessario inserire una passphrase per la chiave pubblica.
------
**Nota**
Se ricevi un `Permission denied (publickey)` errore, ti consigliamo di utilizzare lo [AWSSupport-TroubleshootSSH](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-awssupport-troubleshootssh.html)strumento e di scegliere **Esegui questa automazione (console)** per risolvere i problemi di configurazione SSH.
## Fase tre: configura il bastion security group come regola in entrata
L'accesso ai server e l'accesso regolare a Internet dai server sono consentiti con uno speciale gruppo di sicurezza di manutenzione collegato a tali server. I passaggi seguenti descrivono come configurare il bastion security group come fonte di traffico in entrata verso il gruppo di sicurezza VPC di un ambiente.
1. Apri la pagina [Ambienti](https://console.aws.amazon.com/mwaa/home#/environments) sulla console Amazon MWAA.
1. Scegli un ambiente.
1. Nel riquadro **Rete**, scegli il gruppo di **sicurezza VPC**.
1. Sceglere **Edit inbound rules (Modifica regole in entrata)**.
1. Scegli **Aggiungi regola**.
1. Scegli l'ID del tuo gruppo di sicurezza VPC nell'elenco a discesa **Source**.
1. Lascia vuote le opzioni rimanenti o imposta i valori predefiniti.
1. Scegliere **Salva regole**.
## Fase quattro: Copia l'URL di Apache Airflow
I passaggi seguenti descrivono come aprire la console Amazon MWAA e copiare l'URL nell'interfaccia utente di Apache Airflow.
1. Apri la pagina [Ambienti](https://console.aws.amazon.com/mwaa/home#/environments) sulla console Amazon MWAA.
1. Scegli un ambiente.
1. Copia l'URL nell'**interfaccia utente Airflow per i** passaggi successivi.
## Fase cinque: configurare le impostazioni del proxy
Se si utilizza un tunnel SSH con inoltro dinamico delle porte, è necessario utilizzare un add-on per la gestione dei proxy SOCKS per controllare le impostazioni proxy nel browser. Ad esempio, puoi utilizzare la `--proxy-server` funzionalità di Chromium per avviare una sessione del browser o utilizzare l' FoxyProxy estensione nel browser Mozilla. FireFox
### Opzione uno: configura un tunnel SSH utilizzando il port forwarding locale
Se non desideri utilizzare un proxy SOCKS, puoi configurare un tunnel SSH utilizzando il port forwarding locale. Il seguente comando di esempio accede all'interfaccia EC2 *ResourceManager*web di Amazon inoltrando il traffico sulla porta locale 8157.
1. Aprire il prompt dei comandi in una nuova finestra.
1. Inserisci il seguente comando per aprire un tunnel SSH.
```
ssh -i mykeypair.pem -N -L 8157:YOUR_VPC_ENDPOINT_ID-vpce.us-east-1.airflow.amazonaws.com:443 ubuntu@YOUR_PUBLIC_IPV4_DNS.us-east-1.compute.amazonaws.com
```
`-L`indica l'uso del port forwarding locale che è possibile utilizzare per specificare una porta locale utilizzata per inoltrare i dati alla porta remota identificata sul server web locale del nodo.
1. Entra nel tuo browser`http://localhost:8157/`.
**Nota**
Potrebbe essere necessario utilizzare`https://localhost:8157/`.
### Opzione due: proxy che utilizzano la riga di comando
È possibile utilizzare la maggior parte dei browser Web per configurare i proxy utilizzando una riga di comando o un parametro di configurazione. Ad esempio, con Chromium puoi avviare il browser con il seguente comando:
```
chromium --proxy-server="socks5://localhost:8157"
```
Questo avvia una sessione del browser che utilizza il tunnel ssh creato nei passaggi precedenti per inoltrare le sue richieste. Puoi aprire l'URL dell'ambiente Amazon MWAA privato (con *https://*) nel modo seguente:
```
https://YOUR_VPC_ENDPOINT_ID-vpce.us-east-1.airflow.amazonaws.com/home.
