Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Rete
<a name="networking"></a>

Questa guida descrive la configurazione di rete Amazon VPC necessaria per un ambiente Amazon MWAA.

**Topics**
+ [Informazioni sulla rete su Amazon MWAA](networking-about.md)
+ [Sicurezza nel tuo VPC su Amazon MWAA](vpc-security.md)
+ [Gestione dell'accesso agli endpoint Amazon VPC specifici del servizio su Amazon MWAA](vpc-vpe-access.md)
+ [Creazione degli endpoint del servizio VPC richiesti in un Amazon VPC con routing privato](vpc-vpe-create-access.md)
+ [Gestione degli endpoint Amazon VPC personali su Amazon MWAA](vpc-endpoint-management.md)

# Informazioni sulla rete su Amazon MWAA
<a name="networking-about"></a>

Un Amazon VPC è una rete virtuale collegata al tuo. Account AWS Ti offre sicurezza nel cloud e la possibilità di scalare dinamicamente fornendo un controllo granulare sull'infrastruttura virtuale e sulla segmentazione del traffico di rete. Questa pagina descrive l'infrastruttura Amazon VPC con routing *pubblico o routing* *privato* necessaria per supportare un ambiente Amazon Managed Workflows for Apache Airflow.

**Contents**
+ [Termini](#networking-about-defs)
+ [Cosa è supportato](#networking-about-supported)
+ [Panoramica dell'infrastruttura VPC](#networking-about-overview)
  + [Routing pubblico su Internet](#networking-about-overview-public)
  + [Routing privato senza accesso a Internet](#networking-about-overview-private)
+ [Esempi di casi d'uso per una modalità di accesso Amazon VPC e Apache Airflow](#networking-about-network-usecase)
  + [L'accesso a Internet è consentito: nuova rete Amazon VPC](#networking-about-network-usecase-internet)
  + [L'accesso a Internet non è consentito: nuova rete Amazon VPC](#networking-about-network-usecase-nointernet)
  + [L'accesso a Internet non è consentito: rete Amazon VPC esistente](#networking-about-network-usecase-nointernet-existing-vpc)

## Termini
<a name="networking-about-defs"></a>

**Routing pubblico**  
Una rete Amazon VPC con accesso a Internet.

**Routing privato**  
Una rete Amazon VPC **senza** accesso a Internet.

## Cosa è supportato
<a name="networking-about-supported"></a>

La tabella seguente descrive i tipi di supporti Amazon VPCs Amazon MWAA.


| Tipi di Amazon VPC | Supportato | 
| --- | --- | 
|  Un Amazon VPC di proprietà dell'account che sta tentando di creare l'ambiente.  |  Sì  | 
|  Un Amazon VPC condiviso in cui più persone Account AWS creano le proprie AWS risorse.  |  Sì  | 

## Panoramica dell'infrastruttura VPC
<a name="networking-about-overview"></a>

Quando crei un ambiente Amazon MWAA, Amazon MWAA crea da uno a due endpoint VPC per il tuo ambiente in base alla modalità di accesso Apache Airflow che hai scelto per il tuo ambiente. Questi endpoint sono mostrati come Interfacce di rete elastiche (ENIs) con accesso privato IPs nel tuo Amazon VPC. Dopo la creazione di questi endpoint, tutto il traffico destinato a tali endpoint IPs viene instradato privatamente o pubblicamente ai servizi corrispondenti utilizzati dall'ambiente. AWS 

La sezione seguente descrive l'infrastruttura Amazon VPC necessaria per instradare il traffico pubblicamente su Internet o privatamente all'interno del *tuo Amazon* VPC.

### Routing pubblico su Internet
<a name="networking-about-overview-public"></a>

Questa sezione descrive l'infrastruttura Amazon VPC di un ambiente con routing pubblico. Avrai bisogno della seguente infrastruttura VPC:
+ **Un gruppo di sicurezza VPC**. Un gruppo di sicurezza VPC funge da firewall virtuale per controllare il traffico di rete in ingresso (in entrata) e in uscita (in uscita) su un'istanza.
  + È possibile specificare fino a 5 gruppi di sicurezza.
  + Il gruppo di sicurezza deve specificare a se stesso una regola di ingresso autoreferenziale.
  + Il gruppo di sicurezza deve specificare una regola in uscita per tutto il traffico (`0.0.0.0/0`; per IPv6, uso). `::/0`
  + Il gruppo di sicurezza deve consentire tutto il traffico previsto dalla regola di autoreferenziazione. Ad esempio, [(Consigliato) Esempio di gruppo di sicurezza autoreferenziato per tutti gli accessi](vpc-security.md#vpc-security-sg-example).
  + Il gruppo di sicurezza può *facoltativamente* limitare ulteriormente il traffico specificando l'intervallo di porte per l'intervallo di porte HTTPS `443` e un intervallo di porte TCP. `5432` Ad esempio [(Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 5432](vpc-security.md#vpc-security-sg-example-port5432) e [(Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 443](vpc-security.md#vpc-security-sg-example-port443).
+ **Due sottoreti pubbliche**. Una sottorete pubblica è una sottorete associata a una tabella di instradamento con una route a un gateway Internet.
  + Sono necessarie due sottoreti pubbliche. Ciò consente ad Amazon MWAA di creare una nuova immagine del contenitore per il tuo ambiente nell'altra zona di disponibilità, in caso di guasto di un container. 
  + Le sottoreti devono trovarsi in zone di disponibilità diverse. Ad esempio, `us-east-1a`, `us-east-1b`.
  + Le sottoreti devono essere instradate verso un gateway NAT (o istanza NAT) con un indirizzo IP elastico (EIP).
  + Le sottoreti devono disporre di una tabella di routing che indirizza il traffico collegato a Internet verso un gateway Internet.
+ **Due sottoreti** private. Una sottorete privata è una sottorete **non** associata a una tabella di routing che ha un percorso verso un gateway Internet.
  + Sono necessarie due sottoreti private. Ciò consente ad Amazon MWAA di creare una nuova immagine del contenitore per il tuo ambiente nell'altra zona di disponibilità, in caso di guasto di un container. 
  + Le sottoreti devono trovarsi in zone di disponibilità diverse. Ad esempio, `us-east-1a`, `us-east-1b`.
  + Le sottoreti *devono disporre* di una tabella di routing verso un dispositivo NAT (gateway o istanza).
  + Le sottoreti **non devono essere** instradate verso un gateway Internet.
  + Impostato su `assignIpV6AddressOnCreation` `true` per le sottoreti IPv6 .
  + Per le sottoreti IPv6 private, è necessario disporre di una connessione a un gateway Internet di sola uscita (EIGW).
+ **Una lista di controllo degli accessi alla rete** (ACL). Un NACL gestisce (mediante regole di autorizzazione o rifiuto) il traffico in entrata e in uscita a livello di sottorete.
  + Il NACL deve disporre di una regola in entrata che consenta tutto il traffico (destinato all'uso). `0.0.0.0/0` IPv6 `::/0`
  + Il NACL deve avere una regola in uscita che consenta tutto il traffico (`0.0.0.0/0`; destinato, uso). IPv6 `::/0`
  + Ad esempio, [(Consigliato) Esempio ACLs](vpc-security.md#vpc-security-acl-example).
+ **Due gateway NAT (o istanze NAT)**. Un dispositivo NAT inoltra il traffico dalle istanze della sottorete privata a Internet o ad altri AWS servizi, quindi reindirizza la risposta alle istanze.
  + Il dispositivo NAT deve essere collegato a una sottorete pubblica. (Un dispositivo NAT per sottorete pubblica.)
  + Il dispositivo NAT deve avere un IPv4 indirizzo elastico (EIP) collegato a ciascuna sottorete pubblica.
+ **Un** gateway Internet. Un gateway Internet collega un Amazon VPC a Internet e ad altri AWS servizi.
  + Un gateway Internet deve essere collegato ad Amazon VPC.

