Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Konfiguration eines SFTP-, FTPS- oder FTP-Serverendpunkts
<a name="sftp-for-transfer-family"></a>

Dieses Thema enthält Einzelheiten zum Erstellen und Verwenden von AWS Transfer Family Serverendpunkten, die eines oder mehrere der Protokolle SFTP, FTPS und FTP verwenden.

**Topics**
+ [Optionen für den Identitätsanbieter](#identity-provider-details)
+ [AWS Transfer Family Endpunkt-Typmatrix](#endpoint-matrix)
+ [Konfiguration eines SFTP-, FTPS- oder FTP-Serverendpunkts](tf-server-endpoint.md)
+ [Überlegungen zum FTP- und FTPS-Network Load Balancer](#ftp-ftps-nlb-considerations)
+ [Übertragung von Dateien über einen Serverendpunkt mit einem Client](transfer-file.md)
+ [Benutzer für Serverendpunkte verwalten](create-user.md)
+ [Verwendung logischer Verzeichnisse zur Vereinfachung Ihrer Transfer Family Family-Verzeichnisstrukturen](logical-dir-mappings.md)
+ [Greifen Sie mit Transfer Family auf Ihre FSx für NetApp ONTAP Dateisysteme zu](fsx-s3-access-points.md)

## Optionen für den Identitätsanbieter
<a name="identity-provider-details"></a>

AWS Transfer Family bietet verschiedene Methoden zur Authentifizierung und Verwaltung von Benutzern. In der folgenden Tabelle werden die verfügbaren Identitätsanbieter verglichen, die Sie mit Transfer Family verwenden können.


| Action | AWS Transfer Family Dienst verwaltet | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda | 
| --- | --- | --- | --- | --- | 
| Unterstützte Protokolle | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | 
|  Schlüsselbasierte Authentifizierung  |  Ja  |  Nein  |  Ja  |  Ja  | 
|  Passwortauthentifizierung  |  Nein  |  Ja  |  Ja  |  Ja  | 
|  AWS Identity and Access Management (IAM) und POSIX  |  Ja  |  Ja  |  Ja  |  Ja  | 
|  Logisches Home-Verzeichnis  |  Ja  |  Ja  |  Ja  |  Ja  | 
| Parametrisierter Zugriff (benutzernamenbasiert) | Ja | Ja | Ja | Ja | 
|  Ad-hoc-Zugriffsstruktur  |  Ja  |  Nein  |  Ja  |  Ja  | 
|  AWS WAF  |  Nein  |  Nein  |  Ja  |  Nein  | 

Hinweise:
+ IAM wird verwendet, um den Zugriff auf den Amazon S3 S3-Backing-Speicher zu kontrollieren, und POSIX wird für Amazon EFS verwendet.
+ *Ad-Hoc* bezieht sich auf die Fähigkeit, das Benutzerprofil zur Laufzeit zu senden. Sie können beispielsweise Benutzer in ihren Home-Verzeichnissen landen lassen, indem Sie den Benutzernamen als Variable übergeben.
+ Einzelheiten dazu finden AWS WAF Sie unter[Fügen Sie eine Firewall für Webanwendungen hinzu](web-application-firewall.md).
+ In einem Blogbeitrag wird die Verwendung einer in Microsoft Entra ID (ehemals Azure AD) integrierten Lambda-Funktion als Identitätsanbieter für Transfer Family beschrieben. Einzelheiten finden Sie unter [Authentifizierung AWS Transfer Family mit Azure Active](https://aws.amazon.com/blogs/storage/authenticating-to-aws-transfer-family-with-azure-active-directory-and-aws-lambda/) Directory und. AWS Lambda
+ Wir stellen mehrere CloudFormation Vorlagen zur Verfügung, mit denen Sie schnell einen Transfer Family Family-Server bereitstellen können, der einen benutzerdefinierten Identitätsanbieter verwendet. Details hierzu finden Sie unter [Lambda-Funktionsvorlagen](custom-lambda-idp.md#lambda-idp-templates).

Mit den folgenden Verfahren können Sie einen SFTP-fähigen Server, einen FTPS-fähigen Server, einen FTP-fähigen Server oder einen -fähigen Server erstellen. AS2

**Nächster Schritt**
+ [Erstellen Sie einen SFTP-fähigen Server](create-server-sftp.md)
+ [Erstellen Sie einen FTPS-fähigen Server](create-server-ftps.md)
+ [Erstellen Sie einen FTP-fähigen Server](create-server-ftp.md)
+ [Konfiguration AS2](create-b2b-server.md)

## AWS Transfer Family Endpunkt-Typmatrix
<a name="endpoint-matrix"></a>

Wenn Sie einen Transfer Family Family-Server erstellen, wählen Sie den zu verwendenden Endpunkttyp aus. In der folgenden Tabelle werden die Merkmale der einzelnen Endpunkttypen beschrieben.


**Matrix der Endpunkttypen**  

| Merkmal | Öffentlich | VPC - Internet | VPC — Intern | VPC\$1Endpoint (veraltet) | 
| --- | --- | --- | --- | --- | 
| Unterstützte Protokolle | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP | 
| Access | Über das Internet. Für diesen Endpunkttyp ist keine spezielle Konfiguration in Ihrer VPC erforderlich. | Über das Internet und innerhalb von VPC- und VPC-verbundenen Umgebungen, z. B. einem lokalen Rechenzentrum über oder VPN. Direct Connect  | Aus VPC- und VPC-verbundenen Umgebungen heraus, z. B. in einem lokalen Rechenzentrum über oder VPN. Direct Connect  | Aus VPC- und VPC-verbundenen Umgebungen heraus, z. B. in einem lokalen Rechenzentrum über oder VPN. Direct Connect  | 
| Statische IP-Adresse | Sie können keine statische IP-Adresse anhängen. AWS stellt IP-Adressen bereit, die sich ändern können. |  Sie können Elastic IP-Adressen an den Endpunkt anhängen. Dies können AWS eigene IP-Adressen oder Ihre eigenen IP-Adressen sein ([Bringen Sie Ihre eigenen IP-Adressen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html) mit). Elastische IP-Adressen, die an den Endpunkt angehängt sind, ändern sich nicht. Private IP-Adressen, die an den Server angeschlossen sind, ändern sich ebenfalls nicht.  | Private IP-Adressen, die an den Endpunkt angeschlossen sind, ändern sich nicht. | Private IP-Adressen, die an den Endpunkt angehängt sind, ändern sich nicht. | 
| Liste der zugelassenen Quell-IP-Adressen |  Dieser Endpunkttyp unterstützt keine Zulassungslisten nach Quell-IP-Adressen. Der Endpunkt ist öffentlich zugänglich und überwacht den Datenverkehr über Port 22.  Für VPC-gehostete Endpunkte können die Server der SFTP Transfer Family über Port 22 (Standard), 2222, 2223 oder 22000 betrieben werden.   |  Um den Zugriff über die Quell-IP-Adresse zu ermöglichen, können Sie Sicherheitsgruppen verwenden, die an die Serverendpunkte und das Netzwerk an das Subnetz ACLs angeschlossen sind, in dem sich der Endpunkt befindet.  |  Um den Zugriff über die Quell-IP-Adresse zu ermöglichen, können Sie Sicherheitsgruppen verwenden, die an die Serverendpunkte angehängt sind, und Netzwerkzugriffskontrolllisten (Netzwerk ACLs) verwenden, die mit dem Subnetz verknüpft sind, in dem sich der Endpunkt befindet.  |  Um den Zugriff über die Quell-IP-Adresse zu ermöglichen, können Sie Sicherheitsgruppen verwenden, die an die Serverendpunkte und das Netzwerk an das Subnetz ACLs angeschlossen sind, in dem sich der Endpunkt befindet.  | 
| Liste der zugelassenen Client-Firewalls |  Sie müssen den DNS-Namen des Servers zulassen. Da sich IP-Adressen ändern können, sollten Sie es vermeiden, IP-Adressen für Ihre Client-Firewall-Zulassungsliste zu verwenden.  |  Sie können den DNS-Namen des Servers oder die mit dem Server verbundenen Elastic IP-Adressen zulassen.  |  Sie können die privaten IP-Adressen oder den DNS-Namen der Endpoints zulassen.  |  Sie können die privaten IP-Adressen oder den DNS-Namen der Endpunkte zulassen.  | 
| IP-Adresstyp | IPv4 (Standard) oder Dual-Stack (IPv4 und) IPv6 | IPv4 nur (Dual-Stack wird nicht unterstützt) | IPv4 (Standard) oder Dual-Stack (IPv4 und) IPv6 | IPv4 nur (Dual-Stack wird nicht unterstützt) | 

**Anmerkung**  
Der `VPC_ENDPOINT` Endpunkttyp ist jetzt veraltet und kann nicht zum Erstellen neuer Server verwendet werden. Verwenden Sie statt dessen den VPC-Endpunkttyp (`EndpointType=VPC`), den Sie entweder als **Intern** - oder **Internetanschluss verwenden können**, wie in der vorherigen Tabelle beschrieben. `EndpointType=VPC_ENDPOINT`  
Einzelheiten zu dieser veralteten Version finden Sie unter. [Einstellung der Verwendung von VPC\$1ENDPOINTSie können den Endpunkttyp für Ihren Server mithilfe der Transfer Family Family-Konsole AWS CLI, API SDKs, oder ändern CloudFormation. Informationen zum Ändern des Endpunkttyps Ihres Servers finden Sie unter[Aktualisierung des AWS Transfer Family Serverendpunkttyps von VPC\$1ENDPOINT auf VPC](update-endpoint-type-vpc.md).](create-server-in-vpc.md#deprecate-vpc-endpoint)
Informationen zur Verwaltung von VPC-Endpunktberechtigungen finden Sie unter[Beschränkung des VPC-Endpunktzugriffs für Transfer Family Family-Server](create-server-in-vpc.md#limit-vpc-endpoint-access).

Ziehen Sie die folgenden Optionen in Betracht, um die Sicherheit Ihres AWS Transfer Family Servers zu verbessern:
+ Verwenden Sie einen VPC-Endpunkt mit internem Zugriff, sodass der Server nur für Clients in Ihrer VPC oder VPC-verbundenen Umgebungen wie einem lokalen Rechenzentrum über oder VPN zugänglich ist. Direct Connect 
+ Verwenden Sie einen VPC-Endpunkt mit Internetzugriff, um Clients den Zugriff auf den Endpunkt über das Internet zu ermöglichen und Ihren Server zu schützen. Ändern Sie anschließend die Sicherheitsgruppen der VPC so, dass nur Datenverkehr von bestimmten IP-Adressen zugelassen wird, auf denen die Clients Ihrer Benutzer gehostet werden.
+ Wenn Sie eine kennwortbasierte Authentifizierung benötigen und einen benutzerdefinierten Identitätsanbieter für Ihren Server verwenden, ist es eine bewährte Methode, dass Ihre Passwortrichtlinie verhindert, dass Benutzer schwache Passwörter erstellen, und dass die Anzahl fehlgeschlagener Anmeldeversuche begrenzt wird.
+ AWS Transfer Family ist ein verwalteter Dienst und bietet daher keinen Shell-Zugriff. Sie können nicht direkt auf den zugrunde liegenden SFTP-Server zugreifen, um betriebssystemeigene Befehle auf Transfer Family Family-Servern auszuführen.
+ Verwenden Sie einen Network Load Balancer vor einem VPC-Endpunkt mit internem Zugriff. Ändern Sie den Listener-Port auf dem Load Balancer von Port 22 auf einen anderen Port. Dadurch kann das Risiko, dass Portscanner und Bots Ihren Server untersuchen, verringern, aber nicht ausschließen, da Port 22 am häufigsten zum Scannen verwendet wird. Einzelheiten finden Sie im Blogbeitrag [Network Load Balancers now support Security](https://aws.amazon.com/blogs/containers/network-load-balancers-now-support-security-groups/) Groups.
**Anmerkung**  
Wenn Sie einen Network Load Balancer verwenden, zeigen die AWS Transfer Family CloudWatch Protokolle die IP-Adresse für den NLB und nicht die tatsächliche Client-IP-Adresse.

# Konfiguration eines SFTP-, FTPS- oder FTP-Serverendpunkts
<a name="tf-server-endpoint"></a>

Mithilfe des Dienstes können Sie einen Dateiübertragungsserver erstellen. AWS Transfer Family Die folgenden Dateiübertragungsprotokolle sind verfügbar:
+ Secure Shell (SSH) File Transfer Protocol (SFTP) — Dateiübertragung über SSH. Details hierzu finden Sie unter [Erstellen Sie einen SFTP-fähigen Server](create-server-sftp.md).
**Anmerkung**  
Wir bieten ein AWS CDK Beispiel für die Erstellung eines SFTP Transfer Family Family-Servers. Das Beispiel verwendet TypeScript und ist GitHub [hier verfügbar.](https://github.com/aws-samples/aws-cdk-examples/tree/master/typescript/aws-transfer-sftp-server)
+ File Transfer Protocol Secure (FTPS) — Dateiübertragung mit TLS-Verschlüsselung. Details hierzu finden Sie unter [Erstellen Sie einen FTPS-fähigen Server](create-server-ftps.md).
+ File Transfer Protocol (FTP) — Unverschlüsselte Dateiübertragung. Details hierzu finden Sie unter [Erstellen Sie einen FTP-fähigen Server](create-server-ftp.md).
+ Anwendbarkeitserklärung 2 (AS2) — Dateiübertragung für den Transport strukturierter business-to-business Daten. Details hierzu finden Sie unter [Konfiguration AS2](create-b2b-server.md). Denn AS2 Sie können schnell einen CloudFormation Stack zu Demonstrationszwecken erstellen. Dieses Verfahren wird unter beschrieben[Verwenden Sie eine Vorlage, um einen AS2 Demo-Transfer-Family-Stack zu erstellen](create-as2-transfer-server.md#as2-cfn-demo-template).

Sie können einen Server mit mehreren Protokollen erstellen.

**Anmerkung**  
Wenn Sie mehrere Protokolle für denselben Serverendpunkt aktiviert haben und den Zugriff über mehrere Protokolle mit demselben Benutzernamen ermöglichen möchten, können Sie dies tun, sofern die für das Protokoll spezifischen Anmeldeinformationen in Ihrem Identitätsanbieter eingerichtet wurden. Für FTP empfehlen wir, separate Anmeldeinformationen von SFTP und FTPS zu verwenden. Dies liegt daran, dass FTP im Gegensatz zu SFTP und FTPS Anmeldeinformationen im Klartext überträgt. Durch die Isolierung von FTP-Anmeldeinformationen von SFTP oder FTPS bleiben Ihre Workloads, die SFTP oder FTPS verwenden, sicher, wenn FTP-Anmeldeinformationen geteilt oder offengelegt werden.

Wenn Sie einen Server erstellen, wählen Sie einen bestimmten Server aus, AWS-Region um die Dateioperationsanforderungen von Benutzern auszuführen, die diesem Server zugewiesen sind. Sie weisen dem Server nicht nur ein oder mehrere Protokolle zu, sondern weisen auch einen der folgenden Identitätsanbietertypen zu:
+ **Dienst, der mithilfe von SSH-Schlüsseln verwaltet wird**. Details hierzu finden Sie unter [Arbeiten mit Benutzern, die vom Dienst verwaltet werden](service-managed-users.md).
+ **AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD).** Mit dieser Methode können Sie Ihre Microsoft Active Directory-Gruppen integrieren, um Zugriff auf Ihre Transfer Family Family-Server zu gewähren. Details hierzu finden Sie unter [Verwenden des AWS Directory Service für Microsoft Active Directory](directory-services-users.md).
+ **Ein benutzerdefinierter Identitätsanbieter**. Transfer Family bietet mehrere Optionen für die Verwendung eines benutzerdefinierten Identitätsanbieters, wie im [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md) Thema beschrieben.

Sie weisen dem Server auch einen Endpunkttyp (öffentlich zugänglich oder von VPC gehostet) und einen Hostnamen zu, indem Sie den Standard-Serverendpunkt oder einen benutzerdefinierten Hostnamen verwenden, indem Sie den Amazon Route 53-Service oder einen Domain Name System (DNS) -Service Ihrer Wahl verwenden. Ein Server-Hostname muss in dem Ort, an AWS-Region dem er erstellt wurde, eindeutig sein.

Darüber hinaus können Sie eine CloudWatch Amazon-Protokollierungsrolle zuweisen, um Ereignisse in Ihre CloudWatch Protokolle zu übertragen, eine Sicherheitsrichtlinie wählen, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind, und dem Server Metadaten in Form von Tags hinzufügen, die Schlüssel-Wert-Paare sind.

**Wichtig**  
Es fallen Kosten für instanziierte Server und für die Datenübertragung an. Informationen zur Preisgestaltung und zur Schätzung der Kosten für die Nutzung von Transfer Family finden Sie unter [AWS Transfer Family Preise](https://aws.amazon.com/aws-transfer-family/pricing/). AWS Pricing Calculator 

# Erstellen Sie einen SFTP-fähigen Server
<a name="create-server-sftp"></a>

Das Secure Shell (SSH) File Transfer Protocol (SFTP) ist ein Netzwerkprotokoll, das für die sichere Übertragung von Daten über das Internet verwendet wird. Das Protokoll unterstützt die volle Sicherheits- und Authentifizierungsfunktionalität von SSH. Es wird häufig für den Austausch von Daten, einschließlich sensibler Informationen, zwischen Geschäftspartnern in einer Vielzahl von Branchen wie Finanzdienstleistungen, Gesundheitswesen, Einzelhandel und Werbung verwendet.

**Beachten Sie Folgendes**
+ SFTP-Server für Transfer Family arbeiten über Port 22. Für VPC-gehostete Endpunkte können die Server der SFTP Transfer Family auch über Port 2222, 2223 oder 22000 betrieben werden. Details hierzu finden Sie unter [Erstellen Sie einen Server in einer virtuellen privaten Cloud](create-server-in-vpc.md).
+ Öffentliche Endpunkte können den Verkehr nicht über Sicherheitsgruppen einschränken. Um Sicherheitsgruppen mit Ihrem Transfer Family Family-Server zu verwenden, müssen Sie den Endpunkt Ihres Servers in einer Virtual Private Cloud (VPC) hosten, wie unter beschrieben. [Erstellen Sie einen Server in einer virtuellen privaten Cloud](create-server-in-vpc.md)

**Informationen finden Sie auch unter:**
+ Wir bieten ein AWS CDK Beispiel für die Erstellung eines SFTP Transfer Family Family-Servers. Das Beispiel verwendet TypeScript und ist GitHub [hier verfügbar.](https://github.com/aws-samples/aws-cdk-examples/tree/master/typescript/aws-transfer-sftp-server)
+ Eine exemplarische Vorgehensweise zur Bereitstellung eines Transfer Family Family-Servers in einer VPC finden Sie unter [Verwenden Sie die IP-Zulassungsliste, um Ihre AWS Transfer Family Server zu sichern](https://aws.amazon.com/blogs//storage/use-ip-allow-list-to-secure-your-aws-transfer-for-sftp-servers/).

**So erstellen Sie einen SFTP-fähigen Server**

1. **Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)und wählen Sie im Navigationsbereich **Server** und anschließend Server erstellen aus.**

1. **Wählen Sie unter Protokolle** auswählen die Option **SFTP** und dann **Weiter** aus.

1. **Wählen Sie unter Identitätsanbieter** auswählen den Identitätsanbieter aus, den Sie für die Verwaltung des Benutzerzugriffs verwenden möchten. Ihnen stehen folgende Optionen zur Verfügung:
   + **Service verwaltet** — Sie speichern Benutzeridentitäten und Schlüssel in AWS Transfer Family. 
   + **AWS Directory Service for Microsoft Active Directory**— Sie stellen ein Directory Service Verzeichnis für den Zugriff auf den Endpunkt bereit. Auf diese Weise können Sie die in Ihrem Active Directory gespeicherten Anmeldeinformationen verwenden, um Ihre Benutzer zu authentifizieren. Weitere Informationen zur Arbeit mit AWS Managed Microsoft AD Identitätsanbietern finden Sie unter[Verwenden des AWS Directory Service für Microsoft Active Directory](directory-services-users.md).
**Anmerkung**  
 Kontoübergreifende Verzeichnisse und gemeinsam genutzte Verzeichnisse werden für AWS Managed Microsoft AD nicht unterstützt. 
Um einen Server mit Directory Service als Identitätsanbieter einzurichten, müssen Sie einige Directory Service Berechtigungen hinzufügen. Details hierzu finden Sie unter [Bevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
   + **Benutzerdefinierter Identitätsanbieter** — Wählen Sie eine der folgenden Optionen:
     + **Verwenden Sie AWS Lambda , um Ihren Identitätsanbieter zu verbinden** — Sie können einen vorhandenen Identitätsanbieter verwenden, der von einer Lambda-Funktion unterstützt wird. Sie geben den Namen der Lambda-Funktion an. Weitere Informationen finden Sie unter [Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet](custom-lambda-idp.md).
     + **Verwenden Sie Amazon API Gateway, um Ihren Identitätsanbieter zu verbinden** — Sie können eine API Gateway Gateway-Methode erstellen, die von einer Lambda-Funktion unterstützt wird, um sie als Identitätsanbieter zu verwenden. Sie geben eine Amazon API Gateway Gateway-URL und eine Aufrufrolle an. Weitere Informationen finden Sie unter [Verwenden Sie Amazon API Gateway zur Integration Ihres Identitätsanbieters](authentication-api-gateway.md).  
![\[Der Konsolenabschnitt „Einen Identitätsanbieter auswählen“, in dem Benutzerdefinierter Identitätsanbieter ausgewählt ist. Außerdem ist der Standardwert ausgewählt, der besagt, dass Benutzer sich entweder mit ihrem Passwort oder Schlüssel authentifizieren können.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/custom-lambda-console.png)

1. Wählen Sie **Weiter** aus.

1. Gehen **Sie unter Endpunkt auswählen** wie folgt vor:

   1. Wählen Sie als **Endpunkttyp** den Typ **Öffentlich zugänglicher** Endpunkt aus. Informationen zu einem **VPC-gehosteten** Endpunkt finden Sie unter[Erstellen Sie einen Server in einer virtuellen privaten Cloud](create-server-in-vpc.md).

   1.  Wählen Sie als **IP-Adresstyp **IPv4****(Standard) aus Gründen der Abwärtskompatibilität oder **Dual-Stack**, um sowohl Verbindungen zu Ihrem Endpunkt als auch IPv6 Verbindungen zu Ihrem IPv4 Endpunkt zu ermöglichen.
**Anmerkung**  
Im Dual-Stack-Modus kann Ihr Transfer Family Family-Endpunkt sowohl mit als auch mit IPv4 IPv6 aktivierten Clients kommunizieren. Auf diese Weise können Sie schrittweise von IPv4 zu IPv6 basierten Systemen wechseln, ohne alle auf einmal wechseln zu müssen.

   1. **(Optional) Wählen Sie für **Benutzerdefinierter Hostname** die Option Keine aus.**

      Sie erhalten einen Server-Hostnamen, der von bereitgestellt wird. AWS Transfer Family Der Server-Host-Name hat das Format `serverId.server.transfer.regionId.amazonaws.com`.

      Für einen benutzerdefinierten Hostnamen geben Sie einen benutzerdefinierten Alias für Ihren Serverendpunkt an. Weitere Informationen zum Arbeiten mit benutzerdefinierten Hostnamen finden Sie unter. [Mit benutzerdefinierten Hostnamen arbeiten](requirements-dns.md)

   1. (Optional) Aktivieren Sie für **FIPS Enabled** das Kontrollkästchen **FIPS-fähiger Endpunkt**, um sicherzustellen, dass der Endpunkt den Federal Information Processing Standards (FIPS) entspricht.
**Anmerkung**  
FIPS-fähige Endpunkte sind nur in nordamerikanischen Regionen verfügbar. AWS Informationen zu den verfügbaren Regionen finden Sie unter [AWS Transfer Family Endpunkte](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) und Kontingente in der. *Allgemeine AWS-Referenz* Weitere Informationen zu FIPS finden Sie unter [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.

   1. Wählen Sie **Weiter** aus.

1. **Wählen Sie auf der Seite Domain** auswählen den AWS Speicherdienst aus, den Sie zum Speichern und Zugreifen auf Ihre Daten über das ausgewählte Protokoll verwenden möchten:
   + Wählen Sie **Amazon S3**, um Ihre Dateien als Objekte über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.
   + Wählen Sie **Amazon EFS**, um Ihre Dateien in Ihrem Amazon EFS-Dateisystem über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.

   Wählen Sie **Weiter** aus.

1. Gehen **Sie unter Zusätzliche Details konfigurieren** wie folgt vor:

   1. Geben Sie für die Protokollierung eine bestehende Protokollgruppe an oder erstellen Sie eine neue (Standardoption). Wenn Sie eine bestehende Protokollgruppe wählen, müssen Sie eine auswählen, die mit Ihrer verknüpft ist AWS-Konto.  
![\[Bereich „Protokollierung“ für „Zusätzliche Details konfigurieren“ im Assistenten zum Erstellen von Servern. Wählen Sie eine vorhandene Protokollgruppe aus.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-choose-existing-group.png)

      Wenn Sie „**Protokollgruppe erstellen**“ wählen, wird in der CloudWatch Konsole ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) die Seite „**Protokollgruppe erstellen**“ geöffnet. Einzelheiten finden Sie unter [Protokollgruppe erstellen in CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group). 

   1.  (Optional) Wählen Sie für **verwaltete Workflows** den Workflow IDs (und eine entsprechende Rolle) aus, den Transfer Family bei der Ausführung des Workflows annehmen soll. Sie können einen Workflow auswählen, der bei einem vollständigen Upload ausgeführt wird, und einen anderen, der bei einem teilweisen Upload ausgeführt wird. Weitere Informationen zur Verarbeitung Ihrer Dateien mithilfe verwalteter Workflows finden Sie unter[AWS Transfer Family verwaltete Workflows](transfer-workflows.md).  
![\[Der Konsolenbereich für verwaltete Workflows.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/workflows-addtoserver.png)

   1. Wählen Sie unter **Optionen für kryptografische Algorithmen** eine Sicherheitsrichtlinie aus, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind. Unsere neueste Sicherheitsrichtlinie ist die Standardeinstellung: Einzelheiten finden Sie unter. [Sicherheitsrichtlinien für Server AWS Transfer Family](security-policies.md)

   1. (Optional) Geben Sie für **Server Host Key** einen privaten RSA- oder ECSA-Schlüssel ein ED25519, der zur Identifizierung Ihres Servers verwendet wird, wenn Clients über SFTP eine Verbindung zu ihm herstellen. Sie können auch eine Beschreibung hinzufügen, um zwischen mehreren Hostschlüsseln zu unterscheiden. 

      Nachdem Sie Ihren Server erstellt haben, können Sie weitere Hostschlüssel hinzufügen. Mehrere Hostschlüssel sind nützlich, wenn Sie Schlüssel rotieren möchten oder wenn Sie verschiedene Schlüsseltypen verwenden möchten, z. B. einen RSA-Schlüssel und auch einen ECDSA-Schlüssel.
**Anmerkung**  
Der Abschnitt **Server-Hostschlüssel** wird nur für die Migration von Benutzern von einem vorhandenen SFTP-fähigen Server verwendet.

   1. **(Optional) Geben Sie für **Tags** für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie dann Tag hinzufügen aus.**

   1. Wählen Sie **Weiter** aus.

   1. Sie können die Leistung Ihrer Amazon S3 S3-Verzeichnisse optimieren. Nehmen wir zum Beispiel an, Sie gehen in Ihr Home-Verzeichnis und Sie haben 10.000 Unterverzeichnisse. Mit anderen Worten, Ihr Amazon S3 S3-Bucket hat 10.000 Ordner. Wenn Sie in diesem Szenario den Befehl `ls` (list) ausführen, dauert der Listenvorgang zwischen sechs und acht Minuten. Wenn Sie Ihre Verzeichnisse optimieren, dauert dieser Vorgang jedoch nur wenige Sekunden.

      Wenn Sie Ihren Server mit der Konsole erstellen, sind optimierte Verzeichnisse standardmäßig aktiviert. Wenn Sie Ihren Server mithilfe der API erstellen, ist dieses Verhalten standardmäßig nicht aktiviert.  
![\[Der Konsolenbereich Optimierte Verzeichnisse.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/optimized-directories.png)

   1. (Optional) Konfigurieren Sie AWS Transfer Family Server so, dass Ihren Endbenutzern benutzerdefinierte Nachrichten wie Unternehmensrichtlinien oder Nutzungsbedingungen angezeigt werden. Geben Sie für **Banner anzeigen** in das Textfeld **Banner für die Vorauthentifizierung** die Textnachricht ein, die Sie Ihren Benutzern vor der Authentifizierung anzeigen möchten.

   1. (Optional) Sie können die folgenden zusätzlichen Optionen konfigurieren.
      + **SetStat Option**: Aktivieren Sie diese Option, um den Fehler zu ignorieren, der generiert wird, wenn ein Client versucht, eine Datei `SETSTAT` zu verwenden, die Sie in einen Amazon S3 S3-Bucket hochladen. Weitere Informationen finden Sie in der `SetStatOption` Dokumentation im [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html).
      + **Wiederaufnahme der TLS-Sitzung**: Diese Option ist nur verfügbar, wenn Sie FTPS als eines der Protokolle für diesen Server aktiviert haben.
      + **Passive IP**: Diese Option ist nur verfügbar, wenn Sie FTPS oder FTP als eines der Protokolle für diesen Server aktiviert haben.  
![\[Bildschirm mit zusätzlichen Optionen für die Seite mit den Serverdetails.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-server-configure-additional-items-sftp.png)

1. **Überprüfen Sie unter Überprüfen und erstellen** Ihre Auswahl.
   + Wenn Sie eine davon bearbeiten möchten, wählen Sie neben dem Schritt **Bearbeiten** aus.
**Anmerkung**  
Sie müssen jeden Schritt nach dem Schritt überprüfen, den Sie bearbeiten möchten.
   + Wenn Sie keine Änderungen vorgenommen haben, wählen Sie **Server erstellen**, um Ihren Server zu erstellen. Sie gelangen zur Seite **Servers (Server)** (siehe unten), auf der der neue Server aufgelistet ist.

Es kann einige Minuten dauern, bis sich der Status Ihres neuen Servers auf **Online** ändert. Zu diesem Zeitpunkt kann Ihr Server Dateioperationen ausführen, aber Sie müssen zuerst einen Benutzer erstellen. Einzelheiten zum Erstellen von Benutzern finden Sie unter[Benutzer für Serverendpunkte verwalten](create-user.md).

# Erstellen Sie einen FTPS-fähigen Server
<a name="create-server-ftps"></a>

Das File Transfer Protocol over SSL (FTPS) ist eine Erweiterung von FTP. Es verwendet die kryptografischen Protokolle Transport Layer Security (TLS) und Secure Sockets Layer (SSL) zur Verschlüsselung des Datenverkehrs. FTPS ermöglicht die gleichzeitige oder unabhängige Verschlüsselung sowohl der Kontroll- als auch der Datenkanalverbindungen.

**Anmerkung**  
Wichtige Überlegungen zu Network Load Balancers finden Sie unter. [Vermeiden Sie es, AWS Transfer Family Server zu platzieren NLBs und NATs vor ihnen zu platzieren](infrastructure-security.md#nlb-considerations)

**So erstellen Sie einen FTPS-fähigen Server**

1. **Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)und wählen Sie im Navigationsbereich **Server** und anschließend Server erstellen aus.**

1. **Wählen Sie unter Protokolle auswählen** die Option **FTPS** aus.

   **Wählen Sie **unter Serverzertifikat** ein in AWS Certificate Manager (ACM) gespeichertes Zertifikat aus, das zur Identifizierung Ihres Servers verwendet wird, wenn Clients über FTPS eine Verbindung zu ihm herstellen, und wählen Sie dann Weiter aus.**

   Informationen zum Anfordern eines neuen öffentlichen Zertifikats finden Sie unter [Anfordern eines öffentlichen Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) im *AWS Certificate Manager Benutzerhandbuch*.

   Informationen zum Importieren eines vorhandenen Zertifikats in ACM finden Sie unter [Zertifikate in ACM importieren](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) im *AWS Certificate Manager Benutzerhandbuch*.

   *Informationen zum Anfordern eines privaten Zertifikats für die Verwendung von FTPS über private IP-Adressen finden Sie unter [Anfordern eines privaten Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) im AWS Certificate Manager Benutzerhandbuch.*

   Zertifikate mit den folgenden kryptografischen Algorithmen und Schlüsselgrößen werden unterstützt:
   + 2048-Bit-RSA (RSA\$12048)
   + 4096-Bit-RSA (RSA\$14096)
   + Elliptic Prime Curve 256-Bit (EC\$1prime256v1)
   + Elliptic Prime Curve 384-Bit (EC\$1secp384r1)
   + Elliptic Prime Curve 521-Bit (EC\$1secp521r1)
**Anmerkung**  
Das Zertifikat muss ein gültiges SSL/TLS X.509-Zertifikat der Version 3 mit dem angegebenen FQDN oder der angegebenen IP-Adresse sein und Informationen über den Aussteller enthalten.