```
### Opzione tre: utilizzo di proxy per Mozilla Firefox FoxyProxy
L'esempio seguente mostra una configurazione FoxyProxy Standard (versione 7.5.1) per Mozilla Firefox. FoxyProxy fornisce una serie di strumenti di gestione dei proxy. Consente di utilizzare un server proxy per i pattern di corrispondenza corrispondenti ai domini utilizzati dall'interfaccia utente di URLs Apache Airflow.
1. In Firefox, apri la pagina dell'estensione [FoxyProxy Standard](https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/).
1. Scegli **Aggiungi a Firefox**.
1. Scegli **Aggiungi**.
1. Scegli l' FoxyProxy icona nella barra degli strumenti del browser, scegli **Opzioni**.
1. Copia il codice seguente e salvalo localmente con nome. `mwaa-proxy.json` Sostituisci il valore di esempio *YOUR\$1HOST\$1NAME* con il tuo URL **Apache Airflow**.
```
{
"e0b7kh1606694837384": {
"type": 3,
"color": "#66cc66",
"title": "airflow",
"active": true,
"address": "localhost",
"port": 8157,
"proxyDNS": false,
"username": "",
"password": "",
"whitePatterns": [
{
"title": "airflow-ui",
"pattern": "YOUR_HOST_NAME",
"type": 1,
"protocols": 1,
"active": true
}
],
"blackPatterns": [],
"pacURL": "",
"index": -1
},
"k20d21508277536715": {
"active": true,
"title": "Default",
"notes": "These are the settings that are used when no patterns match a URL.",
"color": "#0055E5",
"type": 5,
"whitePatterns": [
{
"title": "all URLs",
"active": true,
"pattern": "*",
"type": 1,
"protocols": 1
}
],
"blackPatterns": [],
"index": 9007199254740991
},
"logging": {
"active": true,
"maxSize": 500
},
"mode": "patterns",
"browserVersion": "82.0.3",
"foxyProxyVersion": "7.5.1",
"foxyProxyEdition": "standard"
}
```
1. Nel riquadro **Importa impostazioni da FoxyProxy 6.0\$1**, scegli **Importa impostazioni** e seleziona il file. `mwaa-proxy.json`
1. Scegli **OK**.
## Fase 6: Aprire l'interfaccia utente di Apache Airflow
I passaggi seguenti descrivono come aprire l'interfaccia utente di Apache Airflow.
1. Apri la pagina [Ambienti](https://console.aws.amazon.com/mwaa/home#/environments) sulla console Amazon MWAA.
1. Scegli **Open Airflow UI**.
## Fasi successive
+ Scopri come eseguire i comandi CLI Airflow su un tunnel SSH verso un host bastion in. [Riferimento ai comandi CLI Apache Airflow](airflow-cli-command-reference.md)
+ Scopri come caricare il codice DAG nel tuo bucket Amazon S3 in. [Aggiungere o aggiornare DAGs](configuring-dag-folder.md)
# Tutorial: limitazione dell'accesso di un utente Amazon MWAA a un sottoinsieme di DAGs
[Amazon MWAA gestisce l'accesso al tuo ambiente mappando i tuoi principali IAM su uno o più ruoli predefiniti di Apache Airflow.](https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html#default-roles) Usa il seguente tutorial per limitare i singoli utenti di Amazon MWAA ad accedere e interagire solo con un DAG specifico o un insieme di. DAGs
**Nota**
I passaggi di questo tutorial possono essere completati utilizzando l'accesso federato, purché si possano assumere i ruoli IAM.