### Routing privato senza accesso a Internet
<a name="networking-about-overview-private"></a>

Questa sezione descrive l'infrastruttura Amazon VPC di un ambiente con routing *privato*. Avrai bisogno della seguente infrastruttura VPC:
+ **Un gruppo di sicurezza VPC**. Un gruppo di sicurezza VPC funge da firewall virtuale per controllare il traffico di rete in ingresso (in entrata) e in uscita (in uscita) su un'istanza.
  + È possibile specificare fino a 5 gruppi di sicurezza.
  + Il gruppo di sicurezza deve specificare a se stesso una regola di ingresso autoreferenziale.
  + Il gruppo di sicurezza deve specificare una regola in uscita per tutto il traffico (`0.0.0.0/0`; per IPv6, uso). `::/0`
  + Il gruppo di sicurezza deve consentire tutto il traffico previsto dalla regola di autoreferenziazione. Ad esempio, [(Consigliato) Esempio di gruppo di sicurezza autoreferenziato per tutti gli accessi](vpc-security.md#vpc-security-sg-example).
  + Il gruppo di sicurezza può *facoltativamente* limitare ulteriormente il traffico specificando l'intervallo di porte per l'intervallo di porte HTTPS `443` e un intervallo di porte TCP. `5432` Ad esempio [(Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 5432](vpc-security.md#vpc-security-sg-example-port5432) e [(Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 443](vpc-security.md#vpc-security-sg-example-port443).
+ **Due sottoreti private**. Una sottorete privata è una sottorete **non** associata a una tabella di routing che ha un percorso verso un gateway Internet.
  + Sono necessarie due sottoreti private. Ciò consente ad Amazon MWAA di creare una nuova immagine del contenitore per il tuo ambiente nell'altra zona di disponibilità, in caso di guasto di un container. 
  + Le sottoreti devono trovarsi in zone di disponibilità diverse. Ad esempio, `us-east-1a`, `us-east-1b`.
  + Le sottoreti devono avere una tabella di routing verso gli endpoint VPC.
  + Le sottoreti devono disporre di una tabella di routing verso un EIGW da scaricare da Internet come parte di un DAG.
  + **Le sottoreti **non devono** avere una tabella di routing verso un dispositivo NAT (gateway o istanza), né un gateway Internet.**
+ **Una lista di controllo degli accessi alla rete (ACL)**. Un NACL gestisce (mediante regole di autorizzazione o rifiuto) il traffico in entrata e in uscita a livello di sottorete.
  + Il NACL deve disporre di una regola in entrata che consenta tutto il traffico (destinato all'uso). `0.0.0.0/0` IPv6 `::/0`
  + Il NACL deve avere una regola in uscita che neghi tutto il traffico (; for, use). `0.0.0.0/0` IPv6 `::/0`
  + Ad esempio, [(Consigliato) Esempio ACLs](vpc-security.md#vpc-security-acl-example).
+ **Una** tabella di routing locale. Una tabella di routing locale è una route predefinita per la comunicazione all'interno del VPC.
  + La tabella delle rotte locali deve essere associata alle sottoreti private.
  + La tabella di routing locale deve consentire alle istanze del tuo VPC di comunicare con la tua rete. Ad esempio, se utilizzi un endpoint per accedere AWS Client VPN all'interfaccia VPC per il tuo server web Apache Airflow, la tabella di routing deve essere indirizzata all'endpoint VPC.
+ Endpoint **VPC per ogni AWS servizio utilizzato dal tuo ambiente e endpoint** VPC Apache Airflow nello stesso ambiente e Regione AWS Amazon VPC del tuo ambiente Amazon MWAA.
  + Un endpoint VPC per ogni AWS servizio utilizzato dall'ambiente e endpoint VPC per Apache Airflow. Ad esempio, [(Obbligatori) Endpoint VPC](vpc-vpe-create-access.md#vpc-vpe-create-view-endpoints-examples).
  + Gli endpoint VPC devono avere il DNS privato abilitato.
  + Gli endpoint VPC devono essere associati alle due sottoreti private del tuo ambiente.
  + Gli endpoint VPC devono essere associati al gruppo di sicurezza dell'ambiente.
  + La policy degli endpoint VPC per ogni endpoint deve essere configurata per consentire l'accesso ai AWS servizi utilizzati dall'ambiente. Ad esempio, [(Consigliato) Esempio di policy degli endpoint VPC per consentire tutti gli accessi](vpc-security.md#vpc-external-vpce-policies-all).
  + È necessario configurare una policy sugli endpoint VPC per Amazon S3 per consentire l'accesso ai bucket. Ad esempio, [(Consigliato) Esempio di policy degli endpoint del gateway Amazon S3 per consentire l'accesso ai bucket](vpc-security.md#vpc-external-vpce-policies-s3).

## Esempi di casi d'uso per una modalità di accesso Amazon VPC e Apache Airflow
<a name="networking-about-network-usecase"></a>

Questa sezione descrive i diversi casi d'uso per l'accesso alla rete nel tuo Amazon VPC e nella modalità di accesso al server web Apache Airflow scelta sulla console Amazon MWAA.

### L'accesso a Internet è consentito: nuova rete Amazon VPC
<a name="networking-about-network-usecase-internet"></a>

Se l'accesso a Internet nel tuo VPC è consentito dalla tua organizzazione *e* desideri che gli utenti accedano al tuo server web Apache Airflow tramite Internet:

1. Crea una rete Amazon VPC con accesso a Internet.

1. Crea un ambiente con la modalità di accesso alla **rete pubblica** per il tuo server web Apache Airflow.

1. **Cosa consigliamo: ti** consigliamo di utilizzare il modello di CloudFormation avvio rapido che crea contemporaneamente l'infrastruttura Amazon VPC, un bucket Amazon S3 e un ambiente Amazon MWAA. Per ulteriori informazioni, consulta. [Tutorial di avvio rapido per Amazon Managed Workflows for Apache Airflow](quick-start.md)

Se l'accesso a Internet nel tuo VPC è consentito dalla tua organizzazione *e* desideri limitare l'accesso al server web Apache Airflow agli utenti all'interno del tuo VPC:

1. Crea una rete Amazon VPC con accesso a Internet.

1. Crea un meccanismo per accedere all'endpoint dell'interfaccia VPC per il tuo server web Apache Airflow dal tuo computer.

1. Crea un ambiente con la modalità di accesso alla **rete privata** per il tuo server web Apache Airflow.

1. **Cosa consigliamo:**

   1. Ti consigliamo di utilizzare la console Amazon MWAA in o [Opzione 1: creazione della rete VPC sulla console Amazon MWAA](vpc-create.md#vpc-create-mwaa-console) il CloudFormation modello in. [Opzione due: creazione di una rete Amazon VPC *con* accesso a Internet](vpc-create.md#vpc-create-template-private-or-public)

   1. Ti consigliamo di configurare l'accesso utilizzando un AWS Client VPN al tuo server web Apache Airflow in. [Tutorial: configurazione dell'accesso alla rete privata utilizzando un AWS Client VPN](tutorials-private-network-vpn-client.md)

### L'accesso a Internet non è consentito: nuova rete Amazon VPC
<a name="networking-about-network-usecase-nointernet"></a>

Se l'accesso a Internet nel tuo VPC **non è consentito** dalla tua organizzazione:

1. Crea una rete Amazon VPC senza accesso a Internet.

1. Crea un meccanismo per accedere all'endpoint dell'interfaccia VPC per il tuo server web Apache Airflow dal tuo computer.

1. Crea endpoint VPC per ogni AWS servizio utilizzato dal tuo ambiente.

1. Crea un ambiente con la modalità di accesso alla **rete privata** per il tuo server web Apache Airflow.

1. **Cosa consigliamo:**

   1. Consigliamo di utilizzare il CloudFormation modello per creare un Amazon VPC senza accesso a Internet e gli endpoint VPC per ogni servizio AWS utilizzato da Amazon MWAA in. [Opzione tre: creazione di una rete Amazon VPC *senza* accesso a Internet](vpc-create.md#vpc-create-template-private-only)

   1. Ti consigliamo di configurare l'accesso utilizzando un AWS Client VPN al tuo server web Apache Airflow in. [Tutorial: configurazione dell'accesso alla rete privata utilizzando un AWS Client VPN](tutorials-private-network-vpn-client.md)

### L'accesso a Internet non è consentito: rete Amazon VPC esistente
<a name="networking-about-network-usecase-nointernet-existing-vpc"></a>

Se l'accesso a Internet nel tuo VPC **non è consentito** dalla tua organizzazione *e* disponi già della rete Amazon VPC richiesta senza accesso a Internet:

1. Crea endpoint VPC per ogni AWS servizio utilizzato dal tuo ambiente.

1. Crea endpoint VPC per Apache Airflow.

1. Crea un meccanismo per accedere all'endpoint dell'interfaccia VPC per il tuo server web Apache Airflow dal tuo computer.

1. Crea un ambiente con la modalità di accesso alla **rete privata** per il tuo server web Apache Airflow.

1. **Cosa consigliamo:**

   1. Consigliamo di creare e collegare gli endpoint VPC necessari per AWS ogni servizio utilizzato da Amazon MWAA e gli endpoint VPC necessari per Apache Airflow in. [Creazione degli endpoint del servizio VPC richiesti in un Amazon VPC con routing privato](vpc-vpe-create-access.md)

   1. Ti consigliamo di configurare l'accesso utilizzando un AWS Client VPN al tuo server web Apache Airflow in. [Tutorial: configurazione dell'accesso alla rete privata utilizzando un AWS Client VPN](tutorials-private-network-vpn-client.md)

# Sicurezza nel tuo VPC su Amazon MWAA
<a name="vpc-security"></a>

Questa pagina descrive i componenti Amazon VPC utilizzati per proteggere l'ambiente Amazon Managed Workflows for Apache Airflow e le configurazioni necessarie per questi componenti.