1. **Wählen Sie unter Identitätsanbieter** auswählen den Identitätsanbieter aus, den Sie für die Verwaltung des Benutzerzugriffs verwenden möchten. Ihnen stehen folgende Optionen zur Verfügung:
   + **AWS Directory Service for Microsoft Active Directory**— Sie stellen ein Directory Service Verzeichnis für den Zugriff auf den Endpunkt bereit. Auf diese Weise können Sie die in Ihrem Active Directory gespeicherten Anmeldeinformationen verwenden, um Ihre Benutzer zu authentifizieren. Weitere Informationen zur Arbeit mit AWS Managed Microsoft AD Identitätsanbietern finden Sie unter[Verwenden des AWS Directory Service für Microsoft Active Directory](directory-services-users.md).
**Anmerkung**  
 Kontoübergreifende Verzeichnisse und gemeinsam genutzte Verzeichnisse werden für AWS Managed Microsoft AD nicht unterstützt. 
Um einen Server mit Directory Service als Identitätsanbieter einzurichten, müssen Sie einige Directory Service Berechtigungen hinzufügen. Details hierzu finden Sie unter [Bevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
   + **Benutzerdefinierter Identitätsanbieter** — Wählen Sie eine der folgenden Optionen:
     + **Verwenden Sie AWS Lambda , um Ihren Identitätsanbieter zu verbinden** — Sie können einen vorhandenen Identitätsanbieter verwenden, der von einer Lambda-Funktion unterstützt wird. Sie geben den Namen der Lambda-Funktion an. Weitere Informationen finden Sie unter [Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet](custom-lambda-idp.md).
     + **Verwenden Sie Amazon API Gateway, um Ihren Identitätsanbieter zu verbinden** — Sie können eine API Gateway Gateway-Methode erstellen, die von einer Lambda-Funktion unterstützt wird, um sie als Identitätsanbieter zu verwenden. Sie geben eine Amazon API Gateway Gateway-URL und eine Aufrufrolle an. Weitere Informationen finden Sie unter [Verwenden Sie Amazon API Gateway zur Integration Ihres Identitätsanbieters](authentication-api-gateway.md).  
![\[Der Konsolenabschnitt „Einen Identitätsanbieter auswählen“, in dem Benutzerdefinierter Identitätsanbieter ausgewählt ist.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/custom-lambda-console-no-sftp.png)

1. Wählen Sie **Weiter** aus.

1. Gehen **Sie unter Endpunkt auswählen** wie folgt vor:
**Anmerkung**  
 FTPS-Server für Transfer Family arbeiten über Port 21 (Control Channel) und Port Range 8192—8200 (Datenkanal).

   1. Wählen Sie als **Endpunkttyp** den **VPC-gehosteten** Endpunkttyp aus, um den Endpunkt Ihres Servers zu hosten. Informationen zur Einrichtung Ihres VPC-gehosteten Endpunkts finden Sie unter[Erstellen Sie einen Server in einer virtuellen privaten Cloud](create-server-in-vpc.md).
**Anmerkung**  
Öffentlich zugängliche Endpunkte werden nicht unterstützt.

   1. (Optional) Aktivieren Sie für **FIPS Enabled** das Kontrollkästchen **FIPS-fähiger Endpunkt**, um sicherzustellen, dass der Endpunkt den Federal Information Processing Standards (FIPS) entspricht.
**Anmerkung**  
FIPS-fähige Endpunkte sind nur in nordamerikanischen Regionen verfügbar. AWS Informationen zu den verfügbaren Regionen finden Sie unter [AWS Transfer Family Endpunkte](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) und Kontingente in der. *Allgemeine AWS-Referenz* Weitere Informationen zu FIPS finden Sie unter [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.

   1. Wählen Sie **Weiter** aus.  
![\[Der Abschnitt Wählen Sie eine Endpunktkonsole mit ausgewählter gehosteter VPC.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-server-choose-endpoint-vpc-internal.png)

1. **Wählen Sie auf der Seite „Domain** auswählen“ den AWS Speicherdienst aus, den Sie zum Speichern und Zugreifen auf Ihre Daten über das ausgewählte Protokoll verwenden möchten:
   + Wählen Sie **Amazon S3**, um Ihre Dateien als Objekte über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.
   + Wählen Sie **Amazon EFS**, um Ihre Dateien in Ihrem Amazon EFS-Dateisystem über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.

   Wählen Sie **Weiter** aus.

1. Gehen **Sie unter Zusätzliche Details konfigurieren** wie folgt vor:

   1. Geben Sie für die Protokollierung eine bestehende Protokollgruppe an oder erstellen Sie eine neue (Standardoption).  
![\[Bereich „Protokollierung“ für „Zusätzliche Details konfigurieren“ im Assistenten zum Erstellen von Servern. Wählen Sie eine vorhandene Protokollgruppe aus.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-choose-existing-group.png)

      Wenn Sie „**Protokollgruppe erstellen**“ wählen, wird in der CloudWatch Konsole ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) die Seite „**Protokollgruppe erstellen**“ geöffnet. Einzelheiten finden Sie unter [Protokollgruppe erstellen in CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group). 

   1.  (Optional) Wählen Sie für **verwaltete Workflows** den Workflow IDs (und eine entsprechende Rolle) aus, den Transfer Family bei der Ausführung des Workflows annehmen soll. Sie können einen Workflow auswählen, der bei einem vollständigen Upload ausgeführt wird, und einen anderen, der bei einem teilweisen Upload ausgeführt wird. Weitere Informationen zur Verarbeitung Ihrer Dateien mithilfe verwalteter Workflows finden Sie unter[AWS Transfer Family verwaltete Workflows](transfer-workflows.md).  
![\[Der Konsolenbereich für verwaltete Workflows.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/workflows-addtoserver.png)

   1. Wählen Sie unter **Optionen für kryptografische Algorithmen** eine Sicherheitsrichtlinie aus, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind. Unsere neueste Sicherheitsrichtlinie ist die Standardeinstellung: Einzelheiten finden Sie unter. [Sicherheitsrichtlinien für Server AWS Transfer Family](security-policies.md)

   1. Lassen Sie das Feld **Server-Host-Schlüssel** leer.

   1. (Optional) Geben Sie für **Tags** für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie dann Tag **hinzufügen** aus.

   1. Sie können die Leistung Ihrer Amazon S3 S3-Verzeichnisse optimieren. Nehmen wir zum Beispiel an, Sie gehen in Ihr Home-Verzeichnis und Sie haben 10.000 Unterverzeichnisse. Mit anderen Worten, Ihr Amazon S3 S3-Bucket hat 10.000 Ordner. Wenn Sie in diesem Szenario den Befehl `ls` (list) ausführen, dauert der Listenvorgang zwischen sechs und acht Minuten. Wenn Sie Ihre Verzeichnisse optimieren, dauert dieser Vorgang jedoch nur wenige Sekunden.

      Wenn Sie Ihren Server mit der Konsole erstellen, sind optimierte Verzeichnisse standardmäßig aktiviert. Wenn Sie Ihren Server mithilfe der API erstellen, ist dieses Verhalten standardmäßig nicht aktiviert.  
![\[Der Konsolenbereich Optimierte Verzeichnisse.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/optimized-directories.png)

   1. Wählen Sie **Weiter** aus.

   1. (Optional) Sie können AWS Transfer Family Server so konfigurieren, dass Ihren Endbenutzern benutzerdefinierte Nachrichten wie Unternehmensrichtlinien oder Nutzungsbedingungen angezeigt werden. Sie können Benutzern, die sich erfolgreich authentifiziert haben, auch benutzerdefinierte Message of The Day (MOTD) anzeigen.

      Geben Sie für **Banner anzeigen** in das Textfeld **Display-Banner vor der Authentifizierung** die Textnachricht ein, die Sie Ihren Benutzern vor der Authentifizierung anzeigen möchten, und geben Sie in das Textfeld **Display-Banner nach der Authentifizierung** den Text ein, den Sie Ihren Benutzern nach erfolgreicher Authentifizierung anzeigen möchten.

   1. (Optional) Sie können die folgenden zusätzlichen Optionen konfigurieren.
      + **SetStat Option**: Aktivieren Sie diese Option, um den Fehler zu ignorieren, der generiert wird, wenn ein Client versucht, eine Datei `SETSTAT` zu verwenden, die Sie in einen Amazon S3 S3-Bucket hochladen. Weitere Informationen finden Sie in der `SetStatOption` Dokumentation im [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)Thema.
      + **Wiederaufnahme der TLS-Sitzung**: bietet einen Mechanismus zur Wiederaufnahme oder gemeinsamen Nutzung eines ausgehandelten geheimen Schlüssels zwischen der Kontroll- und Datenverbindung für eine FTPS-Sitzung. Weitere Informationen finden Sie in der `TlsSessionResumptionMode` Dokumentation zum Thema. [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
      + **Passive IP**: steht für den passiven Modus für FTP- und FTPS-Protokolle. Geben Sie eine einzelne IPv4 Adresse ein, z. B. die öffentliche IP-Adresse einer Firewall, eines Routers oder eines Load Balancers. Weitere Informationen finden Sie in der `PassiveIp` Dokumentation zum [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)Thema.  
![\[Der Bildschirm „Zusätzliche Konfiguration“ mit den SetStat Parametern „Wiederaufnahme der TLS-Sitzung“ und „Passive IP“.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-server-configure-additional-items-all.png)

1. **Überprüfen Sie unter Überprüfen und erstellen** Ihre Auswahl.
   + Wenn Sie eine davon bearbeiten möchten, wählen Sie neben dem Schritt **Bearbeiten** aus.
**Anmerkung**  
Sie müssen jeden Schritt nach dem Schritt überprüfen, den Sie bearbeiten möchten.
   + Wenn Sie keine Änderungen vorgenommen haben, wählen Sie **Server erstellen**, um Ihren Server zu erstellen. Sie gelangen zur Seite **Servers (Server)** (siehe unten), auf der der neue Server aufgelistet ist.

Es kann einige Minuten dauern, bis sich der Status Ihres neuen Servers auf **Online** ändert. Ab diesem Zeitpunkt kann der Server Dateioperationen für die Benutzer ausführen.

**Nächste Schritte**: Fahren Sie im nächsten Schritt mit [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md) So richten Sie Benutzer ein.

# Erstellen Sie einen FTP-fähigen Server
<a name="create-server-ftp"></a>

Das File Transfer Protocol (FTP) ist ein Netzwerkprotokoll, das für die Übertragung von Daten verwendet wird. FTP verwendet einen separaten Kanal für Steuerung und Datenübertragungen. Der Steuerkanal ist geöffnet, bis er beendet wird oder ein Timeout bei Inaktivität eintritt. Der Datenkanal ist für die Dauer der Übertragung aktiv. FTP verwendet Klartext und unterstützt keine Verschlüsselung des Datenverkehrs.

**Anmerkung**  
Wenn Sie FTP aktivieren, müssen Sie die interne Zugriffsoption für den VPC-gehosteten Endpunkt auswählen. Wenn Ihr Server Daten über das öffentliche Netzwerk übertragen soll, müssen Sie sichere Protokolle wie SFTP oder FTPS verwenden. 

**Anmerkung**  
Wichtige Überlegungen zu Network Load Balancers finden Sie unter. [Vermeiden Sie es, AWS Transfer Family Server zu platzieren NLBs und NATs vor ihnen zu platzieren](infrastructure-security.md#nlb-considerations)

**So erstellen Sie einen FTP-fähigen Server**

1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)und wählen Sie im Navigationsbereich **Server** und anschließend Server **erstellen** aus.

1. **Wählen Sie unter Protokolle** auswählen die Option **FTP** und dann **Weiter** aus.

1. **Wählen Sie unter Wählen Sie einen Identitätsanbieter** aus den Identitätsanbieter aus, den Sie für die Verwaltung des Benutzerzugriffs verwenden möchten. Ihnen stehen folgende Optionen zur Verfügung:
   + **AWS Directory Service for Microsoft Active Directory**— Sie stellen ein Directory Service Verzeichnis für den Zugriff auf den Endpunkt bereit. Auf diese Weise können Sie die in Ihrem Active Directory gespeicherten Anmeldeinformationen verwenden, um Ihre Benutzer zu authentifizieren. Weitere Informationen zur Arbeit mit AWS Managed Microsoft AD Identitätsanbietern finden Sie unter[Verwenden des AWS Directory Service für Microsoft Active Directory](directory-services-users.md).
**Anmerkung**  
 Kontoübergreifende Verzeichnisse und gemeinsam genutzte Verzeichnisse werden für AWS Managed Microsoft AD nicht unterstützt. 
Um einen Server mit Directory Service als Identitätsanbieter einzurichten, müssen Sie einige Directory Service Berechtigungen hinzufügen. Details hierzu finden Sie unter [Bevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
   + **Benutzerdefinierter Identitätsanbieter** — Wählen Sie eine der folgenden Optionen:
     + **Verwenden Sie AWS Lambda , um Ihren Identitätsanbieter zu verbinden** — Sie können einen vorhandenen Identitätsanbieter verwenden, der von einer Lambda-Funktion unterstützt wird. Sie geben den Namen der Lambda-Funktion an. Weitere Informationen finden Sie unter [Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet](custom-lambda-idp.md).
     + **Verwenden Sie Amazon API Gateway, um Ihren Identitätsanbieter zu verbinden** — Sie können eine API Gateway Gateway-Methode erstellen, die von einer Lambda-Funktion unterstützt wird, um sie als Identitätsanbieter zu verwenden. Sie geben eine Amazon API Gateway Gateway-URL und eine Aufrufrolle an. Weitere Informationen finden Sie unter [Verwenden Sie Amazon API Gateway zur Integration Ihres Identitätsanbieters](authentication-api-gateway.md).  
![\[Der Konsolenabschnitt „Einen Identitätsanbieter auswählen“, in dem Benutzerdefinierter Identitätsanbieter ausgewählt ist.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/custom-lambda-console-no-sftp.png)

1. Wählen Sie **Weiter** aus.

1. Gehen **Sie unter Endpunkt auswählen** wie folgt vor:
**Anmerkung**  
FTP-Server für Transfer Family arbeiten über Port 21 (Steuerkanal) und Portbereich 8192—8200 (Datenkanal).

   1. Wählen Sie als **Endpunkttyp** die Option **VPC Hosted** aus, um den Endpunkt Ihres Servers zu hosten. Informationen zur Einrichtung Ihres VPC-gehosteten Endpunkts finden Sie unter[Erstellen Sie einen Server in einer virtuellen privaten Cloud](create-server-in-vpc.md).
**Anmerkung**  
Öffentlich zugängliche Endpunkte werden nicht unterstützt.

   1. Lassen Sie für **FIPS Enabled** das Kontrollkästchen **FIPS-fähiger Endpunkt deaktiviert**.
**Anmerkung**  
FIPS-fähige Endpunkte werden für FTP-Server nicht unterstützt.

   1. Wählen Sie **Weiter** aus.  
![\[Der Abschnitt Wählen Sie eine Endpunktkonsole mit ausgewählter gehosteter VPC.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-server-choose-endpoint-vpc-internal.png)

1. **Wählen Sie auf der Seite „Domain** auswählen“ den AWS Speicherdienst aus, den Sie zum Speichern und Zugreifen auf Ihre Daten über das ausgewählte Protokoll verwenden möchten.
   + Wählen Sie **Amazon S3**, um Ihre Dateien als Objekte über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.
   + Wählen Sie **Amazon EFS**, um Ihre Dateien in Ihrem Amazon EFS-Dateisystem über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.

   Wählen Sie **Weiter** aus.

1. Gehen **Sie unter Zusätzliche Details konfigurieren** wie folgt vor:

   1. Geben Sie für die Protokollierung eine bestehende Protokollgruppe an oder erstellen Sie eine neue (Standardoption).  
![\[Bereich „Protokollierung“ für „Zusätzliche Details konfigurieren“ im Assistenten zum Erstellen von Servern. Wählen Sie eine vorhandene Protokollgruppe aus.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-choose-existing-group.png)

      Wenn Sie „**Protokollgruppe erstellen**“ wählen, wird in der CloudWatch Konsole ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) die Seite „**Protokollgruppe erstellen**“ geöffnet. Einzelheiten finden Sie unter [Protokollgruppe erstellen in CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group). 

   1.  (Optional) Wählen Sie für **verwaltete Workflows** den Workflow IDs (und eine entsprechende Rolle) aus, den Transfer Family bei der Ausführung des Workflows annehmen soll. Sie können einen Workflow auswählen, der bei einem vollständigen Upload ausgeführt wird, und einen anderen, der bei einem teilweisen Upload ausgeführt wird. Weitere Informationen zur Verarbeitung Ihrer Dateien mithilfe verwalteter Workflows finden Sie unter[AWS Transfer Family verwaltete Workflows](transfer-workflows.md).  
![\[Der Konsolenbereich für verwaltete Workflows.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/workflows-addtoserver.png)

   1. Wählen Sie unter **Optionen für kryptografische Algorithmen** eine Sicherheitsrichtlinie aus, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind.
**Anmerkung**  
Transfer Family weist Ihrem FTP-Server die neueste Sicherheitsrichtlinie zu. Da das FTP-Protokoll jedoch keine Verschlüsselung verwendet, verwenden FTP-Server keinen der Algorithmen für Sicherheitsrichtlinien. Sofern Ihr Server nicht auch das FTPS- oder SFTP-Protokoll verwendet, bleibt die Sicherheitsrichtlinie ungenutzt.

   1. Lassen Sie das **Feld Server-Hostschlüssel** leer.

   1. (Optional) Geben Sie für **Tags** für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie dann Tag **hinzufügen** aus.

   1. Sie können die Leistung Ihrer Amazon S3 S3-Verzeichnisse optimieren. Nehmen wir zum Beispiel an, Sie gehen in Ihr Home-Verzeichnis und Sie haben 10.000 Unterverzeichnisse. Mit anderen Worten, Ihr Amazon S3 S3-Bucket hat 10.000 Ordner. Wenn Sie in diesem Szenario den Befehl `ls` (list) ausführen, dauert der Listenvorgang zwischen sechs und acht Minuten. Wenn Sie Ihre Verzeichnisse optimieren, dauert dieser Vorgang jedoch nur wenige Sekunden.

      Wenn Sie Ihren Server mit der Konsole erstellen, sind optimierte Verzeichnisse standardmäßig aktiviert. Wenn Sie Ihren Server mithilfe der API erstellen, ist dieses Verhalten standardmäßig nicht aktiviert.  
![\[Der Konsolenbereich Optimierte Verzeichnisse.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/optimized-directories.png)

   1. Wählen Sie **Weiter** aus.

   1. (Optional) Sie können AWS Transfer Family Server so konfigurieren, dass Ihren Endbenutzern benutzerdefinierte Nachrichten wie Unternehmensrichtlinien oder Nutzungsbedingungen angezeigt werden. Sie können Benutzern, die sich erfolgreich authentifiziert haben, auch benutzerdefinierte Message of The Day (MOTD) anzeigen.

      Geben Sie für **Banner anzeigen** in das Textfeld **Display-Banner vor der Authentifizierung** die Textnachricht ein, die Sie Ihren Benutzern vor der Authentifizierung anzeigen möchten, und geben Sie in das Textfeld **Display-Banner nach der Authentifizierung** den Text ein, den Sie Ihren Benutzern nach erfolgreicher Authentifizierung anzeigen möchten.

   1. (Optional) Sie können die folgenden zusätzlichen Optionen konfigurieren.
      + **SetStat Option**: Aktivieren Sie diese Option, um den Fehler zu ignorieren, der generiert wird, wenn ein Client versucht, eine Datei `SETSTAT` zu verwenden, die Sie in einen Amazon S3 S3-Bucket hochladen. Weitere Informationen finden Sie in der `SetStatOption` Dokumentation im [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)Thema.
      + **Wiederaufnahme der TLS-Sitzung**: bietet einen Mechanismus zur Wiederaufnahme oder gemeinsamen Nutzung eines ausgehandelten geheimen Schlüssels zwischen der Kontroll- und Datenverbindung für eine FTPS-Sitzung. Weitere Informationen finden Sie in der `TlsSessionResumptionMode` Dokumentation zum Thema. [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
      + **Passive IP**: steht für den passiven Modus für FTP- und FTPS-Protokolle. Geben Sie eine einzelne IPv4 Adresse ein, z. B. die öffentliche IP-Adresse einer Firewall, eines Routers oder eines Load Balancers. Weitere Informationen finden Sie in der `PassiveIp` Dokumentation zum [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)Thema.  
![\[Der Bildschirm „Zusätzliche Konfiguration“ mit den SetStat Parametern „Wiederaufnahme der TLS-Sitzung“ und „Passive IP“.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-server-configure-additional-items-all.png)

1. **Überprüfen Sie unter Überprüfen und erstellen** Ihre Auswahl.
   + Wenn Sie eine davon bearbeiten möchten, wählen Sie neben dem Schritt **Bearbeiten** aus.
**Anmerkung**  
Sie müssen jeden Schritt nach dem Schritt überprüfen, den Sie bearbeiten möchten.
   + Wenn Sie keine Änderungen vorgenommen haben, wählen Sie **Server erstellen**, um Ihren Server zu erstellen. Sie gelangen zur Seite **Servers (Server)** (siehe unten), auf der der neue Server aufgelistet ist.

Es kann einige Minuten dauern, bis sich der Status Ihres neuen Servers auf **Online** ändert. Ab diesem Zeitpunkt kann der Server Dateioperationen für die Benutzer ausführen.

**Nächste Schritte** — Fahren Sie im nächsten Schritt mit [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md) So richten Sie Benutzer ein.

# Erstellen Sie einen Server in einer virtuellen privaten Cloud
<a name="create-server-in-vpc"></a>

Sie können den Endpunkt Ihres Servers in einer Virtual Private Cloud (VPC) hosten, um Daten zu und von einem Amazon S3-Bucket oder Amazon EFS-Dateisystem zu übertragen, ohne das öffentliche Internet nutzen zu müssen.

**Anmerkung**  
 Nach dem 19. Mai 2021 können Sie mit `EndpointType=VPC_ENDPOINT` Ihrem Konto keinen Server mehr erstellen, wenn Ihr AWS Konto dies nicht bereits vor dem 19. Mai 2021 getan hat. Wenn du am oder vor dem 21. Februar 2021 bereits Server mit `EndpointType=VPC_ENDPOINT` deinem AWS Konto erstellt hast, bist du davon nicht betroffen. Verwenden Sie nach diesem Datum `EndpointType` =**VPC**. Weitere Informationen finden Sie unter [Einstellung der Verwendung von VPC\$1ENDPOINT](#deprecate-vpc-endpoint).

Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihrer VPC und einem Server herstellen. Sie können diesen Server dann verwenden, um Daten über Ihren Client zu und von Ihrem Amazon S3 S3-Bucket zu übertragen, ohne öffentliche IP-Adressen zu verwenden oder ein Internet-Gateway zu benötigen.

Mit Amazon VPC können Sie AWS Ressourcen in einem benutzerdefinierten virtuellen Netzwerk starten. Mit einer VPC können Sie Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways, steuern. Weitere Informationen finden Sie VPCs unter [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) im *Amazon VPC-Benutzerhandbuch*.

In den nächsten Abschnitten finden Sie Anweisungen zum Erstellen und Verbinden Ihrer VPC mit einem Server. Im Überblick gehen Sie dazu wie folgt vor:

1. Richten Sie einen Server mit einem VPC-Endpunkt ein.

1. Connect Sie mithilfe eines Clients, der sich in Ihrer VPC befindet, über den VPC-Endpunkt eine Verbindung zu Ihrem Server her. Auf diese Weise können Sie Daten, die in Ihrem Amazon S3 S3-Bucket gespeichert sind, mithilfe von über Ihren Client übertragen AWS Transfer Family. Sie können diese Übertragung durchführen, obwohl das Netzwerk vom öffentlichen Internet getrennt ist.

1.  Wenn Sie sich dafür entscheiden, den Endpunkt Ihres Servers mit dem Internet zu verbinden, können Sie Ihrem Endpunkt außerdem Elastic IP-Adressen zuordnen. Auf diese Weise können Clients außerhalb Ihrer VPC eine Verbindung zu Ihrem Server herstellen. Sie können VPC-Sicherheitsgruppen verwenden, um den Zugriff auf authentifizierte Benutzer zu kontrollieren, deren Anfragen nur von zulässigen Adressen stammen.

**Anmerkung**  
AWS Transfer Family unterstützt Dual-Stack-Endpunkte, sodass Ihr Server sowohl über als auch kommunizieren kann. IPv4 IPv6 Um die Dual-Stack-Unterstützung zu aktivieren, wählen Sie bei der Erstellung Ihres **VPC-Endpunkts die Option DNS-Dual-Stack-Endpunkt aktivieren** aus. Beachten Sie, dass sowohl Ihre VPC als auch Ihre Subnetze für die Unterstützung konfiguriert sein müssen, IPv6 bevor Sie diese Funktion verwenden können. Die Dual-Stack-Unterstützung ist besonders nützlich, wenn Sie Clients haben, die über eines der beiden Protokolle eine Verbindung herstellen müssen.  
Hinweise zu Dual-Stack IPv4 - (und IPv6) Server-Endpunkten finden Sie unter. [IPv6 Unterstützung für Transfer Family Family-Server](ipv6-support.md)

**Topics**
+ [Erstellen Sie einen Serverendpunkt, auf den nur innerhalb Ihrer VPC zugegriffen werden kann](#create-server-endpoint-in-vpc)
+ [Erstellen Sie einen mit dem Internet verbundenen Endpunkt für Ihren Server](#create-internet-facing-endpoint)
+ [Ändern Sie den Endpunkttyp für Ihren Server](#change-server-endpoint-type)
+ [Einstellung der Verwendung von VPC\$1ENDPOINT](#deprecate-vpc-endpoint)
+ [Beschränkung des VPC-Endpunktzugriffs für Transfer Family Family-Server](#limit-vpc-endpoint-access)
+ [Zusätzliche Netzwerkfunktionen](#additional-networking-features)
+ [Aktualisierung des AWS Transfer Family Serverendpunkttyps von VPC\$1ENDPOINT auf VPC](update-endpoint-type-vpc.md)

## Erstellen Sie einen Serverendpunkt, auf den nur innerhalb Ihrer VPC zugegriffen werden kann
<a name="create-server-endpoint-in-vpc"></a>

Im folgenden Verfahren erstellen Sie einen Serverendpunkt, auf den nur Ressourcen innerhalb Ihrer VPC zugreifen können.

**So erstellen Sie einen Serverendpunkt in einer VPC**

1. Öffnen Sie die AWS Transfer Family Konsole unter. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)

1. Wählen Sie im Navigationsbereich **Server** und anschließend **Server erstellen** aus.

1. **Wählen Sie unter Protokolle** auswählen ein oder mehrere Protokolle aus, und klicken Sie dann auf **Weiter**. Weitere Informationen zu Protokollen finden Sie unter[Schritt 2: Erstellen Sie einen SFTP-fähigen Server](getting-started.md#getting-started-server).

1. **Wählen Sie unter Einen Identitätsanbieter** auswählen die Option **Dienst verwaltet**, um Benutzeridentitäten und Schlüssel zu speichern AWS Transfer Family, und klicken Sie dann auf **Weiter**.

   Bei diesem Verfahren wird die vom Dienst verwaltete Option verwendet. Wenn Sie **Benutzerdefiniert** wählen, geben Sie einen Amazon API Gateway Gateway-Endpunkt und eine AWS Identity and Access Management (IAM) -Rolle für den Zugriff auf den Endpunkt an. Auf diese Weise können Sie Ihren Verzeichnisdienst integrieren, um Ihre Benutzer zu authentifizieren und zu autorisieren. Weitere Informationen zur Verwendung benutzerdefinierter Identitätsanbieter siehe [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md).

1. Gehen **Sie unter Endpunkt auswählen** wie folgt vor:

   1. Wählen Sie als **Endpunkttyp** den **VPC-gehosteten** Endpunkttyp aus, um den Endpunkt Ihres Servers zu hosten.

   1. Wählen Sie für **Zugriff** die Option **Intern** aus, damit Ihr Endpunkt nur für Clients zugänglich ist, die die privaten IP-Adressen des Endpunkts verwenden.

      Einzelheiten zur Option **Internetzugriff** finden Sie unter[Erstellen Sie einen mit dem Internet verbundenen Endpunkt für Ihren Server](#create-internet-facing-endpoint). Ein Server, der in einer VPC nur für den internen Zugriff erstellt wurde, unterstützt keine benutzerdefinierten Hostnamen.

   1. Wählen Sie für **VPC** eine vorhandene VPC-ID oder wählen Sie **Create a VPC, um eine neue VPC** zu erstellen.

   1. Wählen Sie im Abschnitt **Availability Zones** bis zu drei Availability Zones und zugehörige Subnetze aus.

   1. Wählen Sie im Abschnitt **Sicherheitsgruppen** eine bestehende Sicherheitsgruppen-ID aus, IDs oder wählen Sie **Sicherheitsgruppe erstellen**, um eine neue Sicherheitsgruppe zu erstellen. Weitere Informationen zu Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*. Informationen zum Erstellen einer Sicherheitsgruppe finden Sie unter [Erstellen einer Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
**Anmerkung**  
Ihre VPC verfügt automatisch über eine Standardsicherheitsgruppe. Wenn Sie beim Starten des Servers keine andere Sicherheitsgruppe oder Gruppen angeben, ordnen wir Ihrem Server die Standardsicherheitsgruppe zu.
      + Für die eingehenden Regeln für die Sicherheitsgruppe können Sie den SSH-Verkehr so konfigurieren, dass er Port 22, 2222, 22000 oder eine beliebige Kombination verwendet. Port 22 ist standardmäßig konfiguriert. Um Port 2222 oder Port 22000 zu verwenden, fügen Sie Ihrer Sicherheitsgruppe eine Regel für eingehenden Datenverkehr hinzu. Wählen Sie für den Typ **Benutzerdefiniertes TCP** aus, geben Sie dann entweder **2222** oder **22000** als **Portbereich** ein und geben Sie für die Quelle denselben CIDR-Bereich ein, den Sie für Ihre SSH-Port-22-Regel haben.
      + Konfigurieren Sie für die eingehenden Regeln für die Sicherheitsgruppe FTP- und FTPS-Verkehr so, dass der **Portbereich** **21** für den Steuerkanal und **8192-8200** für den Datenkanal verwendet wird.
**Anmerkung**  
Sie können Port 2223 auch für Clients verwenden, die TCP-"Piggy-Back“ oder die Möglichkeit benötigen ACKs, dass das letzte Paket des TCP-3-Wege-Handshakes auch Daten enthält.  
Manche Client-Software ist möglicherweise nicht mit Port 2223 kompatibel, z. B. ein Client, bei dem der Server die SFTP-Identifikationszeichenfolge senden muss, bevor der Client dies tut.  
![\[Die Regeln für eingehende Nachrichten für eine Beispielsicherheitsgruppe, die eine Regel für SSH auf Port 22 und Custom TCP auf Port 2222 zeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/alternate-port-rule.png)

   1. (Optional) Aktivieren Sie für **FIPS Enabled** das Kontrollkästchen **FIPS-fähiger Endpunkt, um sicherzustellen, dass der Endpunkt** den Federal Information Processing Standards (FIPS) entspricht.
**Anmerkung**  
FIPS-fähige Endpunkte sind nur in nordamerikanischen Regionen verfügbar. AWS Informationen zu den verfügbaren Regionen finden Sie unter [AWS Transfer Family Endpunkte](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) und Kontingente in der. *Allgemeine AWS-Referenz* Weitere Informationen zu FIPS finden Sie unter [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.

   1. Wählen Sie **Weiter** aus.

1. Gehen **Sie unter Zusätzliche Details konfigurieren** wie folgt vor:

   1. Wählen Sie für die **CloudWatch Protokollierung** eine der folgenden Optionen, um die CloudWatch Amazon-Protokollierung Ihrer Benutzeraktivitäten zu aktivieren:
      + **Erstellen Sie eine neue Rolle**, damit Transfer Family die IAM-Rolle automatisch erstellen kann, sofern Sie über die erforderlichen Berechtigungen zum Erstellen einer neuen Rolle verfügen. Die erstellte IAM-Rolle wird aufgerufen. `AWSTransferLoggingAccess`
      + **Wählen Sie eine vorhandene Rolle** aus, um eine bestehende IAM-Rolle aus Ihrem Konto auszuwählen. Wählen **Sie unter Logging-Rolle** die Rolle aus. Diese IAM-Rolle sollte eine Vertrauensrichtlinie mit der Einstellung **Service** auf `transfer.amazonaws.com` enthalten.

