Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erstellen Sie einen Server in einer virtuellen privaten Cloud
Sie können den Endpunkt Ihres Servers in einer Virtual Private Cloud (VPC) hosten, um Daten zu und von einem Amazon S3-Bucket oder Amazon EFS-Dateisystem zu übertragen, ohne das öffentliche Internet nutzen zu müssen.
**Anmerkung**
Nach dem 19. Mai 2021 können Sie mit `EndpointType=VPC_ENDPOINT` Ihrem Konto keinen Server mehr erstellen, wenn Ihr AWS Konto dies nicht bereits vor dem 19. Mai 2021 getan hat. Wenn du am oder vor dem 21. Februar 2021 bereits Server mit `EndpointType=VPC_ENDPOINT` deinem AWS Konto erstellt hast, bist du davon nicht betroffen. Verwenden Sie nach diesem Datum `EndpointType` =**VPC**. Weitere Informationen finden Sie unter [Einstellung der Verwendung von VPC\_ENDPOINT](#deprecate-vpc-endpoint).
Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihrer VPC und einem Server herstellen. Sie können diesen Server dann verwenden, um Daten über Ihren Client zu und von Ihrem Amazon S3 S3-Bucket zu übertragen, ohne öffentliche IP-Adressen zu verwenden oder ein Internet-Gateway zu benötigen.
Mit Amazon VPC können Sie AWS Ressourcen in einem benutzerdefinierten virtuellen Netzwerk starten. Mit einer VPC können Sie Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways, steuern. Weitere Informationen zu VPCs finden Sie unter [Was ist Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)? im *Amazon VPC-Benutzerhandbuch*.
In den nächsten Abschnitten finden Sie Anweisungen zum Erstellen und Verbinden Ihrer VPC mit einem Server. Im Überblick gehen Sie dazu wie folgt vor:
1. Richten Sie einen Server mit einem VPC-Endpunkt ein.
1. Connect Sie mithilfe eines Clients, der sich in Ihrer VPC befindet, über den VPC-Endpunkt eine Verbindung zu Ihrem Server her. Auf diese Weise können Sie Daten, die in Ihrem Amazon S3 S3-Bucket gespeichert sind, mithilfe von über Ihren Client übertragen AWS Transfer Family. Sie können diese Übertragung durchführen, obwohl das Netzwerk vom öffentlichen Internet getrennt ist.
1. Wenn Sie sich dafür entscheiden, den Endpunkt Ihres Servers mit dem Internet zu verbinden, können Sie Ihrem Endpunkt außerdem Elastic IP-Adressen zuordnen. Auf diese Weise können Clients außerhalb Ihrer VPC eine Verbindung zu Ihrem Server herstellen. Sie können VPC-Sicherheitsgruppen verwenden, um den Zugriff auf authentifizierte Benutzer zu kontrollieren, deren Anfragen nur von zulässigen Adressen stammen.
**Anmerkung**
AWS Transfer Family unterstützt Dual-Stack-Endpunkte, sodass Ihr Server sowohl über IPv4 als auch über IPv6 kommunizieren kann. Um die Dual-Stack-Unterstützung zu aktivieren, wählen Sie bei der Erstellung Ihres **VPC-Endpunkts die Option DNS-Dual-Stack-Endpunkt aktivieren** aus. Beachten Sie, dass sowohl Ihre VPC als auch Ihre Subnetze so konfiguriert sein müssen, dass sie IPv6 unterstützen, bevor Sie diese Funktion verwenden können. Dual-stack Unterstützung ist besonders nützlich, wenn Sie Clients haben, die über eines der Protokolle eine Verbindung herstellen müssen.
Hinweise zu Dual-Stack-Serverendpunkten (IPv4 und IPv6) finden Sie unter. [IPv6-Unterstützung für Transfer Family Family-Server](ipv6-support.md)
**Topics**
+ [Erstellen Sie einen Serverendpunkt, auf den nur innerhalb Ihrer VPC zugegriffen werden kann](#create-server-endpoint-in-vpc)
+ [Erstellen Sie einen mit dem Internet verbundenen Endpunkt für Ihren Server](#create-internet-facing-endpoint)
+ [Ändern Sie den Endpunkttyp für Ihren Server](#change-server-endpoint-type)
+ [Einstellung der Verwendung von VPC\_ENDPOINT](#deprecate-vpc-endpoint)
+ [Beschränkung des VPC-Endpunktzugriffs für Transfer Family Family-Server](#limit-vpc-endpoint-access)
+ [Zusätzliche Netzwerkfunktionen](#additional-networking-features)
+ [Aktualisierung des AWS Transfer Family Serverendpunkttyps von VPC\_ENDPOINT auf VPC](update-endpoint-type-vpc.md)
## Erstellen Sie einen Serverendpunkt, auf den nur innerhalb Ihrer VPC zugegriffen werden kann
Im folgenden Verfahren erstellen Sie einen Serverendpunkt, auf den nur Ressourcen innerhalb Ihrer VPC zugreifen können.