**Contents**
+ [Termini](#networking-security-defs)
+ [Panoramica sulla sicurezza](#vpc-security-about)
+ [Elenchi di controllo degli accessi alla rete () ACLs](#vpc-security-acl)
  + [(Consigliato) Esempio ACLs](#vpc-security-acl-example)
+ [Gruppi di sicurezza VPC](#vpc-security-sg)
  + [(Consigliato) Esempio di gruppo di sicurezza autoreferenziato per tutti gli accessi](#vpc-security-sg-example)
  + [(Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 5432](#vpc-security-sg-example-port5432)
  + [(Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 443](#vpc-security-sg-example-port443)
+ [Policy degli endpoint VPC (solo routing privato)](#vpc-external-vpce-policies)
  + [(Consigliato) Esempio di policy degli endpoint VPC per consentire tutti gli accessi](#vpc-external-vpce-policies-all)
  + [(Consigliato) Esempio di policy degli endpoint del gateway Amazon S3 per consentire l'accesso ai bucket](#vpc-external-vpce-policies-s3)

## Termini
<a name="networking-security-defs"></a>

**Routing pubblico**  
Una rete Amazon VPC con accesso a Internet.

**Routing privato**  
Una rete Amazon VPC senza accesso a Internet.

## Panoramica sulla sicurezza
<a name="vpc-security-about"></a>

I gruppi di sicurezza e gli elenchi di controllo degli accessi (ACLs) forniscono modi per controllare il traffico di rete attraverso le sottoreti e le istanze del tuo Amazon VPC utilizzando regole da te specificate.
+ Il traffico di rete da e verso una sottorete può essere controllato da Access Control Lists (). ACLs È necessario un solo ACL e lo stesso ACL può essere utilizzato in più ambienti.
+ Il traffico di rete da e verso un'istanza può essere controllato da un gruppo di sicurezza Amazon VPC. Puoi utilizzare da uno a cinque gruppi di sicurezza per ambiente.
+ Il traffico di rete da e verso un'istanza può essere controllato anche dalle policy degli endpoint VPC. [Se l'accesso a Internet all'interno del tuo Amazon VPC non è consentito dalla tua organizzazione e utilizzi una rete Amazon VPC con *routing privato*, è necessaria una policy sugli endpoint VPC per gli endpoint VPC e gli endpoint VPC Apache AWS Airflow.](vpc-vpe-create-access.md#vpc-vpe-create-view-endpoints-examples)

## Elenchi di controllo degli accessi alla rete () ACLs
<a name="vpc-security-acl"></a>

*Una [lista di controllo degli accessi alla rete (ACL)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) può gestire (mediante regole di autorizzazione o negazione) il traffico in entrata e in uscita a livello di sottorete.* Un ACL è stateless, il che significa che le regole in entrata e in uscita devono essere specificate separatamente ed esplicitamente. Viene utilizzato per specificare i tipi di traffico di rete consentiti in entrata o in uscita dalle istanze in una rete VPC.

Ogni Amazon VPC dispone di un ACL predefinito che consente tutto il traffico in entrata e in uscita. Puoi modificare le regole ACL predefinite o creare un ACL personalizzato e collegarlo alle tue sottoreti. A una sottorete può essere collegato un solo ACL alla volta, ma un ACL può essere collegato a più sottoreti.

### (Consigliato) Esempio ACLs
<a name="vpc-security-acl-example"></a>

*L'esempio seguente mostra le regole ACL *in entrata* e *in uscita* che possono essere utilizzate per un Amazon VPC con routing *pubblico* o routing privato.*


| Numero della regola | Tipo | Protocollo | Intervallo porte | Crea | Consenti/Nega | 
| --- | --- | --- | --- | --- | --- | 
|  100  |  Tutto IPv4 il traffico  |  Tutti  |  Tutti  |  0.0.0.0/0  |  Consenso  | 
|  \$1  |  Tutto IPv4 il traffico  |  Tutti  |  Tutti  |  0.0.0.0/0  |  Rifiuta  | 

## Gruppi di sicurezza VPC
<a name="vpc-security-sg"></a>

Un [gruppo di sicurezza VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) funge da firewall virtuale che controlla il traffico di rete a livello di *istanza*. Un gruppo di sicurezza è dotato di stato, il che significa che quando è consentita una connessione in entrata, è consentito rispondere. Viene utilizzato per specificare i tipi di traffico di rete consentiti dalle istanze in una rete VPC.

Ogni Amazon VPC ha un gruppo di sicurezza predefinito. Per impostazione predefinita, non ha regole in entrata. Ha una regola in uscita che consente tutto il traffico in uscita. Puoi modificare le regole predefinite del gruppo di sicurezza o creare un gruppo di sicurezza personalizzato e collegarlo al tuo Amazon VPC. Su Amazon MWAA, devi configurare le regole in entrata e in uscita per indirizzare il traffico verso i tuoi gateway NAT.

### (Consigliato) Esempio di gruppo di sicurezza autoreferenziato per tutti gli accessi
<a name="vpc-security-sg-example"></a>

*L'esempio seguente mostra le regole del gruppo di sicurezza *in entrata* che consentono tutto il traffico per un Amazon VPC *con routing pubblico* o routing privato.* Il gruppo di sicurezza in questo esempio è una regola autoreferenziale a se stessa.


| Tipo | Protocollo | Tipo di fonte | Origine | 
| --- | --- | --- | --- | 
|  Tutto il traffico  |  Tutti  |  Tutti  |  sg-0909e8e81919/-group my-mwaa-vpc-security  | 

*L'esempio seguente visualizza le regole del gruppo di sicurezza in uscita.*


| Tipo | Protocollo | Tipo di origine | Origine | 
| --- | --- | --- | --- | 
|  Tutto il traffico  |  Tutti  |  Tutti  |  0.0.0.0/0  | 

### (Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 5432
<a name="vpc-security-sg-example-port5432"></a>

L'esempio seguente mostra le regole del gruppo di sicurezza *in entrata* che consentono tutto il traffico HTTPS sulla porta 5432 per il database di metadati PostgreSQL di Amazon Aurora (di proprietà di Amazon MWAA) per il tuo ambiente.

**Nota**  
Se scegli di limitare il traffico utilizzando questa regola, dovrai aggiungere un'altra regola per consentire il traffico TCP sulla porta 443.


| Tipo | Protocollo | Intervallo porte | Source type (Tipo di origine) | Origine | 
| --- | --- | --- | --- | --- | 
|  TCP personalizzato  |  TCP  |  5432  |  Personalizzato  |  sg-0909e8e81919/-group my-mwaa-vpc-security  | 

### (Facoltativo) Esempio di gruppo di sicurezza che limita l'accesso in entrata alla porta 443
<a name="vpc-security-sg-example-port443"></a>

L'esempio seguente visualizza le regole del gruppo di sicurezza *in entrata* che consentono tutto il traffico TCP sulla porta 443 per il server web Apache Airflow.


| Tipo | Protocollo | Intervallo porte | Source type (Tipo di origine) | Origine | 
| --- | --- | --- | --- | --- | 
|  HTTPS  |  TCP  |  443  |  Personalizzato  |   my-mwaa-vpc-securitysg-0909e8e81919/-group  | 

## Policy degli endpoint VPC (solo routing privato)
<a name="vpc-external-vpce-policies"></a>

Una policy [VPC endpoint (AWS PrivateLink)](https://docs.aws.amazon.com/mwaa/latest/userguide/vpc-create.html#vpc-create-required) controlla l'accesso ai AWS servizi dalla tua sottorete privata. Una policy per gli endpoint VPC è una policy delle risorse IAM da collegare al gateway VPC o all'endpoint di interfaccia. Questa sezione descrive le autorizzazioni necessarie per le policy degli endpoint VPC per ogni endpoint VPC.

Ti consigliamo di utilizzare una policy per gli endpoint dell'interfaccia VPC per ciascuno degli endpoint VPC che hai creato che consenta l'accesso completo a tutti i AWS servizi e di utilizzare il tuo ruolo di esecuzione esclusivamente per le autorizzazioni. AWS 

### (Consigliato) Esempio di policy degli endpoint VPC per consentire tutti gli accessi
<a name="vpc-external-vpce-policies-all"></a>

*L'esempio seguente presenta una policy per gli endpoint dell'interfaccia VPC per un Amazon VPC con routing privato.*

```
{
  "Statement": [
    {
      "Action": "*",
      "Effect": "Allow",
      "Resource": "*",
      "Principal": "*"
    }
  ]
}
```

### (Consigliato) Esempio di policy degli endpoint del gateway Amazon S3 per consentire l'accesso ai bucket
<a name="vpc-external-vpce-policies-s3"></a>

*L'esempio seguente presenta una policy per gli endpoint del gateway VPC che fornisce l'accesso ai bucket Amazon S3 necessari per le operazioni di Amazon ECR per un Amazon VPC con routing privato.* Questo è necessario per recuperare la tua immagine Amazon ECR, oltre al bucket in cui sono archiviati i tuoi file DAGs e quelli di supporto.

```
{
  "Statement": [
    {
      "Sid": "Access-to-specific-bucket-only",
      "Principal": "*",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::prod-us-east-1-starport-layer-bucket/*"]
    }
  ]
}
```

# Gestione dell'accesso agli endpoint Amazon VPC specifici del servizio su Amazon MWAA
<a name="vpc-vpe-access"></a>

Un endpoint VPC (AWS PrivateLink) che puoi utilizzare per connettere privatamente il tuo VPC ai servizi ospitati AWS senza richiedere un gateway Internet, un dispositivo NAT, una VPN o proxy firewall. Questi endpoint sono dispositivi virtuali scalabili orizzontalmente e ad alta disponibilità che consentono la comunicazione tra le istanze del tuo VPC e i servizi. AWS Questa pagina descrive gli endpoint VPC creati da Amazon MWAA e come accedere all'endpoint VPC per il tuo server web Apache Airflow se hai scelto la modalità di accesso alla **rete** privata su Amazon Managed Workflows for Apache Airflow.