        Weitere Informationen zur CloudWatch Protokollierung finden Sie unter[Konfigurieren Sie die CloudWatch Protokollierungsrolle](configure-cw-logging-role.md).
**Anmerkung**  
Sie können keine Endbenutzeraktivitäten in anzeigen, CloudWatch wenn Sie keine Protokollierungsrolle angeben.
Wenn Sie keine CloudWatch Protokollierungsrolle einrichten möchten, wählen Sie **Bestehende Rolle auswählen**, aber wählen Sie keine Protokollierungsrolle aus.

   1. Wählen Sie unter **Optionen für kryptografische Algorithmen** eine Sicherheitsrichtlinie aus, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind.
**Anmerkung**  
Standardmäßig ist die `TransferSecurityPolicy-2024-01` Sicherheitsrichtlinie an Ihren Server angehängt, sofern Sie keine andere auswählen.

      Weitere Informationen zu Sicherheitsrichtlinien finden Sie unter [Sicherheitsrichtlinien für Server AWS Transfer Family](security-policies.md).

   1. (Optional: Dieser Abschnitt ist nur für die Migration von Benutzern von einem vorhandenen SFTP-fähigen Server vorgesehen.) Geben Sie als **Server-Hostschlüssel** einen privaten RSA- oder ECSA-Schlüssel ein ED25519, der zur Identifizierung Ihres Servers verwendet wird, wenn Clients über SFTP eine Verbindung zu ihm herstellen.

   1. **(Optional) Geben Sie für **Tags** für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie dann Tag hinzufügen aus.**

   1. Wählen Sie **Weiter** aus.

1. **Überprüfen Sie unter Überprüfen und erstellen** Ihre Auswahl. Wenn Sie:
   + Wenn Sie eine davon bearbeiten möchten, wählen Sie neben dem Schritt **Bearbeiten** aus.
**Anmerkung**  
Sie müssen jeden Schritt nach dem Schritt, den Sie bearbeiten möchten, erneut überprüfen.
   + Haben Sie keine Änderungen vorgenommen, wählen Sie **Server erstellen**, um Ihren Server zu erstellen. Sie gelangen zur Seite **Servers (Server)** (siehe unten), auf der der neue Server aufgelistet ist.

Es kann einige Minuten dauern, bis sich der Status Ihres neuen Servers auf **Online** ändert. Zu diesem Zeitpunkt kann Ihr Server Dateioperationen ausführen, aber Sie müssen zuerst einen Benutzer erstellen. Einzelheiten zum Erstellen von Benutzern finden Sie unter[Benutzer für Serverendpunkte verwalten](create-user.md).

## Erstellen Sie einen mit dem Internet verbundenen Endpunkt für Ihren Server
<a name="create-internet-facing-endpoint"></a>

Im folgenden Verfahren erstellen Sie einen Serverendpunkt. Auf diesen Endpunkt können nur Clients über das Internet zugreifen, deren Quell-IP-Adressen in der Standardsicherheitsgruppe Ihrer VPC zulässig sind. Indem Sie Elastic IP-Adressen verwenden, um Ihren Endpunkt mit dem Internet zu verbinden, können Ihre Kunden die Elastic IP-Adresse außerdem verwenden, um den Zugriff auf Ihren Endpunkt in ihren Firewalls zu ermöglichen.

**Anmerkung**  
Nur SFTP und FTPS können auf einem mit dem Internet verbundenen VPC-gehosteten Endpunkt verwendet werden.

**Um einen mit dem Internet verbundenen Endpunkt zu erstellen**

1. Öffnen Sie die AWS Transfer Family Konsole unter. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)

1. Wählen Sie im Navigationsbereich **Server** und anschließend **Server erstellen** aus.

1. **Wählen Sie unter Protokolle** auswählen ein oder mehrere Protokolle aus, und klicken Sie dann auf **Weiter**. Weitere Informationen zu Protokollen finden Sie unter[Schritt 2: Erstellen Sie einen SFTP-fähigen Server](getting-started.md#getting-started-server).

1. **Wählen Sie unter Einen Identitätsanbieter** auswählen die Option **Dienst verwaltet**, um Benutzeridentitäten und Schlüssel zu speichern AWS Transfer Family, und klicken Sie dann auf **Weiter**.

   Bei diesem Verfahren wird die vom Dienst verwaltete Option verwendet. Wenn Sie **Benutzerdefiniert** wählen, geben Sie einen Amazon API Gateway Gateway-Endpunkt und eine AWS Identity and Access Management (IAM) -Rolle für den Zugriff auf den Endpunkt an. Auf diese Weise können Sie Ihren Verzeichnisdienst integrieren, um Ihre Benutzer zu authentifizieren und zu autorisieren. Weitere Informationen zur Verwendung benutzerdefinierter Identitätsanbieter siehe [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md).

1. Gehen **Sie unter Endpunkt auswählen** wie folgt vor:

   1. Wählen Sie als **Endpunkttyp** den **VPC-gehosteten** Endpunkttyp aus, um den Endpunkt Ihres Servers zu hosten.

   1. Wählen Sie für **Access** die Option **Internet Facing** aus, um Ihren Endpunkt für Kunden über das Internet zugänglich zu machen.
**Anmerkung**  
Wenn Sie sich für **Internet Facing** entscheiden, können Sie in jedem Subnetz oder Subnetzen eine bestehende Elastic IP-Adresse auswählen. Oder Sie können die VPC-Konsole ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) aufrufen, um eine oder mehrere neue Elastic IP-Adressen zuzuweisen. Diese Adressen können entweder Ihnen AWS oder Ihnen gehören. Sie können Elastic IP-Adressen, die bereits verwendet werden, nicht mit Ihrem Endpunkt verknüpfen.

   1. (Optional) Wählen Sie für **Benutzerdefinierter Hostname** eine der folgenden Optionen:
**Anmerkung**  
Kunden, die eine direkte Verbindung über die Elastic IP-Adresse herstellen oder einen Hostnamen-Datensatz in Commercial Route 53 erstellen AWS GovCloud (US) müssen, der auf ihre EIP verweist. Weitere Informationen zur Verwendung von Route 53 für GovCloud Endgeräte finden Sie unter [Einrichten von Amazon Route 53 mit Ihren AWS GovCloud (US) Ressourcen](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-route53.html) im *AWS GovCloud (US) Benutzerhandbuch*. 
      + **Amazon Route 53 DNS-Alias** — wenn der Hostname, den Sie verwenden möchten, bei Route 53 registriert ist. Sie können dann den Hostnamen eingeben.
      + **Anderes DNS** — wenn der Hostname, den Sie verwenden möchten, bei einem anderen DNS-Anbieter registriert ist. Sie können dann den Hostnamen eingeben.
      + **Keine** — um den Endpunkt des Servers zu verwenden und keinen benutzerdefinierten Hostnamen zu verwenden. Der Server-Host-Name hat das Format `server-id.server.transfer.region.amazonaws.com`.
**Anmerkung**  
Für Kunden in AWS GovCloud (US) wird durch die Auswahl von **None** kein Hostname in diesem Format erstellt.

      Weitere Informationen zum Arbeiten mit benutzerdefinierten Hostnamen finden Sie unter. [Mit benutzerdefinierten Hostnamen arbeiten](requirements-dns.md)

   1. Wählen Sie für **VPC** eine vorhandene VPC-ID oder wählen Sie **Create a VPC, um eine neue VPC** zu erstellen.

   1. Wählen Sie im Abschnitt **Availability Zones** bis zu drei Availability Zones und zugehörige Subnetze aus. Wählen Sie unter **IPv4Adressen** eine **Elastic IP-Adresse** für jedes Subnetz aus. Dies ist die IP-Adresse, die Ihre Clients verwenden können, um den Zugriff auf Ihren Endpunkt in ihren Firewalls zu ermöglichen.

      **Tipp:** Sie müssen ein öffentliches Subnetz für Ihre Availability Zones verwenden oder zuerst ein Internet-Gateway einrichten, wenn Sie ein privates Subnetz verwenden möchten.

   1. Wählen Sie im Abschnitt **Sicherheitsgruppen** eine bestehende Sicherheitsgruppen-ID oder IDs oder wählen Sie Sicherheitsgruppe **erstellen, um eine neue Sicherheitsgruppe** zu erstellen. Weitere Informationen zu Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*. Informationen zum Erstellen einer Sicherheitsgruppe finden Sie unter [Erstellen einer Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
**Anmerkung**  
Ihre VPC verfügt automatisch über eine Standardsicherheitsgruppe. Wenn Sie beim Starten des Servers keine andere Sicherheitsgruppe oder Gruppen angeben, ordnen wir Ihrem Server die Standardsicherheitsgruppe zu.
      + Für die eingehenden Regeln für die Sicherheitsgruppe können Sie den SSH-Verkehr so konfigurieren, dass er Port 22, 2222, 22000 oder eine beliebige Kombination verwendet. Port 22 ist standardmäßig konfiguriert. Um Port 2222 oder Port 22000 zu verwenden, fügen Sie Ihrer Sicherheitsgruppe eine Regel für eingehenden Datenverkehr hinzu. Wählen Sie für den Typ **Benutzerdefiniertes TCP** aus, geben Sie dann entweder **2222** oder **22000** als **Portbereich** ein und geben Sie für die Quelle denselben CIDR-Bereich ein, den Sie für Ihre SSH-Port-22-Regel haben.
      + Konfigurieren Sie für die eingehenden Regeln für die Sicherheitsgruppe den FTPS-Verkehr so, dass der **Portbereich** **21** für den Steuerkanal und **8192-8200** für den Datenkanal verwendet wird.
**Anmerkung**  
Sie können Port 2223 auch für Clients verwenden, die TCP-"Piggy-Back“ oder die Möglichkeit benötigen ACKs, dass das letzte Paket des TCP-3-Wege-Handshakes auch Daten enthält.  
Manche Client-Software ist möglicherweise nicht mit Port 2223 kompatibel, z. B. ein Client, bei dem der Server die SFTP-Identifikationszeichenfolge senden muss, bevor der Client dies tut.  
![\[Die Regeln für eingehende Nachrichten für eine Beispielsicherheitsgruppe, die eine Regel für SSH auf Port 22 und Custom TCP auf Port 2222 zeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/alternate-port-rule.png)

   1. (Optional) Aktivieren Sie für **FIPS Enabled** das Kontrollkästchen **FIPS-fähiger Endpunkt, um sicherzustellen, dass der Endpunkt** den Federal Information Processing Standards (FIPS) entspricht.
**Anmerkung**  
FIPS-fähige Endpunkte sind nur in nordamerikanischen Regionen verfügbar. AWS Informationen zu den verfügbaren Regionen finden Sie unter [AWS Transfer Family Endpunkte](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) und Kontingente in der. *Allgemeine AWS-Referenz* Weitere Informationen zu FIPS finden Sie unter [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.

   1. Wählen Sie **Weiter** aus.

1. Gehen **Sie unter Zusätzliche Details konfigurieren** wie folgt vor:

   1. Wählen Sie für die **CloudWatch Protokollierung** eine der folgenden Optionen, um die CloudWatch Amazon-Protokollierung Ihrer Benutzeraktivitäten zu aktivieren:
      + **Erstellen Sie eine neue Rolle**, damit Transfer Family die IAM-Rolle automatisch erstellen kann, sofern Sie über die erforderlichen Berechtigungen zum Erstellen einer neuen Rolle verfügen. Die erstellte IAM-Rolle wird aufgerufen. `AWSTransferLoggingAccess`
      + **Wählen Sie eine vorhandene Rolle** aus, um eine bestehende IAM-Rolle aus Ihrem Konto auszuwählen. Wählen **Sie unter Logging-Rolle** die Rolle aus. Diese IAM-Rolle sollte eine Vertrauensrichtlinie mit der Einstellung **Service** auf `transfer.amazonaws.com` enthalten.

        Weitere Informationen zur CloudWatch Protokollierung finden Sie unter[Konfigurieren Sie die CloudWatch Protokollierungsrolle](configure-cw-logging-role.md).
**Anmerkung**  
Sie können keine Endbenutzeraktivitäten in anzeigen, CloudWatch wenn Sie keine Protokollierungsrolle angeben.
Wenn Sie keine CloudWatch Protokollierungsrolle einrichten möchten, wählen Sie **Bestehende Rolle auswählen**, aber wählen Sie keine Protokollierungsrolle aus.

   1. Wählen Sie unter **Optionen für kryptografische Algorithmen** eine Sicherheitsrichtlinie aus, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind.
**Anmerkung**  
Standardmäßig ist die `TransferSecurityPolicy-2024-01` Sicherheitsrichtlinie an Ihren Server angehängt, sofern Sie keine andere auswählen.

      Weitere Informationen zu Sicherheitsrichtlinien finden Sie unter [Sicherheitsrichtlinien für Server AWS Transfer Family](security-policies.md).

   1. (Optional: Dieser Abschnitt ist nur für die Migration von Benutzern von einem vorhandenen SFTP-fähigen Server vorgesehen.) Geben Sie als **Server-Hostschlüssel** einen privaten RSA- oder ECSA-Schlüssel ein ED25519, der zur Identifizierung Ihres Servers verwendet wird, wenn Clients über SFTP eine Verbindung zu ihm herstellen.

   1. **(Optional) Geben Sie für **Tags** für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie dann Tag hinzufügen aus.**

   1. Wählen Sie **Weiter** aus.

   1.  (Optional) Wählen Sie für **verwaltete Workflows** den Workflow IDs (und eine entsprechende Rolle) aus, den Transfer Family bei der Ausführung des Workflows annehmen soll. Sie können einen Workflow auswählen, der bei einem vollständigen Upload ausgeführt wird, und einen anderen, der bei einem teilweisen Upload ausgeführt wird. Weitere Informationen zur Verarbeitung Ihrer Dateien mithilfe verwalteter Workflows finden Sie unter[AWS Transfer Family verwaltete Workflows](transfer-workflows.md).  
![\[Der Konsolenbereich für verwaltete Workflows.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/workflows-addtoserver.png)

1. **Überprüfen Sie unter Überprüfen und erstellen** Ihre Auswahl. Wenn Sie:
   + Wenn Sie eine davon bearbeiten möchten, wählen Sie neben dem Schritt **Bearbeiten** aus.
**Anmerkung**  
Sie müssen jeden Schritt nach dem Schritt, den Sie bearbeiten möchten, erneut überprüfen.
   + Haben Sie keine Änderungen vorgenommen, wählen Sie **Server erstellen**, um Ihren Server zu erstellen. Sie gelangen zur Seite **Servers (Server)** (siehe unten), auf der der neue Server aufgelistet ist.

Sie können die Server-ID auswählen, um die detaillierten Einstellungen des Servers zu sehen, den Sie gerade erstellt haben. Nachdem die Spalte **Öffentliche IPv4 Adresse** gefüllt wurde, wurden die von Ihnen angegebenen Elastic IP-Adressen erfolgreich mit dem Endpunkt Ihres Servers verknüpft.

**Anmerkung**  
Wenn Ihr Server in einer VPC online ist, können nur die Subnetze geändert werden, und zwar nur über die [UpdateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html)API. Sie müssen [den Server anhalten](edit-server-config.md#edit-online-offline), um die Elastic-IP-Adressen des Serverendpunkts hinzuzufügen oder zu ändern.

## Ändern Sie den Endpunkttyp für Ihren Server
<a name="change-server-endpoint-type"></a>

Wenn Sie bereits über einen Server verfügen, auf den über das Internet zugegriffen werden kann (d. h. einen öffentlichen Endpunkttyp hat), können Sie seinen Endpunkt in einen VPC-Endpunkt ändern.

**Anmerkung**  
Wenn Sie einen vorhandenen Server in einer VPC als angezeigt haben, empfehlen wir Ihnen`VPC_ENDPOINT`, ihn auf den neuen VPC-Endpunkttyp zu ändern. Mit diesem neuen Endpunkttyp müssen Sie keinen Network Load Balancer (NLB) mehr verwenden, um Elastic IP-Adressen mit dem Endpunkt Ihres Servers zu verknüpfen. Sie können auch VPC-Sicherheitsgruppen verwenden, um den Zugriff auf den Endpunkt Ihres Servers einzuschränken. Sie können den `VPC_ENDPOINT` Endpunkttyp jedoch weiterhin nach Bedarf verwenden.

Beim folgenden Verfahren wird davon ausgegangen, dass Sie über einen Server verfügen, der entweder den aktuellen öffentlichen Endpunkttyp oder den älteren `VPC_ENDPOINT` Typ verwendet.

**Um den Endpunkttyp für Ihren Server zu ändern**

1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Klicken Sie im Navigationsbereich auf **Servers (Server)**.

1. Aktivieren Sie das Kontrollkästchen des Servers, für den Sie den Endpunkttyp ändern möchten.
**Wichtig**  
Sie müssen den Server anhalten, bevor Sie dessen Endpunkttyp ändern können.

1. Wählen Sie für **Actions (Aktionen)** die Option **Stop (Stopp)**.

1. Wählen Sie im daraufhin angezeigten Bestätigungsdialogfeld die Option **Stopp** aus, um zu bestätigen, dass Sie den Server beenden möchten.
**Anmerkung**  
Bevor Sie mit dem nächsten Schritt fortfahren, warten Sie unter **Endpunktdetails**, bis sich der **Status** des Servers in **Offline** ändert. Dies kann einige Minuten dauern. Möglicherweise müssen Sie auf der Seite **Server** die Option **Aktualisieren** auswählen, um die Statusänderung zu sehen.  
Sie können keine Änderungen vornehmen, bis der Server **offline** ist.

1. Wählen Sie unter **Endpunktdetails** die Option **Bearbeiten** aus.

1. Gehen **Sie unter Endpunktkonfiguration bearbeiten** wie folgt vor:

   1. Wählen **Sie für Endpunkttyp bearbeiten** die Option **VPC hosted** aus.

   1. Wählen Sie für **Access** eine der folgenden Optionen aus:
      + **Intern**, um Ihren Endpunkt nur für Clients zugänglich zu machen, die die privaten IP-Adressen des Endpunkts verwenden.
      + **Internet Facing**, um Ihren Endpunkt für Kunden über das öffentliche Internet zugänglich zu machen.
**Anmerkung**  
Wenn Sie sich für **Internet Facing** entscheiden, können Sie in jedem Subnetz oder Subnetzen eine bestehende Elastic IP-Adresse auswählen. Oder Sie können die VPC-Konsole ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) aufrufen, um eine oder mehrere neue Elastic IP-Adressen zuzuweisen. Diese Adressen können entweder Ihnen AWS oder Ihnen gehören. Sie können Elastic IP-Adressen, die bereits verwendet werden, nicht mit Ihrem Endpunkt verknüpfen.

   1. (Optional nur für Internetzugriff) Wählen Sie für **Benutzerdefinierter Hostname** eine der folgenden Optionen:
      + **Amazon Route 53 DNS-Alias** — wenn der Hostname, den Sie verwenden möchten, bei Route 53 registriert ist. Sie können dann den Hostnamen eingeben.
      + **Anderes DNS** — wenn der Hostname, den Sie verwenden möchten, bei einem anderen DNS-Anbieter registriert ist. Sie können dann den Hostnamen eingeben.
      + **Keine** — um den Endpunkt des Servers zu verwenden und keinen benutzerdefinierten Hostnamen zu verwenden. Der Server-Host-Name hat das Format `serverId.server.transfer.regionId.amazonaws.com`.

        Weitere Informationen zum Arbeiten mit benutzerdefinierten Hostnamen finden Sie unter. [Mit benutzerdefinierten Hostnamen arbeiten](requirements-dns.md)

   1. Wählen Sie für **VPC** eine vorhandene VPC-ID aus, oder wählen Sie **Create a VPC, um eine neue VPC** zu erstellen.

   1. Wählen Sie im Abschnitt **Availability Zones** bis zu drei Availability Zones und zugehörige Subnetze aus. Wenn **Internet Facing** ausgewählt ist, wählen Sie auch eine Elastic IP-Adresse für jedes Subnetz aus.
**Anmerkung**  
Wenn Sie maximal drei Availability Zones wünschen, aber nicht genügend verfügbar sind, erstellen Sie sie in der VPC-Konsole ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)).  
Wenn Sie die Subnetze oder Elastic IP-Adressen ändern, dauert die Aktualisierung des Servers einige Minuten. Sie können Ihre Änderungen erst speichern, wenn das Server-Update abgeschlossen ist.

   1. Wählen Sie **Speichern**.

1. Wählen Sie unter **Aktionen** die Option **Start** und warten Sie, bis sich der Status des Servers auf **Online** ändert. Dies kann einige Minuten dauern.
**Anmerkung**  
Wenn Sie einen öffentlichen Endpunkttyp in einen VPC-Endpunkttyp geändert haben, beachten Sie, dass der **Endpunkttyp** für Ihren Server in **VPC** geändert wurde.

Die Standardsicherheitsgruppe ist an den Endpunkt angehängt. Informationen zum Ändern oder Hinzufügen zusätzlicher Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen erstellen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups).

## Einstellung der Verwendung von VPC\$1ENDPOINT
<a name="deprecate-vpc-endpoint"></a>

AWS Transfer Family hat die Möglichkeit, Server `EndpointType=VPC_ENDPOINT` für neue AWS Konten zu erstellen, eingestellt. Ab dem 19. Mai 2021 können AWS Konten, die keine AWS Transfer Family Server mit dem Endpunkttyp von `VPC_ENDPOINT` besitzen, keine neuen Server mit erstellen`EndpointType=VPC_ENDPOINT`. Wenn Sie bereits Server besitzen, die den `VPC_ENDPOINT` Endpunkttyp verwenden, empfehlen wir Ihnen, `EndpointType=VPC` so bald wie möglich mit der Nutzung zu beginnen. Einzelheiten finden Sie unter [Aktualisieren Sie Ihren AWS Transfer Family Serverendpunkttyp von VPC\$1ENDPOINT auf VPC](https://aws.amazon.com/blogs/storage/update-your-aws-transfer-family-server-endpoint-type-from-vpc_endpoint-to-vpc/).

Wir haben den neuen `VPC` Endpunkttyp Anfang 2020 eingeführt. Weitere Informationen finden Sie unter [AWS Transfer Family Für SFTP werden VPC-Sicherheitsgruppen und Elastic IP-Adressen unterstützt](https://aws.amazon.com/about-aws/whats-new/2020/01/aws-transfer-for-sftp-supports-vpc-security-groups-and-elastic-ip-addresses/). Dieser neue Endpunkt bietet mehr Funktionen und ist kostengünstiger und es fallen keine PrivateLink Gebühren an. Weitere Informationen finden Sie unter [AWS PrivateLink Preise](https://aws.amazon.com/privatelink/pricing/). 

Dieser Endpunkttyp entspricht funktionell dem vorherigen Endpunkttyp (`VPC_ENDPOINT`). Sie können Elastic IP-Adressen direkt an den Endpunkt anhängen, um ihn mit dem Internet zu verbinden, und Sicherheitsgruppen für die Quell-IP-Filterung verwenden. Weitere Informationen finden Sie im Blogbeitrag [Use IP Allow List to secure your AWS Transfer Family for SFTP servers](https://aws.amazon.com/blogs/storage/use-ip-whitelisting-to-secure-your-aws-transfer-for-sftp-servers/).

Sie können diesen Endpunkt auch in einer gemeinsam genutzten VPC-Umgebung hosten. Weitere Informationen finden Sie unter [Unterstützt AWS Transfer Family jetzt Shared Services-VPC-Umgebungen.](https://aws.amazon.com/about-aws/whats-new/2020/11/aws-transfer-family-now-supports-shared-services-vpc-environments/) 

Zusätzlich zu SFTP können Sie die VPC verwenden, um FTPS und FTP `EndpointType` zu aktivieren. Wir haben nicht vor, diese Funktionen und FTPS/FTP diese Unterstützung hinzuzufügen. `EndpointType=VPC_ENDPOINT` Wir haben diesen Endpunkttyp auch als Option aus der AWS Transfer Family Konsole entfernt. 

<a name="deprecate-vpc-endpoint.title"></a>Sie können den Endpunkttyp für Ihren Server mithilfe der Transfer Family Family-Konsole AWS CLI, API SDKs, oder ändern CloudFormation. Informationen zum Ändern des Endpunkttyps Ihres Servers finden Sie unter[Aktualisierung des AWS Transfer Family Serverendpunkttyps von VPC\$1ENDPOINT auf VPC](update-endpoint-type-vpc.md).

Wenn Sie Fragen haben, wenden Sie sich an AWS Support Ihr AWS Account-Team.

**Anmerkung**  
Wir haben nicht vor, diese Funktionen und FTPS- oder FTP-Unterstützung zu EndpointType =VPC\$1ENDPOINT hinzuzufügen. Wir bieten es nicht mehr als Option auf der Konsole an. AWS Transfer Family 

Wenn du weitere Fragen hast, kannst du uns über AWS Support oder dein Account-Team kontaktieren.

## Beschränkung des VPC-Endpunktzugriffs für Transfer Family Family-Server
<a name="limit-vpc-endpoint-access"></a>

Wenn Sie einen AWS Transfer Family Server mit VPC-Endpunkttyp erstellen, benötigen Ihre IAM-Benutzer und -Prinzipale Berechtigungen zum Erstellen und Löschen von VPC-Endpoints. Die Sicherheitsrichtlinien Ihrer Organisation können diese Berechtigungen jedoch einschränken. Sie können IAM-Richtlinien verwenden, um das Erstellen und Löschen von VPC-Endpunkten speziell für Transfer Family zu ermöglichen und gleichzeitig Einschränkungen für andere Dienste beizubehalten.

**Wichtig**  
Die folgende IAM-Richtlinie ermöglicht es Benutzern, VPC-Endpunkte nur für Transfer Family Family-Server zu erstellen und zu löschen, während diese Vorgänge für andere Dienste verweigert werden:

```
{
    "Effect": "Deny",
    "Action": [
        "ec2:CreateVpcEndpoint",
        "ec2:DeleteVpcEndpoints"
    ],
    "Resource": ["*"],
    "Condition": {
        "ForAnyValue:StringNotLike": {
            "ec2:VpceServiceName": [
                "com.amazonaws.INPUT-YOUR-REGION.transfer.server.*"
            ]
        },
        "StringNotLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/INPUT-YOUR-ROLE"
            ]
        }
    }
}
```

*INPUT-YOUR-REGION*Ersetzen Sie es durch Ihre AWS Region (z. B.**us-east-1**) und *INPUT-YOUR-ROLE* durch die IAM-Rolle, der Sie diese Berechtigungen gewähren möchten.

## Zusätzliche Netzwerkfunktionen
<a name="additional-networking-features"></a>

AWS Transfer Family bietet mehrere erweiterte Netzwerkfunktionen, die die Sicherheit und Flexibilität bei der Verwendung von VPC-Konfigurationen verbessern:
+ **Unterstützung für gemeinsam genutzte VPC-Umgebungen** — Sie können Ihren Transfer Family Family-Serverendpunkt in einer gemeinsam genutzten VPC-Umgebung hosten. Weitere Informationen finden Sie unter [Verwenden von VPC-gehosteten Endpunkten in Shared VPCs with](https://aws.amazon.com/blogs/storage/using-vpc-hosted-endpoints-in-shared-vpcs-with-aws-transfer-family/). AWS Transfer Family
+ **Authentifizierung und Sicherheit** — Sie können eine AWS Web Application Firewall verwenden, um Ihren Amazon API Gateway Gateway-Endpunkt zu schützen. Weitere Informationen finden Sie unter [Absichern AWS Transfer Family mit AWS Web Application Firewall und Amazon API Gateway](https://aws.amazon.com/blogs/storage/securing-aws-transfer-family-with-aws-web-application-firewall-and-amazon-api-gateway/).

# Aktualisierung des AWS Transfer Family Serverendpunkttyps von VPC\$1ENDPOINT auf VPC
<a name="update-endpoint-type-vpc"></a>

Sie können die AWS-Managementkonsole CloudFormation, oder die Transfer Family Family-API verwenden, um die Daten `EndpointType` von bis eines Servers `VPC_ENDPOINT` zu aktualisieren`VPC`. In den folgenden Abschnitten finden Sie detaillierte Verfahren und Beispiele für die Verwendung jeder dieser Methoden zur Aktualisierung eines Serverendpunkttyps. Wenn Sie Server in mehreren AWS Regionen und in mehreren AWS Konten haben, können Sie das Beispielskript im folgenden Abschnitt mit Änderungen verwenden, um Server zu identifizieren, die den `VPC_ENDPOINT` Typ verwenden, den Sie aktualisieren müssen.

**Topics**
+ [Identifizieren von Servern anhand des `VPC_ENDPOINT` Endpunkttyps](#id-servers)
+ [Aktualisierung des Serverendpunkt-Typs mit dem AWS-Managementkonsole](#update-endpoint-console)
+ [Den Serverendpunkttyp aktualisieren mit CloudFormation](#update-endpoint-cloudformation)
+ [Den Server EndpointType mithilfe der API aktualisieren](#update-endpoint-cli)

## Identifizieren von Servern anhand des `VPC_ENDPOINT` Endpunkttyps
<a name="id-servers"></a>

Mithilfe von können Sie feststellen, welche Server das `VPC_ENDPOINT` verwenden AWS-Managementkonsole.

**Um Server zu identifizieren, die den `VPC_ENDPOINT` Endpunkttyp mithilfe der Konsole verwenden**

1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Wählen Sie im Navigationsbereich **Server** aus, um die Liste der Server in Ihrem Konto in dieser Region anzuzeigen.

1. Sortieren Sie die Liste der Server nach dem **Endpunkttyp**, um zu sehen, dass alle Server diese verwenden`VPC_ENDPOINT`.

**Um Server zu identifizieren, die mehrere `VPC_ENDPOINT` AWS Regionen und Konten verwenden**

Wenn Sie Server in mehreren AWS Regionen und in mehreren AWS Konten haben, können Sie das folgende Beispielskript mit Änderungen verwenden, um Server zu identifizieren, die den `VPC_ENDPOINT` Endpunkttyp verwenden. Das Beispielskript verwendet die [https://docs.aws.amazon.com/transfer/latest/APIReference/API_ListServers.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ListServers.html)API-Operationen Amazon EC2 [DescribeRegions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRegions.html)und Transfer Family. Wenn Sie viele AWS Konten haben, können Sie Ihre Konten mithilfe einer IAM-Rolle mit schreibgeschütztem Auditor-Zugriff durchgehen, wenn Sie sich mithilfe von Sitzungsprofilen bei Ihrem Identitätsanbieter authentifizieren.

1. Es folgt ein einfaches Beispiel.

   ```
   import boto3
   
   profile = input("Enter the name of the AWS account you'll be working in: ")
   session = boto3.Session(profile_name=profile)
   
   ec2 = session.client("ec2")
   
   regions = ec2.describe_regions()
   
   for region in regions['Regions']:
       region_name = region['RegionName']
       if region_name=='ap-northeast-3': #https://github.com/boto/boto3/issues/1943
           continue
       transfer = session.client("transfer", region_name=region_name)
       servers = transfer.list_servers()
       for server in servers['Servers']:
          if server['EndpointType']=='VPC_ENDPOINT':
              print(server['ServerId'], region_name)
   ```

1. Nachdem Sie die Liste der zu aktualisierenden Server erstellt haben, können Sie eine der in den folgenden Abschnitten beschriebenen Methoden verwenden, um den Server `EndpointType` zu aktualisieren`VPC`.

## Aktualisierung des Serverendpunkt-Typs mit dem AWS-Managementkonsole
<a name="update-endpoint-console"></a>

1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Klicken Sie im Navigationsbereich auf **Servers (Server)**.

1. Aktivieren Sie das Kontrollkästchen des Servers, für den Sie den Endpunkttyp ändern möchten.
**Wichtig**  
Sie müssen den Server anhalten, bevor Sie dessen Endpunkttyp ändern können.

1. Wählen Sie für **Actions (Aktionen)** die Option **Stop (Stopp)**.

1. Wählen Sie im daraufhin angezeigten Bestätigungsdialogfeld die Option **Stopp** aus, um zu bestätigen, dass Sie den Server beenden möchten.
**Anmerkung**  
Bevor Sie mit dem nächsten Schritt fortfahren, warten Sie, bis sich der **Status** des Servers auf **Offline** ändert. Dies kann einige Minuten dauern. Möglicherweise müssen Sie auf der Seite **Server** die Option **Aktualisieren** auswählen, um die Statusänderung zu sehen.

1. Nachdem sich der Status auf **Offline** geändert hat, wählen Sie den Server aus, auf dem die Serverdetailseite angezeigt werden soll.

1. Wählen Sie im Abschnitt **Endpunktdetails** die Option **Bearbeiten** aus.

1. Wählen Sie **VPC Hosted** für den **Endpoint-Typ** aus.

1. Wählen Sie **Speichern** aus.

1. Wählen Sie für **Aktionen** die Option **Start** und warten Sie, bis sich der Status des Servers auf **Online** ändert. Dies kann einige Minuten dauern.