**Topics**
+ [Prerequisiti](#limit-access-to-dags-prerequisites)
+ [Fase uno: fornisci l'accesso al server web Amazon MWAA al tuo principale IAM con il ruolo Apache `Public` Airflow predefinito.](#limit-access-to-dags-apply-public-access)
+ [Fase due: creare un nuovo ruolo personalizzato Apache Airflow](#limit-access-to-dags-create-new-airflow-role)
+ [Fase tre: assegna il ruolo che hai creato al tuo utente Amazon MWAA](#limit-access-to-dags-assign-role)
+ [Fasi successive](#limit-access-to-dags-next-up)
+ [Risorse correlate](#limit-access-to-dags-related-resources)
## Prerequisiti
Per completare i passaggi di questo tutorial, avrai bisogno di quanto segue:
+ Un [ambiente Amazon MWAA con](get-started.md) più DAGs
+ Un principale IAM, `Admin` con [AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess$jsonEditor)autorizzazioni, e un utente IAM`MWAAUser`, come principale per il quale è possibile limitare l'accesso al DAG. Per ulteriori informazioni sui ruoli di amministratore, consulta la [funzione di amministratore](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html#jf_administrator) nella Guida per l'utente *IAM*
**Nota**
Non allegare politiche di autorizzazione direttamente ai tuoi utenti IAM. Ti consigliamo di configurare ruoli IAM che gli utenti possono assumere per ottenere l'accesso temporaneo alle tue risorse Amazon MWAA.
+ [AWS Command Line Interface versione 2 installata](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install).
## Fase uno: fornisci l'accesso al server web Amazon MWAA al tuo principale IAM con il ruolo Apache `Public` Airflow predefinito.
**Per concedere l'autorizzazione utilizzando il Console di gestione AWS**
1. Accedi al tuo account Account AWS con un `Admin` ruolo e apri la [console IAM](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione a sinistra, scegli **Utenti**, quindi scegli il tuo utente Amazon MWAA IAM dalla tabella degli utenti.
1. **Nella pagina dei dettagli dell'utente, in **Riepilogo**, scegli la scheda **Autorizzazioni**, quindi scegli **Politiche di autorizzazione per espandere la scheda e scegli Aggiungi autorizzazioni**.**
1. Nella sezione **Concedi autorizzazioni**, scegli **Allega direttamente le politiche esistenti**, quindi scegli **Crea politica per creare e allegare la tua politica** di autorizzazioni personalizzata.
1. Nella pagina **Crea politica**, scegli **JSON**, quindi copia e incolla la seguente politica di autorizzazioni JSON nell'editor delle politiche. Questa politica concede l'accesso al server Web all'utente con il ruolo Apache `Public` Airflow predefinito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "airflow:CreateWebLoginToken",
"Resource": [
"arn:aws:airflow:us-east-1:111122223333:role/YOUR_ENVIRONMENT_NAME/Public"
]
}
]
}
```
------
## Fase due: creare un nuovo ruolo personalizzato Apache Airflow
**Per creare un nuovo ruolo utilizzando l'interfaccia utente di Apache Airflow**
1. Utilizzando il tuo ruolo di amministratore IAM, apri la [console Amazon MWAA](https://console.aws.amazon.com/mwaa/home) e avvia l'interfaccia utente Apache Airflow del tuo ambiente.
1. Dal riquadro di navigazione in alto, passa il mouse su **Sicurezza** per aprire l'elenco a discesa, quindi scegli Elenca **ruoli per accedere ai ruoli** Apache Airflow predefiniti.
1. Dall'elenco dei ruoli, seleziona **Utente**, quindi all'inizio della pagina scegli **Azioni per aprire il menu a discesa**. **Scegli **Copia ruolo** e conferma Ok**
**Nota**
Copia i ruoli **Ops** o **Viewer** per concedere rispettivamente un accesso maggiore o minore.
1. Individua il nuovo ruolo che hai creato nella tabella e scegli **Modifica record**.
1. Nella pagina **Modifica ruolo**, procedi come segue:
+ Per **Nome**, inserisci un nuovo nome per il ruolo nel campo di testo. Ad esempio, **Restricted**.
+ Per l'elenco delle **autorizzazioni**, rimuovi `can read on DAGs` e `can edit on DAGs` quindi aggiungi le autorizzazioni di lettura e scrittura per il set a DAGs cui desideri fornire l'accesso. Ad esempio, per un DAG`example_dag.py`, aggiungi e. **`can read on DAG:example_dag`** **`can edit on DAG:example_dag`**
Scegli **Save** (Salva). Ora hai un nuovo ruolo che limita l'accesso a un sottoinsieme di contenuti DAGs disponibili nel tuo ambiente Amazon MWAA. Puoi assegnare questo ruolo a qualsiasi utente Apache Airflow esistente.