**Contents**
+ [Prezzi](#vpc-vpe-pricing)
+ [Panoramica degli endpoint VPC](#vpc-vpe-about)
  + [Modalità di accesso alla rete pubblica](#vpc-vpe-about-public)
  + [Modalità di accesso alla rete privata](#vpc-vpe-about-private)
+ [Autorizzazione all'uso di altri servizi AWS](#vpc-vpe-permission)
+ [Accesso agli endpoint VPC](#vpc-vpe-view-all)
  + [Accesso agli endpoint VPC sulla console Amazon VPC](#vpc-vpe-view-endpoints)
  + [Identificazione degli indirizzi IP privati del server web Apache Airflow e del relativo endpoint VPC](#vpc-vpe-hosts)
+ [Accesso all'endpoint VPC per il server web Apache Airflow (accesso alla rete privata)](#vpc-vpe-access-endpoints)
  + [Utilizzando un AWS Client VPN](#vpc-vpe-access-vpn)
  + [Utilizzo di un host Linux Bastion](#vpc-vpe-access-bastion)
  + [Utilizzo di un Load Balancer (avanzato)](#vpc-vpe-access-load-balancer)

## Prezzi
<a name="vpc-vpe-pricing"></a>
+ [AWS PrivateLink Prezzi](https://aws.amazon.com/privatelink/pricing/)

## Panoramica degli endpoint VPC
<a name="vpc-vpe-about"></a>

Quando crei un ambiente Amazon MWAA, Amazon MWAA crea da uno a due endpoint VPC per il tuo ambiente. Questi endpoint vengono visualizzati come Interfacce di rete elastiche (ENIs) con accesso privato IPs nel tuo Amazon VPC. Dopo la creazione di questi endpoint, tutto il traffico destinato a tali endpoint IPs viene instradato privatamente o pubblicamente ai servizi corrispondenti utilizzati dall'ambiente. AWS 

### Modalità di accesso alla rete pubblica
<a name="vpc-vpe-about-public"></a>

Se hai scelto la modalità di accesso alla **rete pubblica** per il tuo server web Apache Airflow, il traffico di rete viene instradato pubblicamente su Internet.
+ Amazon MWAA crea un endpoint di interfaccia VPC per il tuo database di metadati Amazon Aurora PostgreSQL. L'endpoint viene creato nelle zone di disponibilità mappate alle sottoreti private ed è indipendente da altre. Account AWS
+ Amazon MWAA associa quindi un indirizzo IP dalle sottoreti private agli endpoint dell'interfaccia. Questo è progettato per supportare la best practice di associare un singolo IP da ogni zona di disponibilità di Amazon VPC.

### Modalità di accesso alla rete privata
<a name="vpc-vpe-about-private"></a>

Se hai scelto la modalità di accesso alla **rete privata** per il tuo server web Apache Airflow, il traffico di rete viene *instradato* privatamente all'interno del tuo Amazon VPC.
+ Amazon MWAA crea un endpoint di interfaccia VPC per il tuo server web Apache Airflow e un endpoint di interfaccia per il tuo database di metadati PostgreSQL Amazon Aurora. Gli endpoint vengono creati nelle zone di disponibilità mappate alle sottoreti private e sono indipendenti dalle altre. Account AWS
+ Amazon MWAA associa quindi un indirizzo IP dalle sottoreti private agli endpoint dell'interfaccia. Questo è progettato per supportare la best practice di associare un singolo IP da ogni zona di disponibilità di Amazon VPC.

## Autorizzazione all'uso di altri servizi AWS
<a name="vpc-vpe-permission"></a>

Gli endpoint dell'interfaccia utilizzano il ruolo di esecuzione per l'ambiente in AWS Identity and Access Management (IAM) per gestire le autorizzazioni alle AWS risorse utilizzate dall'ambiente. Man mano che vengono attivati più AWS servizi per un ambiente, ogni servizio richiede la configurazione delle autorizzazioni utilizzando il ruolo di esecuzione dell'ambiente. Per aggiungere autorizzazioni, fare riferimento a. [Ruolo di esecuzione di Amazon MWAA](mwaa-create-role.md)

Se hai scelto la modalità di accesso alla **rete privata** per il tuo server web Apache Airflow, devi anche consentire l'autorizzazione nella politica degli endpoint VPC per ogni endpoint. Per ulteriori informazioni, fare riferimento a. [Policy degli endpoint VPC (solo routing privato)](vpc-security.md#vpc-external-vpce-policies)

## Accesso agli endpoint VPC
<a name="vpc-vpe-view-all"></a>

Questa sezione descrive come accedere agli endpoint VPC creati da Amazon MWAA e come identificare gli indirizzi IP privati per il tuo endpoint VPC Apache Airflow.

### Accesso agli endpoint VPC sulla console Amazon VPC
<a name="vpc-vpe-view-endpoints"></a>

*La sezione seguente mostra i passaggi per accedere agli endpoint VPC creati da Amazon MWAA e a tutti gli endpoint VPC che potresti aver creato se utilizzi il routing privato per Amazon VPC.*

**Per accedere agli endpoint VPC**

1. Apri la [pagina Endpoints](https://console.aws.amazon.com/vpc/home#Endpoints:) sulla console Amazon VPC.

1. Seleziona il tuo. Regione AWS

1. *Fai riferimento agli endpoint dell'interfaccia VPC creati da Amazon MWAA e a tutti gli endpoint VPC che potresti aver creato se utilizzi il routing privato nel tuo Amazon VPC.*

Per ulteriori informazioni sugli endpoint del servizio VPC necessari per un Amazon VPC con routing *privato*, consulta. [Creazione degli endpoint del servizio VPC richiesti in un Amazon VPC con routing privato](vpc-vpe-create-access.md)

### Identificazione degli indirizzi IP privati del server web Apache Airflow e del relativo endpoint VPC
<a name="vpc-vpe-hosts"></a>

I passaggi seguenti descrivono come recuperare il nome host del server web Apache Airflow e il relativo endpoint dell'interfaccia VPC e i relativi indirizzi IP privati.

1. Utilizzate il seguente comando AWS Command Line Interface (AWS CLI) per recuperare il nome host per il vostro server web Apache Airflow.

   ```
   aws mwaa get-environment --name YOUR_ENVIRONMENT_NAME --query 'Environment.WebserverUrl'
   ```

   Otterrete qualcosa di simile alla seguente risposta:

   ```
   "99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com"
   ```

1. Esegui un comando *dig* sul nome host restituito nella risposta del comando precedente. Ad esempio:

   ```
   dig CNAME +short 99aa99aa-55aa-44a1-a91f-f4552cf4e2f5-vpce.c10.us-west-2.airflow.amazonaws.com
   ```

   Ottieni qualcosa di simile alla seguente risposta:

   ```
   vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.
   ```

1. Usa il seguente comando AWS Command Line Interface (AWS CLI) per recuperare il nome DNS dell'endpoint VPC restituito nella risposta del comando precedente. Ad esempio:

   ```
   aws ec2 describe-vpc-endpoints | grep vpce-0699aa333a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com.
   ```

   Otterrete qualcosa di simile alla seguente risposta:

   ```
   "DnsName": "vpce-066777a0a0a0-bf90xjtr.vpce-svc-00bb7c2ca2213bc37.us-west-2.vpce.amazonaws.com",
   ```

1. Esegui un comando *nslookup* o *dig* sul nome host Apache Airflow e sul nome DNS dell'endpoint VPC per recuperare gli indirizzi IP. Ad esempio:

   ```
   dig +short YOUR_AIRFLOW_HOST_NAME YOUR_AIRFLOW_VPC_ENDPOINT_DNS
   ```

   Ottieni qualcosa di simile alla seguente risposta:

   ```
   192.0.5.1
   192.0.6.1
   ```

## Accesso all'endpoint VPC per il server web Apache Airflow (accesso alla rete privata)
<a name="vpc-vpe-access-endpoints"></a>

Se hai scelto la modalità di accesso alla **rete privata** per il tuo server web Apache Airflow, dovrai creare un meccanismo per accedere all'endpoint dell'interfaccia VPC per il tuo server web Apache Airflow. È necessario utilizzare lo stesso Amazon VPC, lo stesso gruppo di sicurezza VPC e le stesse sottoreti private dell'ambiente Amazon MWAA per queste risorse.