## Den Serverendpunkttyp aktualisieren mit CloudFormation
<a name="update-endpoint-cloudformation"></a>

In diesem Abschnitt wird beschrieben, wie CloudFormation Sie das auf einem Server aktualisieren `EndpointType` können`VPC`. Verwenden Sie dieses Verfahren für Transfer Family Family-Server, mit denen Sie bereitgestellt haben CloudFormation. In diesem Beispiel wird die ursprüngliche CloudFormation Vorlage, die für die Bereitstellung des Transfer Family Family-Servers verwendet wurde, wie folgt dargestellt:

```
AWS TemplateFormatVersion: '2010-09-09'
Description: 'Create AWS Transfer Server with VPC_ENDPOINT endpoint type'
Parameters:
  SecurityGroupId:
    Type: AWS::EC2::SecurityGroup::Id
  SubnetIds:
    Type: List<AWS::EC2::Subnet::Id>
  VpcId:
    Type: AWS::EC2::VPC::Id
Resources:
  TransferServer:
    Type: AWS::Transfer::Server
    Properties:
      Domain: S3
      EndpointDetails:
        VpcEndpointId: !Ref VPCEndpoint
      EndpointType: VPC_ENDPOINT
      IdentityProviderType: SERVICE_MANAGED
      Protocols:
        - SFTP
  VPCEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: com.amazonaws.us-east-1.transfer.server
      SecurityGroupIds:
        - !Ref SecurityGroupId
      SubnetIds:
        - !Select [0, !Ref SubnetIds]
        - !Select [1, !Ref SubnetIds]
        - !Select [2, !Ref SubnetIds]
      VpcEndpointType: Interface
      VpcId: !Ref VpcId
```

Die Vorlage wurde mit den folgenden Änderungen aktualisiert:
+ Das `EndpointType` wurde geändert in`VPC`.
+ Die `AWS::EC2::VPCEndpoint` Ressource wurde entfernt.
+ Die `SecurityGroupId``SubnetIds`, und `VpcId` wurden in den `EndpointDetails` Abschnitt der `AWS::Transfer::Server` Ressource verschoben
+ Die `VpcEndpointId` Eigenschaft von `EndpointDetails` wurde entfernt.

Die aktualisierte Vorlage sieht wie folgt aus:

```
AWS TemplateFormatVersion: '2010-09-09'
Description: 'Create AWS Transfer Server with VPC endpoint type'
Parameters:
  SecurityGroupId:
    Type: AWS::EC2::SecurityGroup::Id
  SubnetIds:
    Type: List<AWS::EC2::Subnet::Id>
  VpcId:
    Type: AWS::EC2::VPC::Id
Resources:
  TransferServer:
    Type: AWS::Transfer::Server
    Properties:
      Domain: S3
      EndpointDetails:
        SecurityGroupIds:
          - !Ref SecurityGroupId
        SubnetIds:
          - !Select [0, !Ref SubnetIds]
          - !Select [1, !Ref SubnetIds]
          - !Select [2, !Ref SubnetIds]
        VpcId: !Ref VpcId
      EndpointType: VPC
      IdentityProviderType: SERVICE_MANAGED
      Protocols:
        - SFTP
```

**Um den Endpunkttyp von Transfer Family Family-Servern zu aktualisieren, die bereitgestellt werden mit CloudFormation**

1. Stoppen Sie den Server, den Sie aktualisieren möchten, indem Sie die folgenden Schritte ausführen.

   1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

   1. Klicken Sie im Navigationsbereich auf **Servers (Server)**.

   1. Aktivieren Sie das Kontrollkästchen des Servers, für den Sie den Endpunkttyp ändern möchten.
**Wichtig**  
Sie müssen den Server anhalten, bevor Sie dessen Endpunkttyp ändern können.

   1. Wählen Sie für **Actions (Aktionen)** die Option **Stop (Stopp)**.

   1. Wählen Sie im daraufhin angezeigten Bestätigungsdialogfeld die Option **Stopp** aus, um zu bestätigen, dass Sie den Server beenden möchten.
**Anmerkung**  
Bevor Sie mit dem nächsten Schritt fortfahren, warten Sie, bis sich der **Status** des Servers auf **Offline** ändert. Dies kann einige Minuten dauern. Möglicherweise müssen Sie auf der Seite **Server** die Option **Aktualisieren** auswählen, um die Statusänderung zu sehen.

1. Aktualisieren Sie den CloudFormation Stack

   1. Öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).

   1. Wählen Sie den Stack aus, der zur Erstellung des Transfer Family Family-Servers verwendet wurde.

   1. Wählen Sie **Aktualisieren** aus.

   1. Wählen Sie **Aktuelle Vorlage ersetzen**

   1. Laden Sie die neue Vorlage hoch. CloudFormation Mithilfe von Änderungssätzen können Sie verstehen, wie sich Vorlagenänderungen auf laufende Ressourcen auswirken, bevor Sie sie implementieren. In diesem Beispiel wird die Transfer-Serverressource geändert und die VPCEndpoint Ressource wird entfernt. Der VPC-Endpunktserver erstellt in Ihrem Namen einen VPC-Endpunkt und ersetzt die ursprüngliche `VPCEndpoint` Ressource.

      Nach dem Hochladen der neuen Vorlage sieht der Änderungssatz etwa wie folgt aus:  
![\[Zeigt die Vorschauseite des Änderungssatzes an, auf der die aktuelle CloudFormation Vorlage ersetzt werden kann.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/vpc-endpoint-update-cfn.png)

   1. Aktualisieren Sie den Stack.

1. Sobald das Stack-Update abgeschlossen ist, navigieren Sie zur Transfer Family Family-Verwaltungskonsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Starten Sie den Server neu. Wählen Sie den Server aus, auf dem Sie aktualisiert haben CloudFormation, und wählen Sie dann im Menü **Aktionen** die Option **Start**.

## Den Server EndpointType mithilfe der API aktualisieren
<a name="update-endpoint-cli"></a>

Sie können den Befehl [describe-server](https://docs.aws.amazon.com/cli/latest/reference/transfer/update-server.html) oder den AWS CLI [UpdateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html)API-Befehl verwenden. Das folgende Beispielskript stoppt den Transfer Family Family-Server, aktualisiert den EndpointType, entfernt den VPC\$1ENDPOINT und startet den Server.

```
import boto3
import time

profile = input("Enter the name of the AWS account you'll be working in: ")
region_name = input("Enter the AWS Region you're working in: ")
server_id = input("Enter the AWS Transfer Server Id: ")

session = boto3.Session(profile_name=profile)

ec2 = session.client("ec2", region_name=region_name)
transfer = session.client("transfer", region_name=region_name)

group_ids=[]

transfer_description = transfer.describe_server(ServerId=server_id)
if transfer_description['Server']['EndpointType']=='VPC_ENDPOINT':
    transfer_vpc_endpoint = transfer_description['Server']['EndpointDetails']['VpcEndpointId']
    transfer_vpc_endpoint_descriptions = ec2.describe_vpc_endpoints(VpcEndpointIds=[transfer_vpc_endpoint])
    for transfer_vpc_endpoint_description in transfer_vpc_endpoint_descriptions['VpcEndpoints']:
        subnet_ids=transfer_vpc_endpoint_description['SubnetIds']
        group_id_list=transfer_vpc_endpoint_description['Groups']
        vpc_id=transfer_vpc_endpoint_description['VpcId']
        for group_id in group_id_list:
             group_ids.append(group_id['GroupId'])
    if transfer_description['Server']['State']=='ONLINE':
        transfer_stop = transfer.stop_server(ServerId=server_id)
        print(transfer_stop)
        time.sleep(300) #safe
        transfer_update = transfer.update_server(ServerId=server_id,EndpointType='VPC',EndpointDetails={'SecurityGroupIds':group_ids,'SubnetIds':subnet_ids,'VpcId':vpc_id})
        print(transfer_update)
        time.sleep(10) 
        transfer_start = transfer.start_server(ServerId=server_id)
        print(transfer_start)
        delete_vpc_endpoint = ec2.delete_vpc_endpoints(VpcEndpointIds=[transfer_vpc_endpoint])
```

# Mit benutzerdefinierten Hostnamen arbeiten
<a name="requirements-dns"></a>

Ihr *Server-Hostname* ist der Hostname, den Ihre Benutzer in ihren Clients eingeben, wenn sie eine Verbindung zu Ihrem Server herstellen. Sie können eine benutzerdefinierte Domain verwenden, die Sie für Ihren Server-Hostnamen registriert haben, wenn Sie damit arbeiten. AWS Transfer Family Sie könnten beispielsweise einen benutzerdefinierten Hostnamen wie verwenden. `mysftpserver.mysubdomain.domain.com`

Um Traffic von Ihrer registrierten benutzerdefinierten Domain zu Ihrem Serverendpunkt umzuleiten, können Sie Amazon Route 53 oder einen beliebigen Domain Name System (DNS) -Anbieter verwenden. Route 53 ist der DNS-Dienst, der AWS Transfer Family nativ unterstützt wird.

**Topics**
+ [Verwenden Sie Amazon Route 53 als Ihren DNS-Anbieter](#requirements-use-r53)
+ [Verwenden Sie andere DNS-Anbieter](#requirements-use-alt-dns)
+ [Benutzerdefinierte Hostnamen für Server, die nicht von der Konsole erstellt wurden](#tag-custom-hostname-cdk)

Auf der Konsole können Sie eine der folgenden Optionen für die Einrichtung eines benutzerdefinierten Hostnamens wählen:
+ **Amazon Route 53 DNS-Alias** — wenn der Hostname, den Sie verwenden möchten, bei Route 53 registriert ist. Sie können dann den Hostnamen eingeben.
+ **Anderes DNS** — wenn der Hostname, den Sie verwenden möchten, bei einem anderen DNS-Anbieter registriert ist. Sie können dann den Hostnamen eingeben.
+ **Keine** — um den Endpunkt des Servers zu verwenden und keinen benutzerdefinierten Hostnamen zu verwenden.

Sie legen diese Option fest, wenn Sie einen neuen Server erstellen oder die Konfiguration eines vorhandenen Servers bearbeiten. Weitere Hinweise zum Erstellen eines neuen Servers finden Sie unter[Schritt 2: Erstellen Sie einen SFTP-fähigen Server](getting-started.md#getting-started-server). Weitere Hinweise zum Bearbeiten der Konfiguration eines vorhandenen Servers finden Sie unter[Serverdetails bearbeiten](edit-server-config.md).

Weitere Informationen zur Verwendung Ihrer eigenen Domain für den Server-Hostnamen und zur Verwendung AWS Transfer Family von Route 53 finden Sie in den folgenden Abschnitten.

## Verwenden Sie Amazon Route 53 als Ihren DNS-Anbieter
<a name="requirements-use-r53"></a>

Wenn Sie einen Server erstellen, können Sie Amazon Route 53 als Ihren DNS-Anbieter verwenden. Bevor Sie eine Domain mit Route 53 verwenden, registrieren Sie die Domain. Weitere Informationen finden Sie unter [So funktioniert die Domainregistrierung](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-domain-registration.html) im *Amazon Route 53-Entwicklerhandbuch*.

Wenn Sie Route 53 verwenden, um DNS-Routing für Ihren Server bereitzustellen, AWS Transfer Family verwendet es den benutzerdefinierten Hostnamen, den Sie eingegeben haben, um die Hosting-Zone zu extrahieren. Beim AWS Transfer Family Extrahieren einer Hosting-Zone können drei Dinge passieren:

1. Wenn Route 53 neu für Sie ist und Sie noch keine Hosting-Zone haben, AWS Transfer Family fügt Sie eine neue Hosting-Zone und einen `CNAME` Datensatz hinzu. Der Wert dieses `CNAME` Datensatzes ist der Endpunkt-Hostname für Ihren Server. Ein *CNAME *ist ein alternativer Domänenname.

1. Wenn Sie eine gehostete Zone in Route 53 ohne `CNAME` Datensätze haben, AWS Transfer Family fügt der Hosting-Zone einen `CNAME` Datensatz hinzu.

1. Wenn der Service erkennt, dass bereits ein `CNAME`-Datensatz in der gehosteten Zone vorhanden ist, wird Ihnen eine Fehlermeldung angezeigt, der angibt, dass bereits ein `CNAME`-Datensatz vorhanden ist. Ändern Sie in diesem Fall den Wert des `CNAME` Datensatzes in den Hostnamen Ihres Servers. 

Weitere Informationen zu gehosteten Zonen in Route 53 finden Sie unter [Gehostete Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) im *Amazon Route 53 Developer Guide*.

## Verwenden Sie andere DNS-Anbieter
<a name="requirements-use-alt-dns"></a>

Wenn Sie einen Server erstellen, können Sie auch andere DNS-Anbieter als Amazon Route 53 verwenden. Wenn Sie einen alternativen DNS-Anbieter verwenden, müssen Sie sicherstellen, dass der Datenverkehr aus Ihrer Domäne zum -Server-Endpunkt geleitet wird.

Stellen Sie dazu Ihre Domain auf den Endpunkt-Hostnamen für den Server ein.
+ Für IPv4 Endgeräte sieht der Hostname in der Konsole wie folgt aus:

   `serverid.server.transfer.region.amazonaws.com` 
+ Bei Dual-Stack-Endpunkten sieht der Hostname in der Konsole wie folgt aus:

   `serverid.transfer-server.region.on.aws` 

**Anmerkung**  
Wenn Ihr Server über einen VPC-Endpunkt verfügt, unterscheidet sich das Format für den Hostnamen von den oben beschriebenen. Um Ihren VPC-Endpunkt zu finden, wählen Sie die VPC auf der Detailseite des Servers und dann die **VPC-Endpunkt-ID im VPC-Dashboard** aus. Der Endpunkt ist der erste DNS-Name der aufgelisteten Namen.

## Benutzerdefinierte Hostnamen für Server, die nicht von der Konsole erstellt wurden
<a name="tag-custom-hostname-cdk"></a>

Wenn Sie einen Server mit AWS Cloud Development Kit (AWS CDK) CloudFormation, oder über die CLI erstellen, müssen Sie ein Tag hinzufügen, wenn dieser Server einen benutzerdefinierten Hostnamen haben soll. Wenn Sie mithilfe der Konsole einen Transfer Family Family-Server erstellen, erfolgt das Tagging automatisch.

**Anmerkung**  
Sie müssen auch einen DNS-Eintrag erstellen, um den Verkehr von Ihrer Domain zu Ihrem Serverendpunkt umzuleiten. Einzelheiten finden Sie unter [Arbeiten mit Datensätzen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html) im *Amazon Route 53-Entwicklerhandbuch*.

Verwenden Sie die folgenden Schlüssel für Ihren benutzerdefinierten Hostnamen:
+ Fügen Sie hinzu`transfer:customHostname`, um den benutzerdefinierten Hostnamen in der Konsole anzuzeigen.
+ Wenn Sie Route 53 als Ihren DNS-Anbieter verwenden, fügen Sie hinzu`transfer:route53HostedZoneId`. Dieses Tag verknüpft den benutzerdefinierten Hostnamen mit Ihrer Route 53 Hosted Zone ID.

Geben Sie den folgenden CLI-Befehl ein, um den benutzerdefinierten Hostnamen hinzuzufügen.

```
aws transfer tag-resource --arn arn:aws:transfer:region:AWS-Konto:server/server-ID --tags Key=transfer:customHostname,Value="custom-host-name"
```

Beispiel:

```
aws transfer tag-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0 --tags Key=transfer:customHostname,Value="abc.example.com"
```

Wenn Sie Route 53 verwenden, geben Sie den folgenden Befehl ein, um Ihren benutzerdefinierten Hostnamen mit Ihrer Route 53 Hosted Zone ID zu verknüpfen.

```
aws transfer tag-resource --arn server-ARN:server/server-ID --tags Key=transfer:route53HostedZoneId,Value=HOSTED-ZONE-ID
```

Beispiel:

```
aws transfer tag-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0 --tags Key=transfer:route53HostedZoneId,Value=ABCDE1111222233334444
```

Gehen Sie von den Beispielwerten aus dem vorherigen Befehl aus und führen Sie den folgenden Befehl aus, um Ihre Tags anzuzeigen:

```
aws transfer list-tags-for-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0
```

```
"Tags": [
   {
      "Key": "transfer:route53HostedZoneId",
      "Value": "/hostedzone/ABCDE1111222233334444"
   },
   {
      "Key": "transfer:customHostname",
      "Value": "abc.example.com"
   }
 ]
```

**Anmerkung**  
 Ihre öffentlichen, gehosteten Zonen und ihre IDs sind auf Amazon Route 53 verfügbar.   
Melden Sie sich bei der Route 53-Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).

## Überlegungen zum FTP- und FTPS-Network Load Balancer
<a name="ftp-ftps-nlb-considerations"></a>

Wir empfehlen zwar, Network Load Balancer vor AWS Transfer Family Servern zu vermeiden, aber wenn Ihre FTP- oder FTPS-Implementierung eine NLB- oder NAT-Verbindung in der Kommunikationsroute vom Client erfordert, sollten Sie die folgenden Empfehlungen beachten:
+ Verwenden Sie für einen NLB Port 21 für Integritätsprüfungen anstelle der Ports 8192-8200.
+ Aktivieren Sie für den AWS Transfer Family Server die Wiederaufnahme der TLS-Sitzung, indem Sie die Einstellung festlegen. `TlsSessionResumptionMode = ENFORCED`
**Anmerkung**  
Dies ist der empfohlene Modus, da er erhöhte Sicherheit bietet:  
Erfordert, dass Clients die TLS-Sitzungswiederaufnahme für nachfolgende Verbindungen verwenden.
Bietet stärkere Sicherheitsgarantien, indem konsistente Verschlüsselungsparameter gewährleistet werden.
Hilft, potenzielle Downgrade-Angriffe zu verhindern.
Sorgt für die Einhaltung der Sicherheitsstandards und optimiert gleichzeitig die Leistung.
+ Wenn möglich, sollten Sie auf die Verwendung eines NLB verzichten, um die AWS Transfer Family Leistungs- und Verbindungslimits voll auszunutzen.

Wenn Sie weitere Informationen zu NLB-Alternativen benötigen, wenden Sie sich über den AWS Support an das AWS Transfer Family Produktmanagement-Team. Weitere Informationen zur Verbesserung Ihres Sicherheitsstatus finden Sie im Blogbeitrag [Sechs Tipps zur Verbesserung der Sicherheit Ihres AWS Transfer Family Servers](https://aws.amazon.com/blogs/security/six-tips-to-improve-the-security-of-your-aws-transfer-family-server/).

 Sicherheitshinweise für NLBs finden Sie unter[Vermeiden Sie es, AWS Transfer Family Server zu platzieren NLBs und NATs vor ihnen zu platzieren](infrastructure-security.md#nlb-considerations). 

# Übertragung von Dateien über einen Serverendpunkt mit einem Client
<a name="transfer-file"></a>

Sie übertragen Dateien über den AWS Transfer Family Dienst, indem Sie den Übertragungsvorgang in einem Client angeben. AWS Transfer Family unterstützt die folgenden Clients:
+ Wir unterstützen Version 3 des SFTP-Protokolls.
+ OpenSSH (macOS und Linux)
**Anmerkung**  
Dieser Client funktioniert nur mit Servern, die für Secure Shell (SSH) File Transfer Protocol (SFTP) aktiviert sind.
+ WinSCP (nur Microsoft Windows)
+ Cyberduck (Windows, macOS und Linux)
+ FileZilla (Windows, macOS und Linux)

Die folgenden Einschränkungen gelten für jeden Client:
+ Das SCP-Protokoll wird nicht unterstützt, da es als unsicher gilt. Sie können den `scp` OpenSSH-Befehl wie unter beschrieben verwenden. [Verwenden Sie den Befehl `scp`](#openssh-scp)
+ Die maximale Anzahl gleichzeitiger, gemultiplexter SFTP-Sitzungen pro Verbindung beträgt 10.
+ Bei Verbindungen im Leerlauf beträgt der Timeout-Wert 1800 Sekunden (30 Minuten) für alle Protokolle (). SFTP/FTP/FTPS Wenn nach diesem Zeitraum keine Aktivität mehr stattfindet, wird die Verbindung zum Client möglicherweise unterbrochen. Bei Verbindungen, die nicht reagieren:
  + SFTP hat einen Timeout von 300 Sekunden (5 Minuten), wenn ein Client überhaupt nicht reagiert.
  + FTPS und FTP haben ein Zeitlimit von etwa 10 Minuten, das von der zugrunde liegenden Bibliothek verarbeitet wird.
+ Amazon S3 und Amazon EFS (aufgrund des NFSv4 Protokolls) erfordern, dass Dateinamen in UTF-8-Kodierung vorliegen. Die Verwendung einer anderen Kodierung kann zu unerwarteten Ergebnissen führen. Informationen zu Amazon S3 finden Sie unter [Richtlinien zur Benennung von Objektschlüsseln](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-keys.html#object-key-guidelines).
+ Für das File Transfer Protocol over SSL (FTPS) wird nur der Modus Explizit unterstützt. Der implizite Modus wird nicht unterstützt.
+ Für File Transfer Protocol (FTP) und FTPS wird nur der passive Modus unterstützt.
+ Für FTP und FTPS wird nur der STREAM-Modus unterstützt.
+ Für FTP und FTPS wird nur der Image/Binary Modus unterstützt.
+ Für FTP und FTPS ist TLS — PROT C (ungeschützt) TLS für die Datenverbindung die Standardeinstellung, aber PROT C wird im FTPS-Protokoll nicht unterstützt. AWS Transfer Family Für FTPS müssen Sie also PROT P ausgeben, damit Ihr Datenvorgang akzeptiert wird.
+ Wenn Sie Amazon S3 für den Speicher Ihres Servers verwenden und Ihr Client die Option enthält, mehrere Verbindungen für eine einzelne Übertragung zu verwenden, stellen Sie sicher, dass Sie die Option deaktivieren. Andernfalls können große Datei-Uploads auf unvorhersehbare Weise fehlschlagen. Beachten Sie, dass EFS mehrere Verbindungen für eine einzige Übertragung *unterstützt*, wenn Sie Amazon EFS als Speicher-Backend verwenden.

Im Folgenden finden Sie eine Liste der verfügbaren Befehle für FTP und FTPS:


| Verfügbare Befehle | 
| --- | 
| ARBEIT | KUNSTSTÜCK | AM MEISTEN | PASS | RETR | GESCHICHTE | 
| AUTHENTIFIZIEREN | LANG | MKD | PASV | RMD | STOU | 
| CUP | LIST | MODE | PBSZ | RNFR | STRU | 
| CWD | MDTM | NLST | HAFEN | ENTO | SYSTEM | 
| DELE | MFMT | NEIN | PWD | SIZE | TYPE | 
| EPSV | MLSD | WÄHLT | QUIT | STAT | USER | 

**Anmerkung**  
APPE wird nicht unterstützt.

Für SFTP werden die folgenden Operationen derzeit nicht für Benutzer unterstützt, die das logische Home-Verzeichnis auf Servern verwenden, die Amazon Elastic File System (Amazon EFS) verwenden.


| SFTP-Befehle werden nicht unterstützt | 
| --- | 
| SSH\$1FXP\$1READLINK | SSH\$1FXP\$1SYMLINK | SSH\$1FXP\$1STAT, wenn die angeforderte Datei ein Symlink ist | SSH\$1FXP\$1REALPATH, wenn der angeforderte Pfad irgendwelche Symlink-Komponenten enthält | 

**Generieren Sie ein öffentlich-privates key pair**  
 Bevor Sie eine Datei übertragen können, müssen Sie über ein öffentlich-privates key pair verfügen. Wenn Sie noch kein key pair generiert haben, finden Sie weitere Informationen unter[Generieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer](sshkeygen.md). 

**Topics**
+ [Verfügbare SFTP/FTPS/FTP Befehle](#transfer-sftp-commands)
+ [Finden Sie Ihren Amazon VPC-Endpunkt](#find-vpc-endpoint)
+ [Vermeiden Sie Fehler `setstat`](#avoid-set-stat)
+ [OpenSSH verwenden](#openssh)
+ [Verwenden Sie WinSCP](#winscp)
+ [Verwenden Sie Cyberduck](#cyberduck)
+ [Verwenden FileZilla](#filezilla)
+ [Verwenden Sie einen Perl-Client](#using-clients-with-perl-modules)
+ [Verwenden Sie LFTP](#using-client-lftp)
+ [Verarbeitung nach dem Upload](#post-processing-upload)
+ [SFTP-Nachrichten](#sftp-transfer-activity-types)

## Verfügbare SFTP/FTPS/FTP Befehle
<a name="transfer-sftp-commands"></a>

In der folgenden Tabelle werden die verfügbaren Befehle für AWS Transfer Family die Protokolle SFTP, FTPS und FTP beschrieben. 

**Anmerkung**  
In der Tabelle *werden Dateien* und *Verzeichnisse* für Amazon S3 erwähnt, das nur Buckets und Objekte unterstützt: Es gibt keine Hierarchie. Sie können jedoch Präfixe in Objektschlüsselnamen verwenden, um eine Hierarchie zu implizieren und Ihre Daten ähnlich wie Ordner zu organisieren. Dieses Verhalten wird unter [Arbeiten mit Objektmetadaten](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingMetadata.html) im *Amazon Simple Storage Service-Benutzerhandbuch* beschrieben.


**SFTP/FTPS/FTP-Befehle**  

| Befehl | Amazon S3 | Amazon EFS | 
| --- | --- | --- | 
| cd | Unterstützt | Unterstützt | 
| chgrp | Nicht unterstützt  | Wird (rootoder owner nur) unterstützt | 
| chmod | Nicht unterstützt | Wird unterstützt (rootnur) | 
| chmtime | Nicht unterstützt | Unterstützt | 
| chown | Nicht unterstützt | Wird unterstützt (rootnur) | 
| get | Unterstützt | Unterstützt (einschließlich der Auflösung symbolischer Links) | 
| ln -s | Nicht unterstützt  | Unterstützt | 
| ls/dir | Unterstützt | Unterstützt | 
| mkdir | Unterstützt | Unterstützt | 
| put | Unterstützt | Unterstützt | 
| pwd | Unterstützt | Unterstützt | 
| rename |  Wird nur für Dateien unterstützt  Ein Umbenennen, das eine bestehende Datei überschreiben würde, wird nicht unterstützt.   | Unterstützt  Ein Umbenennen, das eine bestehende Datei oder ein vorhandenes Verzeichnis überschreiben würde, wird nicht unterstützt.  | 
| rm | Unterstützt | Unterstützt | 
| rmdir | Unterstützt (nur leere Verzeichnisse) | Unterstützt | 
| version | Unterstützt | Unterstützt | 

## Finden Sie Ihren Amazon VPC-Endpunkt
<a name="find-vpc-endpoint"></a>

Wenn der Endpunkttyp für Ihren Transfer Family Family-Server VPC ist, ist es nicht einfach, den Endpunkt zu identifizieren, der für die Übertragung von Dateien verwendet werden soll. Gehen Sie in diesem Fall wie folgt vor, um Ihren Amazon VPC-Endpunkt zu finden. 

**So finden Sie Ihren Amazon VPC-Endpunkt**

1. Navigieren Sie zur Detailseite Ihres Servers.

1. Wählen Sie im Bereich **Endpunktdetails** die **VPC** aus.  
![\[\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/server-details-endpoint-vpc.png)

1. Wählen Sie im Amazon VPC-Dashboard die **VPC-Endpunkt-ID** aus.

1. In der Liste der **DNS-Namen** ist Ihr Serverendpunkt der erste, der aufgeführt ist.  
![\[\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/server-details-endpoint-vpc-2.png)

## Vermeiden Sie Fehler `setstat`
<a name="avoid-set-stat"></a>

Einige SFTP-Dateiübertragungsclients können versuchen, die Attribute von Remotedateien, einschließlich Zeitstempel und Berechtigungen, mithilfe von Befehlen wie SETSTAT beim Hochladen der Datei zu ändern. Diese Befehle sind jedoch nicht mit Objekt-Speichersystemen wie Amazon S3 kompatibel. Aufgrund dieser Inkompatibilität können Datei-Uploads von diesen Clients zu Fehlern führen, selbst wenn die Datei anderweitig erfolgreich hochgeladen wurde.
+ Verwenden Sie beim Aufrufen der `UpdateServer` API `CreateServer` oder die `ProtocolDetails` Option, um den Fehler `SetStatOption` zu ignorieren, der generiert wird, wenn der Client versucht, SETSTAT für eine Datei zu verwenden, die Sie in einen S3-Bucket hochladen.
+ Setzen Sie den Wert auf `ENABLE_NO_OP`, damit der Transfer-Family-Server den SETSTAT-Befehl ignoriert und Dateien hochlädt, ohne Änderungen an Ihrem SFTP-Client vornehmen zu müssen.
+ Beachten Sie, dass die `SetStatOption` `ENABLE_NO_OP` Einstellung zwar den Fehler ignoriert, *aber* einen Protokolleintrag in CloudWatch Logs generiert, sodass Sie feststellen können, wann der Client einen SETSTAT-Aufruf durchführt.

 Die API-Details für diese Option finden Sie unter. [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)

## OpenSSH verwenden
<a name="openssh"></a>

Dieser Abschnitt enthält Anweisungen zum Übertragen von Dateien über die Befehlszeile mit OpenSSH.

**Anmerkung**  
Dieser Client funktioniert nur mit einem SFTP-fähigen Server.

**Topics**
+ [Verwenden von OpenSSH](#openssh-use)
+ [Verwenden Sie den Befehl `scp`](#openssh-scp)

### Verwenden von OpenSSH
<a name="openssh-use"></a>

**Um Dateien AWS Transfer Family mit dem OpenSSH-Befehlszeilenprogramm zu übertragen**

1. Öffnen Sie unter Linux, macOS oder Windows ein Befehlsterminal.

1. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein: 

   `sftp -i transfer-key sftp_user@service_endpoint`

   Im vorherigen Befehl `sftp_user` ist dies der Benutzername und `transfer-key` der private SSH-Schlüssel. Hier `service_endpoint` ist der Endpunkt des Servers, wie er in der AWS Transfer Family Konsole für den ausgewählten Server angezeigt wird.
**Anmerkung**  
Dieser Befehl verwendet Einstellungen, die in der `ssh_config` Standarddatei enthalten sind. Sofern Sie diese Datei nicht zuvor bearbeitet haben, verwendet SFTP Port 22. Sie können einen anderen Port angeben (z. B. 2222), indem Sie dem Befehl wie folgt ein **-P** Flag hinzufügen.  

   ```
   sftp -P 2222 -i transfer-key sftp_user@service_endpoint
   ```
Wenn Sie immer Port 2222 oder Port 22000 verwenden möchten, können Sie alternativ Ihren Standardport in Ihrer Datei aktualisieren. `ssh_config`

   Eine `sftp`-Eingabeaufforderung sollte angezeigt werden.

1.  (Optional) Um das Home-Verzeichnis des Benutzers anzuzeigen, geben Sie an der Eingabeaufforderung den folgenden Befehl ein: `sftp` 

   `pwd` 

1. Verwenden Sie den `put` Befehl, um eine Datei von Ihrem Dateisystem auf den Transfer Family Family-Server hochzuladen. Um beispielsweise hochzuladen `hello.txt` (vorausgesetzt, die Datei befindet sich in Ihrem aktuellen Verzeichnis auf Ihrem Dateisystem), führen Sie an der `sftp` Eingabeaufforderung den folgenden Befehl aus: 

   `put hello.txt` 

   Eine Meldung ähnlich der folgenden wird angezeigt, die darauf hinweist, dass die Dateiübertragung im Gange ist oder abgeschlossen ist.

   `Uploading hello.txt to /amzn-s3-demo-bucket/home/sftp_user/hello.txt`

   `hello.txt 100% 127 0.1KB/s 00:00`

**Anmerkung**  
Nachdem Ihr Server erstellt wurde, kann es einige Minuten dauern, bis der Hostname des Serverendpunkts vom DNS-Dienst in Ihrer Umgebung aufgelöst werden kann.

### Verwenden Sie den Befehl `scp`
<a name="openssh-scp"></a>

Transfer Family unterstützt das SCP-Protokoll nicht. Sie können jedoch den `scp` OpenSSH-Befehl verwenden, wenn Sie diese Funktionalität benötigen.

Die Empfehlung für die Verwendung von SCP über SFTP ist die Verwendung von OpenSSH Version 9.0 oder höher. In OpenSSH Version 9 und höher verwendet der `scp` Befehl standardmäßig das SFTP-Protokoll für Dateiübertragungen anstelle des alten SCP-Protokolls.

**Wichtig**  
Stellen Sie sicher, dass Ihr Transfer Family Family-Server für den S3-optimierten Verzeichniszugriff konfiguriert wurde.

## Verwenden Sie WinSCP
<a name="winscp"></a>

Unten wird beschrieben, wie Dateien in der Befehlszeile mit WinSCP übertragen werden.