**So erstellen Sie einen Serverendpunkt in einer VPC**
1. Öffnen Sie die AWS Transfer Family Konsole unter. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)
1. Wählen Sie im Navigationsbereich **Server** und anschließend **Server erstellen** aus.
1. **Wählen Sie unter Protokolle** auswählen ein oder mehrere Protokolle aus, und klicken Sie dann auf **Weiter**. Weitere Informationen zu Protokollen finden Sie unter[Schritt 2: Einen SFTP-enabled Server erstellen](getting-started.md#getting-started-server).
1. **Wählen Sie unter Einen Identitätsanbieter** auswählen die Option **Dienst verwaltet**, um Benutzeridentitäten und Schlüssel zu speichern AWS Transfer Family, und klicken Sie dann auf **Weiter**.
Bei diesem Verfahren wird die vom Dienst verwaltete Option verwendet. Wenn Sie **Benutzerdefiniert** wählen, geben Sie einen Amazon API Gateway Gateway-Endpunkt und eine AWS Identity and Access Management (IAM) -Rolle für den Zugriff auf den Endpunkt an. Auf diese Weise können Sie Ihren Verzeichnisdienst integrieren, um Ihre Benutzer zu authentifizieren und zu autorisieren. Weitere Informationen zur Verwendung benutzerdefinierter Identitätsanbieter siehe [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md).
1. Gehen **Sie unter Endpunkt auswählen** wie folgt vor:
1. Wählen Sie als **Endpunkttyp** den **VPC-gehosteten** Endpunkttyp aus, um den Endpunkt Ihres Servers zu hosten.
1. Wählen Sie für **Zugriff** die Option **Intern** aus, um Ihren Endpunkt nur für Clients zugänglich zu machen, die die privaten IP-Adressen des Endpunkts verwenden.
Einzelheiten zur Option „**Internetzugriff“** finden Sie unter[Erstellen Sie einen mit dem Internet verbundenen Endpunkt für Ihren Server](#create-internet-facing-endpoint). Ein Server, der in einer VPC nur für den internen Zugriff erstellt wurde, unterstützt keine benutzerdefinierten Hostnamen.
1. Wählen Sie für **VPC** eine vorhandene VPC-ID oder wählen Sie **Create a VPC, um eine neue VPC** zu erstellen.
1. Wählen Sie im Abschnitt **Availability Zones** bis zu drei Availability Zones und zugehörige Subnetze aus.
1. Wählen Sie im Abschnitt **Sicherheitsgruppen** eine oder mehrere vorhandene Sicherheitsgruppen-IDs aus, oder wählen Sie **Sicherheitsgruppe erstellen**, um eine neue Sicherheitsgruppe zu erstellen. Weitere Informationen zu Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*. Informationen zum Erstellen einer Sicherheitsgruppe finden Sie unter [Erstellen einer Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
**Anmerkung**
Ihre VPC verfügt automatisch über eine Standardsicherheitsgruppe. Wenn Sie beim Starten des Servers keine andere Sicherheitsgruppe oder Gruppen angeben, ordnen wir Ihrem Server die Standardsicherheitsgruppe zu.
+ Für die eingehenden Regeln für die Sicherheitsgruppe können Sie den SSH-Verkehr so konfigurieren, dass er Port 22, 2222, 22000 oder eine beliebige Kombination verwendet. Port 22 ist standardmäßig konfiguriert. Um Port 2222 oder Port 22000 zu verwenden, fügen Sie Ihrer Sicherheitsgruppe eine Regel für eingehenden Datenverkehr hinzu. Wählen Sie für den Typ **Benutzerdefiniertes TCP** aus, geben Sie dann entweder **2222** oder **22000** als **Portbereich** ein und geben Sie für die Quelle denselben CIDR-Bereich ein, den Sie für Ihre SSH-Port-22-Regel haben.
+ Konfigurieren Sie für die eingehenden Regeln für die Sicherheitsgruppe FTP- und FTPS-Verkehr so, dass der **Portbereich** **21** für den Steuerkanal und **8192-8200** für den Datenkanal verwendet wird.
**Anmerkung**
Sie können Port 2223 auch für Clients verwenden, die TCP-"Piggy-Back“ -ACKs oder die Fähigkeit benötigen, dass das letzte Ack des TCP-3-Wege-Handshakes auch Daten enthält.
Manche Client-Software ist möglicherweise nicht mit Port 2223 kompatibel, z. B. ein Client, bei dem der Server die SFTP-Identifikationszeichenfolge senden muss, bevor der Client dies tut.
1. (Optional) Aktivieren Sie für **FIPS Enabled** das Kontrollkästchen **FIPS-fähiger Endpunkt, um sicherzustellen, dass der Endpunkt** den Federal Information Processing Standards (FIPS) entspricht.