### Utilizzando un AWS Client VPN
<a name="vpc-vpe-access-vpn"></a>

AWS Client VPN è un servizio VPN gestito basato su client che è possibile utilizzare per accedere in modo sicuro alle AWS risorse e alle risorse della rete locale. Fornisce una connessione TLS sicura da qualsiasi posizione utilizzando il client OpenVPN.

Ti consigliamo di seguire il tutorial di Amazon MWAA per configurare un Client VPN:. [Tutorial: configurazione dell'accesso alla rete privata utilizzando un AWS Client VPN](tutorials-private-network-vpn-client.md)

### Utilizzo di un host Linux Bastion
<a name="vpc-vpe-access-bastion"></a>

Un bastion host è un server il cui scopo è fornire l'accesso a una rete privata da una rete esterna, ad esempio via Internet dal computer. Le istanze Linux si trovano in una sottorete pubblica e sono configurate con un gruppo di sicurezza che consente l'accesso SSH dal gruppo di sicurezza collegato all' EC2 istanza Amazon sottostante che esegue l'host bastion.

Ti consigliamo di seguire il tutorial di Amazon MWAA per configurare un host Linux Bastion:. [Tutorial: configurazione dell'accesso alla rete privata utilizzando un host Linux Bastion](tutorials-private-network-bastion.md)

### Utilizzo di un Load Balancer (avanzato)
<a name="vpc-vpe-access-load-balancer"></a>

La sezione seguente mostra le configurazioni da applicare a un [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/tutorial-application-load-balancer-cli.html).

1. **Gruppi target**. Dovrai utilizzare gruppi target che puntano agli indirizzi IP privati del tuo server web Apache Airflow e del relativo endpoint di interfaccia VPC. Ti consigliamo di specificare entrambi gli indirizzi IP privati come destinazioni registrate, poiché utilizzarne solo uno può ridurre la disponibilità. Per ulteriori informazioni su come identificare gli indirizzi IP privati, fare riferimento a[Identificazione degli indirizzi IP privati del server web Apache Airflow e del relativo endpoint VPC](#vpc-vpe-hosts).

1. **Codici di stato**. Ti consigliamo di utilizzare `200` i codici di `302` stato nelle impostazioni del gruppo target. In caso contrario, le destinazioni potrebbero essere contrassegnate come non integre se l'endpoint VPC per il server web Apache Airflow risponde con un errore. `302 Redirect`

1. **Listener HTTPS.** È necessario specificare la porta di destinazione per il server web Apache Airflow. Ad esempio:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/mwaa/latest/userguide/vpc-vpe-access.html)

1. **Nuovo dominio ACM**. Se desideri associare un SSL/TLS certificato a AWS Certificate Manager, dovrai creare un nuovo dominio per il listener HTTPS per il tuo sistema di bilanciamento del carico.

1. Regione del **certificato ACM.** Se desideri associare un SSL/TLS certificato a AWS Certificate Manager, dovrai caricarlo nello stesso ambiente in cui Regione AWS risiedi. Ad esempio:

   1.   
**Example regione in cui caricare il certificato**  

     ```
     aws acm import-certificate --certificate fileb://Certificate.pem --certificate-chain fileb://CertificateChain.pem --private-key fileb://PrivateKey.pem --region us-west-2
     ```

# Creazione degli endpoint del servizio VPC richiesti in un Amazon VPC con routing privato
<a name="vpc-vpe-create-access"></a>

Una rete Amazon VPC esistente senza accesso a Internet richiede endpoint di servizio VPC aggiuntivi () per AWS PrivateLink utilizzare Apache Airflow su Amazon Managed Workflows for Apache Airflow. Questa pagina descrive gli endpoint VPC necessari per i AWS servizi utilizzati da Amazon MWAA, gli endpoint VPC richiesti per Apache Airflow e come creare e collegare gli endpoint VPC a un Amazon VPC esistente con routing privato.

**Contents**
+ [Prezzi](#vpc-vpe-create-pricing)
+ [Rete privata e routing privato](#vpc-vpc-create-onconsole)
+ [(Obbligatori) Endpoint VPC](#vpc-vpe-create-view-endpoints-examples)
+ [Collegamento degli endpoint VPC richiesti](#vpc-vpe-create-view-endpoints-attach-all)
  + [Endpoint VPC necessari per i servizi AWS](#vpc-vpe-create-view-endpoints-attach-services)
  + [Endpoint VPC richiesti per Apache Airflow](#vpc-vpe-create-view-endpoints-attach-aa)
+ [(Facoltativo) Abilita gli indirizzi IP privati per l'endpoint dell'interfaccia VPC Amazon S3](#vpc-vpe-create-view-endpoints-s3-exception)
  + [Usare Route 53](#vpc-vpe-create-view-endpoints-s3-exception-route53)
  + [VPCs con DNS personalizzato](#vpc-vpe-create-view-endpoints-s3-exception-customdns)

## Prezzi
<a name="vpc-vpe-create-pricing"></a>
+ [AWS PrivateLink Prezzi](https://aws.amazon.com/privatelink/pricing/)

## Rete privata e routing privato
<a name="vpc-vpc-create-onconsole"></a>

![\[Questa immagine mostra l'architettura di un ambiente Amazon MWAA con un server web privato.\]](http://docs.aws.amazon.com/it_it/mwaa/latest/userguide/images/mwaa-private-web-server.png)


La modalità di accesso alla rete privata limita l'accesso all'interfaccia utente di Apache Airflow agli utenti del tuo *Amazon VPC a* cui è stato concesso l'accesso alla policy IAM per [il](access-policies.md) tuo ambiente.

Quando crei un ambiente con accesso privato al server web, devi impacchettare tutte le tue dipendenze in un archivio Python wheel (`.whl`), quindi fare riferimento a nel tuo. `.whl` `requirements.txt` Per istruzioni su come impacchettare e installare le dipendenze usando wheel, consulta [Gestire le dipendenze usando Python](best-practices-dependencies.md#best-practices-dependencies-python-wheels) wheel.

L'immagine seguente mostra dove trovare l'opzione **Rete privata** sulla console Amazon MWAA.

![\[Questa immagine mostra dove trovare l'opzione Rete privata sulla console Amazon MWAA.\]](http://docs.aws.amazon.com/it_it/mwaa/latest/userguide/images/mwaa-console-private-network.png)

+ **Routing privato.** Un [Amazon VPC senza accesso a Internet](networking-about.md) limita il traffico di rete all'interno del VPC. Questa pagina presuppone che Amazon VPC non disponga di accesso a Internet e richieda endpoint VPC per AWS ogni servizio utilizzato dal tuo ambiente e endpoint VPC per Apache Airflow nello stesso ambiente e Amazon VPC Regione AWS dell'ambiente Amazon MWAA.

## (Obbligatori) Endpoint VPC
<a name="vpc-vpe-create-view-endpoints-examples"></a>

La sezione seguente mostra gli endpoint VPC necessari per un Amazon VPC senza accesso a Internet. Elenca gli endpoint VPC per ogni AWS servizio utilizzato da Amazon MWAA, inclusi gli endpoint VPC necessari per Apache Airflow.

```
com.amazonaws.us-east-1.s3
com.amazonaws.us-east-1.monitoring
com.amazonaws.us-east-1.logs
com.amazonaws.us-east-1.sqs
com.amazonaws.us-east-1.kms
```

**Nota**  
Quando utilizzi Transit Gateway o qualsiasi altro routing che non arriva direttamente agli endpoint AWS API, ti consigliamo di aggiungere AWS PrivateLink alle sottoreti private Amazon MWAA per i seguenti servizi:  
Amazon S3
Amazon SQS
CloudWatch Registri
CloudWatch metriche
AWS KMS (se applicabile)
Ciò garantisce che il tuo ambiente Amazon MWAA possa comunicare in modo sicuro ed efficiente con questi servizi senza instradare il traffico attraverso la rete Internet pubblica, migliorando così la sicurezza e le prestazioni.

## Collegamento degli endpoint VPC richiesti
<a name="vpc-vpe-create-view-endpoints-attach-all"></a>

Questa sezione descrive i passaggi per collegare gli endpoint VPC richiesti per un Amazon VPC con routing privato.

### Endpoint VPC necessari per i servizi AWS
<a name="vpc-vpe-create-view-endpoints-attach-services"></a>

La sezione seguente mostra i passaggi per collegare gli endpoint VPC per i AWS servizi utilizzati da un ambiente a un Amazon VPC esistente.

**Per collegare gli endpoint VPC alle sottoreti private**

1. Apri la [pagina Endpoints](https://console.aws.amazon.com/vpc/home#Endpoints:sort=vpcEndpointType) sulla console Amazon VPC.

1. Seleziona il tuo. Regione AWS

1. Crea l'endpoint per Amazon S3:

   1. Scegliere **Create Endpoint** (Crea endpoint).

   1. Nel campo di testo *Filtra per attributi o cerca per parola chiave*, digita:**.s3**, quindi premi *Invio* sulla tastiera.