**Anmerkung**  
Wenn Sie WinSCP 5.19 verwenden, können Sie mit Ihren AWS Anmeldeinformationen und Dateien direkt eine Verbindung zu Amazon S3 herstellen. upload/download Weitere Informationen finden Sie unter [Verbindung zum Amazon S3 S3-Service](https://winscp.net/eng/docs/guide_amazon_s3) herstellen.

**Um Dateien AWS Transfer Family mit WinSCP zu übertragen**

1. Öffnen Sie den WinSCP-Client.

1. **Wählen **Sie im Anmeldedialogfeld** für **Dateiprotokoll ein Protokoll** aus: **SFTP oder FTP**.**

   Wenn Sie FTP für **Verschlüsselung** ausgewählt haben, wählen Sie eine der folgenden Optionen:
   + **Keine Verschlüsselung** für FTP
   + **Explizite TLS/SSL-Verschlüsselung** für FTPS

1. Geben Sie in das Feld **Host name (Host-Name)** den Server-Endpunkt ein. Der Serverendpunkt befindet sich auf der Seite mit den **Serverdetails**. Weitere Informationen finden Sie unter [SFTP-, FTPS- und FTP-Serverdetails anzeigen](configuring-servers-view-info.md).

   Wenn Ihr Server einen VPC-Endpunkt verwendet, finden Sie weitere Informationen unter[Finden Sie Ihren Amazon VPC-Endpunkt](#find-vpc-endpoint).

1. Geben Sie als **Portnummer** Folgendes ein:
   + **22**für SFTP
   + **21**für FTP/FTPS

1. Geben Sie **unter Benutzername den Namen** des Benutzers ein, den Sie für Ihren spezifischen Identitätsanbieter erstellt haben.

   **Tipp:** Der Benutzername sollte einer der Benutzer sein, die Sie für Ihren Identitätsanbieter erstellt oder konfiguriert haben. AWS Transfer Family bietet die folgenden Identitätsanbieter:
   + [Arbeiten mit Benutzern, die vom Dienst verwaltet werden](service-managed-users.md)
   + [Verwenden des AWS Directory Service für Microsoft Active Directory](directory-services-users.md)
   + [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md)

1. Wählen Sie „**Erweitert**“, um das Dialogfeld „**Erweiterte Seiteneinstellungen**“ zu öffnen. Wählen Sie im Abschnitt **SSH** die Option **Authentifizierung** aus.

1. Suchen Sie unter **Datei mit privatem Schlüssel** nach der privaten SSH-Schlüsseldatei aus Ihrem Dateisystem und wählen Sie sie aus.

   **Wenn WinSCP anbietet, Ihren privaten SSH-Schlüssel in das PPK-Format zu konvertieren, wählen Sie OK.**

1. Wählen Sie **OK** aus, um zum Dialogfeld **Login (Anmelden)** zurückzukehren. Wählen Sie dann **Save (Speichern)** aus.

1. Wählen **Sie im Dialogfeld Sitzung als Site speichern** die Option **OK, um die Verbindungseinrichtung** abzuschließen.

1. Wählen Sie im **Anmeldedialogfeld** die Option **Tools** und anschließend **Einstellungen** aus.

1. Wählen Sie im Dialogfeld „**Einstellungen**“ für „**Übertragung**“ die Option „**Endurance**“.

   Wählen Sie für die Option „**Übertragung resume/transfer in temporären Dateinamen aktivieren**“ die Option „**Deaktivieren**“.
**Wichtig**  
Wenn Sie diese Option aktiviert lassen, erhöht dies die Upload-Kosten und verringert die Upload-Leistung erheblich. Dies kann auch dazu führen, dass das Hochladen großer Dateien fehlschlägt.

1. Wählen Sie für **Übertragung** die Option **Hintergrund** und deaktivieren **Sie das Kontrollkästchen Mehrere Verbindungen für eine einzige Übertragung verwenden**.

   **Tipp:** Wenn Sie diese Option aktiviert lassen, können große Datei-Uploads auf unvorhersehbare Weise fehlschlagen. Beispielsweise können verwaiste mehrteilige Uploads erstellt werden, für die Amazon S3 S3-Gebühren anfallen. Es kann auch zu einer unbemerkten Beschädigung von Daten kommen.

1. Führen Sie Ihre Dateiübertragung durch.

   Sie können drag-and-drop Methoden verwenden, um Dateien zwischen dem Ziel- und dem Quellfenster zu kopieren. Sie können die Symbolleistensymbole verwenden, um die Eigenschaften von Dateien in WinSCP hochzuladen, herunterzuladen, zu löschen, zu bearbeiten oder zu ändern.

**Anmerkung**  
Dieser Hinweis gilt nicht, wenn Sie Amazon EFS als Speicher verwenden.  
Befehle, die versuchen, Attribute von Remote-Dateien, einschließlich Zeitstempeln, zu ändern, sind nicht mit Objektspeichersystemen wie Amazon S3 kompatibel. Wenn Sie Amazon S3 als Speicher verwenden, stellen Sie daher sicher, dass Sie die WinSCP-Zeitstempeleinstellungen deaktivieren (oder `SetStatOption` wie unter beschrieben verwenden[Vermeiden Sie Fehler `setstat`](#avoid-set-stat)), bevor Sie Dateiübertragungen durchführen. Deaktivieren Sie dazu im Dialogfeld mit den **Einstellungen für die WinSCP-Übertragung** die Upload-Option **Berechtigungen festlegen** und die allgemeine Option **Zeitstempel beibehalten**.

## Verwenden Sie Cyberduck
<a name="cyberduck"></a>

Unten wird beschrieben, wie Dateien in der Befehlszeile mit Cyberduck übertragen werden.

**Um Dateien AWS Transfer Family mit Cyberduck zu übertragen**

1. Öffnen Sie den [Cyberduck-Client.](https://cyberduck.io/download/)

1. Wählen Sie **Verbindung öffnen**.

1. Wählen Sie im Dialogfeld „**Verbindung öffnen**“ ein Protokoll aus: **SFTP (SSH File Transfer Protocol)**, **FTP-SSL (Explicit AUTH TLS) oder FTP (****File** Transfer Protocol).

1. Geben Sie unter **Server Ihren Serverendpunkt** ein. Der Serverendpunkt befindet sich auf der Seite mit den **Serverdetails**. Weitere Informationen finden Sie unter [SFTP-, FTPS- und FTP-Serverdetails anzeigen](configuring-servers-view-info.md).

   Wenn Ihr Server einen VPC-Endpunkt verwendet, finden Sie weitere Informationen unter[Finden Sie Ihren Amazon VPC-Endpunkt](#find-vpc-endpoint).

1. Geben Sie als **Portnummer** Folgendes ein:
   + **22**für SFTP
   + **21**für FTP/FTPS

1. Geben Sie in das Feld **Username (Benutzername)** den Namen des Benutzers ein, den Sie in [Benutzer für Serverendpunkte verwalten](create-user.md) erstellt haben.

1. Wenn SFTP ausgewählt ist, wählen Sie für **SSH Private Key den privaten SSH-Schlüssel** oder geben Sie ihn ein.

1. Wählen Sie **Connect** aus.

1. Führen Sie Ihre Dateiübertragung durch.

   Führen Sie nun – abhängig von der Position der Dateien – einen der folgenden Schritte durch:
   + Wählen Sie in Ihrem lokalen Verzeichnis (der Quelle) die Dateien aus, die Sie übertragen möchten, und ziehen Sie sie per Drag & Drop in das Amazon S3 S3-Verzeichnis (das Ziel).
   + Wählen Sie im Amazon S3 S3-Verzeichnis (der Quelle) die Dateien aus, die Sie übertragen möchten, und ziehen Sie sie per Drag & Drop in Ihr lokales Verzeichnis (das Ziel).

## Verwenden FileZilla
<a name="filezilla"></a>

Verwenden Sie die folgenden Anweisungen, um Dateien mit zu übertragen FileZilla.

**Um eine Dateiübertragung einzurichten FileZilla**

1. Öffnen Sie den FileZilla Client.

1. Wählen Sie „**Datei**“ und anschließend „**Site-Manager**“.

1. Wählen **Sie im Dialogfeld „Site-Manager**“ die Option „**Neue Site**“ aus.

1. Wählen Sie auf der Registerkarte **Allgemein** für **Protokoll** ein Protokoll aus: **SFTP** oder **FTP**.

   Wenn Sie FTP für **Verschlüsselung** ausgewählt haben, wählen Sie eine der folgenden Optionen:
   + **Verwenden Sie nur einfaches FTP (unsicher)** — für FTP
   + **Verwenden Sie explizites FTP über TLS, falls verfügbar** — für FTPS

1. Geben Sie als **Hostname** das Protokoll ein, das Sie verwenden, gefolgt von Ihrem Serverendpunkt. Der Serverendpunkt befindet sich auf der Seite mit den **Serverdetails**. Weitere Informationen finden Sie unter [SFTP-, FTPS- und FTP-Serverdetails anzeigen](configuring-servers-view-info.md).
   + Wenn Sie SFTP verwenden, geben Sie Folgendes ein: `sftp://hostname`
   +  Wenn Sie FTPS verwenden, geben Sie Folgendes ein: `ftps://hostname` 

   Stellen Sie sicher, dass Sie es *hostname* durch Ihren tatsächlichen Serverendpunkt ersetzen.

   Wenn Ihr Server einen VPC-Endpunkt verwendet, finden Sie weitere Informationen unter[Finden Sie Ihren Amazon VPC-Endpunkt](#find-vpc-endpoint).

1. Geben Sie als **Portnummer** Folgendes ein:
   + **22**für SFTP
   + **21**für FTP/FTPS

1. **Wenn SFTP ausgewählt ist, wählen Sie als **Anmeldetyp die Option Schlüsseldatei** aus.**

   Wählen Sie **unter Schlüsseldatei** den privaten SSH-Schlüssel aus, oder geben Sie ihn ein.

1. Geben Sie unter **Benutzer** den Namen des Benutzers ein, den Sie erstellt haben. [Benutzer für Serverendpunkte verwalten](create-user.md)

1. Wählen Sie **Connect** aus.

1. Führen Sie Ihre Dateiübertragung durch.
**Anmerkung**  
Wenn Sie eine laufende Dateiübertragung unterbrechen, wird AWS Transfer Family möglicherweise ein Teilobjekt in Ihren Amazon S3 S3-Bucket geschrieben. Wenn Sie einen Upload unterbrechen, überprüfen Sie, ob die Dateigröße im Amazon S3 S3-Bucket der Dateigröße des Quellobjekts entspricht, bevor Sie fortfahren.

## Verwenden Sie einen Perl-Client
<a name="using-clients-with-perl-modules"></a>

Wenn Sie den NET::SFTP::Foreign Perl-Client verwenden, müssen Sie den `queue_size` Wert auf setzen. `1` Beispiel:

`my $sftp = Net::SFTP::Foreign->new('user@s-12345.server.transfer.us-east-2.amazonaws.com', queue_size => 1);`

**Anmerkung**  
 [Diese Problemumgehung ist für Versionen `Net::SFTP::Foreign` vor 1.92.02 erforderlich.](https://metacpan.org/changes/release/SALVA/Net-SFTP-Foreign-1.93#L12) 

## Verwenden Sie LFTP
<a name="using-client-lftp"></a>

LFTP ist ein kostenloser FTP-Client, mit dem Benutzer Dateiübertragungen über die Befehlszeilenschnittstelle von den meisten Linux-Computern aus durchführen können.

 Bei großen Dateidownloads gibt es bei LFTP ein bekanntes Problem mit Paketen, die nicht in der richtigen Reihenfolge sind, wodurch die Dateiübertragung fehlschlägt.

## Verarbeitung nach dem Upload
<a name="post-processing-upload"></a>

Sie können Verarbeitungsinformationen nach dem Upload anzeigen, einschließlich Amazon S3 S3-Objektmetadaten und Ereignisbenachrichtigungen.

**Topics**
+ [Amazon S3 S3-Objektmetadaten](#post-processing-S3-object-metadata)
+ [Amazon-S3-Ereignis-Benachrichtigungen](#post-processing-S3-event-notifications)

### Amazon S3 S3-Objektmetadaten
<a name="post-processing-S3-object-metadata"></a>

Als Teil der Metadaten Ihres Objekts sehen Sie einen Schlüssel namens `x-amz-meta-user-agent` Wessen Wert ist `AWSTransfer` und `x-amz-meta-user-agent-id` Wessen Wert ist`username@server-id`. Der `username` ist der Transfer Family Family-Benutzer, der die Datei hochgeladen hat, und `server-id` ist der Server, der für den Upload verwendet wurde. Auf diese Informationen kann mithilfe der [HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectHEAD.html)Operation für das S3-Objekt in Ihrer Lambda-Funktion zugegriffen werden.

![\[Der Metadaten-Bildschirm mit Informationen zu Amazon S3 S3-Objektmetadaten für AWS Transfer Family.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/s3-object-metadata.png)


### Amazon-S3-Ereignis-Benachrichtigungen
<a name="post-processing-S3-event-notifications"></a>

Wenn ein Objekt mithilfe von Transfer Family in Ihren S3-Bucket hochgeladen `RoleSessionName` wird, ist es im Feld Requester in der [S3-Ereignisbenachrichtigungsstruktur](https://docs.aws.amazon.com/AmazonS3/latest/dev/notification-content-structure.html) als `[AWS:Role Unique Identifier]/username.sessionid@server-id` enthalten. Im Folgenden finden Sie beispielsweise den Inhalt eines Beispielfeldes „Requester“ aus einem S3-Zugriffsprotokoll für eine Datei, die in den S3-Bucket kopiert wurde.

`arn:aws:sts::AWS-Account-ID:assumed-role/IamRoleName/username.sessionid@server-id`

Im obigen Feld Requester wird die aufgerufene IAM-Rolle angezeigt. `IamRoleName` Weitere Informationen zur Konfiguration von S3-Ereignisbenachrichtigungen finden Sie unter [Konfiguration von Amazon S3 S3-Ereignisbenachrichtigungen](https://docs.aws.amazon.com/AmazonS3/latest/dev/NotificationHowTo.html) im *Amazon Simple Storage Service Developer Guide*. *Weitere Informationen zu eindeutigen AWS Identity and Access Management (IAM-) Rollenbezeichnern finden Sie unter [Eindeutige Identifikatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids) im AWS Identity and Access Management Benutzerhandbuch.*

## SFTP-Nachrichten
<a name="sftp-transfer-activity-types"></a>

In diesem Abschnitt werden clientseitige Nachrichten beschrieben, die Sie während oder nach Ihren SFTP-Dateiübertragungen erhalten können, wenn Sie einen Transfer Family Family-Server verwenden. Weitere Informationen zu allen SFTP-Ereignissen finden Sie in den Protokollen Ihres SFTP-Clients. Sie können diese Informationen verwenden, um Fehler zu beheben, oder diese Informationen an Ihr Netzwerkteam weiterleiten, um Hilfe bei der Identifizierung des Problems zu erhalten.


**Clientseitige SFTP-Nachrichten**  

| Aktivität | Description | 
| --- | --- | 
| AUTH\$1FAILURE | Der Benutzer hat die Authentifizierung nicht bestanden. Dabei kann es sich um jede Art von Fehler handeln, die von einem benutzerdefinierten Identitätsanbieter oder einem vom Dienst verwalteten Benutzer verursacht wurden. Die Einzelheiten des Ereignisses helfen dabei, die Ursache des Fehlers zu klären. | 
| CLOSE | Zeigt an, dass eine geöffnete Datei oder ein geöffnetes Verzeichnis erfolgreich geschlossen wurde. | 
| VERBUNDEN/GETRENNT | Zeigt normalen Verbindungserfolg und Verbindungsabbrüche an. | 
| CREATE\$1SYMLINK  | Ein symbolischer Link wurde erstellt (erfolgreich oder erfolglos). | 
| DELETE | Eine Datei wurde gelöscht (erfolgreich oder erfolglos). | 
| ERROR | Ein allgemeiner, unerwarteter Fehler. Die zugehörige Beschreibung enthält Informationen, die Ihnen oder Ihren Netzwerkadministratoren helfen können, das spezifische Problem zu identifizieren. | 
| EXIT\$1REASON | Wird ausgelöst, wenn ein unerwarteter Fehler zur Beendigung Ihrer SFTP-Sitzung führte. Die dem Ereignis zugeordnete Nachricht beschreibt die Ursache. | 
| MKDIR | Ein Verzeichnis wurde erstellt (erfolgreich oder erfolglos). | 
| OPEN | Eine Datei wurde zum Lesen oder Schreiben geöffnet (erfolgreich oder erfolglos) | 
| PARTIAL\$1CLOSE | Der Client hat die Verbindung zum Server getrennt, während eine Datei noch geöffnet war, ohne dass eine CLOSE-Meldung empfangen wurde. Transfer Family speichert den empfangenen Teil der Datei (bei dem es sich tatsächlich um die vollständige Datei handeln könnte) und gibt das Ereignis PARTIAL\$1CLOSE aus, um den Kunden über das Problem zu informieren. Die Workflow-Integration empfängt außerdem ein onPartialClose Ereignis, um die Datei entsprechend zu behandeln. | 
| RENAME | Eine Datei wurde umbenannt (erfolgreich oder erfolglos) | 
| RMDIR | Ein Verzeichnis wurde gelöscht (erfolgreich oder erfolglos) | 
| SETSTAT |  Die Attribute einer Datei werden geändert (erfolgreich oder erfolglos).  Transfer Family unterstützt SETSTAT nicht, wenn Sie Amazon S3 als Speicher verwenden. [Vermeiden Sie Fehler `setstat`](#avoid-set-stat)In diesem Abschnitt erfahren Sie, wie Sie `SetStat` Fehler vermeiden können, indem Sie die Einstellung ausschalten. Dadurch wird vermieden, dass Sie die folgende Meldung erhalten`fail unsupported error`: Sie erhalten stattdessen `success but do nothing` eine Nachricht.   | 
| TLS\$1RESUME\$1FAILURE  | Der Server ist so konfiguriert, dass er die Wiederaufnahme der TLS-Sitzung erzwingt, und der Client unterstützt dies nicht. | 

# Benutzer für Serverendpunkte verwalten
<a name="create-user"></a>

In den folgenden Abschnitten finden Sie Informationen zum Hinzufügen von Benutzern mithilfe AWS Transfer Family eines benutzerdefinierten Identitätsanbieters. AWS Directory Service for Microsoft Active Directory 

Sie speichern außerdem in den Eigenschaften der Benutzer den öffentlichen Secure Shell (SSH)-Schlüssel des jeweiligen Benutzers. Dies ist für die schlüsselbasierte Authentifizierung erforderlich. Der private Schlüssel wird lokal auf dem Computer Ihres Benutzers gespeichert. Wenn Ihr Benutzer mithilfe eines Clients eine Authentifizierungsanfrage an Ihren Server sendet, bestätigt Ihr Server zunächst, dass der Benutzer Zugriff auf den zugehörigen privaten SSH-Schlüssel hat. Der Server authentifiziert den Benutzer dann erfolgreich.

**Anmerkung**  
Informationen zur automatisierten Bereitstellung und Verwaltung von Benutzern mit mehreren SSH-Schlüsseln finden Sie unter. [Terraform-Module der Transfer Family](terraform.md)

Darüber hinaus geben Sie das Home-Verzeichnis oder das Landing-Verzeichnis eines Benutzers an und weisen dem Benutzer eine AWS Identity and Access Management (IAM-) Rolle zu. Optional können Sie eine Sitzungsrichtlinie angeben, um den Benutzerzugriff nur auf das Home-Verzeichnis Ihres Amazon S3 S3-Buckets zu beschränken.

**Wichtig**  
AWS Transfer Family verhindert, dass sich Benutzernamen, die 1 oder 2 Zeichen lang sind, bei SFTP-Servern authentifizieren. Darüber hinaus blockieren wir auch den `root` Benutzernamen.  
Der Grund dafür liegt in der großen Anzahl böswilliger Anmeldeversuche durch Passwortscanner.

## Amazon EFS im Vergleich zu Amazon S3
<a name="efs-vs-s3-users"></a>

Eigenschaften der einzelnen Speicheroptionen:
+ Um den Zugriff zu beschränken: Amazon S3 unterstützt Sitzungsrichtlinien; Amazon EFS unterstützt POSIX-Benutzer, Gruppen und sekundäre Gruppen IDs
+  Beide unterstützen Schlüssel public/private 
+  Beide unterstützen Home-Verzeichnisse 
+  Beide unterstützen logische Verzeichnisse 
**Anmerkung**  
 Für Amazon S3 erfolgt der Großteil der Unterstützung für logische Verzeichnisse über API/CLI. Sie können das Kontrollkästchen **Eingeschränkt** in der Konsole verwenden, um einen Benutzer auf sein Home-Verzeichnis zu sperren, aber Sie können keine virtuelle Verzeichnisstruktur angeben. 

## Logische Verzeichnisse
<a name="logical-dir-users"></a>

Wenn Sie logische Verzeichniswerte für Ihren Benutzer angeben, hängt der verwendete Parameter vom Benutzertyp ab.
+ Geben Sie für vom Dienst verwaltete Benutzer logische Verzeichniswerte in `HomeDirectoryMappings` ein.
+ Geben Sie für Benutzer eines benutzerdefinierten Identitätsanbieters logische Verzeichniswerte in an`HomeDirectoryDetails`.

AWS Transfer Family unterstützt die Angabe eines HomeDirectory Werts bei Verwendung von LOGICAL HomeDirectoryType. Dies gilt für vom Service verwaltete Benutzer, Active Directory-Zugriff und benutzerdefinierte Identity Provider-Implementierungen, bei denen sie in der Antwort angegeben HomeDirectoryDetails werden.

**Wichtig**  
Wenn Sie a HomeDirectory mit LOGICAL angeben HomeDirectoryType, muss der Wert einer Ihrer logischen Verzeichniszuordnungen zugeordnet werden. Der Dienst überprüft dies sowohl bei der Benutzererstellung als auch bei Aktualisierungen, um Konfigurationen zu verhindern, die nicht funktionieren würden.

### Standardverhalten
<a name="logical-dir-default"></a>

Wenn nichts angegeben wird, HomeDirectory ist der standardmäßig auf „/“ für den LOGISCHEN Modus gesetzt. Dieses Verhalten ist unverändert und bleibt mit bestehenden Benutzerdefinitionen kompatibel.
+ Stellen Sie sicher, dass HomeDirectory Sie Ihrem *Eintrag* und nicht einem *Ziel zuordnen*. Weitere Details finden Sie unter [Regeln für die Verwendung logischer Verzeichnisse](logical-dir-mappings.md#logical-dir-rules).
+ Einzelheiten zur Struktur eines virtuellen Verzeichnisses finden Sie unter[Struktur des virtuellen Verzeichnisses](implement-log-dirs.md#virtual-dirs).

### Überlegungen zu benutzerdefinierten Identitätsanbietern
<a name="logical-dir-custom-idp"></a>

Wenn Sie einen benutzerdefinierten Identitätsanbieter verwenden, können Sie jetzt HomeDirectory in der Antwort a angeben, während Sie LOGICAL verwenden HomeDirectoryType. Der TestIdentityProvider API-Aufruf führt zu korrekten Ergebnissen, wenn der benutzerdefinierte IDP HomeDirectory im LOGICAL-Modus a angibt.

Beispiel für eine benutzerdefinierte IDP-Antwort mit HomeDirectory und LOGICAL: HomeDirectoryType

```
{
  "Role": "arn:aws:iam::123456789012:role/transfer-user-role",
  "HomeDirectoryType": "LOGICAL",
  "HomeDirectory": "/marketing",
  "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}
```

## Active Directory-Gruppenkontingente
<a name="ad-group-quotas"></a>

AWS Transfer Family hat ein Standardlimit von 100 Active Directory-Gruppen pro Server. Wenn Ihr Anwendungsfall mehr als 100 Gruppen erfordert, sollten Sie die Verwendung einer benutzerdefinierten Identitätsanbieterlösung in Betracht ziehen, wie unter [Vereinfachen der Active Directory-Authentifizierung mit einem benutzerdefinierten Identitätsanbieter für](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/) beschrieben AWS Transfer Family.

Dieses Limit gilt für Server, die die folgenden Identitätsanbieter verwenden:
+ AWS Directory Service für Microsoft Active Directory
+ AWS Directory Service für Entra ID Domain Services

Wenn Sie eine Erhöhung des Servicelimits beantragen müssen, finden Sie Informationen zu den [AWS-Service Kontingenten](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) in der *Allgemeine AWS-Referenz*. Wenn Ihr Anwendungsfall mehr als 100 Gruppen erfordert, sollten Sie die Verwendung einer benutzerdefinierten Identitätsanbieterlösung in Betracht ziehen, wie unter [Vereinfachen der Active Directory-Authentifizierung mit einem benutzerdefinierten Identitätsanbieter für](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/) beschrieben AWS Transfer Family.

Informationen zur Problembehandlung im Zusammenhang mit Active Directory-Gruppenlimits finden Sie unter[Die Active Directory-Gruppenlimits wurden überschritten](auth-issues.md#managed-ad-group-limits).

**Topics**
+ [Amazon EFS im Vergleich zu Amazon S3](#efs-vs-s3-users)
+ [Logische Verzeichnisse](#logical-dir-users)
+ [Active Directory-Gruppenkontingente](#ad-group-quotas)
+ [Arbeiten mit Benutzern, die vom Dienst verwaltet werden](service-managed-users.md)
+ [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md)
+ [Verwenden des AWS Directory Service für Microsoft Active Directory](directory-services-users.md)
+ [Verwenden des AWS Directory Service für Entra ID Domain Services](azure-sftp.md)

# Arbeiten mit Benutzern, die vom Dienst verwaltet werden
<a name="service-managed-users"></a>

Sie können Ihrem Server entweder vom Service verwaltete Amazon S3- oder Amazon EFS-Benutzer hinzufügen, abhängig von der **Domain-Einstellung** des Servers. Weitere Informationen finden Sie unter [Konfiguration eines SFTP-, FTPS- oder FTP-Serverendpunkts](tf-server-endpoint.md).

Wenn Sie einen vom Dienst verwalteten Identitätstyp verwenden, fügen Sie Benutzer zu Ihrem Server hinzu, auf dem das File Transfer Protocol aktiviert ist. Wenn Sie dies tun, muss jeder Benutzername auf Ihrem Server einzigartig sein.

Informationen zum programmgesteuerten Hinzufügen eines vom Service verwalteten Benutzers finden Sie im [Beispiel für die API](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html#API_CreateUser_Examples). [CreateUser](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html)

**Anmerkung**  
Für Benutzer, die vom Service verwaltet werden, gilt eine Obergrenze von 2.000 logischen Verzeichniseinträgen. Hinweise zur Verwendung logischer Verzeichnisse finden Sie unter[Verwendung logischer Verzeichnisse zur Vereinfachung Ihrer Transfer Family Family-Verzeichnisstrukturen](logical-dir-mappings.md).

**Topics**
+ [Hinzufügen von vom Service verwalteten Amazon S3-Benutzern](#add-s3-user)
+ [Hinzufügen von vom Service verwalteten Amazon EFS-Benutzern](#add-efs-user)
+ [Verwaltung von Benutzern, die vom Service verwaltet werden](#managing-service-managed-users)

## Hinzufügen von vom Service verwalteten Amazon S3-Benutzern
<a name="add-s3-user"></a>

**Anmerkung**  
 Wenn Sie einen kontoübergreifenden Amazon S3 S3-Bucket konfigurieren möchten, folgen Sie den Schritten in diesem Knowledge Center-Artikel: [Wie konfiguriere ich meinen AWS Transfer Family Server für die Verwendung eines Amazon Simple Storage Service-Buckets, der sich in einem anderen AWS Konto befindet?](https://aws.amazon.com/premiumsupport/knowledge-center/sftp-cross-account-s3-bucket/) .

**So fügen Sie Ihrem Server einen vom Service verwalteten Amazon S3 S3-Benutzer hinzu**

1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)und wählen Sie dann im Navigationsbereich **Server** aus.

1. Aktivieren Sie auf der Seite **Server** das Kontrollkästchen des Servers, zu dem Sie einen Benutzer hinzufügen möchten.

1. Wählen Sie **Benutzer hinzufügen**.

1. Geben Sie im Abschnitt **Benutzerkonfiguration** für **Benutzername** den Benutzernamen ein. Dieser Benutzername muss mindestens 3 und maximal 100 Zeichen lang sein. Sie können die folgenden Zeichen im Benutzernamen verwenden: a—z, A-Z, 0—9, Unterstrich '\$1', Bindestrich '-', Punkt '.' und das Zeichen '@'. Der Benutzername darf nicht mit einem Bindestrich '-', einem Punkt '.' oder einem Zeichen '@' beginnen.

1. Wählen Sie für **Access** die IAM-Rolle aus, die Sie zuvor erstellt haben und die Zugriff auf Ihren Amazon S3 S3-Bucket bietet.

   Sie haben diese IAM-Rolle in der Prozedur [Erstellen Sie eine IAM-Rolle und -Richtlinie](requirements-roles.md) erstellt. Diese IAM-Rolle beinhaltet eine IAM-Richtlinie, die den Zugriff auf Ihren Amazon S3 S3-Bucket ermöglicht. Dazu gehört auch eine Vertrauensbeziehung mit dem AWS Transfer Family Service, die in einer anderen IAM-Richtlinie definiert ist. Wenn Sie eine detaillierte Zugriffskontrolle für Ihre Benutzer benötigen, lesen Sie den Blogbeitrag [Enhance data access control with AWS Transfer Family and Amazon S3](https://aws.amazon.com/blogs/storage/enhance-data-access-control-with-aws-transfer-family-and-amazon-s3-access-points/).

1. (Optional) Wählen Sie **unter Richtlinie** eine der folgenden Optionen aus:
   + **Keine**
   + **Bestehende Richtlinie**
   + **Wählen Sie eine Richtlinie aus IAM** aus: Ermöglicht die Auswahl einer vorhandenen Sitzungsrichtlinie. Wählen Sie **Ansicht**, um ein JSON-Objekt mit den Details der Richtlinie anzuzeigen.
   + **Richtlinie automatisch auf Basis des Basisordners generieren**: Generiert eine Sitzungsrichtlinie für Sie. Wählen Sie **Ansicht**, um ein JSON-Objekt mit den Details der Richtlinie anzuzeigen.
**Anmerkung**  
Wenn Sie die Option **Richtlinie auf Basis des Basisordners automatisch generieren** wählen, wählen Sie für diesen Benutzer nicht die Option **Eingeschränkt** aus.

   Weitere Informationen zu Sitzungsrichtlinien finden Sie unter [Erstellen Sie eine IAM-Rolle und -Richtlinie](requirements-roles.md)[Sitzungsrichtlinie für einen Amazon S3 S3-Bucket erstellen](users-policies-session.md), oder[Dynamische Ansätze zur Rechteverwaltung](dynamic-permission-management.md).

1. Wählen Sie für **das Home-Verzeichnis** den Amazon S3 S3-Bucket aus, in dem die zu übertragenden Daten gespeichert AWS Transfer Family werden sollen. Geben Sie den Pfad zu dem `home` Verzeichnis ein, in dem Ihr Benutzer landet, wenn er sich mit seinem Client anmeldet.

   Wenn Sie diesen Parameter leer lassen, wird das `root` Verzeichnis Ihres Amazon S3 S3-Buckets verwendet. Stellen Sie in diesem Fall sicher, dass die IAM-Rolle Zugriff auf dieses `root`-Verzeichnis gewährt.
**Anmerkung**  
Wir empfehlen Ihnen, einen Verzeichnispfad zu wählen, der den Benutzernamen des Benutzers enthält, sodass Sie eine Sitzungsrichtlinie effektiv verwenden können. Die Sitzungsrichtlinie beschränkt den Benutzerzugriff im Amazon S3 S3-Bucket auf das `home` Verzeichnis dieses Benutzers.

1. (Optional) Aktivieren Sie für **Eingeschränkt** das Kontrollkästchen, sodass Ihre Benutzer auf nichts außerhalb dieses Ordners zugreifen können und den Amazon S3 S3-Bucket- oder Ordnernamen nicht sehen können.
**Anmerkung**  
Dem Benutzer ein Home-Verzeichnis zuzuweisen und den Benutzer auf dieses Home-Verzeichnis zu beschränken, sollte ausreichen, um den Zugriff des Benutzers auf den angegebenen Ordner zu sperren. Wenn Sie weitere Kontrollen anwenden müssen, verwenden Sie eine Sitzungsrichtlinie.   
Wenn Sie für diesen Benutzer die Option **Eingeschränkt** auswählen, können Sie die Option **Richtlinie automatisch auf Basis des Basisordners generieren** nicht auswählen, da der Basisordner kein definierter Wert für Benutzer mit eingeschränkten Rechten ist.