**Anmerkung**
FIPS-enabled Endpunkte sind nur in nordamerikanischen Regionen verfügbar. AWS Informationen zu den verfügbaren Regionen finden Sie unter [AWS Transfer Family Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) in der. *Allgemeine AWS-Referenz* Weitere Informationen zu FIPS finden Sie unter [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
1. Wählen Sie **Weiter** aus.
1. Gehen **Sie unter Zusätzliche Details konfigurieren** wie folgt vor:
1. Wählen Sie für die **CloudWatch Protokollierung** eine der folgenden Optionen, um die CloudWatch Amazon-Protokollierung Ihrer Benutzeraktivitäten zu aktivieren:
+ **Erstellen Sie eine neue Rolle**, damit Transfer Family die IAM-Rolle automatisch erstellen kann, sofern Sie über die erforderlichen Berechtigungen zum Erstellen einer neuen Rolle verfügen. Die erstellte IAM-Rolle wird aufgerufen. `AWSTransferLoggingAccess`
+ **Wählen Sie eine vorhandene Rolle** aus, um eine bestehende IAM-Rolle aus Ihrem Konto auszuwählen. Wählen **Sie unter Logging-Rolle** die Rolle aus. Diese IAM-Rolle sollte eine Vertrauensrichtlinie mit der Einstellung **Service** auf `transfer.amazonaws.com` enthalten.
Weitere Informationen zur CloudWatch Protokollierung finden Sie unter[Konfigurieren Sie die CloudWatch Protokollierungsrolle](configure-cw-logging-role.md).
**Anmerkung**
Sie können keine Endbenutzeraktivitäten in anzeigen, CloudWatch wenn Sie keine Protokollierungsrolle angeben.
Wenn Sie keine CloudWatch Protokollierungsrolle einrichten möchten, wählen Sie **Bestehende Rolle auswählen**, aber wählen Sie keine Protokollierungsrolle aus.
1. Wählen Sie unter **Optionen für kryptografische Algorithmen** eine Sicherheitsrichtlinie aus, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind.
**Anmerkung**
Standardmäßig ist die `TransferSecurityPolicy-2024-01` Sicherheitsrichtlinie an Ihren Server angehängt, sofern Sie keine andere auswählen.
Weitere Informationen zu Sicherheitsrichtlinien finden Sie unter [Sicherheitsrichtlinien für Server AWS Transfer Family](security-policies.md).
1. (Optional: Dieser Abschnitt ist nur für die Migration von Benutzern von einem vorhandenen SFTP-enabled Server vorgesehen.) Geben Sie als **Server-Hostschlüssel** einen privaten RSA-, ED25519- oder ECDSA-Schlüssel ein, der zur Identifizierung Ihres Servers verwendet wird, wenn Clients über SFTP eine Verbindung zu ihm herstellen.
1. **(Optional) Geben Sie für **Tags** für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie dann Tag hinzufügen aus.**
1. Wählen Sie **Weiter** aus.
1. **Überprüfen Sie unter Überprüfen und erstellen** Ihre Auswahl. Wenn Sie:
+ Wenn Sie eine davon bearbeiten möchten, wählen Sie neben dem Schritt **Bearbeiten** aus.
**Anmerkung**
Sie müssen jeden Schritt nach dem Schritt, den Sie bearbeiten möchten, erneut überprüfen.
+ Haben Sie keine Änderungen vorgenommen, wählen Sie **Server erstellen**, um Ihren Server zu erstellen. Sie gelangen zur Seite **Servers (Server)** (siehe unten), auf der der neue Server aufgelistet ist.
Es kann einige Minuten dauern, bis sich der Status Ihres neuen Servers auf **Online** ändert. Zu diesem Zeitpunkt kann Ihr Server Dateioperationen ausführen, aber Sie müssen zuerst einen Benutzer erstellen. Einzelheiten zum Erstellen von Benutzern finden Sie unter[Benutzer für Serverendpunkte verwalten](create-user.md).
## Erstellen Sie einen mit dem Internet verbundenen Endpunkt für Ihren Server
Im folgenden Verfahren erstellen Sie einen Serverendpunkt. Auf diesen Endpunkt können nur Clients über das Internet zugreifen, deren Quell-IP-Adressen in der Standardsicherheitsgruppe Ihrer VPC zulässig sind. Indem Sie Elastic IP-Adressen verwenden, um Ihren Endpunkt mit dem Internet zu verbinden, können Ihre Kunden die Elastic IP-Adresse außerdem verwenden, um den Zugriff auf Ihren Endpunkt in ihren Firewalls zu ermöglichen.
**Anmerkung**
Nur SFTP und FTPS können auf einem mit dem Internet verbundenen VPC-gehosteten Endpunkt verwendet werden.