   1. Ti consigliamo di scegliere l'endpoint di servizio elencato per il tipo di **Gateway**.

      Ad esempio, **com.amazonaws.us-west-2.s3 amazon Gateway**

   1. **Scegli Amazon VPC in VPC del tuo ambiente.**

   1. **Assicurati che le tue due sottoreti private in zone di disponibilità diverse siano selezionate e che il DNS privato sia abilitato selezionando Abilita nome DNS.**

   1. Scegli i gruppi di sicurezza Amazon VPC del tuo ambiente.

   1. Scegli **Accesso completo** in **Policy**.

   1. Seleziona **Crea endpoint**.

1. Crea l'endpoint per CloudWatch Logs:

   1. Scegliere **Create Endpoint** (Crea endpoint).

   1. Nel campo di testo *Filtra per attributi o cerca per parola chiave*, digita:**.logs**, quindi premi *Invio* sulla tastiera.

   1. Seleziona l'endpoint del servizio.

   1. **Scegli Amazon VPC in VPC del tuo ambiente.**

   1. Assicurati che le due sottoreti private in zone di disponibilità diverse siano selezionate e che l'opzione Abilita nome **DNS sia abilitata.**

   1. Scegli i gruppi di sicurezza Amazon VPC del tuo ambiente.

   1. Scegli **Accesso completo** in **Policy**.

   1. Seleziona **Crea endpoint**.

1. Crea l'endpoint per il CloudWatch monitoraggio:

   1. Scegliere **Create Endpoint** (Crea endpoint).

   1. Nel campo di testo *Filtra per attributi o cerca per parola chiave*, digita:**.monitoring**, quindi premi *Invio* sulla tastiera.

   1. Seleziona l'endpoint del servizio.

   1. **Scegli Amazon VPC in VPC del tuo ambiente.**

   1. Assicurati che le due sottoreti private in zone di disponibilità diverse siano selezionate e che l'opzione Abilita nome **DNS sia abilitata.**

   1. Scegli i gruppi di sicurezza Amazon VPC del tuo ambiente.

   1. Scegli **Accesso completo** in **Policy**.

   1. Seleziona **Crea endpoint**.

1. Crea l'endpoint per Amazon SQS:

   1. Scegliere **Create Endpoint** (Crea endpoint).

   1. Nel campo di testo *Filtra per attributi o cerca per parola chiave*, digita:**.sqs**, quindi premi *Invio* sulla tastiera.

   1. Seleziona l'endpoint del servizio.

   1. **Scegli Amazon VPC in VPC del tuo ambiente.**

   1. Assicurati che le due sottoreti private in zone di disponibilità diverse siano selezionate e che l'opzione Abilita nome **DNS sia abilitata.**

   1. Scegli i gruppi di sicurezza Amazon VPC del tuo ambiente.

   1. Scegli **Accesso completo** in **Policy**.

   1. Seleziona **Crea endpoint**.

1. Crea l'endpoint per AWS KMS:

   1. Scegliere **Create Endpoint** (Crea endpoint).

   1. Nel campo di testo *Filtra per attributi o cerca per parola chiave*, digita:**.kms**, quindi premi *Invio* sulla tastiera.

   1. Seleziona l'endpoint del servizio.

   1. **Scegli Amazon VPC in VPC del tuo ambiente.**

   1. Assicurati che le due sottoreti private in zone di disponibilità diverse siano selezionate e che l'opzione Abilita nome **DNS sia abilitata.**

   1. Scegli i gruppi di sicurezza Amazon VPC del tuo ambiente.

   1. Scegli **Accesso completo** in **Policy**.

   1. Seleziona **Crea endpoint**.

### Endpoint VPC richiesti per Apache Airflow
<a name="vpc-vpe-create-view-endpoints-attach-aa"></a>

La sezione seguente mostra i passaggi per collegare gli endpoint VPC per Apache Airflow a un Amazon VPC esistente.

**Per collegare gli endpoint VPC alle sottoreti private**

1. Apri la [pagina Endpoints](https://console.aws.amazon.com/vpc/home#Endpoints:sort=vpcEndpointType) sulla console Amazon VPC.

1. Seleziona il tuo. Regione AWS

1. Crea l'endpoint per l'API Apache Airflow:

   1. Scegliere **Create Endpoint** (Crea endpoint).

   1. Nel campo di testo *Filtra per attributi o cerca per parola chiave*, digita:**.airflow.api**, quindi premi *Invio sulla tastiera*.

   1. Seleziona l'endpoint del servizio.

   1. **Scegli Amazon VPC in VPC del tuo ambiente.**

   1. Assicurati che le due sottoreti private in zone di disponibilità diverse siano selezionate e che l'opzione Abilita nome **DNS sia abilitata.**

   1. Scegli i gruppi di sicurezza Amazon VPC del tuo ambiente.

   1. Scegli **Accesso completo** in **Policy**.

   1. Seleziona **Crea endpoint**.

1. Crea il primo endpoint per l'ambiente Apache Airflow:

   1. Scegliere **Create Endpoint** (Crea endpoint).

   1. Nel campo di testo *Filtra per attributi o cerca per parola chiave*, digita:**.airflow.env**, quindi premi *Invio sulla tastiera*.

   1. Seleziona l'endpoint del servizio.

   1. **Scegli Amazon VPC in VPC del tuo ambiente.**

   1. Assicurati che le due sottoreti private in zone di disponibilità diverse siano selezionate e che l'opzione Abilita nome **DNS sia abilitata.**

   1. Scegli i gruppi di sicurezza Amazon VPC del tuo ambiente.

   1. Scegli **Accesso completo** in **Policy**.

   1. Seleziona **Crea endpoint**.

1. Crea il secondo endpoint per le operazioni di Apache Airflow:

   1. Scegliere **Create Endpoint** (Crea endpoint).

   1. Nel campo di testo *Filtra per attributi o cerca per parola chiave*, digita:**.airflow.ops**, quindi premi *Invio sulla tastiera*.

   1. Seleziona l'endpoint del servizio.

   1. **Scegli Amazon VPC in VPC del tuo ambiente.**

   1. Assicurati che le due sottoreti private in zone di disponibilità diverse siano selezionate e che l'opzione Abilita nome **DNS sia abilitata.**

   1. Scegli i gruppi di sicurezza Amazon VPC del tuo ambiente.

   1. Scegli **Accesso completo** in **Policy**.

   1. Seleziona **Crea endpoint**.

## (Facoltativo) Abilita gli indirizzi IP privati per l'endpoint dell'interfaccia VPC Amazon S3
<a name="vpc-vpe-create-view-endpoints-s3-exception"></a>

Gli endpoint **dell'interfaccia** Amazon S3 non supportano il DNS privato. *Le richieste degli endpoint S3 vengono comunque risolte in un indirizzo IP pubblico.* Per risolvere l'indirizzo S3 in un indirizzo IP *privato*, devi aggiungere una [zona ospitata privata in Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) per l'endpoint regionale S3.

### Usare Route 53
<a name="vpc-vpe-create-view-endpoints-s3-exception-route53"></a>

Questa sezione descrive i passaggi per abilitare gli indirizzi IP privati per un endpoint **dell'interfaccia** S3 utilizzando Route 53.

1. Crea una zona ospitata privata per il tuo endpoint di interfaccia VPC Amazon S3 (ad esempio, s3.eu-west-1.amazonaws.com) e associala al tuo Amazon VPC.

1. Crea un ALIAS Un record per il tuo endpoint di interfaccia VPC Amazon S3 (ad esempio, s3.eu-west-1.amazonaws.com) che si risolve nel nome DNS dell'endpoint dell'interfaccia VPC.

1. Crea un ALIAS Un record wildcard per l'endpoint dell'interfaccia Amazon S3 (ad esempio\$1. s3.eu-west-1.amazonaws.com) che si risolve nel nome DNS dell'endpoint dell'interfaccia VPC.

### VPCs con DNS personalizzato
<a name="vpc-vpe-create-view-endpoints-s3-exception-customdns"></a>

Se il tuo Amazon VPC utilizza un routing DNS personalizzato, devi apportare le modifiche nel tuo resolver DNS (non Route 53, in EC2 genere un'istanza che esegue un server DNS) creando un record CNAME. Ad esempio:

```
Name: s3.us-west-2.amazonaws.com
Type: CNAME
Value:  *.vpce-0f67d23e37648915c-e2q2e2j3.s3.us-west-2.vpce.amazonaws.com
```

# Gestione degli endpoint Amazon VPC personali su Amazon MWAA
<a name="vpc-endpoint-management"></a>

Amazon MWAA utilizza gli endpoint Amazon VPC per l'integrazione con vari AWS servizi necessari per configurare un ambiente Apache Airflow. La gestione dei propri endpoint ha due casi d’uso principali:

1. Significa che puoi creare ambienti Apache Airflow in un Amazon VPC condiviso quando usi [AWS Organizations](https://aws.amazon.com/organizations/)An per gestire più risorse e condividerle. Account AWS 

1. Ti consente di utilizzare politiche di accesso più restrittive restringendo le autorizzazioni alle risorse specifiche che utilizzano i tuoi endpoint.