1. Geben Sie für den **öffentlichen SSH-Schlüssel** den öffentlichen SSH-Schlüsselteil des SSH-Schlüsselpaars key pair.

   Der Schlüssel wird vom Service validiert, bevor Sie den neuen Benutzer hinzufügen können.
**Anmerkung**  
Anleitungen zum Generieren eines SSH-Schlüsselpaars siehe [Generieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer](sshkeygen.md).

1. **(Optional) Geben Sie für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie Tag hinzufügen aus.**

1. Wählen Sie **Add (Hinzufügen)**, um den neuen Benutzer dem ausgewählten Server hinzuzufügen.

   Der neue Benutzer wird auf der Seite mit den **Serverdetails** im Bereich **Benutzer** angezeigt.

**Nächste Schritte** — Fahren Sie für den nächsten Schritt fort mit[Übertragung von Dateien über einen Serverendpunkt mit einem Client](transfer-file.md).

## Hinzufügen von vom Service verwalteten Amazon EFS-Benutzern
<a name="add-efs-user"></a>

Amazon EFS verwendet das POSIX-Dateiberechtigungsmodell (Portable Operating System Interface), um den Dateibesitz darzustellen.
+  Weitere Informationen zum Besitz von Amazon EFS-Dateien finden Sie unter [Amazon EFS-Dateibesitz](configure-storage.md#efs-file-ownership). 
+ Weitere Informationen zum Einrichten von Verzeichnissen für Ihre EFS-Benutzer finden Sie unter[Amazon EFS-Benutzer für Transfer Family einrichten](configure-storage.md#configure-efs-users-permissions). 

**So fügen Sie Ihrem Server einen vom Amazon EFS Service verwalteten Benutzer hinzu**

1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)und wählen Sie dann im Navigationsbereich **Server** aus.

1. Wählen Sie auf der Seite **Server** den Amazon EFS-Server aus, zu dem Sie einen Benutzer hinzufügen möchten.

1. Wählen **Sie Benutzer hinzufügen**, um die Seite **Benutzer hinzufügen** anzuzeigen.

1. Verwenden Sie im Abschnitt **Benutzerkonfiguration** die folgenden Einstellungen.

   1. Der **Benutzername** muss mindestens 3 und maximal 100 Zeichen lang sein. Sie können die folgenden Zeichen im Benutzernamen verwenden: a—z, A-Z, 0—9, Unterstrich '\$1', Bindestrich '-', Punkt ' . 'und beim Zeichen „@“. Der Benutzername darf nicht mit einem Bindestrich '-' oder Punkt 'beginnen . ', oder beim Zeichen „@“.

   1.  Beachten Sie bei **Benutzer-ID** **und Gruppen-ID** Folgendes: 
      + Für den ersten Benutzer, den Sie erstellen, empfehlen wir, den Wert sowohl **0** für die **Gruppen-ID** als auch für die **Benutzer-ID** einzugeben. Dadurch werden dem Benutzer Administratorrechte für Amazon EFS gewährt. 
      + Geben Sie für weitere Benutzer die POSIX-Benutzer-ID und die Gruppen-ID des Benutzers ein. Diese IDs werden für alle vom Benutzer ausgeführten Amazon Elastic File System-Operationen verwendet. 
      + Verwenden Sie für **Benutzer-ID** **und Gruppen-ID** keine führenden Nullen. Zum Beispiel **12345** ist akzeptabel, **012345** ist nicht. 

   1. (Optional) Geben Sie für **Secondary Group IDs** eine oder mehrere zusätzliche POSIX-Gruppen IDs für jeden Benutzer ein, getrennt durch Kommas.

   1. Wählen Sie für **Access** die IAM-Rolle aus, die:
      + Gewährt dem Benutzer nur Zugriff auf die Amazon EFS-Ressourcen (Dateisysteme), auf die er zugreifen soll.
      + Definiert, welche Dateisystemoperationen der Benutzer ausführen kann und welche nicht.

      Wir empfehlen, dass Sie die IAM-Rolle für die Auswahl des Amazon EFS-Dateisystems mit Bereitstellungszugriff und read/write -berechtigungen verwenden. Die Kombination der folgenden beiden AWS verwalteten Richtlinien ist zwar recht freizügig, gewährt Ihrem Benutzer jedoch die erforderlichen Berechtigungen: 
      +  AmazonElasticFileSystemClientFullAccess 
      +  AWSTransferConsoleFullAccess 

      Weitere Informationen finden Sie im Blogbeitrag [AWS Transfer Family Unterstützung für Amazon Elastic File System](https://aws.amazon.com/blogs/aws/new-aws-transfer-family-support-for-amazon-elastic-file-system/).

   1. Gehen Sie für **das Home-Verzeichnis** wie folgt vor:
      + Wählen Sie das Amazon EFS-Dateisystem aus, das Sie zum Speichern der zu übertragenden Daten verwenden möchten AWS Transfer Family.
      + Entscheiden Sie, ob Sie das Home-Verzeichnis **auf Eingeschränkt** setzen möchten. Wenn Sie das Home-Verzeichnis auf **Eingeschränkt** setzen, hat dies folgende Auswirkungen:
        + Amazon EFS-Benutzer können auf keine Dateien oder Verzeichnisse außerhalb dieses Ordners zugreifen.
        + Amazon EFS-Benutzer können den Namen des Amazon EFS-Dateisystems (**fs-xxxxxxx**) nicht sehen.
**Anmerkung**  
Wenn Sie die Option **Eingeschränkt** auswählen, werden Symlinks für Amazon EFS-Benutzer nicht aufgelöst.
      + (Optional) Geben Sie den Pfad zu dem Basisverzeichnis ein, in dem sich Benutzer befinden sollen, wenn sie sich mit ihrem Client anmelden.

        Wenn Sie kein Home-Verzeichnis angeben, wird das Stammverzeichnis Ihres Amazon EFS-Dateisystems verwendet. Stellen Sie in diesem Fall sicher, dass Ihre IAM-Rolle Zugriff auf dieses Stammverzeichnis bietet.

1. Geben Sie für den **öffentlichen SSH-Schlüssel** den öffentlichen SSH-Schlüsselteil des SSH-Schlüsselpaars key pair.

   Der Schlüssel wird vom Service validiert, bevor Sie den neuen Benutzer hinzufügen können.
**Anmerkung**  
Anleitungen zum Generieren eines SSH-Schlüsselpaars siehe [Generieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer](sshkeygen.md).

1. (Optional) Geben Sie beliebige Tags für den Benutzer ein. Geben Sie für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie Tag **hinzufügen** aus.

1. Wählen Sie **Add (Hinzufügen)**, um den neuen Benutzer dem ausgewählten Server hinzuzufügen.

   Der neue Benutzer wird auf der Seite mit den **Serverdetails** im Bereich **Benutzer** angezeigt.

 Probleme, die auftreten können, wenn Sie zum ersten Mal SFTP zu Ihrem Transfer Family Family-Server verwenden: 
+  Wenn Sie den `sftp` Befehl ausführen und die Eingabeaufforderung nicht angezeigt wird, wird möglicherweise die folgende Meldung angezeigt: 

   `Couldn't canonicalize: Permission denied` 

   `Need cwd` 

   In diesem Fall müssen Sie die Richtlinienberechtigungen für die Rolle Ihres Benutzers erhöhen. Sie können eine AWS verwaltete Richtlinie hinzufügen, `AmazonElasticFileSystemClientFullAccess` z. 
+ Wenn Sie `pwd` an der `sftp` Eingabeaufforderung das Home-Verzeichnis des Benutzers aufrufen, wird möglicherweise die folgende Meldung angezeigt, in der *USER-HOME-DIRECTORY* es um das Home-Verzeichnis für den SFTP-Benutzer geht:

   `remote readdir("/USER-HOME-DIRECTORY"): No such file or directory` 

  In diesem Fall sollten Sie in der Lage sein, zum übergeordneten Verzeichnis (`cd ..`) zu navigieren und das Home-Verzeichnis des Benutzers zu erstellen (`mkdir username`).

**Nächste Schritte** — Fahren Sie für den nächsten Schritt fort mit[Übertragung von Dateien über einen Serverendpunkt mit einem Client](transfer-file.md).

## Verwaltung von Benutzern, die vom Service verwaltet werden
<a name="managing-service-managed-users"></a>

 In diesem Abschnitt finden Sie Informationen zum Anzeigen einer Benutzerliste, zum Bearbeiten von Benutzerdetails und zum Hinzufügen eines öffentlichen SSH-Schlüssels. 
+ [Eine Liste von Benutzern anzeigen](#list-users)
+ [Benutzerdetails anzeigen oder bearbeiten](#view-user-details)
+ [Löschen eines Benutzers](#delete-user)
+ [Fügen Sie den öffentlichen SSH-Schlüssel hinzu](#add-user-ssh-key)
+ [Löschen Sie den öffentlichen SSH-Schlüssel](#delete-user-ssh-key)<a name="list-users"></a>

**Um eine Liste Ihrer Benutzer zu finden**

1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Wählen Sie im Navigationsbereich **Server** aus, um die Seite **Server** anzuzeigen.

1. Wählen Sie den Bezeichner in der Spalte **Server-ID** aus, um die Seite mit den **Serverdetails** aufzurufen.

1. Sehen Sie sich unter **Benutzer** eine Liste der Benutzer an.<a name="view-user-details"></a>

**Um Benutzerdetails anzuzeigen oder zu bearbeiten**

1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Wählen Sie im Navigationsbereich **Server** aus, um die Seite **Server** anzuzeigen.

1. Wählen Sie den Bezeichner in der Spalte **Server-ID** aus, um die Seite mit den **Serverdetails** aufzurufen.

1. Wählen Sie unter **Benutzer** einen Benutzernamen aus, um die Seite mit den **Benutzerdetails** aufzurufen.

   Sie können die Eigenschaften des Benutzers auf dieser Seite ändern, indem Sie **Bearbeiten** wählen.

1. Wählen Sie auf der Seite mit den **Benutzerdetails** neben **Benutzerkonfiguration** die Option **Bearbeiten** aus.  
![\[Das Bild zeigt den Bildschirm zum Bearbeiten der Benutzerkonfiguration\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/edit-user-details-page-user-config.png)

1. Wählen Sie auf der Seite **Konfiguration bearbeiten** für **Access** die IAM-Rolle aus, die Sie zuvor erstellt haben und die Zugriff auf Ihren Amazon S3 S3-Bucket bietet.

   Sie haben diese IAM-Rolle in der Prozedur [Erstellen Sie eine IAM-Rolle und -Richtlinie](requirements-roles.md) erstellt. Diese IAM-Rolle beinhaltet eine IAM-Richtlinie, die den Zugriff auf Ihren Amazon S3 S3-Bucket ermöglicht. Dazu gehört auch eine Vertrauensbeziehung mit dem AWS Transfer Family Service, die in einer anderen IAM-Richtlinie definiert ist.

1. (Optional) Wählen Sie für **Policy** eine der folgenden Optionen aus:
   + **Keine**
   + **Bestehende Richtlinie**
   + **Wählen Sie eine Richtlinie aus IAM** aus, um eine bestehende Richtlinie auszuwählen. Wählen Sie **Ansicht**, um ein JSON-Objekt mit den Details der Richtlinie anzuzeigen.

   Weitere Informationen zu Sitzungsrichtlinien finden Sie unter[Erstellen Sie eine IAM-Rolle und -Richtlinie](requirements-roles.md). Weitere Informationen zum Erstellen einer Sitzungsrichtlinie finden Sie unter[Sitzungsrichtlinie für einen Amazon S3 S3-Bucket erstellen](users-policies-session.md).

1. Wählen Sie für **das Home-Verzeichnis** den Amazon S3 S3-Bucket aus, in dem die zu übertragenden Daten gespeichert AWS Transfer Family werden sollen. Geben Sie den Pfad zu dem `home` Verzeichnis ein, in dem Ihr Benutzer landet, wenn er sich mit seinem Client anmeldet.

   Wenn Sie diesen Parameter leer lassen, wird das `root` Verzeichnis Ihres Amazon S3 S3-Buckets verwendet. Stellen Sie in diesem Fall sicher, dass die IAM-Rolle Zugriff auf dieses `root`-Verzeichnis gewährt.
**Anmerkung**  
Wir empfehlen Ihnen, einen Verzeichnispfad zu wählen, der den Benutzernamen des Benutzers enthält, sodass Sie eine Sitzungsrichtlinie effektiv verwenden können. Die Sitzungsrichtlinie beschränkt den Benutzerzugriff im Amazon S3 S3-Bucket auf das `home` Verzeichnis dieses Benutzers.

1. (Optional) Aktivieren Sie für **Eingeschränkt** das Kontrollkästchen, sodass Ihre Benutzer auf nichts außerhalb dieses Ordners zugreifen können und den Amazon S3 S3-Bucket- oder Ordnernamen nicht sehen können.
**Anmerkung**  
Wenn Sie dem Benutzer ein Home-Verzeichnis zuweisen und den Benutzer auf dieses Home-Verzeichnis beschränken, sollte dies ausreichen, um den Zugriff des Benutzers auf den angegebenen Ordner zu sperren. Verwenden Sie eine Sitzungsrichtlinie, wenn Sie weitere Kontrollen vornehmen müssen.

1. Wählen Sie **Speichern**, um Ihre Änderungen zu speichern.<a name="delete-user"></a>

**So löschen Sie einen Benutzer**

1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Wählen Sie im Navigationsbereich **Server** aus, um die Seite **Server** anzuzeigen.

1. Wählen Sie den Bezeichner in der Spalte **Server-ID** aus, um die Seite mit den **Serverdetails** aufzurufen.

1. Wählen Sie unter **Benutzer** einen Benutzernamen aus, um die Seite mit den **Benutzerdetails** aufzurufen. 

1. Wählen Sie auf der Seite mit den **Benutzerdetails** rechts neben dem Benutzernamen die Option **Löschen** aus.

1. Geben Sie im daraufhin angezeigten Bestätigungsdialogfeld das Wort ein und wählen Sie dann **Löschen **delete****, um zu bestätigen, dass Sie den Benutzer löschen möchten.

 Der Benutzer wird aus der **Benutzerliste** gelöscht.<a name="add-user-ssh-key"></a>

**Um einen öffentlichen SSH-Schlüssel für einen Benutzer hinzuzufügen**

1. Öffnen Sie die AWS Transfer Family Konsole unter. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)

1. Klicken Sie im Navigationsbereich auf **Servers (Server)**.

1. Wählen Sie den Bezeichner in der Spalte **Server-ID** aus, um die Seite mit den **Serverdetails** aufzurufen.

1. Wählen Sie unter **Benutzer** einen Benutzernamen aus, um die Seite mit den **Benutzerdetails** aufzurufen.

1. Wählen Sie **Add SSH public key (Öffentlichen SSH-Schlüssel hinzufügen)**, um einem Benutzer einen neuen öffentlichen SSH-Schlüssel hinzuzufügen.
**Anmerkung**  
SSH-Schlüssel werden nur von Servern verwendet, die für Secure Shell (SSH) File Transfer Protocol (SFTP) aktiviert sind. Hinweise zum Generieren eines SSH-Schlüsselpaars finden Sie unter[Generieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer](sshkeygen.md).

1. Geben Sie für **SSH public key (Öffentlicher SSH-Schlüssel)** den öffentlichen SSH-Schlüssel des SSH-Schlüsselpaars ein.

   Der Schlüssel wird vom Service validiert, bevor Sie den neuen Benutzer hinzufügen können. Das Format des SSH-Schlüssels lautet `ssh-rsa string`. Informationen zum Generieren eines SSH-Schlüsselpaars finden Sie unter[Generieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer](sshkeygen.md).

1. Wählen Sie **Schlüssel hinzufügen**.<a name="delete-user-ssh-key"></a>

**So löschen Sie einen öffentlichen SSH-Schlüssel für einen Benutzer**

1. Öffnen Sie die AWS Transfer Family Konsole unter. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)

1. Klicken Sie im Navigationsbereich auf **Servers (Server)**.

1. Wählen Sie den Bezeichner in der Spalte **Server-ID** aus, um die Seite mit den **Serverdetails** aufzurufen.

1. Wählen Sie unter **Benutzer** einen Benutzernamen aus, um die Seite mit den **Benutzerdetails** aufzurufen.

1. Um einen öffentlichen Schlüssel zu löschen, aktivieren Sie das entsprechende Kontrollkästchen für den SSH-Schlüssel und wählen Sie **Löschen** aus.

# Mit Anbietern benutzerdefinierter Identitäten arbeiten
<a name="custom-idp-intro"></a>

AWS Transfer Family bietet verschiedene Optionen für benutzerdefinierte Identitätsanbieter zur Authentifizierung und Autorisierung von Benutzern für sichere Dateiübertragungen. Hier sind die wichtigsten Ansätze:
+ [Lösung für einen benutzerdefinierten Identitätsanbieter](custom-idp-toolkit.md)— In diesem Thema wird die benutzerdefinierte Identitätsanbieter-Lösung von Transfer Family mithilfe eines Toolkits beschrieben, das unter gehostet wird. GitHub
**Anmerkung**  
Für die meisten Anwendungsfälle ist dies die empfohlene Option. Insbesondere wenn Sie mehr als 100 Active Directory-Gruppen unterstützen müssen, bietet die benutzerdefinierte Identitätsanbieter-Lösung eine skalierbare Alternative ohne Gruppenbeschränkungen. Diese Lösung wird im Blogbeitrag [Simplify Active Directory-Authentifizierung mit einem benutzerdefinierten Identitätsanbieter für](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/) beschrieben AWS Transfer Family.
+ [Verwenden Sie Amazon API Gateway zur Integration Ihres Identitätsanbieters](authentication-api-gateway.md)— In diesem Thema wird beschrieben, wie eine AWS Lambda Funktion zur Unterstützung einer Amazon API Gateway Gateway-Methode verwendet wird.

  Sie können eine RESTful Schnittstelle mit einer einzigen Amazon API Gateway Gateway-Methode bereitstellen. Transfer Family ruft diese Methode auf, um eine Verbindung zu Ihrem Identitätsanbieter herzustellen, der Ihre Benutzer authentifiziert und für den Zugriff auf Amazon S3 oder Amazon EFS autorisiert. Verwenden Sie diese Option, wenn Sie eine RESTful API zur Integration Ihres Identitätsanbieters benötigen oder wenn Sie dessen Funktionen zum Geoblocking oder AWS WAF zur Ratenbegrenzung von Anfragen nutzen möchten. Details hierzu finden Sie unter [Verwenden Sie Amazon API Gateway zur Integration Ihres Identitätsanbieters](authentication-api-gateway.md).
+ [Dynamische Ansätze zur Rechteverwaltung](dynamic-permission-management.md)— In diesem Thema werden Ansätze für die dynamische Verwaltung von Benutzerberechtigungen mithilfe von Sitzungsrichtlinien beschrieben.

  Um Ihre Benutzer zu authentifizieren, können Sie Ihren vorhandenen Identitätsanbieter mit verwenden. AWS Transfer Family Sie integrieren Ihren Identitätsanbieter mithilfe einer AWS Lambda Funktion, die Ihre Benutzer authentifiziert und für den Zugriff auf Amazon S3 oder Amazon Elastic File System (Amazon EFS) autorisiert. Details hierzu finden Sie unter [Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet](custom-lambda-idp.md). In der AWS Transfer Family Management Console können Sie auch auf CloudWatch Diagramme für Messwerte wie die Anzahl der übertragenen Dateien und Byte zugreifen, sodass Sie Dateiübertragungen über ein zentrales Dashboard überwachen können.
+ Transfer Family bietet einen Blogbeitrag und einen Workshop, die Sie durch den Aufbau einer Dateiübertragungslösung führen. Diese Lösung nutzt AWS Transfer Family für verwaltete SFTP/FTPS Endgeräte sowie Amazon Cognito und DynamoDB für die Benutzerverwaltung. 

  Der Blogbeitrag ist unter [Amazon Cognito als Identitätsanbieter mit AWS Transfer Family Amazon S3 verwenden](https://aws.amazon.com/blogs/storage/using-amazon-cognito-as-an-identity-provider-with-aws-transfer-family-and-amazon-s3/) verfügbar. Die Details zum Workshop finden Sie [hier.](https://catalog.workshops.aws/transfer-family-sftp/en-US) 

**Anmerkung**  
Für benutzerdefinierte Identitätsanbieter muss der Benutzername mindestens 3 und maximal 100 Zeichen lang sein. Sie können die folgenden Zeichen im Benutzernamen verwenden: a—z, A-Z, 0—9, Unterstrich '\$1', Bindestrich '-', Punkt '.' und das At-Zeichen '@'. Der Benutzername darf nicht mit einem Bindestrich '-', einem Punkt '.' oder einem Zeichen '@' beginnen.

Beachten Sie bei der Implementierung eines benutzerdefinierten Identitätsanbieters die folgenden bewährten Methoden:
+ Stellen Sie die Lösung in derselben AWS-Konto Region wie Ihre Transfer Family Family-Server bereit.
+ Implementieren Sie bei der Konfiguration von IAM-Rollen und -Richtlinien das Prinzip der geringsten Rechte.
+ Verwenden Sie Funktionen wie die IP-Zulassungsliste und die standardisierte Protokollierung für mehr Sicherheit.
+ Testen Sie Ihren benutzerdefinierten Identitätsanbieter vor der Bereitstellung gründlich in einer Umgebung außerhalb der Produktionsumgebung.

**Topics**
+ [Lösung für einen benutzerdefinierten Identitätsanbieter](custom-idp-toolkit.md)
+ [Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet](custom-lambda-idp.md)
+ [Verwenden Sie Amazon API Gateway zur Integration Ihres Identitätsanbieters](authentication-api-gateway.md)
+ [Verwendung mehrerer Authentifizierungsmethoden](custom-idp-mfa.md)
+ [IPv6 Unterstützung für benutzerdefinierte Identitätsanbieter](custom-idp-ipv6.md)

# Lösung für einen benutzerdefinierten Identitätsanbieter
<a name="custom-idp-toolkit"></a>

Die AWS Transfer Family benutzerdefinierte Identitätsanbieter-Lösung ist eine modulare benutzerdefinierte Identitätsanbieter-Lösung, die viele gängige Authentifizierungs- und Autorisierungsanwendungsfälle löst, mit denen Unternehmen bei der Implementierung des Dienstes konfrontiert sind. Diese Lösung bietet eine wiederverwendbare Grundlage für die Implementierung benutzerdefinierter Identitätsanbieter mit detaillierter Sitzungskonfiguration pro Benutzer. Sie trennt die Authentifizierungs- und Autorisierungslogik und bietet so eine flexible easy-to-maintain Grundlage für verschiedene Anwendungsfälle. 

Mit der AWS Transfer Family benutzerdefinierten Identitätsanbieter-Lösung können Sie allgemeine Anwendungsfälle für die Authentifizierung und Autorisierung in Unternehmen adressieren. Diese modulare Lösung bietet:
+ Eine wiederverwendbare Grundlage für die Implementierung benutzerdefinierter Identitätsanbieter 
+ Granulare Sitzungskonfiguration pro Benutzer 
+ Separate Authentifizierungs- und Autorisierungslogik 

## Implementierungsdetails für das Custom Identity Toolkit
<a name="idp-toolkit-implementation-details"></a>

Die Lösung bietet eine flexible und wartungsfreundliche Basis für verschiedene Anwendungsfälle. [Sehen Sie sich zunächst das Toolkit unter [https://github.com/aws-samples/toolkit-for-aws-transfer-family](https://github.com/aws-samples/toolkit-for-aws-transfer-family) an und folgen Sie dann den Bereitstellungsanweisungen im Abschnitt Erste Schritte.](https://github.com/aws-samples/toolkit-for-aws-transfer-family/tree/main/solutions/custom-idp#getting-started)

![\[Architekturdiagramm für das benutzerdefinierte Identity Provider-Toolkit, verfügbar in. GitHub\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/custom-idp-solution-high-level-architecture.png)


**Anmerkung**  
Wenn Sie zuvor benutzerdefinierte Vorlagen und Beispiele für Identitätsanbieter verwendet haben, sollten Sie stattdessen diese Lösung in Betracht ziehen. In Zukunft werden anbieterspezifische Module diese Lösung standardisieren. Diese Lösung wird fortlaufend gewartet und die Funktionen erweitert.

Diese Lösung enthält Standardmuster für die Implementierung eines benutzerdefinierten Anbieters, der Details wie die Protokollierung und den Speicherort der zusätzlichen Sitzungsmetadaten AWS Transfer Family, wie z. B. der `HomeDirectoryDetails` Parameter, berücksichtigt. Diese Lösung bietet eine wiederverwendbare Grundlage für die Implementierung benutzerdefinierter Identitätsanbieter mit einer detaillierten Sitzungskonfiguration pro Benutzer und entkoppelt die Authentifizierungslogik des Identitätsanbieters von der wiederverwendbaren Logik, die eine Konfiguration erstellt, die an Transfer Family zurückgegeben wird, um die Authentifizierung abzuschließen und Einstellungen für die Sitzung festzulegen. 

[Der Code und die unterstützenden Ressourcen für diese Lösung sind unter -family verfügbar. https://github.com/aws-samples/ toolkit-for-aws-transfer](https://github.com/aws-samples/toolkit-for-aws-transfer-family)

Das Toolkit enthält die folgenden Funktionen:
+ Eine [AWS Serverless Application Model](https://aws.amazon.com/serverless/sam)Vorlage, die die erforderlichen Ressourcen bereitstellt. Optional können Sie Amazon API Gateway zur Integration bereitstellen und konfigurieren AWS WAF, wie im Blogbeitrag [Securing AWS Transfer Family with AWS Web Application Firewall and Amazon API Gateway](https://aws.amazon.com/blogs/storage/securing-aws-transfer-family-with-aws-web-application-firewall-and-amazon-api-gateway/) beschrieben.
+ Ein [Amazon DynamoDB DynamoDB-Schema](https://aws.amazon.com/dynamodb) zum Speichern von Konfigurationsmetadaten über Identitätsanbieter, einschließlich Benutzersitzungseinstellungen wie `HomeDirectoryDetails``Role`, und. `Policy`
+ Ein modularer Ansatz, der es Ihnen ermöglicht, der Lösung in future neue Identitätsanbieter als Module hinzuzufügen.
+ Abruf von Attributen: Rufen Sie optional IAM-Rollen- und POSIX-Profilattribute (UID und GID) von unterstützten Identitätsanbietern ab, einschließlich AD, LDAP und Okta.
+ Support für mehrere Identitätsanbieter, die mit einem einzigen Transfer Family Family-Server verbunden sind, und für mehrere Transfer Family Family-Server, die dieselbe Bereitstellung der Lösung verwenden.
+ Integrierte Überprüfung von IP-Zulassungslisten, z. B. IP-Zulassungslisten, die optional pro Benutzer oder pro Identitätsanbieter konfiguriert werden können.
+ Detaillierte Protokollierung mit konfigurierbarer Protokollebene und Ablaufverfolgungsunterstützung zur Unterstützung bei der Fehlerbehebung.

Bevor Sie mit der Bereitstellung der benutzerdefinierten Identitätsanbieter-Lösung beginnen, benötigen Sie die folgenden Ressourcen. AWS 
+ Eine Amazon Virtual Private Cloud (VPC) mit privaten Subnetzen, mit Internetkonnektivität entweder über ein NAT-Gateway oder einen DynamoDB-Gateway-Endpunkt.
+ Entsprechende IAM-Berechtigungen zur Ausführung der folgenden Aufgaben:
  + Stellen Sie die `custom-idp.yaml` CloudFormation Vorlage bereit,
  +  AWS CodePipeline Projekte erstellen
  +  AWS CodeBuild Projekte erstellen
  + Erstellen Sie IAM-Rollen und -Richtlinien

**Wichtig**  
Sie müssen die Lösung auf demselben AWS-Konto Server bereitstellen AWS-Region , der Ihre Transfer Family Family-Zielserver enthält.

## Unterstützte Identitätsanbieter
<a name="custom-supported-idp"></a>

Die folgende Liste enthält Informationen zu Identitätsanbietern, die für die benutzerdefinierte Identitätsanbieterlösung unterstützt werden.


| Anbieter | Passwörter fließen | Öffentliche Schlüssel fließen | Multifaktoriell | Abrufen von Attributen | Details | 
| --- | --- | --- | --- | --- | --- | 
| Active Directory und LDAP | Ja | Ja | Nein | Ja | Die Benutzerverifizierung kann im Rahmen der Authentifizierung mit öffentlichen Schlüsseln durchgeführt werden. | 
| Argon2 (lokaler Hash) | Ja | Nein | Nein | Nein | Argon2-Hashes werden im Benutzerdatensatz für Anwendungsfälle der „lokalen“ passwortbasierten Authentifizierung gespeichert. | 
| Amazon Cognito | Ja | Nein | Ja\$1 | Nein | Nur auf der Grundlage von zeitbasiertem Einmalpasswort (TOTP) mehrstufige Authentifizierung. \$1SMS-basierte MFA wird nicht unterstützt. | 
| Entra ID (früher Azure AD) | Ja | Nein | Nein | Nein |  | 
| Okta | Ja | Ja | Ja\$1 | Ja | Nur TOTP-basierte MFA. | 
| Öffentlicher Schlüssel | Nein | Ja | Nein | Nein | Öffentliche Schlüssel werden im Benutzerdatensatz in DynamoDB gespeichert. | 
| Secrets Manager | Ja | Ja | Nein | Nein |  | 

# Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet
<a name="custom-lambda-idp"></a>

In diesem Thema wird beschrieben, wie Sie eine AWS Lambda Funktion erstellen, die eine Verbindung zu Ihrem benutzerdefinierten Identitätsanbieter herstellt. Sie können einen beliebigen benutzerdefinierten Identitätsanbieter wie Okta, Secrets Manager oder einen benutzerdefinierten Datenspeicher verwenden OneLogin, der Autorisierungs- und Authentifizierungslogik enthält.

Für die meisten Anwendungsfälle wird empfohlen, einen benutzerdefinierten Identitätsanbieter zu konfigurieren, die [Lösung für einen benutzerdefinierten Identitätsanbieter](custom-idp-toolkit.md) Verwendung von.

**Anmerkung**  
Bevor Sie einen Transfer Family Family-Server erstellen, der Lambda als Identitätsanbieter verwendet, müssen Sie die Funktion erstellen. Eine Beispielfunktion für Lambda finden Sie unter [Beispiele für Lambda-Funktionen](#lambda-auth-examples). Oder Sie können einen CloudFormation Stack bereitstellen, der einen der [Lambda-Funktionsvorlagen](#lambda-idp-templates) folgenden verwendet. Stellen Sie außerdem sicher, dass Ihre Lambda-Funktion eine ressourcenbasierte Richtlinie verwendet, die Transfer Family vertraut. Eine Beispielrichtlinie finden Sie unter [Ressourcenbasierte Lambda-Richtlinie](#lambda-resource-policy).

1. Öffnen Sie die [AWS Transfer Family -Konsole](https://console.aws.amazon.com/transfer/).

1. **Wählen Sie **Server erstellen, um die Seite Server erstellen** zu öffnen.** **Wählen Sie für Wählen Sie einen Identitätsanbieter** die Option **Benutzerdefinierter Identitätsanbieter** aus, wie im folgenden Screenshot gezeigt.  
![\[Im Bereich Konsole „Identitätsanbieter auswählen“ ist die Option Benutzerdefinierter Identitätsanbieter ausgewählt. Außerdem ist der Standardwert ausgewählt, der besagt, dass Benutzer sich entweder mit ihrem Passwort oder Schlüssel authentifizieren können.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/custom-lambda-console.png)
**Anmerkung**  
Die Wahl der Authentifizierungsmethoden ist nur verfügbar, wenn Sie SFTP als eines der Protokolle für Ihren Transfer Family Family-Server aktivieren.

1. Vergewissern Sie sich, dass der Standardwert „** AWS Lambda Zur Verbindung Ihres Identitätsanbieters verwenden**“ ausgewählt ist.

1. Wählen Sie unter **AWS Lambda Funktion** den Namen Ihrer Lambda-Funktion.

1. Füllen Sie die verbleibenden Felder aus und wählen Sie dann **Server erstellen** aus. Einzelheiten zu den verbleibenden Schritten zum Erstellen eines Servers finden Sie unter[Konfiguration eines SFTP-, FTPS- oder FTP-Serverendpunkts](tf-server-endpoint.md).

## Ressourcenbasierte Lambda-Richtlinie
<a name="lambda-resource-policy"></a>

Sie benötigen eine Richtlinie, die auf den Transfer Family Family-Server und Lambda ARNs verweist. Sie könnten beispielsweise die folgende Richtlinie mit Ihrer Lambda-Funktion verwenden, die eine Verbindung zu Ihrem Identitätsanbieter herstellt. Bei der Richtlinie wird JSON als Zeichenfolge maskiert.