## Fase tre: assegna il ruolo che hai creato al tuo utente Amazon MWAA
**Per assegnare il nuovo ruolo**
1. Utilizzando le credenziali di accesso per`MWAAUser`, esegui il seguente comando CLI per recuperare l'URL del server web del tuo ambiente.
```
aws mwaa get-environment --name YOUR_ENVIRONMENT_NAME | jq '.Environment.WebserverUrl'
```
In caso di successo, farai riferimento al seguente risultato:
```
"ab1b2345-678a-90a1-a2aa-34a567a8a901.c13.us-west-2.airflow.amazonaws.com"
```
1. Dopo `MWAAUser` aver effettuato l'accesso Console di gestione AWS, apri una nuova finestra del browser e accedi a quanto segue URl. Sostituisci `Webserver-URL` con le tue informazioni.
```
https:///home
```
In caso di successo, verrà visualizzata una pagina di `Forbidden` errore perché non `MWAAUser` è stata ancora concessa l'autorizzazione per accedere all'interfaccia utente di Apache Airflow.
1. Dopo `Admin` aver effettuato l'accesso Console di gestione AWS, apri nuovamente la console Amazon MWAA e avvia l'interfaccia utente Apache Airflow del tuo ambiente.
1. **Dalla dashboard dell'interfaccia utente, espandi il menu a discesa **Sicurezza** e questa volta scegli Elenca utenti.**
1. **Nella tabella degli utenti, trova il nuovo utente Apache Airflow e scegli Modifica record.** Il nome dell'utente corrisponderà al tuo nome utente IAM nel seguente schema:. `user/mwaa-user`
1. Nella pagina **Modifica utente**, nella sezione **Ruolo**, aggiungi il nuovo ruolo personalizzato che hai creato, quindi scegli **Salva**.
**Nota**
Il campo **Cognome** è obbligatorio, ma uno spazio soddisfa il requisito.
Il `Public` principale IAM concede l'`MWAAUser`autorizzazione per accedere all'interfaccia utente di Apache Airflow, mentre il nuovo ruolo fornisce le autorizzazioni aggiuntive necessarie per ottenerle. DAGs
**Importante**
Tutti i 5 ruoli predefiniti (ad esempio`Admin`) non autorizzati da IAM che vengono aggiunti utilizzando l'interfaccia utente di Apache Airflow verranno rimossi al successivo accesso dell'utente.
## Fasi successive
+ Per ulteriori informazioni sulla gestione dell'accesso al tuo ambiente Amazon MWAA e per ottenere esempi di policy JSON IAM da utilizzare per gli utenti del tuo ambiente, consulta [Accesso a un ambiente Amazon MWAA](access-policies.md)
## Risorse correlate
+ [Controllo degli accessi](https://airflow.apache.org/docs/apache-airflow/stable/security/access-control.html) (documentazione Apache Airflow): scopri di più sui ruoli predefiniti di Apache Airflow sul sito Web della documentazione di Apache Airflow.
# Tutorial: automatizza la gestione degli endpoint del tuo ambiente su Amazon MWAA
Se lo utilizzi [AWS Organizations](https://docs.aws.amazon.com/)per gestire più risorse Account AWS che condividono, Amazon MWAA ti consente di creare e gestire i tuoi endpoint Amazon VPC. Ciò significa che puoi utilizzare politiche di sicurezza più rigorose che consentono l'accesso solo alle risorse richieste dal tuo ambiente.
Quando crei un ambiente in un Amazon VPC condiviso, l'account proprietario dell'Amazon VPC principale (*proprietario*) condivide le due sottoreti private richieste da Amazon MWAA con altri account *(*partecipanti) che appartengono alla stessa organizzazione. Gli account dei partecipanti che condividono tali sottoreti possono quindi visualizzare, creare, modificare ed eliminare ambienti nel VPC condiviso.