Se scegli di gestire i tuoi endpoint VPC, sei responsabile della creazione dei tuoi endpoint per l'ambiente RDS per il database PostgreSQL e per l'ambiente webserver.

[Per ulteriori informazioni su come Amazon MWAA implementa Apache Airflow nel cloud, consulta il diagramma dell'architettura di Amazon MWAA.](what-is-mwaa.md#architecture-mwaa)

**Importante**  
Amazon MWAA non convalida la selezione del tipo di indirizzo IP (`AddressType`) per gli endpoint gestiti dal cliente, quindi assicurati di specificare correttamente `AddressType` (le opzioni valide sono o). IPv4 IPv6



## Creazione di un ambiente in un Amazon VPC condiviso
<a name="configure-shared-vpc"></a>

Se gestisci più risorse Account AWS che condividono, puoi utilizzare endpoint VPC gestiti dal cliente con Amazon MWAA per condividere le risorse dell'ambiente con un altro account della tua organizzazione. [AWS Organizations](https://aws.amazon.com/organizations/)

Quando configuri l'accesso VPC condiviso, l'account che possiede l'Amazon VPC principale (*proprietario*) condivide le due sottoreti private richieste da Amazon MWAA con altri account *(*partecipanti) che appartengono alla stessa organizzazione. Gli account dei partecipanti che condividono tali sottoreti possono visualizzare, creare, modificare ed eliminare ambienti nell'Amazon VPC condiviso.

Supponiamo di avere un account`Owner`, che funge da `Root` account nell'organizzazione e possiede le risorse Amazon VPC, e un account partecipante`Participant`, membro della stessa organizzazione. Quando `Participant` crea un nuovo Amazon MWAA in Amazon VPC con cui lo condivide, `Owner` Amazon MWAA crea prima le risorse VPC del servizio, quindi entra in uno stato per un massimo di 72 ore. [https://docs.aws.amazon.com/mwaa/latest/API/API_Environment.html#mwaa-Type-Environment-Status](https://docs.aws.amazon.com/mwaa/latest/API/API_Environment.html#mwaa-Type-Environment-Status)

Dopo che lo stato dell'ambiente cambia da `CREATING` a`PENDING`, un principale che agisce per conto di crea gli endpoint richiesti. `Owner` A tale scopo, Amazon MWAA elenca il database e l'endpoint del server Web nella console Amazon MWAA. Puoi anche richiamare l'azione []()API per ottenere gli endpoint del servizio.

**Nota**  
Se l'Amazon VPC che usi per condividere risorse è un Amazon VPC privato, devi comunque completare i passaggi descritti in. [Gestione dell'accesso agli endpoint Amazon VPC specifici del servizio su Amazon MWAA](vpc-vpe-access.md) L'argomento tratta la configurazione di un set diverso di endpoint Amazon VPC relativi ad altri AWS servizi con cui AWS si integra, come Amazon ECR, Amazon ECS e Amazon SQS. Questi servizi sono essenziali per il funzionamento e la gestione dell'ambiente Apache Airflow nel cloud.

### Prerequisiti
<a name="configure-shared-vpc-prerequisites"></a>

Prima di creare un ambiente Amazon MWAA in un VPC condiviso, sono necessarie le seguenti risorse:
+ E Account AWS, `Owner` da utilizzare come account proprietario di Amazon VPC.
+ Un'unità [AWS Organizations](https://aws.amazon.com/organizations/)organizzativa, `MyOrganization` creata come *radice*.
+ Una seconda Account AWS`Participant`, destinata `MyOrganization` a servire l'account del partecipante che crea il nuovo ambiente.

Inoltre, ti consigliamo di acquisire familiarità con le [responsabilità e le autorizzazioni dei proprietari e dei partecipanti](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html#vpc-share-limitations) quando condividono risorse in Amazon VPC.

### Crea Amazon VPC
<a name="configure-shared-vpc-create-vpc"></a>

Innanzitutto, crea un nuovo Amazon VPC che gli account del proprietario e del partecipante condivideranno:

1. Accedi alla console utilizzando`Owner`, quindi, apri la CloudFormation console. Usa il seguente modello per creare uno stack. Questo stack fornisce una serie di risorse di rete, tra cui un Amazon VPC e le sottoreti che i due account condivideranno in questo scenario.

   ```
   AWSTemplateFormatVersion: "2010-09-09"                   
   Description: >-
   This template deploys a VPC, with a pair of public and private subnets spread across two Availability Zones. It deploys an internet gateway, with a default route on the public subnets. It deploys a pair of NAT gateways (one in each AZ), and default routes for them in the private subnets.
    Parameters:
      EnvironmentName:
        Description: An environment name that is prefixed to resource names
        Type: String
        Default: mwaa-
      VpcCIDR:
        Description: Please enter the IP range (CIDR notation) for this VPC
        Type: String
        Default: 10.192.0.0/16
      PublicSubnet1CIDR:
        Description: >-
        Please enter the IP range (CIDR notation) for the public subnet in the first Availability Zone
        Type: String
        Default: 10.192.10.0/24
      PublicSubnet2CIDR:
        Description: >-
        Please enter the IP range (CIDR notation) for the public subnet in the	second Availability Zone
        Type: String
        Default: 10.192.11.0/24
      PrivateSubnet1CIDR:
        Description: >-
        Please enter the IP range (CIDR notation) for the private subnet in the first Availability Zone
        Type: String
        Default: 10.192.20.0/24
      PrivateSubnet2CIDR:
        Description: >-
        Please enter the IP range (CIDR notation) for the private subnet in the second Availability Zone
        Type: String
        Default: 10.192.21.0/24
    Resources:
      VPC:
        Type: 'AWS::EC2::VPC'
        Properties:
        CidrBlock: !Ref VpcCIDR
        EnableDnsSupport: true
        EnableDnsHostnames: true
        Tags:
          - Key: Name
          Value: !Ref EnvironmentName
      InternetGateway:
        Type: 'AWS::EC2::InternetGateway'
        Properties:
        Tags:
          - Key: Name
          Value: !Ref EnvironmentName
      InternetGatewayAttachment:
        Type: 'AWS::EC2::VPCGatewayAttachment'
        Properties:
          InternetGatewayId: !Ref InternetGateway
          VpcId: !Ref VPC
      PublicSubnet1:
        Type: 'AWS::EC2::Subnet'
        Properties:
          VpcId: !Ref VPC
          AvailabilityZone: !Select 
            - 0
            - !GetAZs ''
          CidrBlock: !Ref PublicSubnet1CIDR
          MapPublicIpOnLaunch: true
          Tags:
            - Key: Name
            Value: !Sub '${EnvironmentName} Public Subnet (AZ1)'
      PublicSubnet2:
        Type: 'AWS::EC2::Subnet'
        Properties:
   						VpcId: !Ref VPC
          AvailabilityZone: !Select 
            - 1
            - !GetAZs ''
          CidrBlock: !Ref PublicSubnet2CIDR
          MapPublicIpOnLaunch: true
          Tags:
            - Key: Name
            Value: !Sub '${EnvironmentName} Public Subnet (AZ2)'
      PrivateSubnet1:
        Type: 'AWS::EC2::Subnet'
        Properties:
          VpcId: !Ref VPC
          AvailabilityZone: !Select 
            - 0
            - !GetAZs ''
          CidrBlock: !Ref PrivateSubnet1CIDR
          MapPublicIpOnLaunch: false
            Tags:
            - Key: Name
              Value: !Sub '${EnvironmentName} Private Subnet (AZ1)'
      PrivateSubnet2:
        Type: 'AWS::EC2::Subnet'
        Properties:
          VpcId: !Ref VPC
          AvailabilityZone: !Select 
            - 1
            - !GetAZs ''
          CidrBlock: !Ref PrivateSubnet2CIDR
          MapPublicIpOnLaunch: false
          Tags:
            - Key: Name
            Value: !Sub '${EnvironmentName} Private Subnet (AZ2)'
      NatGateway1EIP:
        Type: 'AWS::EC2::EIP'
        DependsOn: InternetGatewayAttachment
        Properties:
          Domain: vpc
      NatGateway2EIP:
        Type: 'AWS::EC2::EIP'
        DependsOn: InternetGatewayAttachment
        Properties:
          Domain: vpc
      NatGateway1:
        Type: 'AWS::EC2::NatGateway'
        Properties:
          AllocationId: !GetAtt NatGateway1EIP.AllocationId
          SubnetId: !Ref PublicSubnet1
      NatGateway2:
        Type: 'AWS::EC2::NatGateway'
        Properties:
          AllocationId: !GetAtt NatGateway2EIP.AllocationId
          SubnetId: !Ref PublicSubnet2
      PublicRouteTable:
        Type: 'AWS::EC2::RouteTable'
        Properties:
          VpcId: !Ref VPC
          Tags:
            - Key: Name
            Value: !Sub '${EnvironmentName} Public Routes'
      DefaultPublicRoute:
        Type: 'AWS::EC2::Route'
        DependsOn: InternetGatewayAttachment
        Properties:
          RouteTableId: !Ref PublicRouteTable
          DestinationCidrBlock: 0.0.0.0/0
          GatewayId: !Ref InternetGateway
      PublicSubnet1RouteTableAssociation:
        Type: 'AWS::EC2::SubnetRouteTableAssociation'
        Properties:
          RouteTableId: !Ref PublicRouteTable
          SubnetId: !Ref PublicSubnet1
      PublicSubnet2RouteTableAssociation:
        Type: 'AWS::EC2::SubnetRouteTableAssociation'
        Properties:
          RouteTableId: !Ref PublicRouteTable
          SubnetId: !Ref PublicSubnet2
      PrivateRouteTable1:
        Type: 'AWS::EC2::RouteTable'
        Properties:
          VpcId: !Ref VPC
          Tags:
            - Key: Name
            Value: !Sub '${EnvironmentName} Private Routes (AZ1)'
      DefaultPrivateRoute1:
        Type: 'AWS::EC2::Route'
        Properties:
          RouteTableId: !Ref PrivateRouteTable1
          DestinationCidrBlock: 0.0.0.0/0
          NatGatewayId: !Ref NatGateway1
      PrivateSubnet1RouteTableAssociation:
        Type: 'AWS::EC2::SubnetRouteTableAssociation'
        Properties:
          RouteTableId: !Ref PrivateRouteTable1
          SubnetId: !Ref PrivateSubnet1
      PrivateRouteTable2:
        Type: 'AWS::EC2::RouteTable'
        Properties:
          VpcId: !Ref VPC
          Tags:
            - Key: Name
            Value: !Sub '${EnvironmentName} Private Routes (AZ2)'
      DefaultPrivateRoute2:
        Type: 'AWS::EC2::Route'
        Properties:
          RouteTableId: !Ref PrivateRouteTable2
          DestinationCidrBlock: 0.0.0.0/0
          NatGatewayId: !Ref NatGateway2
      PrivateSubnet2RouteTableAssociation:
        Type: 'AWS::EC2::SubnetRouteTableAssociation'
        Properties:
          RouteTableId: !Ref PrivateRouteTable2
          SubnetId: !Ref PrivateSubnet2
      SecurityGroup:
        Type: 'AWS::EC2::SecurityGroup'
        Properties:
          GroupName: mwaa-security-group
          GroupDescription: Security group with a self-referencing inbound rule.
          VpcId: !Ref VPC
      SecurityGroupIngress:
        Type: 'AWS::EC2::SecurityGroupIngress'
        Properties:
          GroupId: !Ref SecurityGroup
          IpProtocol: '-1'
          SourceSecurityGroupId: !Ref SecurityGroup
          Outputs:
            VPC:
              Description: A reference to the created VPC
              Value: !Ref VPC
              PublicSubnets:
              Description: A list of the public subnets
              Value: !Join 
                - ','
                - - !Ref PublicSubnet1
                - !Ref PublicSubnet2
            PrivateSubnets:
              Description: A list of the private subnets
              Value: !Join 
                - ','
                - - !Ref PrivateSubnet1
                - !Ref PrivateSubnet2
            PublicSubnet1:
              Description: A reference to the public subnet in the 1st Availability Zone
              Value: !Ref PublicSubnet1
            PublicSubnet2:
              Description: A reference to the public subnet in the 2nd Availability Zone
              Value: !Ref PublicSubnet2
            PrivateSubnet1:
              Description: A reference to the private subnet in the 1st Availability Zone
              Value: !Ref PrivateSubnet1
            PrivateSubnet2:
              Description: A reference to the private subnet in the 2nd Availability Zone
              Value: !Ref PrivateSubnet2
            SecurityGroupIngress:
              Description: Security group with self-referencing inbound rule
              Value: !Ref SecurityGroupIngress
   ```