****  

```
"Policy":
"{\"Version\":\"2012-10-17\",
\"Id\":\"default\",
\"Statement\":[
  {\"Sid\":\"AllowTransferInvocation\",
  \"Effect\":\"Allow\",
  \"Principal\":{\"Service\":\"transfer.amazonaws.com\"},
  \"Action\":\"lambda:InvokeFunction\",
  \"Resource\":\"arn:aws:lambda:region:123456789012:function:my-lambda-auth-function\",
  \"Condition\":{\"ArnLike\":{\"AWS:SourceArn\":\"arn:aws:transfer:region:123456789012:server/server-id\"}}}
]}"
```

**Anmerkung**  
Ersetzen Sie in der obigen Beispielrichtlinie jede Richtlinie *user input placeholder* durch Ihre eigenen Informationen.

## Struktur von Ereignismeldungen
<a name="event-message-structure"></a>

Die Struktur der Ereignisnachrichten, die vom SFTP-Server an die Lambda-Funktion des Autorisierers für einen benutzerdefinierten IDP gesendet werden, lautet wie folgt.

```
{
    "username": "value",
    "password": "value",
    "protocol": "SFTP",
    "serverId": "s-abcd123456",
    "sourceIp": "192.168.0.100"
}
```

Wo `username` und `password` sind die Werte für die Anmeldeinformationen, die an den Server gesendet werden.

Sie geben beispielsweise den folgenden Befehl ein, um eine Verbindung herzustellen:

```
sftp bobusa@server_hostname
```

Sie werden dann aufgefordert, Ihr Passwort einzugeben:

```
Enter password:
    mysecretpassword
```

Sie können dies von Ihrer Lambda-Funktion aus überprüfen, indem Sie das übergebene Ereignis aus der Lambda-Funktion heraus drucken. Es sollte dem folgenden Textblock ähneln.

```
{
    "username": "bobusa",
    "password": "mysecretpassword",
    "protocol": "SFTP",
    "serverId": "s-abcd123456",
    "sourceIp": "192.168.0.100"
}
```

Die Ereignisstruktur ist für FTP und FTPS ähnlich: Der einzige Unterschied besteht darin, dass diese Werte für den `protocol` Parameter und nicht für SFTP verwendet werden.

## Lambda-Funktionen für die Authentifizierung
<a name="authentication-lambda-examples"></a>

Bearbeiten Sie die Lambda-Funktion, um verschiedene Authentifizierungsstrategien zu implementieren. Um die Anforderungen Ihrer Anwendung zu erfüllen, können Sie einen CloudFormation Stack bereitstellen. Weitere Informationen zu Lambda finden Sie im [AWS Lambda Developer Guide](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) oder im [Building Lambda functions with Node.js](https://docs.aws.amazon.com/lambda/latest/dg/lambda-nodejs.html).

**Topics**
+ [Gültige Lambda-Werte](#lambda-valid-values)
+ [Beispiele für Lambda-Funktionen](#lambda-auth-examples)
+ [Testen Sie Ihre Konfiguration](#authentication-test-configuration)
+ [Lambda-Funktionsvorlagen](#lambda-idp-templates)

### Gültige Lambda-Werte
<a name="lambda-valid-values"></a>

In der folgenden Tabelle werden Details zu den Werten beschrieben, die Transfer Family für Lambda-Funktionen akzeptiert, die für benutzerdefinierte Identitätsanbieter verwendet werden.


|  Wert  |  Description  |  Erforderlich  | 
| --- | --- | --- | 
|  `Role`  |  Gibt den Amazon-Ressourcennamen (ARN) der IAM-Rolle an, die den Zugriff Ihrer Benutzer auf Ihren Amazon S3-Bucket oder Ihr Amazon EFS-Dateisystem steuert. Die mit dieser Rolle verknüpften Richtlinien bestimmen die Zugriffsebene, die Sie Ihren Benutzern beim Übertragen von Dateien in und aus Ihrem Amazon S3- oder Amazon EFS-Dateisystem gewähren möchten. Die IAM-Rolle sollte außerdem eine Vertrauensstellung enthalten, mit der der Server Zugriff auf Ihre Ressourcen erhält, wenn er die Übertragungsanfragen Ihres Benutzers bearbeitet. Einzelheiten zum Aufbau einer Vertrauensbeziehung finden Sie unter[So stellen Sie eine Vertrauensbeziehung her](requirements-roles.md#establish-trust-transfer).  |  Erforderlich  | 
|  `PosixProfile`  |  Die vollständige POSIX-Identität, einschließlich Benutzer-ID (`Uid`), Gruppen-ID (`Gid`) und jeder sekundären Gruppe IDs (`SecondaryGids`), die den Zugriff Ihrer Benutzer auf Ihre Amazon EFS-Dateisysteme steuert. Die POSIX-Berechtigungen, die für Dateien und Verzeichnisse in Ihrem Dateisystem festgelegt sind, bestimmen die Zugriffsebene, die Ihre Benutzer beim Übertragen von Dateien in und aus Ihren Amazon EFS-Dateisystemen erhalten.  |  Erforderlich für Amazon EFS-Backing-Speicher  | 
|  `PublicKeys`  |  Eine Liste der Werte für öffentliche SSH-Schlüssel, die für diesen Benutzer gültig sind. Eine leere Liste bedeutet, dass dies kein gültiges Login ist. Darf bei der Passwortauthentifizierung nicht zurückgegeben werden.  |  Optional  | 
|  `Policy`  |  Eine Sitzungsrichtlinie für Ihren Benutzer, sodass Sie dieselbe IAM-Rolle für mehrere Benutzer verwenden können. Diese Richtlinie grenzt den Benutzerzugriff auf Teile ihres Amazon S3-Buckets ein. Weitere Informationen zur Verwendung von Sitzungsrichtlinien mit benutzerdefinierten Identitätsanbietern finden Sie in den Beispielen für Sitzungsrichtlinien in diesem Thema.  |  Optional  | 
|  `HomeDirectoryType`  |  Die Art des Zielverzeichnisses (Ordners), das das Home-Verzeichnis Ihrer Benutzer sein soll, wenn sie sich beim Server anmelden. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/custom-lambda-idp.html)  |  Optional  | 
|  `HomeDirectoryDetails`  |  Logische Verzeichniszuordnungen, die angeben, welche Amazon S3- oder Amazon EFS-Pfade und -Schlüssel für Ihren Benutzer sichtbar sein sollen und wie Sie sie sichtbar machen möchten. Sie müssen das `Entry` `Target` Und-Paar angeben, das `Entry` zeigt, wie der Pfad sichtbar gemacht `Target` wird und der tatsächliche Amazon S3- oder Amazon EFS-Pfad ist.  |  Erforderlich, wenn `HomeDirectoryType` der Wert `LOGICAL`  | 
|  `HomeDirectory`  |  Das Zielverzeichnis für einen Benutzer, wenn er sich über den Client am Server anmeldet. Das Format hängt von Ihrem Speicher-Backend ab: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/custom-lambda-idp.html)  Der Bucket-Name oder die Amazon EFS-Dateisystem-ID müssen im Pfad enthalten sein. Wenn Sie diese Informationen weglassen, treten bei Dateiübertragungen die Fehlermeldung „Datei nicht gefunden“ auf.   |  Optional  | 

**Anmerkung**  
`HomeDirectoryDetails`ist eine Zeichenkettendarstellung einer JSON-Map. Dies steht im Gegensatz zu`PosixProfile`, was ein eigentliches JSON-Map-Objekt ist und `PublicKeys` welches ein JSON-Array von Zeichenketten ist. Die sprachspezifischen Details finden Sie in den Codebeispielen.

**HomeDirectory Anforderungen an das Format**  
Achten Sie bei der Verwendung des `HomeDirectory` Parameters darauf, dass Sie das vollständige Pfadformat angeben:  
**Für Amazon S3 S3-Speicher:** Geben Sie immer den Bucket-Namen im Format an `/bucket-name/path`
**Für Amazon EFS-Speicher:** Geben Sie immer die Dateisystem-ID im Format an `/fs-12345/path`
Eine häufige Ursache für Fehler „Datei nicht gefunden“ ist das Auslassen des Bucket-Namens oder der EFS-Dateisystem-ID im `HomeDirectory` Pfad. Die Einstellung „`HomeDirectory`Nur `/` ohne Speicher-ID“ führt dazu, dass die Authentifizierung erfolgreich ist, Dateioperationen jedoch fehlschlagen.

### Beispiele für Lambda-Funktionen
<a name="lambda-auth-examples"></a>

In diesem Abschnitt werden einige Lambda-Beispielfunktionen sowohl in NodeJS als auch in Python vorgestellt.

**Anmerkung**  
In diesen Beispielen sind der Benutzer, die Rolle, das POSIX-Profil, das Passwort und die Home-Verzeichnisdetails allesamt Beispiele und müssen durch Ihre tatsächlichen Werte ersetzt werden.

------
#### [ Logical home directory, NodeJS ]

Die folgende NodeJS-Beispielfunktion stellt die Details für einen Benutzer bereit, der über ein [logisches Home-Verzeichnis](https://docs.aws.amazon.com/transfer/latest/userguide/logical-dir-mappings.html) verfügt. 

```
// GetUserConfig Lambda

exports.handler = (event, context, callback) => {
  console.log("Username:", event.username, "ServerId: ", event.serverId);

  var response;
  // Check if the username presented for authentication is correct. This doesn't check the value of the server ID, only that it is provided.
  if (event.serverId !== "" && event.username == 'example-user') {
    var homeDirectoryDetails = [
      {
        Entry: "/",
        Target: "/fs-faa1a123"
      }
    ];
    response = {
      Role: 'arn:aws:iam::123456789012:role/transfer-access-role', // The user is authenticated if and only if the Role field is not blank
      PosixProfile: {"Gid": 65534, "Uid": 65534}, // Required for EFS access, but not needed for S3
      HomeDirectoryDetails: JSON.stringify(homeDirectoryDetails),
      HomeDirectoryType: "LOGICAL",
    };

    // Check if password is provided
    if (!event.password) {
      // If no password provided, return the user's SSH public key
      response['PublicKeys'] = [ "ssh-rsa abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789" ];
    // Check if password is correct
    } else if (event.password !== 'Password1234') {
      // Return HTTP status 200 but with no role in the response to indicate authentication failure
      response = {};
    }
  } else {
    // Return HTTP status 200 but with no role in the response to indicate authentication failure
    response = {};
  }
  callback(null, response);
};
```

------
#### [ Path-based home directory, NodeJS ]

Die folgende NodeJS-Beispielfunktion stellt die Details für einen Benutzer bereit, der über ein pfadbasiertes Home-Verzeichnis verfügt. 

```
// GetUserConfig Lambda

exports.handler = (event, context, callback) => {
  console.log("Username:", event.username, "ServerId: ", event.serverId);

  var response;
  // Check if the username presented for authentication is correct. This doesn't check the value of the server ID, only that it is provided.
  // There is also event.protocol (one of "FTP", "FTPS", "SFTP") and event.sourceIp (e.g., "127.0.0.1") to further restrict logins.
  if (event.serverId !== "" && event.username == 'example-user') {
    response = {
      Role: 'arn:aws:iam::123456789012:role/transfer-access-role', // The user is authenticated if and only if the Role field is not blank
      Policy: '', // Optional, JSON stringified blob to further restrict this user's permissions
      // HomeDirectory format depends on your storage backend:
      // For S3: '/bucket-name/user-home-directory' (e.g., '/my-transfer-bucket/users/john')
      // For EFS: '/fs-12345/user-home-directory' (e.g., '/fs-faa1a123/users/john')
      HomeDirectory: '/my-transfer-bucket/users/example-user' // S3 example - replace with your bucket name
      // HomeDirectory: '/fs-faa1a123/users/example-user' // EFS example - uncomment for EFS
    };
    
    // Check if password is provided
    if (!event.password) {
      // If no password provided, return the user's SSH public key
     response['PublicKeys'] = [ "ssh-rsa abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789" ];
    // Check if password is correct
    } else if (event.password !== 'Password1234') {
      // Return HTTP status 200 but with no role in the response to indicate authentication failure
      response = {};
    } 
  } else {
    // Return HTTP status 200 but with no role in the response to indicate authentication failure
    response = {};
  }
  callback(null, response);
};
```

------
#### [ Logical home directory, Python ]

Die folgende Python-Beispielfunktion stellt die Details für einen Benutzer bereit, der über ein [logisches Home-Verzeichnis](https://docs.aws.amazon.com/transfer/latest/userguide/logical-dir-mappings.html) verfügt. 

```
# GetUserConfig Python Lambda with LOGICAL HomeDirectoryDetails
import json

def lambda_handler(event, context):
  print("Username: {}, ServerId: {}".format(event['username'], event['serverId']))

  response = {}

  # Check if the username presented for authentication is correct. This doesn't check the value of the server ID, only that it is provided.
  if event['serverId'] != '' and event['username'] == 'example-user':
    homeDirectoryDetails = [
      {
        'Entry': '/',
        'Target': '/fs-faa1a123'
      }
    ]
    response = {
      'Role': 'arn:aws:iam::123456789012:role/transfer-access-role', # The user will be authenticated if and only if the Role field is not blank
      'PosixProfile': {"Gid": 65534, "Uid": 65534}, # Required for EFS access, but not needed for S3
      'HomeDirectoryDetails': json.dumps(homeDirectoryDetails),
      'HomeDirectoryType': "LOGICAL"
    }

    # Check if password is provided
    if event.get('password', '') == '':
      # If no password provided, return the user's SSH public key
     response['PublicKeys'] = [ "ssh-rsa abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789" ]
    # Check if password is correct
    elif event['password'] != 'Password1234':
      # Return HTTP status 200 but with no role in the response to indicate authentication failure
      response = {}
  else:
    # Return HTTP status 200 but with no role in the response to indicate authentication failure
    response = {}

  return response
```

------
#### [ Path-based home directory, Python ]

Die folgende Python-Beispielfunktion stellt die Details für einen Benutzer bereit, der über ein pfadbasiertes Home-Verzeichnis verfügt. 

```
# GetUserConfig Python Lambda with PATH HomeDirectory

def lambda_handler(event, context):
  print("Username: {}, ServerId: {}".format(event['username'], event['serverId']))

  response = {}

  # Check if the username presented for authentication is correct. This doesn't check the value of the server ID, only that it is provided.
  # There is also event.protocol (one of "FTP", "FTPS", "SFTP") and event.sourceIp (e.g., "127.0.0.1") to further restrict logins.
  if event['serverId'] != '' and event['username'] == 'example-user':
    response = {
      'Role': 'arn:aws:iam::123456789012:role/transfer-access-role', # The user will be authenticated if and only if the Role field is not blank
      'Policy': '', #  Optional, JSON stringified blob to further restrict this user's permissions
      # HomeDirectory format depends on your storage backend:
      # For S3: '/bucket-name/user-home-directory' (e.g., '/my-transfer-bucket/users/john')
      # For EFS: '/fs-12345/user-home-directory' (e.g., '/fs-faa1a123/users/john')
      'HomeDirectory': '/my-transfer-bucket/users/example-user', # S3 example - replace with your bucket name
      # 'HomeDirectory': '/fs-faa1a123/users/example-user', # EFS example - uncomment for EFS
      'HomeDirectoryType': "PATH" # Not strictly required, defaults to PATH
    }
    
    # Check if password is provided
    if event.get('password', '') == '':
      # If no password provided, return the user's SSH public key
     response['PublicKeys'] = [ "ssh-rsa abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789" ]
    # Check if password is correct
    elif event['password'] != 'Password1234':
      # Return HTTP status 200 but with no role in the response to indicate authentication failure
      response = {}
  else:
    # Return HTTP status 200 but with no role in the response to indicate authentication failure
    response = {}

  return response
```

------

### Testen Sie Ihre Konfiguration
<a name="authentication-test-configuration"></a>

Nachdem Sie Ihren benutzerdefinierten Identitätsanbieter erstellt haben, sollten Sie Ihre Konfiguration testen.

------
#### [ Console ]

**Um Ihre Konfiguration mit der AWS Transfer Family Konsole zu testen**

1. Öffnen Sie die [AWS Transfer Family -Konsole](https://console.aws.amazon.com/transfer/). 

1. Wählen Sie auf der Seite **Server** Ihren neuen Server aus, klicken Sie auf **Aktionen** und dann auf **Test**.

1. Geben Sie den Text für **Benutzername** und **Passwort ein**, den Sie bei der Bereitstellung des CloudFormation Stacks festgelegt haben. Wenn Sie die Standardoptionen beibehalten haben, lautet der Benutzername `myuser` und das Passwort`MySuperSecretPassword`.

1. Wählen Sie das **Serverprotokoll** und geben Sie die IP-Adresse für **Quell-IP** ein, falls Sie diese bei der Bereitstellung des CloudFormation Stacks festgelegt haben.

------
#### [ CLI ]

**So testen Sie Ihre Konfiguration mit der AWS CLI**

1. Führen Sie den Befehl [test-identity-provider](https://docs.aws.amazon.com/cli/latest/reference/transfer/test-identity-provider.html) aus. Ersetzen Sie jede `user input placeholder` durch Ihre eigenen Informationen, wie in den nachfolgenden Schritten beschrieben.

   ```
   aws transfer test-identity-provider --server-id s-1234abcd5678efgh --user-name myuser --user-password MySuperSecretPassword --server-protocol FTP --source-ip 127.0.0.1
   ```

1. Geben Sie die Server-ID ein.

1. Geben Sie den Benutzernamen und das Passwort ein, die Sie bei der Bereitstellung des CloudFormation Stacks festgelegt haben. Wenn Sie die Standardoptionen beibehalten haben, lautet der Benutzername `myuser` und das Passwort`MySuperSecretPassword`.

1. Geben Sie das Serverprotokoll und die Quell-IP-Adresse ein, falls Sie sie bei der Bereitstellung des CloudFormation Stacks festgelegt haben.

------

Wenn die Benutzerauthentifizierung erfolgreich ist, gibt der Test eine `StatusCode: 200` HTTP-Antwort, eine leere Zeichenfolge `Message: ""` (die andernfalls einen Grund für den Fehler enthalten würde) und ein `Response` Feld zurück.

**Anmerkung**  
 Im Antwortbeispiel unten ist das `Response` Feld ein JSON-Objekt, das „stringifiziert“ wurde (in eine einfache JSON-Zeichenfolge umgewandelt, die innerhalb eines Programms verwendet werden kann) und die Details der Rollen und Berechtigungen des Benutzers enthält.

```
{
    "Response":"{\"Policy\":\"{\\\"Version\\\":\\\"2012-10-17\\\",\\\"Statement\\\":[{\\\"Sid\\\":\\\"ReadAndListAllBuckets\\\",\\\"Effect\\\":\\\"Allow\\\",\\\"Action\\\":[\\\"s3:ListAllMybuckets\\\",\\\"s3:GetBucketLocation\\\",\\\"s3:ListBucket\\\",\\\"s3:GetObjectVersion\\\",\\\"s3:GetObjectVersion\\\"],\\\"Resource\\\":\\\"*\\\"}]}\",\"Role\":\"arn:aws:iam::000000000000:role/MyUserS3AccessRole\",\"HomeDirectory\":\"/\"}",
    "StatusCode": 200,
    "Message": ""
}
```

### Lambda-Funktionsvorlagen
<a name="lambda-idp-templates"></a>

Sie können einen CloudFormation Stack bereitstellen, der eine Lambda-Funktion zur Authentifizierung verwendet. Wir stellen mehrere Vorlagen zur Verfügung, mit denen Sie Ihre Benutzer mithilfe von Anmeldeinformationen authentifizieren und autorisieren können. Sie können diese Vorlagen oder den AWS Lambda Code ändern, um den Benutzerzugriff weiter anzupassen.

**Anmerkung**  
Sie können einen FIPS-fähigen AWS Transfer Family Server erstellen, CloudFormation indem Sie in Ihrer Vorlage eine FIPS-fähige Sicherheitsrichtlinie angeben. Die verfügbaren Sicherheitsrichtlinien werden unter beschrieben [Sicherheitsrichtlinien für Server AWS Transfer Family](security-policies.md) 

**Um einen CloudFormation Stack für die Authentifizierung zu erstellen**

1. Öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).

1. Folgen Sie den Anweisungen zum Bereitstellen eines CloudFormation Stacks aus einer vorhandenen Vorlage unter [Auswahl einer Stack-Vorlage](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-using-console-create-stack-template.html) im *AWS CloudFormation Benutzerhandbuch*.

1. Verwenden Sie eine der folgenden Vorlagen, um eine Lambda-Funktion für die Authentifizierung in Transfer Family zu erstellen. 
   + [Klassische (Amazon Cognito) Stack-Vorlage](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-basic-lambda-cognito-s3.template.yml)

     Eine grundlegende Vorlage zum Erstellen einer Vorlage AWS Lambda zur Verwendung als benutzerdefinierter Identitätsanbieter in AWS Transfer Family. Es authentifiziert sich bei Amazon Cognito für die kennwortbasierte Authentifizierung und öffentliche Schlüssel werden aus einem Amazon S3 S3-Bucket zurückgegeben, wenn eine Authentifizierung auf Basis eines öffentlichen Schlüssels verwendet wird. Nach der Bereitstellung können Sie den Lambda-Funktionscode ändern, um etwas anderes zu tun.
   + [AWS Secrets Manager Vorlage stapeln](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-secrets-manager-lambda.template.yml)

     Eine grundlegende Vorlage, die AWS Lambda zusammen mit einem AWS Transfer Family Server verwendet wird, um Secrets Manager als Identitätsanbieter zu integrieren. Sie authentifiziert sich anhand eines Eintrags in AWS Secrets Manager diesem Format`aws/transfer/server-id/username`. Darüber hinaus muss das Geheimnis die Schlüssel-Wert-Paare für alle Benutzereigenschaften enthalten, die an Transfer Family zurückgegeben werden. Nach der Bereitstellung können Sie den Lambda-Funktionscode ändern, um etwas anderes zu tun.
   + [Okta-Stack-Vorlage](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-okta-lambda.template.yml): Eine Basisvorlage, die AWS Lambda zusammen mit einem AWS Transfer Family Server verwendet wird, um Okta als benutzerdefinierten Identitätsanbieter zu integrieren.
   + [Okta-MFA-Stack-Vorlage](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-okta-mfa-lambda.template.yml): Eine Basisvorlage, die AWS Lambda zusammen mit einem AWS Transfer Family Server zur Integration von Okta mit Multi-Faktor-Authentifizierung als benutzerdefiniertem Identitätsanbieter verwendet wird.
   + [Azure Active Directory-Vorlage](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-basic-lambda-azure-ad.template.yml): Einzelheiten zu diesem Stack werden im Blogbeitrag [Authentifizierung AWS Transfer Family mit](https://aws.amazon.com/blogs/storage/authenticating-to-aws-transfer-family-with-azure-active-directory-and-aws-lambda/) Azure Active Directory und beschrieben. AWS Lambda

   Nachdem der Stack bereitgestellt wurde, können Sie Details dazu auf der Registerkarte **Ausgaben** in der CloudFormation Konsole einsehen.

   Die Bereitstellung eines dieser Stacks ist der einfachste Weg, einen benutzerdefinierten Identitätsanbieter in den Transfer Family Family-Workflow zu integrieren.

# Verwenden Sie Amazon API Gateway zur Integration Ihres Identitätsanbieters
<a name="authentication-api-gateway"></a>

In diesem Thema wird beschrieben, wie Sie eine AWS Lambda Funktion verwenden, um eine API-Gateway-Methode zu unterstützen. Verwenden Sie diese Option, wenn Sie eine RESTful API zur Integration Ihres Identitätsanbieters benötigen oder wenn Sie deren Funktionen zum Geoblocking oder AWS WAF zur Ratenbegrenzung von Anfragen nutzen möchten.

Für die meisten Anwendungsfälle wird empfohlen, einen benutzerdefinierten Identitätsanbieter zu konfigurieren, die Verwendung von. [Lösung für einen benutzerdefinierten Identitätsanbieter](custom-idp-toolkit.md)

**Einschränkungen bei der Verwendung eines API Gateway zur Integration Ihres Identitätsanbieters**
+ Diese Konfiguration unterstützt keine benutzerdefinierten Domänen.
+ Diese Konfiguration unterstützt keine private API-Gateway-URL.

Wenn Sie eines davon benötigen, können Sie Lambda als Identitätsanbieter ohne API Gateway verwenden. Details hierzu finden Sie unter [Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet](custom-lambda-idp.md).

## Authentifizierung mit einer API-Gateway-Methode
<a name="authentication-custom-ip"></a>

Sie können eine API-Gateway-Methode zur Verwendung als Identitätsanbieter für Transfer Family erstellen. Dieser Ansatz bietet Ihnen eine äußerst sichere Methode zum Erstellen und Bereitstellen APIs. Mit API Gateway können Sie einen HTTPS-Endpunkt erstellen, sodass alle eingehenden API-Operationen mit größerer Sicherheit übertragen werden. Weitere Informationen zum API Gateway-Dienst finden Sie im [API Gateway Developer Guide](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html).

API Gateway bietet eine Autorisierungsmethode mit dem Namen`AWS_IAM`, die Ihnen dieselbe Authentifizierung auf Basis von AWS Identity and Access Management (IAM) bietet, die auch intern AWS verwendet wird. Wenn Sie die Authentifizierung mit aktivieren`AWS_IAM`, können nur Aufrufer mit ausdrücklichen Berechtigungen zum Aufrufen einer API die API-Gateway-Methode dieser API erreichen.

Um Ihre API Gateway Gateway-Methode als benutzerdefinierten Identitätsanbieter für Transfer Family zu verwenden, aktivieren Sie IAM für Ihre API Gateway Gateway-Methode. Im Rahmen dieses Prozesses stellen Sie eine IAM-Rolle mit Berechtigungen für Transfer Family bereit, Ihr Gateway zu verwenden.

**Anmerkung**  
Um die Sicherheit zu verbessern, können Sie eine Firewall für Webanwendungen konfigurieren. AWS WAF ist eine Firewall für Webanwendungen, mit der Sie die HTTP- und HTTPS-Anfragen überwachen können, die an ein Amazon API Gateway weitergeleitet werden. Details hierzu finden Sie unter [Fügen Sie eine Firewall für Webanwendungen hinzu](web-application-firewall.md).

**API-Gateway-Caching nicht aktivieren**  
Aktivieren Sie das Caching nicht für Ihre API-Gateway-Methode, wenn Sie sie als benutzerdefinierten Identitätsanbieter für Transfer Family verwenden. Caching ist aus folgenden Gründen unangemessen und für Authentifizierungsanfragen ungültig:  
Jede Authentifizierungsanfrage ist einzigartig und erfordert eine Live-Antwort, keine zwischengespeicherte Antwort
Caching bietet keine Vorteile, da Transfer Family niemals doppelte oder wiederholte Anfragen an das API Gateway sendet
Wenn Sie das Caching aktivieren, antwortet das API Gateway mit nicht übereinstimmenden Daten, was zu ungültigen Antworten auf Authentifizierungsanfragen führt.

**So verwenden Sie Ihre API Gateway Gateway-Methode für die benutzerdefinierte Authentifizierung mit Transfer Family**

1. Erstellen Sie einen CloudFormation Stapel. So gehen Sie vor:
**Anmerkung**  
Die Stack-Vorlagen wurden aktualisiert und verwenden nun BASE64 -kodierte Passwörter: Einzelheiten finden Sie unter. [Verbesserungen an den Vorlagen CloudFormation](#base64-templates)

   1. [Öffnen Sie die CloudFormation Konsole unter /cloudformation. https://console.aws.amazon.com](https://console.aws.amazon.com/cloudformation/)

   1. Folgen Sie den Anweisungen zum Bereitstellen eines CloudFormation Stacks aus einer vorhandenen Vorlage unter [Auswahl einer Stack-Vorlage](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-using-console-create-stack-template.html) im *AWS CloudFormation Benutzerhandbuch*.

   1. Verwenden Sie eine der folgenden Basisvorlagen, um eine AWS Lambda-gestützte API-Gateway-Methode zur Verwendung als benutzerdefinierter Identitätsanbieter in Transfer Family zu erstellen.
      + [Grundlegende Stack-Vorlage](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-basic-apig.template.yml)

        Standardmäßig wird Ihre API Gateway Gateway-Methode als benutzerdefinierter Identitätsanbieter verwendet, um einen einzelnen Benutzer auf einem einzelnen Server mithilfe eines hartcodierten SSH-Schlüssels (Secure Shell) oder eines Passworts zu authentifizieren. Nach der Bereitstellung können Sie den Lambda-Funktionscode ändern, um etwas anderes zu tun.
      + [AWS Secrets Manager Vorlage stapeln](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-secrets-manager-apig.template.yml)

        Standardmäßig authentifiziert sich Ihre API Gateway Gateway-Methode anhand eines Eintrags im Secrets Manager des Formats`aws/transfer/server-id/username`. Darüber hinaus muss das Geheimnis die Schlüssel-Wert-Paare für alle Benutzereigenschaften enthalten, die an Transfer Family zurückgegeben werden. Nach der Bereitstellung können Sie den Lambda-Funktionscode ändern, um etwas anderes zu tun. Weitere Informationen finden Sie im Blogbeitrag [Aktivieren der Kennwortauthentifizierung für die AWS Transfer Family Verwendung AWS Secrets Manager](https://aws.amazon.com/blogs/storage/enable-password-authentication-for-aws-transfer-family-using-aws-secrets-manager-updated/).
      + [Okta-Stack-Vorlage](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-okta-apig.template.yml)

        Ihre API-Gateway-Methode lässt sich in Okta als benutzerdefinierter Identitätsanbieter in Transfer Family integrieren. Weitere Informationen finden Sie im Blogbeitrag [Okta als Identitätsanbieter verwenden mit](https://aws.amazon.com/blogs/storage/using-okta-as-an-identity-provider-with-aws-transfer-for-sftp/). AWS Transfer Family

   Die Bereitstellung eines dieser Stacks ist der einfachste Weg, einen benutzerdefinierten Identitätsanbieter in den Transfer Family Family-Workflow zu integrieren. Jeder Stack verwendet die Lambda-Funktion, um Ihre API-Methode auf Basis von API Gateway zu unterstützen. Anschließend können Sie Ihre API-Methode als benutzerdefinierten Identitätsanbieter in Transfer Family verwenden. Standardmäßig authentifiziert die Lambda-Funktion einen einzelnen Benutzer, der `myuser` mit dem Passwort aufgerufen wird. `MySuperSecretPassword` Nach der Bereitstellung können Sie diese Anmeldeinformationen bearbeiten oder den Lambda-Funktionscode aktualisieren, um etwas anderes zu tun.
**Wichtig**  
Wir empfehlen, dass Sie die standardmäßigen Benutzer- und Kennwortanmeldedaten bearbeiten.

   Nachdem der Stack bereitgestellt wurde, können Sie Details dazu auf der Registerkarte **Ausgaben** in der CloudFormation Konsole einsehen. Zu diesen Details gehören der Amazon-Ressourcenname (ARN) des Stacks, der ARN der IAM-Rolle, die der Stack erstellt hat, und die URL für Ihr neues Gateway.
**Anmerkung**  
Wenn Sie die Option des benutzerdefinierten Identitätsanbieters verwenden, um die passwortbasierte Authentifizierung für Ihre Benutzer zu aktivieren, und Sie die von API Gateway bereitgestellte Anfrage- und Antwortprotokollierung aktivieren, protokolliert API Gateway die Passwörter Ihrer Benutzer in Ihren Amazon Logs. CloudWatch Wir empfehlen nicht, dieses Protokoll in Ihrer Produktionsumgebung zu verwenden. Weitere Informationen finden Sie unter [ CloudWatch API-Protokollierung in API Gateway einrichten](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) im *API Gateway Developer Guide*.

1. Überprüfen Sie die Konfiguration der API Gateway Gateway-Methode für Ihren Server. So gehen Sie vor:

   1. Öffnen Sie die API Gateway Gateway-Konsole unter [https://console.aws.amazon.com/apigateway/](https://console.aws.amazon.com/apigateway/). 

   1. Wählen Sie die **Basisvorlagen-API für Transfer Custom Identity Provider** aus, die von der CloudFormation Vorlage generiert wurde. Möglicherweise müssen Sie Ihre Region auswählen, um Ihre Gateways zu sehen.

   1. Wählen Sie im Bereich **Ressourcen** die Option **GET** aus. Der folgende Screenshot zeigt die korrekte Methodenkonfiguration.  
![\[API-Konfigurationsdetails mit den Methodenkonfigurationsparametern für die Anforderungspfade und die für die URL-Abfragezeichenfolge.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/apig-config-method-fields.png)

   Zu diesem Zeitpunkt ist Ihr API-Gateway bereit für die Bereitstellung.

1. Wählen Sie für **Aktionen** die Option **Deploy API** aus. Wählen Sie für die **Bereitstellungsphase** die Option **prod** und dann **Deploy** aus.