**Um einen mit dem Internet verbundenen Endpunkt zu erstellen**
1. Öffnen Sie die AWS Transfer Family Konsole unter. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)
1. Wählen Sie im Navigationsbereich **Server** und anschließend **Server erstellen** aus.
1. **Wählen Sie unter Protokolle** auswählen ein oder mehrere Protokolle aus, und klicken Sie dann auf **Weiter**. Weitere Informationen zu Protokollen finden Sie unter[Schritt 2: Einen SFTP-enabled Server erstellen](getting-started.md#getting-started-server).
1. **Wählen Sie unter Einen Identitätsanbieter** auswählen die Option **Dienst verwaltet**, um Benutzeridentitäten und Schlüssel zu speichern AWS Transfer Family, und klicken Sie dann auf **Weiter**.
Bei diesem Verfahren wird die vom Dienst verwaltete Option verwendet. Wenn Sie **Benutzerdefiniert** wählen, geben Sie einen Amazon API Gateway Gateway-Endpunkt und eine AWS Identity and Access Management (IAM) -Rolle für den Zugriff auf den Endpunkt an. Auf diese Weise können Sie Ihren Verzeichnisdienst integrieren, um Ihre Benutzer zu authentifizieren und zu autorisieren. Weitere Informationen zur Verwendung benutzerdefinierter Identitätsanbieter siehe [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md).
1. Gehen **Sie unter Endpunkt auswählen** wie folgt vor:
1. Wählen Sie als **Endpunkttyp** den **VPC-gehosteten** Endpunkttyp aus, um den Endpunkt Ihres Servers zu hosten.
1. Wählen Sie für **Access** die Option **Internet Facing** aus, um Ihren Endpunkt für Kunden über das Internet zugänglich zu machen.
**Anmerkung**
Wenn Sie sich für **Internet Facing** entscheiden, können Sie in jedem Subnetz oder Subnetzen eine bestehende Elastic IP-Adresse auswählen. Oder Sie können die VPC-Konsole ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) aufrufen, um eine oder mehrere neue Elastic IP-Adressen zuzuweisen. Diese Adressen können entweder Ihnen AWS oder Ihnen gehören. Sie können Elastic IP-Adressen, die bereits verwendet werden, nicht mit Ihrem Endpunkt verknüpfen.
1. (Optional) Wählen Sie für **Benutzerdefinierter Hostname** eine der folgenden Optionen:
**Anmerkung**
Kunden, die eine direkte Verbindung über die Elastic IP-Adresse herstellen oder einen Hostnamen-Datensatz in Commercial Route 53 erstellen AWS GovCloud (US) müssen, der auf ihre EIP verweist. Weitere Informationen zur Verwendung von Route 53 für GovCloud Endgeräte finden Sie unter [Einrichten von Amazon Route 53 mit Ihren AWS GovCloud (US) Ressourcen](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-route53.html) im *AWS GovCloud (US) Benutzerhandbuch*.
+ **Amazon Route 53 DNS-Alias** — wenn der Hostname, den Sie verwenden möchten, bei Route 53 registriert ist. Sie können dann den Hostnamen eingeben.
+ **Anderes DNS** — wenn der Hostname, den Sie verwenden möchten, bei einem anderen DNS-Anbieter registriert ist. Sie können dann den Hostnamen eingeben.
+ **Keine** — um den Endpunkt des Servers zu verwenden und keinen benutzerdefinierten Hostnamen zu verwenden. Der Server-Host-Name hat das Format `{{server-id}}.server.transfer.{{region}}.amazonaws.com`.
**Anmerkung**
Für Kunden in AWS GovCloud (US) wird durch die Auswahl von **None** kein Hostname in diesem Format erstellt.
Weitere Informationen zum Arbeiten mit benutzerdefinierten Hostnamen finden Sie unter. [Mit benutzerdefinierten Hostnamen arbeiten](requirements-dns.md)
1. Wählen Sie für **VPC** eine vorhandene VPC-ID oder wählen Sie **Create a VPC, um eine neue VPC** zu erstellen.
1. Wählen Sie im Abschnitt **Availability Zones** bis zu drei Availability Zones und zugehörige Subnetze aus. Wählen Sie für **IPv4-Adressen** eine **Elastic IP-Adresse** für jedes Subnetz aus. Dies ist die IP-Adresse, die Ihre Clients verwenden können, um den Zugriff auf Ihren Endpunkt in ihren Firewalls zu ermöglichen.
**Tipp:** Sie müssen ein öffentliches Subnetz für Ihre Availability Zones verwenden oder zuerst ein Internet-Gateway einrichten, wenn Sie ein privates Subnetz verwenden möchten.