1. Dopo aver effettuato il provisioning delle nuove risorse Amazon VPC, accedi alla AWS Resource Access Manager console, quindi scegli **Crea** condivisione di risorse.

1. Scegli le sottoreti che hai creato nel primo passaggio dall'elenco delle sottoreti disponibili con cui puoi condividere. `Participant`

### Creazione dell'ambiente
<a name="configure-shared-vpc-create-mwaa"></a>

Completa i seguenti passaggi per creare un ambiente Amazon MWAA con endpoint Amazon VPC gestiti dal cliente.

1. Accedi utilizzando `Participant` e apri la console Amazon MWAA. Completa la **prima fase: specifica i dettagli** per specificare un bucket Amazon S3, una cartella DAG e le dipendenze per il nuovo ambiente. [Per ulteriori informazioni, consulta la sezione Guida introduttiva.](create-environment.md#create-environment-start-details)

1. Nella pagina **Configura impostazioni avanzate**, in **Rete**, scegli le sottoreti dall'Amazon VPC condiviso.

1. In **Gestione degli endpoint**, scegli **CLIENTE** dall'elenco a discesa.

1. Mantieni l'impostazione predefinita per le opzioni rimanenti sulla pagina, quindi scegli **Crea ambiente** nella pagina **Rivedi e crea**.

L'ambiente inizia in uno `CREATING` stato, poi diventa`PENDING`. Quando l'ambiente lo è`PENDING`, annota il nome del **servizio endpoint del database e il nome** del **servizio endpoint del server web** (se hai configurato un server web privato) utilizzando la console.

Quando crei un nuovo ambiente utilizzando la console Amazon MWAA. Amazon MWAA crea un nuovo gruppo di sicurezza con le regole in entrata e in uscita richieste. Annotare l'ID del gruppo di sicurezza.

Nella prossima sezione, `Owner` utilizzerà gli endpoint del servizio e l'ID del gruppo di sicurezza per creare nuovi endpoint Amazon VPC nell'Amazon VPC condiviso.

### Crea gli endpoint Amazon VPC
<a name="configure-shared-vpc-create-endpoints"></a>

Completa i seguenti passaggi per creare gli endpoint Amazon VPC richiesti per il tuo ambiente.

1. Accedi a Console di gestione AWS using`Owner`, open. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Scegli **Gruppi di sicurezza** dal pannello di navigazione a sinistra, quindi crea un nuovo gruppo di sicurezza nell'Amazon VPC condiviso utilizzando le seguenti regole in entrata e in uscita:    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/mwaa/latest/userguide/vpc-endpoint-management.html)
**avvertimento**  
L'`Owner`account deve configurare un gruppo di sicurezza nell'`Owner`account per consentire il traffico dal nuovo ambiente all'Amazon VPC condiviso. Puoi farlo creando un nuovo gruppo di sicurezza in `Owner` o modificandone uno esistente.

1. Scegli **Endpoints**, quindi crea nuovi endpoint per il database dell'ambiente e il server web (se in modalità privata) utilizzando i nomi dei servizi endpoint dei passaggi precedenti. Scegli l'Amazon VPC condiviso, le sottoreti utilizzate per l'ambiente e il gruppo di sicurezza dell'ambiente.

In caso di successo, l'ambiente cambierà da zero `PENDING` a`CREATING`, poi finalmente a. `AVAILABLE` Quando lo è`AVAILABLE`, puoi accedere alla console Apache Airflow.

### Risoluzione dei problemi con Amazon VPC condiviso
<a name="configure-shared-vpc-troubleshooting"></a>

Utilizza il seguente riferimento per risolvere i problemi riscontrati durante la creazione di ambienti in un Amazon VPC condiviso.

**Ambiente in `CREATE_FAILED` stato successivo `PENDING`**  
+ Verifica che `Owner` stia condividendo le sottoreti con `Participant` using. [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)
+ Verifica che gli endpoint Amazon VPC per il database e il server web siano creati nelle stesse sottoreti associate all'ambiente.
+ Verifica che il gruppo di sicurezza utilizzato con i tuoi endpoint consenta il traffico proveniente dai gruppi di sicurezza utilizzati per l'ambiente. L'`Owner`account crea regole che fanno riferimento al gruppo di sicurezza `Participant` come`123456789012/security-group-id`:.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/mwaa/latest/userguide/vpc-endpoint-management.html)

  Per ulteriori informazioni, consulta [Responsabilità e autorizzazioni per proprietari e partecipanti](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html#vpc-share-limitations)

**Ambiente bloccato nello `PENDING` stato**  
Verifica lo stato di ogni endpoint VPC per assicurarti che lo sia. `Available` Se configuri un ambiente con un server web privato, devi anche creare un endpoint per il server web. Se l'ambiente è bloccato`PENDING`, ciò potrebbe indicare che manca l'endpoint del server web privato.

**Errore ricevuto `The Vpc Endpoint Service 'vpce-service-name' does not exist`**  
Se fai riferimento al seguente errore, verifica che l'account che crea gli endpoint sia nell'`Owner`account proprietario del VPC condiviso:  

```
ClientError: An error occurred (InvalidServiceName) when calling the CreateVpcEndpoint operation: 
							
The Vpc Endpoint Service 'vpce-service-name' does not exist
```