Quando crei un ambiente in un Amazon VPC condiviso o altrimenti soggetto a restrizioni, Amazon MWAA crea prima le risorse VPC del servizio, quindi entra [https://docs.aws.amazon.com/mwaa/latest/API/API_Environment.html#mwaa-Type-Environment-Status](https://docs.aws.amazon.com/mwaa/latest/API/API_Environment.html#mwaa-Type-Environment-Status)in uno stato per un massimo di 72 ore.
Quando lo stato dell'ambiente cambia da `CREATING` a`PENDING`, Amazon MWAA invia una EventBridge notifica Amazon del cambiamento di stato. Ciò consente all'account proprietario di creare gli endpoint richiesti per conto dei partecipanti in base alle informazioni sul servizio endpoint dalla console o dall'API Amazon MWAA o in modo programmatico. Di seguito, creiamo nuovi endpoint Amazon VPC utilizzando una funzione Lambda e una EventBridge regola che ascolta le notifiche di modifica dello stato di Amazon MWAA.
Qui creiamo i nuovi endpoint nello stesso Amazon VPC dell'ambiente. Per configurare un Amazon VPC condiviso, crea la EventBridge regola e la funzione Lambda nell'account del proprietario e l'ambiente Amazon MWAA nell'account del partecipante.
**Topics**
+ [Prerequisiti](#tutorials-customer-managed-endpoints-prerequisites)
+ [Crea Amazon VPC](#tutorials-customer-managed-endpoints-create-vpc)
+ [Creazione della funzione Lambda](#tutorials-customer-managed-endpoints-create-lambda-function)
+ [Crea la regola EventBridge](#tutorials-customer-managed-endpoints-create-eb-rule)
+ [Crea l'ambiente Amazon MWAA](#tutorials-customer-managed-endpoints-create-mwaa)
## Prerequisiti
Per completare i passaggi di questo tutorial, avrai bisogno di quanto segue:
+ ...
## Crea Amazon VPC
Utilizza il CloudFormation modello e il AWS CLI comando seguenti per creare un nuovo Amazon VPC. Il modello configura le risorse Amazon VPC e modifica la policy degli endpoint per limitare l'accesso a una coda specifica.
1. Scarica il CloudFormation [modello, quindi decomprimi](samples/cfn-vpc-private-network.zip) il file. `.yml`
1. In una nuova finestra del prompt dei comandi, accedi alla cartella in cui hai salvato il modello, quindi usala [https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html](https://docs.aws.amazon.com/cli/latest/reference/cloudformation/create-stack.html)per creare lo stack. Il `--template-body` flag specifica il percorso del modello.
```
aws cloudformation create-stack --stack-name stack-name --template-body file://cfn-vpc-private-network.yml
```
Nella prossima sezione, creerai la funzione Lambda.
## Creazione della funzione Lambda
Usa il seguente codice Python e la policy IAM JSON per creare una nuova funzione Lambda e un nuovo ruolo di esecuzione. Questa funzione crea endpoint Amazon VPC per un server web Apache Airflow privato e una coda Amazon SQS. Amazon MWAA utilizza Amazon SQS per mettere in coda le attività con Celery tra più lavoratori durante la scalabilità dell'ambiente.
1. Scarica il codice della [funzione Python.](./samples/mwaa-lambda-shared-vpc.zip)
1. Scarica la [politica di autorizzazione](./samples/lambda-mwaa-shared-vpce-policy.zip) IAM, quindi decomprimi il file.
1. Apri un prompt dei comandi, quindi vai alla cartella in cui hai salvato la politica di autorizzazione JSON. Usa il [https://docs.aws.amazon.com/](https://docs.aws.amazon.com/)comando IAM per creare il nuovo ruolo.
```
aws iam create-role --role-name function-role \
--assume-role-policy-document file://lambda-mwaa-vpce-policy.json
```
Nota il ruolo ARN della AWS CLI risposta. Nel passaggio successivo, specifichiamo questo nuovo ruolo come ruolo di esecuzione della funzione utilizzando il relativo ARN.
1. Vai alla cartella in cui hai salvato il codice della funzione, quindi usa il [https://docs.aws.amazon.com/](https://docs.aws.amazon.com/)comando per creare una nuova funzione.