1. Wählen Sie im Abschnitt **Sicherheitsgruppen** eine oder mehrere vorhandene Sicherheitsgruppen-IDs aus, oder wählen Sie Sicherheitsgruppe **erstellen, um eine neue Sicherheitsgruppe** zu erstellen. Weitere Informationen zu Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*. Informationen zum Erstellen einer Sicherheitsgruppe finden Sie unter [Erstellen einer Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
**Anmerkung**
Ihre VPC verfügt automatisch über eine Standardsicherheitsgruppe. Wenn Sie beim Starten des Servers keine andere Sicherheitsgruppe oder Gruppen angeben, ordnen wir Ihrem Server die Standardsicherheitsgruppe zu.
+ Für die eingehenden Regeln für die Sicherheitsgruppe können Sie den SSH-Verkehr so konfigurieren, dass er Port 22, 2222, 22000 oder eine beliebige Kombination verwendet. Port 22 ist standardmäßig konfiguriert. Um Port 2222 oder Port 22000 zu verwenden, fügen Sie Ihrer Sicherheitsgruppe eine Regel für eingehenden Datenverkehr hinzu. Wählen Sie für den Typ **Benutzerdefiniertes TCP** aus, geben Sie dann entweder **2222** oder **22000** als **Portbereich** ein und geben Sie für die Quelle denselben CIDR-Bereich ein, den Sie für Ihre SSH-Port-22-Regel haben.
+ Konfigurieren Sie für die eingehenden Regeln für die Sicherheitsgruppe den FTPS-Verkehr so, dass der **Portbereich** **21** für den Steuerkanal und **8192-8200** für den Datenkanal verwendet wird.
**Anmerkung**
Sie können Port 2223 auch für Clients verwenden, die TCP-Huckepack-ACKs oder die Möglichkeit benötigen, dass das letzte Ack des TCP-3-Wege-Handshakes auch Daten enthält.
Manche Client-Software ist möglicherweise nicht mit Port 2223 kompatibel, z. B. ein Client, bei dem der Server die SFTP-Identifikationszeichenfolge senden muss, bevor der Client dies tut.
1. (Optional) Aktivieren Sie für **FIPS Enabled** das Kontrollkästchen **FIPS-fähiger Endpunkt, um sicherzustellen, dass der Endpunkt** den Federal Information Processing Standards (FIPS) entspricht.
**Anmerkung**
FIPS-enabled Endpunkte sind nur in nordamerikanischen Regionen verfügbar. AWS Informationen zu den verfügbaren Regionen finden Sie unter [AWS Transfer Family Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) in der. *Allgemeine AWS-Referenz* Weitere Informationen zu FIPS finden Sie unter [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
1. Wählen Sie **Weiter** aus.
1. Gehen **Sie unter Zusätzliche Details konfigurieren** wie folgt vor:
1. Wählen Sie für die **CloudWatch Protokollierung** eine der folgenden Optionen, um die CloudWatch Amazon-Protokollierung Ihrer Benutzeraktivitäten zu aktivieren:
+ **Erstellen Sie eine neue Rolle**, damit Transfer Family die IAM-Rolle automatisch erstellen kann, sofern Sie über die erforderlichen Berechtigungen zum Erstellen einer neuen Rolle verfügen. Die erstellte IAM-Rolle wird aufgerufen. `AWSTransferLoggingAccess`
+ **Wählen Sie eine vorhandene Rolle** aus, um eine bestehende IAM-Rolle aus Ihrem Konto auszuwählen. Wählen **Sie unter Logging-Rolle** die Rolle aus. Diese IAM-Rolle sollte eine Vertrauensrichtlinie mit der Einstellung **Service** auf `transfer.amazonaws.com` enthalten.
Weitere Informationen zur CloudWatch Protokollierung finden Sie unter[Konfigurieren Sie die CloudWatch Protokollierungsrolle](configure-cw-logging-role.md).
**Anmerkung**
Sie können keine Endbenutzeraktivitäten in anzeigen, CloudWatch wenn Sie keine Protokollierungsrolle angeben.
Wenn Sie keine CloudWatch Protokollierungsrolle einrichten möchten, wählen Sie **Bestehende Rolle auswählen**, aber wählen Sie keine Protokollierungsrolle aus.
1. Wählen Sie unter **Optionen für kryptografische Algorithmen** eine Sicherheitsrichtlinie aus, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind.
**Anmerkung**
Standardmäßig ist die `TransferSecurityPolicy-2024-01` Sicherheitsrichtlinie an Ihren Server angehängt, sofern Sie keine andere auswählen.
Weitere Informationen zu Sicherheitsrichtlinien finden Sie unter [Sicherheitsrichtlinien für Server AWS Transfer Family](security-policies.md).
1. (Optional: Dieser Abschnitt ist nur für die Migration von Benutzern von einem vorhandenen SFTP-enabled Server vorgesehen.) Geben Sie als **Server-Hostschlüssel** einen privaten RSA-, ED25519- oder ECDSA-Schlüssel ein, der zur Identifizierung Ihres Servers verwendet wird, wenn Clients über SFTP eine Verbindung zu ihm herstellen.
1. **(Optional) Geben Sie für **Tags** für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie dann Tag hinzufügen aus.**
1. Wählen Sie **Weiter** aus.
1. (Optional) Wählen Sie für **verwaltete Workflows** Workflow-IDs (und eine entsprechende Rolle) aus, die Transfer Family bei der Ausführung des Workflows annehmen soll. Sie können einen Workflow auswählen, der bei einem vollständigen Upload ausgeführt wird, und einen anderen, der bei einem teilweisen Upload ausgeführt werden soll. Weitere Informationen zur Verarbeitung Ihrer Dateien mithilfe verwalteter Workflows finden Sie unter[AWS Transfer Family verwaltete Workflows](transfer-workflows.md).
1. **Überprüfen Sie unter Überprüfen und erstellen** Ihre Auswahl. Wenn Sie:
+ Wenn Sie eine davon bearbeiten möchten, wählen Sie neben dem Schritt **Bearbeiten** aus.
**Anmerkung**
Sie müssen jeden Schritt nach dem Schritt, den Sie bearbeiten möchten, erneut überprüfen.
+ Haben Sie keine Änderungen vorgenommen, wählen Sie **Server erstellen**, um Ihren Server zu erstellen. Sie gelangen zur Seite **Servers (Server)** (siehe unten), auf der der neue Server aufgelistet ist.
Sie können die Server-ID auswählen, um die detaillierten Einstellungen des Servers zu sehen, den Sie gerade erstellt haben. Nachdem die Spalte **Öffentliche IPv4-Adresse** gefüllt wurde, wurden die von Ihnen angegebenen Elastic IP-Adressen erfolgreich mit dem Endpunkt Ihres Servers verknüpft.
**Anmerkung**
Wenn Ihr Server in einer VPC online ist, können nur die Subnetze geändert werden, und zwar nur über die [UpdateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html)API. Sie müssen [den Server anhalten](edit-server-config.md#edit-online-offline), um die Elastic-IP-Adressen des Serverendpunkts hinzuzufügen oder zu ändern.
## Ändern Sie den Endpunkttyp für Ihren Server
Wenn Sie bereits über einen Server verfügen, auf den über das Internet zugegriffen werden kann (d. h. einen öffentlichen Endpunkttyp hat), können Sie seinen Endpunkt in einen VPC-Endpunkt ändern.
**Anmerkung**
Wenn Sie einen vorhandenen Server in einer VPC als angezeigt haben, empfehlen wir Ihnen`VPC_ENDPOINT`, ihn auf den neuen VPC-Endpunkttyp zu ändern. Mit diesem neuen Endpunkttyp müssen Sie keinen Network Load Balancer (NLB) mehr verwenden, um Elastic IP-Adressen mit dem Endpunkt Ihres Servers zu verknüpfen. Sie können auch VPC-Sicherheitsgruppen verwenden, um den Zugriff auf den Endpunkt Ihres Servers einzuschränken. Sie können den `VPC_ENDPOINT` Endpunkttyp jedoch weiterhin nach Bedarf verwenden.
Beim folgenden Verfahren wird davon ausgegangen, dass Sie über einen Server verfügen, der entweder den aktuellen öffentlichen Endpunkttyp oder den älteren `VPC_ENDPOINT` Typ verwendet.
**Um den Endpunkttyp für Ihren Server zu ändern**
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Klicken Sie im Navigationsbereich auf **Servers (Server)**.
1. Aktivieren Sie das Kontrollkästchen des Servers, für den Sie den Endpunkttyp ändern möchten.
**Wichtig**
Sie müssen den Server anhalten, bevor Sie dessen Endpunkttyp ändern können.
1. Wählen Sie für **Actions (Aktionen)** die Option **Stop (Stopp)**.
1. Wählen Sie im daraufhin angezeigten Bestätigungsdialogfeld die Option **Stopp** aus, um zu bestätigen, dass Sie den Server beenden möchten.
**Anmerkung**
Bevor Sie mit dem nächsten Schritt fortfahren, warten Sie unter **Endpunktdetails**, bis sich der **Status** des Servers in **Offline** ändert. Dies kann einige Minuten dauern. Möglicherweise müssen Sie auf der Seite **Server** die Option **Aktualisieren** auswählen, um die Statusänderung zu sehen.
Sie können keine Änderungen vornehmen, bis der Server **offline** ist.
1. Wählen Sie unter **Endpunktdetails** die Option **Bearbeiten** aus.
1. Gehen **Sie unter Endpunktkonfiguration bearbeiten** wie folgt vor:
1. Wählen **Sie für Endpunkttyp bearbeiten** die Option **VPC hosted** aus.
1. Wählen Sie für **Access** eine der folgenden Optionen aus:
+ **Intern**, um Ihren Endpunkt nur für Clients zugänglich zu machen, die die privaten IP-Adressen des Endpunkts verwenden.