```
aws lambda create-function --function-name mwaa-vpce-lambda \
--zip-file file://mwaa-lambda-shared-vpc.zip --runtime python3.8 --role arn:aws:iam::123456789012:role/function-role --handler lambda_handler
```
Nota la funzione ARN dalla AWS CLI risposta. Nel passaggio successivo specifichiamo l'ARN per configurare la funzione come destinazione per una nuova EventBridge regola.
Nella sezione successiva, creerai la EventBridge regola che richiama questa funzione quando l'ambiente entra in uno stato. `PENDING`
## Crea la regola EventBridge
Effettua le seguenti operazioni per creare una nuova regola che ascolti le notifiche di Amazon MWAA e utilizzi la tua nuova funzione Lambda.
1. Usa il EventBridge `put-rule` comando per creare una nuova regola. EventBridge
```
aws events put-rule --name "mwaa-lambda-rule" \
--event-pattern "{\"source\":[\"aws.airflow\"],\"detail-type\":[\"MWAA Environment Status Change\"]}"
```
Il pattern di eventi rileva le notifiche che Amazon MWAA invia ogni volta che lo stato di un ambiente cambia.
```
{
"source": ["aws.airflow"],
"detail-type": ["MWAA Environment Status Change"]
}
```
1. Utilizzate il `put-targets` comando per aggiungere la funzione Lambda come destinazione per la nuova regola.
```
aws events put-targets --rule "mwaa-lambda-rule" \
--targets "Id"="1","Arn"="arn:aws:lambda:us-east-1:123456789012:function:mwaa-vpce-lambda"
```
Sei pronto per creare un nuovo ambiente Amazon MWAA con endpoint Amazon VPC gestiti dal cliente.
## Crea l'ambiente Amazon MWAA
Usa la console Amazon MWAA per creare un nuovo ambiente con endpoint Amazon VPC gestiti dal cliente.
1. Apri la console [Amazon MWAA](https://console.aws.amazon.com/mwaa/home/) e scegli **Crea un ambiente**.
1. Per **Nome** inserisci un nome univoco.
1. Per la **versione Airflow** scegli la versione più recente.
1. **Scegli un **bucket Amazon S3** e una **DAGs cartella**, ad esempio `dags/` da utilizzare con l'ambiente, quindi scegli Avanti.**
1. Nella pagina **Configura impostazioni avanzate**, procedi come segue:
1. Per il **Virtual Private Cloud**, scegli l'Amazon VPC che hai creato nel passaggio [precedente](#tutorials-customer-managed-endpoints-create-vpc).
1. Per l'**accesso al server web**, scegli **Rete pubblica (accessibile da Internet)**.
1. Per i **gruppi di sicurezza**, scegli il gruppo di sicurezza con CloudFormation cui hai creato. Poiché i gruppi di sicurezza per gli AWS PrivateLink endpoint del passaggio precedente sono autoreferenziali, è necessario scegliere lo stesso gruppo di sicurezza per l'ambiente.
1. **Per la **gestione degli endpoint**, scegli Endpoint gestiti dal cliente.**
1. **Mantieni le impostazioni predefinite rimanenti, quindi scegli Avanti.**
1. Controlla le tue selezioni, quindi scegli **Crea ambiente.**
**Suggerimento**
Per ulteriori informazioni sulla configurazione di un nuovo ambiente, consulta la sezione [Guida introduttiva ad Amazon MWAA](get-started.md).
Quando l'ambiente lo è`PENDING`, Amazon MWAA invia una notifica che corrisponde allo schema di eventi impostato per la regola. La regola richiama la funzione Lambda. La funzione analizza l'evento di notifica e ottiene le informazioni necessarie sull'endpoint per il server web e la coda Amazon SQS. Quindi crea gli endpoint nel tuo Amazon VPC.
Quando gli endpoint sono disponibili, Amazon MWAA riprende a creare il tuo ambiente. Quando è pronto, lo stato dell'ambiente cambia `AVAILABLE` e puoi accedere al server web Apache Airflow utilizzando la console Amazon MWAA.