+ **Internet Facing**, um Ihren Endpunkt für Kunden über das öffentliche Internet zugänglich zu machen.
**Anmerkung**
Wenn Sie sich für **Internet Facing** entscheiden, können Sie in jedem Subnetz oder Subnetzen eine bestehende Elastic IP-Adresse auswählen. Oder Sie können die VPC-Konsole ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) aufrufen, um eine oder mehrere neue Elastic IP-Adressen zuzuweisen. Diese Adressen können entweder Ihnen AWS oder Ihnen gehören. Sie können Elastic IP-Adressen, die bereits verwendet werden, nicht mit Ihrem Endpunkt verknüpfen.
1. (Optional nur für Internetzugriff) Wählen Sie für **Benutzerdefinierter Hostname** eine der folgenden Optionen:
+ **Amazon Route 53 DNS-Alias** — wenn der Hostname, den Sie verwenden möchten, bei Route 53 registriert ist. Sie können dann den Hostnamen eingeben.
+ **Anderes DNS** — wenn der Hostname, den Sie verwenden möchten, bei einem anderen DNS-Anbieter registriert ist. Sie können dann den Hostnamen eingeben.
+ **Keine** — um den Endpunkt des Servers zu verwenden und keinen benutzerdefinierten Hostnamen zu verwenden. Der Server-Host-Name hat das Format `{{serverId}}.server.transfer.{{regionId}}.amazonaws.com`.
Weitere Informationen zum Arbeiten mit benutzerdefinierten Hostnamen finden Sie unter. [Mit benutzerdefinierten Hostnamen arbeiten](requirements-dns.md)
1. Wählen Sie für **VPC** eine vorhandene VPC-ID aus, oder wählen Sie **Create a VPC, um eine neue VPC** zu erstellen.
1. Wählen Sie im Abschnitt **Availability Zones** bis zu drei Availability Zones und zugehörige Subnetze aus. Wenn **Internet Facing** ausgewählt ist, wählen Sie auch eine Elastic IP-Adresse für jedes Subnetz aus.
**Anmerkung**
Wenn Sie maximal drei Availability Zones wünschen, aber nicht genügend verfügbar sind, erstellen Sie sie in der VPC-Konsole ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)).
Wenn Sie die Subnetze oder Elastic IP-Adressen ändern, dauert die Aktualisierung des Servers einige Minuten. Sie können Ihre Änderungen erst speichern, wenn das Server-Update abgeschlossen ist.
1. Wählen Sie **Speichern**.
1. Wählen Sie unter **Aktionen** die Option **Start** und warten Sie, bis sich der Status des Servers auf **Online** ändert. Dies kann einige Minuten dauern.
**Anmerkung**
Wenn Sie einen öffentlichen Endpunkttyp in einen VPC-Endpunkttyp geändert haben, beachten Sie, dass der **Endpunkttyp** für Ihren Server in **VPC** geändert wurde.
Die Standardsicherheitsgruppe ist an den Endpunkt angehängt. Informationen zum Ändern oder Hinzufügen zusätzlicher Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen erstellen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups).
## Einstellung der Verwendung von VPC\_ENDPOINT
AWS Transfer Family hat die Möglichkeit, Server `EndpointType=VPC_ENDPOINT` für neue AWS Konten zu erstellen, eingestellt. Ab dem 19. Mai 2021 können AWS Konten, die keine AWS Transfer Family Server mit dem Endpunkttyp von `VPC_ENDPOINT` besitzen, keine neuen Server mit erstellen`EndpointType=VPC_ENDPOINT`. Wenn Sie bereits Server besitzen, die den `VPC_ENDPOINT` Endpunkttyp verwenden, empfehlen wir Ihnen, `EndpointType=VPC` so bald wie möglich mit der Nutzung zu beginnen. Einzelheiten finden Sie unter [Aktualisieren Sie Ihren AWS Transfer Family Serverendpunkttyp von VPC\_ENDPOINT auf VPC](https://aws.amazon.com/blogs/storage/update-your-aws-transfer-family-server-endpoint-type-from-vpc_endpoint-to-vpc/).
Wir haben den neuen `VPC` Endpunkttyp Anfang 2020 eingeführt. Weitere Informationen finden Sie unter [AWS Transfer Family Für SFTP werden VPC-Sicherheitsgruppen und Elastic IP-Adressen unterstützt](https://aws.amazon.com/about-aws/whats-new/2020/01/aws-transfer-for-sftp-supports-vpc-security-groups-and-elastic-ip-addresses/). Dieser neue Endpunkt bietet mehr Funktionen und ist kostengünstiger und es fallen keine PrivateLink Gebühren an. Weitere Informationen finden Sie unter [AWS PrivateLink Preise](https://aws.amazon.com/privatelink/pricing/).
Dieser Endpunkttyp entspricht funktionell dem vorherigen Endpunkttyp (`VPC_ENDPOINT`). Sie können Elastic IP-Adressen direkt an den Endpunkt anhängen, um ihn mit dem Internet zu verbinden, und Sicherheitsgruppen für die Quell-IP-Filterung verwenden. Weitere Informationen finden Sie im Blogbeitrag [Use IP Allow List to secure your AWS Transfer Family for SFTP servers](https://aws.amazon.com/blogs/storage/use-ip-whitelisting-to-secure-your-aws-transfer-for-sftp-servers/).
Sie können diesen Endpunkt auch in einer gemeinsam genutzten VPC-Umgebung hosten. Weitere Informationen finden Sie unter [Unterstützt AWS Transfer Family jetzt Shared Services-VPC-Umgebungen.](https://aws.amazon.com/about-aws/whats-new/2020/11/aws-transfer-family-now-supports-shared-services-vpc-environments/)
Zusätzlich zu SFTP können Sie die VPC verwenden, um FTPS und FTP `EndpointType` zu aktivieren. Wir haben nicht vor, diese Funktionen und FTPS/FTP diese Unterstützung hinzuzufügen. `EndpointType=VPC_ENDPOINT` Wir haben diesen Endpunkttyp auch als Option aus der AWS Transfer Family Konsole entfernt.
Sie können den Endpunkttyp für Ihren Server mithilfe der Transfer Family Family-Konsole AWS CLI, API, SDKs oder CloudFormationändern. Informationen zum Ändern des Endpunkt-Typs Ihres Servers finden Sie unter[Aktualisierung des AWS Transfer Family Serverendpunkttyps von VPC\_ENDPOINT auf VPC](update-endpoint-type-vpc.md).
Wenn Sie Fragen haben, wenden Sie sich an AWS Support Ihr AWS Account-Team.
**Anmerkung**
Wir haben nicht vor, diese Funktionen und FTPS- oder FTP-Unterstützung zu EndpointType =VPC\_ENDPOINT hinzuzufügen. Wir bieten es nicht mehr als Option auf der Konsole an. AWS Transfer Family
Wenn du weitere Fragen hast, kannst du uns über AWS Support oder dein Account-Team kontaktieren.
## Beschränkung des VPC-Endpunktzugriffs für Transfer Family Family-Server
Wenn Sie einen AWS Transfer Family Server mit VPC-Endpunkttyp erstellen, benötigen Ihre IAM-Benutzer und -Prinzipale Berechtigungen zum Erstellen und Löschen von VPC-Endpoints. Die Sicherheitsrichtlinien Ihrer Organisation können diese Berechtigungen jedoch einschränken. Sie können IAM-Richtlinien verwenden, um das Erstellen und Löschen von VPC-Endpunkten speziell für Transfer Family zu ermöglichen und gleichzeitig Einschränkungen für andere Dienste beizubehalten.
**Wichtig**
Die folgende IAM-Richtlinie ermöglicht es Benutzern, VPC-Endpunkte nur für Transfer Family Family-Server zu erstellen und zu löschen, während diese Vorgänge für andere Dienste verweigert werden:
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DeleteVpcEndpoints"
],
"Resource": ["*"],
"Condition": {
"ForAnyValue:StringNotLike": {
"ec2:VpceServiceName": [
"com.amazonaws.{{INPUT-YOUR-REGION}}.transfer.server.*"
]
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/{{INPUT-YOUR-ROLE}}"
]
}
}
}
```
{{INPUT-YOUR-REGION}}Ersetzen Sie es durch Ihre AWS Region (z. B.**us-east-1**) und {{INPUT-YOUR-ROLE}} durch die IAM-Rolle, der Sie diese Berechtigungen gewähren möchten.
## Zusätzliche Netzwerkfunktionen
AWS Transfer Family bietet mehrere erweiterte Netzwerkfunktionen, die die Sicherheit und Flexibilität bei der Verwendung von VPC-Konfigurationen verbessern:
+ **Unterstützung für gemeinsam genutzte VPC-Umgebungen** — Sie können Ihren Transfer Family Family-Serverendpunkt in einer gemeinsam genutzten VPC-Umgebung hosten. Weitere Informationen finden Sie unter [Verwenden von VPC-gehosteten Endpunkten in gemeinsam genutzten VPCs](https://aws.amazon.com/blogs/storage/using-vpc-hosted-endpoints-in-shared-vpcs-with-aws-transfer-family/) mit. AWS Transfer Family
+ **Authentifizierung und Sicherheit** — Sie können eine AWS Web Application Firewall verwenden, um Ihren Amazon API Gateway Gateway-Endpunkt zu schützen. Weitere Informationen finden Sie unter [Absichern AWS Transfer Family mit AWS Web Application Firewall und Amazon API Gateway](https://aws.amazon.com/blogs/storage/securing-aws-transfer-family-with-aws-web-application-firewall-and-amazon-api-gateway/).