   Nachdem die API Gateway Gateway-Methode erfolgreich bereitgestellt wurde, können Sie sich ihre Leistung unter **Stufen** **> Phasendetails** ansehen, wie im folgenden Screenshot gezeigt.
**Anmerkung**  
Kopieren Sie die **Invoke-URL-Adresse**, die oben auf dem Bildschirm angezeigt wird. Möglicherweise benötigen Sie sie für den nächsten Schritt.  
![\[Details zur Phase, wobei die Aufruf-URL hervorgehoben ist.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/apig-config-method-invoke.png)

1. Öffnen Sie die AWS Transfer Family Konsole unter. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)

1. Eine Transfer Family sollte für Sie erstellt worden sein, als Sie den Stack erstellt haben. Wenn nicht, konfigurieren Sie Ihren Server mithilfe dieser Schritte.

   1. Wählen Sie **Server erstellen**, um die Seite **Server erstellen** zu öffnen. **Wählen Sie für Wählen Sie einen Identitätsanbieter** die Option **Benutzerdefiniert** und dann **Amazon API Gateway verwenden, um eine Verbindung zu Ihrem Identitätsanbieter** herzustellen, wie im folgenden Screenshot gezeigt.  
![\[Der Identitätsanbieter-Bildschirm mit ausgewähltem Custom Identity Provider und ausgewähltem API Gateway für die Verbindung mit Ihrem Identitätsanbieter.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-server-choose-idp-custom.png)

   1. Fügen Sie in das Textfeld **Geben Sie eine Amazon API Gateway Gateway-URL** ein die **Aufruf-URL-Adresse** des API Gateway-Endpunkts ein, den Sie in Schritt 3 dieses Verfahrens erstellt haben.

   1. Wählen Sie unter **Rolle** die IAM-Rolle aus, die mit der CloudFormation Vorlage erstellt wurde. Diese Rolle ermöglicht es Transfer Family, Ihre API-Gateway-Methode aufzurufen.

      Die Aufrufrolle enthält den CloudFormation Stack-Namen, den Sie für den Stack ausgewählt haben, den Sie in Schritt 1 erstellt haben. Es hat das folgende Format:`CloudFormation-stack-name-TransferIdentityProviderRole-ABC123DEF456GHI`.

   1. Füllen Sie die verbleibenden Felder aus und wählen Sie dann **Server erstellen**. Einzelheiten zu den verbleibenden Schritten zum Erstellen eines Servers finden Sie unter[Konfiguration eines SFTP-, FTPS- oder FTP-Serverendpunkts](tf-server-endpoint.md).

## Implementierung Ihrer API-Gateway-Methode
<a name="authentication-api-method"></a>

Um einen benutzerdefinierten Identitätsanbieter für Transfer Family zu erstellen, muss Ihre API-Gateway-Methode eine einzelne Methode implementieren, die einen Ressourcenpfad von hat`/servers/serverId/users/username/config`. Die `username` Werte `serverId` und stammen aus dem RESTful Ressourcenpfad. Fügen Sie außerdem `sourceIp` und `protocol` als **URL-Abfragezeichenfolgenparameter** zur **Methodenanforderung** hinzu, wie in der folgenden Abbildung gezeigt.

![\[Der Ressourcenbildschirm des API Gateway mit den GET Methodendetails.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/apig-config-method-request.png)


**Anmerkung**  
Der Benutzername muss mindestens 3 und maximal 100 Zeichen lang sein. Sie können die folgenden Zeichen im Benutzernamen verwenden: a—z, A-Z, 0—9, Unterstrich '\$1', Bindestrich '-', Punkt '.' und das Zeichen '@'. Der Benutzername darf nicht mit einem Bindestrich '-', einem Punkt '.' oder einem Zeichen '@' beginnen.

Wenn Transfer Family versucht, Ihren Benutzer mit einem Passwort zu authentifizieren, stellt der Dienst ein `Password:` Header-Feld bereit. In Ermangelung eines `Password:` Headers versucht Transfer Family, Ihren Benutzer mit einer Authentifizierung mit öffentlichem Schlüssel zu authentifizieren.

Wenn Sie einen Identitätsanbieter zur Authentifizierung und Autorisierung von Endbenutzern verwenden, können Sie neben der Überprüfung ihrer Anmeldeinformationen auch Zugriffsanfragen auf der Grundlage der IP-Adressen der von Ihren Endbenutzern verwendeten Clients zulassen oder ablehnen. Mit dieser Funktion können Sie sicherstellen, dass auf Daten, die in Ihren S3-Buckets oder Ihrem Amazon EFS-Dateisystem gespeichert sind, über die unterstützten Protokolle nur von IP-Adressen aus zugegriffen werden kann, die Sie als vertrauenswürdig angegeben haben. Um diese Funktion zu aktivieren, müssen Sie sie `sourceIp` in der Abfragezeichenfolge angeben.

Wenn Sie mehrere Protokolle für Ihren Server aktiviert haben und den Zugriff mit demselben Benutzernamen über mehrere Protokolle ermöglichen möchten, können Sie dies tun, sofern die für jedes Protokoll spezifischen Anmeldeinformationen in Ihrem Identitätsanbieter eingerichtet wurden. Um diese Funktion zu aktivieren, müssen Sie den `protocol` Wert in den RESTful Ressourcenpfad aufnehmen.

Ihre API Gateway Gateway-Methode sollte immer den HTTP-Statuscode zurückgeben`200`. Jeder andere HTTP-Statuscode bedeutet, dass beim Zugriff auf die API ein Fehler aufgetreten ist.

**Amazon S3 S3-Beispielantwort**  
Der Beispielantworttext ist ein JSON-Dokument der folgenden Form für Amazon S3.

```
{
 "Role": "IAM role with configured S3 permissions",
 "PublicKeys": [
     "ssh-rsa public-key1",
     "ssh-rsa public-key2"
  ],
 "Policy": "STS Assume role session policy",
 "HomeDirectory": "/amzn-s3-demo-bucket/path/to/home/directory"
}
```

**Anmerkung**  
 Der Richtlinie wird JSON als Zeichenfolge maskiert. Beispiel:   

****  

```
"Policy":
"{
  \"Version\": \"2012-10-17\",
  \"Statement\":
     [
     {\"Condition\":
        {\"StringLike\":
            {\"s3:prefix\":
               [\"user/*\", \"user/\"]}},
     \"Resource\": \"arn:aws:s3:::amzn-s3-demo-bucket\",
     \"Action\": \"s3:ListBucket\",
     \"Effect\": \"Allow\",
     \"Sid\": \"ListHomeDir\"},
     {\"Resource\": \"arn:aws:s3:::*\",
        \"Action\": [\"s3:PutObject\",
        \"s3:GetObject\",
        \"s3:DeleteObjectVersion\",
        \"s3:DeleteObject\",
        \"s3:GetObjectVersion\",
        \"s3:GetObjectACL\",
        \"s3:PutObjectACL\"],
     \"Effect\": \"Allow\",
     \"Sid\": \"HomeDirObjectAccess\"}]
}"
```

Die folgende Beispielantwort zeigt, dass ein Benutzer einen logischen Home-Verzeichnistyp hat.

```
{
   "Role": "arn:aws:iam::123456789012:role/transfer-access-role-s3",
   "HomeDirectoryType":"LOGICAL",
   "HomeDirectoryDetails":"[{\"Entry\":\"/\",\"Target\":\"/amzn-s3-demo-bucket1\"}]",
   "PublicKeys":[""]
}
```

**Amazon EFS-Beispielantwort**  
Der Beispielantworttext ist ein JSON-Dokument der folgenden Form für Amazon EFS.

```
{
 "Role": "IAM role with configured EFS permissions",
 "PublicKeys": [
     "ssh-rsa public-key1",
     "ssh-rsa public-key2"
  ],
 "PosixProfile": {
   "Uid": "POSIX user ID",
   "Gid": "POSIX group ID",
   "SecondaryGids": [Optional list of secondary Group IDs],
 },
 "HomeDirectory": "/fs-id/path/to/home/directory"
}
```

Das `Role` Feld zeigt, dass eine erfolgreiche Authentifizierung stattgefunden hat. Bei der Passwortauthentifizierung (wenn Sie einen `Password:` Header angeben), müssen Sie keine öffentlichen SSH-Schlüssel angeben. Wenn ein Benutzer nicht authentifiziert werden kann, z. B. wenn das Passwort falsch ist, sollte Ihre Methode eine Antwort zurückgeben, die nicht gesetzt ist. `Role` Ein Beispiel für eine solche Antwort ist ein leeres JSON-Objekt.

 Die folgende Beispielantwort zeigt einen Benutzer mit einem logischen Home-Verzeichnistyp. 

```
{
    "Role": "arn:aws:iam::123456789012:role/transfer-access-role-efs",
    "HomeDirectoryType": "LOGICAL",
    "HomeDirectoryDetails":"[{\"Entry\":\"/\",\"Target\":\"/faa1a123\"}]",
    "PublicKeys":[""],
    "PosixProfile":{"Uid":65534,"Gid":65534}
}
```

Sie können Benutzerrichtlinien in die Lambda-Funktion im JSON-Format aufnehmen. Weitere Informationen zur Konfiguration von Benutzerrichtlinien in Transfer Family finden Sie unter[Verwaltung von Zugriffssteuerungen](users-policies.md).

## Standard-Lambda-Funktion
<a name="authentication-lambda-examples-default"></a>

Um verschiedene Authentifizierungsstrategien zu implementieren, bearbeiten Sie die Lambda-Funktion, die Ihr Gateway verwendet. Um Ihnen zu helfen, die Anforderungen Ihrer Anwendung zu erfüllen, können Sie die folgenden Lambda-Beispielfunktionen in Node.js verwenden. Weitere Informationen zu Lambda finden Sie im [AWS Lambda Developer Guide](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) oder im [Building Lambda functions with Node.js](https://docs.aws.amazon.com/lambda/latest/dg/lambda-nodejs.html).

Die folgende Lambda-Beispielfunktion verwendet Ihren Benutzernamen, Ihr Passwort (wenn Sie eine Passwortauthentifizierung durchführen), Ihre Server-ID, Ihr Protokoll und Ihre Client-IP-Adresse. Sie können eine Kombination dieser Eingaben verwenden, um nach Ihrem Identitätsanbieter zu suchen und festzustellen, ob die Anmeldung akzeptiert werden soll.

**Anmerkung**  
Wenn Sie mehrere Protokolle für Ihren Server aktiviert haben und den Zugriff mit demselben Benutzernamen über mehrere Protokolle ermöglichen möchten, können Sie dies tun, sofern die für das Protokoll spezifischen Anmeldeinformationen in Ihrem Identitätsanbieter eingerichtet wurden.  
Für das File Transfer Protocol (FTP) empfehlen wir, separate Anmeldeinformationen für Secure Shell (SSH) File Transfer Protocol (SFTP) und File Transfer Protocol over SSL (FTPS) zu verwenden. Wir empfehlen, separate Anmeldeinformationen für FTP zu verwenden, da FTP im Gegensatz zu SFTP und FTPS Anmeldeinformationen im Klartext überträgt. Wenn FTP-Anmeldeinformationen von SFTP oder FTPS isoliert werden, bleiben Ihre Workloads, die SFTP oder FTPS verwenden, sicher, wenn FTP-Anmeldeinformationen geteilt oder offengelegt werden.

Diese Beispielfunktion gibt die Rollen- und logischen Basisverzeichnisdetails zusammen mit den öffentlichen Schlüsseln zurück (sofern sie die Authentifizierung mit öffentlichen Schlüsseln durchführt).

Wenn Sie vom Service verwaltete Benutzer erstellen, legen Sie deren Basisverzeichnis fest, entweder logisch oder physisch. In ähnlicher Weise benötigen wir die Ergebnisse der Lambda-Funktion, um die gewünschte physische oder logische Verzeichnisstruktur des Benutzers zu vermitteln. Die von Ihnen festgelegten Parameter hängen vom Wert für das [https://docs.aws.amazon.com//transfer/latest/APIReference/API_CreateUser.html#TransferFamily-CreateUser-request-HomeDirectoryType](https://docs.aws.amazon.com//transfer/latest/APIReference/API_CreateUser.html#TransferFamily-CreateUser-request-HomeDirectoryType)Feld ab.
+ `HomeDirectoryType`gesetzt auf `PATH` — das `HomeDirectory` Feld muss dann ein absolutes Amazon S3 S3-Bucket-Präfix oder ein absoluter Amazon EFS-Pfad sein, der für Ihre Benutzer sichtbar ist.
+ `HomeDirectoryType`gesetzt auf `LOGICAL` — Legen Sie *kein* `HomeDirectory` Feld fest. Stattdessen legen wir ein `HomeDirectoryDetails` Feld fest, das die gewünschten Entry/Target Zuordnungen bereitstellt, ähnlich den im [https://docs.aws.amazon.com//transfer/latest/APIReference/API_CreateUser.html#TransferFamily-CreateUser-request-HomeDirectoryMappings](https://docs.aws.amazon.com//transfer/latest/APIReference/API_CreateUser.html#TransferFamily-CreateUser-request-HomeDirectoryMappings)Parameter beschriebenen Werten für vom Service verwaltete Benutzer.

Die Beispielfunktionen sind unter aufgeführt. [Beispiele für Lambda-Funktionen](custom-lambda-idp.md#lambda-auth-examples)

## Lambda-Funktion zur Verwendung mit AWS Secrets Manager
<a name="authentication-lambda-examples-secrets-mgr"></a>

Um sie AWS Secrets Manager als Identitätsanbieter zu verwenden, können Sie mit der Lambda-Funktion in der CloudFormation Beispielvorlage arbeiten. Die Lambda-Funktion fragt den Secrets Manager Manager-Dienst mit Ihren Anmeldeinformationen ab und gibt bei Erfolg ein bestimmtes Geheimnis zurück. Weitere Informationen zu Secrets Manager finden Sie im [Benutzerhandbuch für AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html).

Um eine CloudFormation Beispielvorlage herunterzuladen, die diese Lambda-Funktion verwendet, rufen Sie den [Amazon S3 S3-Bucket auf, der von bereitgestellt wird AWS Transfer Family](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-secrets-manager-apig.template.yml).

## Verbesserungen an den Vorlagen CloudFormation
<a name="base64-templates"></a>

An den veröffentlichten CloudFormation Vorlagen wurden Verbesserungen an der API Gateway Gateway-Schnittstelle vorgenommen. Die Vorlagen verwenden jetzt BASE64 -kodierte Passwörter mit dem API Gateway. Ihre bestehenden Bereitstellungen funktionieren auch ohne diese Erweiterung, lassen jedoch keine Passwörter zu, deren Zeichen außerhalb des grundlegenden US-ASCII-Zeichensatzes liegen.

Die Änderungen in der Vorlage, die diese Funktion ermöglichen, lauten wie folgt:
+ Die `GetUserConfigRequest AWS::ApiGateway::Method` Ressource muss diesen `RequestTemplates` Code haben (die kursiv gedruckte Zeile ist die aktualisierte Zeile)

  ```
  RequestTemplates:
     application/json: |
     {
        "username": "$util.urlDecode($input.params('username'))",
        "password": "$util.escapeJavaScript($util.base64Decode($input.params('PasswordBase64'))).replaceAll("\\'","'")",
        "protocol": "$input.params('protocol')",
        "serverId": "$input.params('serverId')",
        "sourceIp": "$input.params('sourceIp')"
  }
  ```
+ Der Wert `RequestParameters` für die `GetUserConfig` Ressource muss geändert werden, damit der `PasswordBase64` Header verwendet werden kann (die kursiv gedruckte Zeile ist die aktualisierte Zeile):

  ```
  RequestParameters:
     method.request.header.PasswordBase64: false
     method.request.querystring.protocol: false
     method.request.querystring.sourceIp: false
  ```

**Um zu überprüfen, ob die Vorlage für Ihren Stack die neueste ist**

1. Öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).

1. Wählen Sie aus der Liste der Stacks Ihren Stack aus.

1. Wählen Sie im Detailbereich die Registerkarte **Vorlage** aus.

1. Achten Sie auf Folgendes:
   + Suchen Sie nach dieser Zeile und stellen Sie sicher`RequestTemplates`, dass Sie sie haben:

     ```
     "password": "$util.escapeJavaScript($util.base64Decode($input.params('PasswordBase64'))).replaceAll("\\'","'")",
     ```
   + Suchen Sie nach dieser Zeile und stellen Sie sicher`RequestParameters`, dass Sie sie haben:

     ```
     method.request.header.PasswordBase64: false
     ```

Wenn Sie die aktualisierten Zeilen nicht sehen, bearbeiten Sie Ihren Stapel. Einzelheiten zum Aktualisieren Ihres CloudFormation Stacks finden Sie unter [Ändern einer Stack-Vorlage](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-get-template.html) im *AWS CloudFormation; Benutzerhandbuch*.

# Verwendung mehrerer Authentifizierungsmethoden
<a name="custom-idp-mfa"></a>

Der Transfer Family Family-Server steuert die AND-Logik, wenn Sie mehrere Authentifizierungsmethoden verwenden. Transfer Family behandelt dies als zwei separate Anfragen an Ihren benutzerdefinierten Identitätsanbieter: Ihre Wirkung ist jedoch kombiniert.

Beide Anfragen müssen erfolgreich mit der richtigen Antwort zurückgegeben werden, damit die Authentifizierung abgeschlossen werden kann. Transfer Family setzt voraus, dass die beiden Antworten vollständig sind, d. h. sie enthalten alle erforderlichen Elemente (Rolle, Home-Verzeichnis, Richtlinie und das POSIX-Profil, wenn Sie Amazon EFS als Speicher verwenden). Transfer Family verlangt außerdem, dass die Passwortantwort keine öffentlichen Schlüssel enthalten darf.

Die Anfrage nach einem öffentlichen Schlüssel muss vom Identitätsanbieter separat beantwortet werden. Dieses Verhalten bleibt unverändert, wenn **Password OR Key oder** **Password AND Key** verwendet wird.

Das SSH/SFTP-Protokoll fordert den Software-Client zunächst mit einer Authentifizierung über einen öffentlichen Schlüssel auf und fordert dann eine Passwortauthentifizierung an. Dieser Vorgang setzt voraus, dass beide erfolgreich sind, bevor der Benutzer die Authentifizierung abschließen kann.

Für benutzerdefinierte Identitätsanbieter-Optionen können Sie eine der folgenden Optionen für die Authentifizierung angeben.
+ **Passwort ODER Schlüssel** — Benutzer können sich entweder mit ihrem Passwort oder ihrem Schlüssel authentifizieren. Dies ist der Standardwert.
+ **NUR Passwort** — Benutzer müssen ihr Passwort angeben, um eine Verbindung herzustellen.
+ **NUR Schlüssel** — Benutzer müssen ihren privaten Schlüssel angeben, um eine Verbindung herzustellen.
+ **Passwort UND Schlüssel** — Benutzer müssen sowohl ihren privaten Schlüssel als auch ihr Passwort angeben, um eine Verbindung herzustellen. Der Server überprüft zuerst den Schlüssel, und wenn der Schlüssel gültig ist, fordert das System dann zur Eingabe eines Kennworts auf. Wenn der angegebene private Schlüssel nicht mit dem gespeicherten öffentlichen Schlüssel übereinstimmt, schlägt die Authentifizierung fehl.

# IPv6 Unterstützung für benutzerdefinierte Identitätsanbieter
<a name="custom-idp-ipv6"></a>

AWS Transfer Family benutzerdefinierte Identitätsanbieter unterstützen IPv6 Verbindungen vollständig. Bei der Implementierung eines benutzerdefinierten Identitätsanbieters kann Ihre Lambda-Funktion Authentifizierungsanfragen sowohl von als auch von IPv6 Clients ohne zusätzliche Konfiguration empfangen IPv4 und verarbeiten. Die Lambda-Funktion empfängt die IP-Adresse des Clients im `sourceIp` Feld der Anfrage. Dabei kann es sich entweder um eine IPv4 Adresse (zum Beispiel`203.0.113.42`) oder um eine IPv6 Adresse (zum Beispiel`2001:db8:85a3:8d3:1319:8a2e:370:7348`) handeln. Ihre benutzerdefinierte Identitätsanbieter-Implementierung sollte beide Adressformate angemessen handhaben.

**Wichtig**  
Wenn Ihr benutzerdefinierter Identitätsanbieter eine IP-basierte Validierung oder Protokollierung durchführt, stellen Sie sicher, dass Ihre Implementierung die IPv6 Adressformate ordnungsgemäß verarbeitet. IPv6 Adressen sind länger als IPv4 Adressen und verwenden ein anderes Notationsformat.

**Anmerkung**  
Achten Sie beim Umgang mit IPv6 Adressen in Ihrem benutzerdefinierten Identitätsanbieter darauf, dass Sie die richtigen Funktionen zur IPv6 Adressanalyse verwenden und nicht einfache Zeichenkettenvergleiche. IPv6Adressen können in verschiedenen kanonischen Formaten dargestellt werden (z. B. `fd00:b600::ec2` oder). `fd00:b600:0:0:0:0:0:ec2` Verwenden Sie die entsprechenden IPv6 Adressbibliotheken oder Funktionen in Ihrer Implementierungssprache, um Adressen korrekt zu validieren und zu vergleichen IPv6 .

**Example Behandlung von IPv6 Adressen IPv4 sowohl als auch in einem benutzerdefinierten Identitätsanbieter**  

```
def lambda_handler(event, context):
    # Extract the source IP address from the request
    source_ip = event.get('sourceIp', '')
    
    # Log the client IP address (works for both IPv4 and IPv6)
    print(f"Authentication request from: {source_ip}")
    
    # Example of IP-based validation that works with both IPv4 and IPv6
    if is_ip_allowed(source_ip):
        # Continue with authentication
        # ...
    else:
        # Reject the authentication request
        return {
            "Role": "",
            "HomeDirectory": "",
            "Status": "DENIED"
        }
```

Weitere Informationen zur Implementierung benutzerdefinierter Identitätsanbieter finden Sie unter[Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet](custom-lambda-idp.md).

# Verwenden des AWS Directory Service für Microsoft Active Directory
<a name="directory-services-users"></a>

Sie können AWS Transfer Family es verwenden, um Ihre Dateiübertragung von Endbenutzern mithilfe von AWS Directory Service for Microsoft Active Directory zu authentifizieren. Es ermöglicht eine nahtlose Migration von Dateiübertragungsworkflows, die auf der Active Directory-Authentifizierung basieren, ohne dass die Anmeldeinformationen der Endbenutzer geändert werden oder ein benutzerdefinierter Autorisierer erforderlich ist. 

Mit AWS Managed Microsoft AD können Sie Directory Service Benutzern und Gruppen sicheren Zugriff über SFTP, FTPS und FTP auf Daten gewähren, die in Amazon Simple Storage Service (Amazon S3) oder Amazon Elastic File System (Amazon EFS) gespeichert sind. Wenn Sie Active Directory zum Speichern der Anmeldeinformationen Ihrer Benutzer verwenden, haben Sie jetzt eine einfachere Möglichkeit, Dateiübertragungen für diese Benutzer zu aktivieren. 

Sie können den Zugriff auf Active Directory-Gruppen AWS Managed Microsoft AD in Ihrer lokalen Umgebung oder in der AWS Cloud mithilfe von Active Directory-Connectors bereitstellen. Sie können Benutzern, die bereits in Ihrer Microsoft Windows-Umgebung konfiguriert sind, entweder in der AWS Cloud oder in ihrem lokalen Netzwerk, Zugriff auf einen AWS Transfer Family Server gewähren, der AWS Managed Microsoft AD für die Identität verwendet wird. Der AWS Speicher-Blog enthält einen Beitrag, in dem eine Lösung für die Verwendung von Active Directory mit Transfer Family beschrieben wird: [Vereinfachen Sie die Active Directory-Authentifizierung mit einem benutzerdefinierten Identitätsanbieter für AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/).

**Anmerkung**  
AWS Transfer Family unterstützt Simple AD nicht.
Transfer Family unterstützt keine regionsübergreifenden Active Directory-Konfigurationen: Wir unterstützen nur Active Directory-Integrationen, die sich in derselben Region wie die des Transfer Family Family-Servers befinden.
Transfer Family unterstützt AWS Managed Microsoft AD weder die Verwendung von AD Connector noch die Verwendung von AD Connector zur Aktivierung der Multi-Faktor-Authentifizierung (MFA) für Ihre bestehende RADIUS-basierte MFA-Infrastruktur.
AWS Transfer Family unterstützt keine replizierten Regionen von Managed Active Directory.

Zur Verwendung AWS Managed Microsoft AD müssen Sie die folgenden Schritte ausführen:

1. Erstellen Sie mit der Directory Service Konsole ein oder mehrere AWS Managed Microsoft AD Verzeichnisse.

1. Verwenden Sie die Transfer Family Family-Konsole, um einen Server zu erstellen, der ihn AWS Managed Microsoft AD als Identitätsanbieter verwendet. 

1. Richten Sie AWS Directory mit einem Active Directory Connector ein.

1. Fügen Sie Zugriff von einer oder mehreren Ihrer Directory Service Gruppen aus hinzu. 

1. Obwohl dies nicht erforderlich ist, empfehlen wir Ihnen, den Benutzerzugriff zu testen und zu überprüfen.

**Topics**
+ [Bevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory](#managed-ad-prereq)
+ [Arbeiten mit Active Directory-Bereichen](#managed-ad-realms)
+ [Wählen Sie AWS Managed Microsoft AD als Ihren Identitätsanbieter](#managed-ad-identity-provider)
+ [Verbindung mit lokalem Microsoft Active Directory herstellen](#on-prem-ad)
+ [Zugriff auf Gruppen gewähren](#directory-services-grant-access)
+ [Benutzer werden getestet](#directory-services-test-user)
+ [Serverzugriff für eine Gruppe wird gelöscht](#directory-services-misc)
+ [Mit SSH (Secure Shell) eine Verbindung zum Server herstellen](#directory-services-ssh-procedure)
+ [Mithilfe von Gesamtstrukturen und Vertrauensstellungen eine Verbindung AWS Transfer Family zu einem selbstverwalteten Active Directory herstellen](#directory-services-ad-trust)

## Bevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory
<a name="managed-ad-prereq"></a>

**Anmerkung**  
AWS Transfer Family hat ein Standardlimit von 100 Active Directory-Gruppen pro Server. Wenn Ihr Anwendungsfall mehr als 100 Gruppen erfordert, sollten Sie die Verwendung einer benutzerdefinierten Identitätsanbieterlösung in Betracht ziehen, wie unter [Vereinfachen der Active Directory-Authentifizierung mit einem benutzerdefinierten Identitätsanbieter für](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/) beschrieben AWS Transfer Family.

### Geben Sie eine eindeutige Kennung für Ihre AD-Gruppen ein
<a name="add-identifier-adgroups"></a>

Bevor Sie es verwenden können AWS Managed Microsoft AD, müssen Sie für jede Gruppe in Ihrem Microsoft AD-Verzeichnis eine eindeutige Kennung angeben. Sie können dazu die Sicherheits-ID (SID) für jede Gruppe verwenden. Die Benutzer der Gruppe, die Sie zuordnen, haben über die aktivierten Protokolle mithilfe von AWS Transfer Family Zugriff auf Ihre Amazon S3- oder Amazon EFS-Ressourcen. 

Verwenden Sie den folgenden PowerShell Windows-Befehl, um die SID für eine Gruppe abzurufen, und *YourGroupName* ersetzen Sie sie durch den Namen der Gruppe. 

```
Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
```

**Anmerkung**  
Wenn Sie AWS Directory Service als Identitätsanbieter verwenden und wenn `userPrincipalName` und unterschiedliche Werte `SamAccountName` haben, AWS Transfer Family akzeptiert der Wert in`SamAccountName`. Transfer Family akzeptiert den in angegebenen Wert nicht`userPrincipalName`.

### Fügen Sie Ihrer Rolle Directory Service Berechtigungen hinzu
<a name="add-active-directory-permissions"></a>

Sie benötigen außerdem Directory Service API-Berechtigungen, um sie AWS Directory Service als Ihren Identitätsanbieter verwenden zu können. Die folgenden Berechtigungen sind erforderlich oder werden empfohlen:
+ `ds:DescribeDirectories`ist erforderlich, damit Transfer Family das Verzeichnis nachschlagen kann
+ `ds:AuthorizeApplication`ist erforderlich, um die Autorisierung für Transfer Family hinzuzufügen
+ `ds:UnauthorizeApplication`wird empfohlen, alle provisorisch erstellten Ressourcen zu entfernen, falls bei der Servererstellung etwas schief geht

Fügen Sie diese Berechtigungen der Rolle hinzu, die Sie für die Erstellung Ihrer Transfer Family Family-Server verwenden. Weitere Informationen zu diesen Berechtigungen finden Sie unter [Directory Service API-Berechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/UsingWithDS_IAM_ResourcePermissions.html).

## Arbeiten mit Active Directory-Bereichen
<a name="managed-ad-realms"></a>

 Wenn Sie überlegen, wie Ihre Active Directory-Benutzer auf AWS Transfer Family Server zugreifen können, sollten Sie den Bereich des Benutzers und den Bereich seiner Gruppe berücksichtigen. Idealerweise sollten die Realm des Benutzers und der Realm seiner Gruppe übereinstimmen. Das heißt, sowohl der Benutzer als auch die Gruppe befinden sich im Standardbereich oder beide befinden sich im vertrauenswürdigen Bereich. Ist dies nicht der Fall, kann der Benutzer nicht von Transfer Family authentifiziert werden.

Sie können den Benutzer testen, um sicherzustellen, dass die Konfiguration korrekt ist. Details hierzu finden Sie unter [Benutzer werden getestet](#directory-services-test-user). Wenn es ein Problem mit dem user/group Bereich gibt, erhalten Sie die Fehlermeldung Kein zugeordneter Zugriff für Benutzergruppen gefunden.

## Wählen Sie AWS Managed Microsoft AD als Ihren Identitätsanbieter
<a name="managed-ad-identity-provider"></a>

In diesem Abschnitt wird die Verwendung AWS Directory Service for Microsoft Active Directory mit einem Server beschrieben.

**Zur Verwendung AWS Managed Microsoft AD mit Transfer Family**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Directory Service Konsole unter [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

   Verwenden Sie die Directory Service Konsole, um ein oder mehrere verwaltete Verzeichnisse zu konfigurieren. Weitere Informationen finden Sie unter [AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) im *Administratorhandbuch für Directory Service *.  
![\[Die Verzeichnisdienst-Konsole mit einer Liste von Verzeichnissen und deren Details.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/directory-services-AD-list.png)

1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)und wählen Sie **Server erstellen** aus.

1. **Wählen Sie auf der Seite „Protokolle** auswählen“ ein oder mehrere Protokolle aus der Liste aus.
**Anmerkung**  
Wenn Sie **FTPS** auswählen, müssen Sie das AWS Certificate Manager Zertifikat bereitstellen. 

1. **Wählen Sie für Wählen Sie einen Identitätsanbieter** die Option **AWS Directory Service** aus.  
![\[Konsolen-Screenshot mit dem Abschnitt „Identitätsanbieter auswählen“ mit ausgewähltem Directory Service.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-server-choose-idp-directory-services.png)

1. Die **Verzeichnisliste** enthält alle verwalteten Verzeichnisse, die Sie konfiguriert haben. Wählen Sie ein Verzeichnis aus der Liste aus und klicken Sie auf **Weiter**.
**Anmerkung**  
 Kontoübergreifende Verzeichnisse und gemeinsam genutzte Verzeichnisse werden für AWS Managed Microsoft AD nicht unterstützt. 
Um einen Server mit Directory Service als Identitätsanbieter einzurichten, müssen Sie einige Directory Service Berechtigungen hinzufügen. Details hierzu finden Sie unter [Bevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory](#managed-ad-prereq).

1. Verwenden Sie eines der folgenden Verfahren, um die Erstellung des Servers abzuschließen:
   + [Erstellen Sie einen SFTP-fähigen Server](create-server-sftp.md)
   + [Erstellen Sie einen FTPS-fähigen Server](create-server-ftps.md)
   + [Erstellen Sie einen FTP-fähigen Server](create-server-ftp.md)

   Fahren Sie in diesen Verfahren mit dem folgenden Schritt fort: Wählen Sie einen Identitätsanbieter aus.

**Wichtig**  
 Sie können ein Microsoft AD-Verzeichnis nicht löschen, Directory Service wenn Sie es auf einem Transfer Family Family-Server verwendet haben. Sie müssen zuerst den Server löschen, und dann können Sie das Verzeichnis löschen. 

## Verbindung mit lokalem Microsoft Active Directory herstellen
<a name="on-prem-ad"></a>

In diesem Abschnitt wird beschrieben, wie Sie ein AWS Verzeichnis mithilfe eines AD Connector einrichten.

**So richten Sie Ihr AWS Verzeichnis mit AD Connector ein**

1. Öffnen Sie die [Directory Service Service-Konsole](https://console.aws.amazon.com/directoryservicev2/) und wählen Sie **Verzeichnisse** aus.

1. Wählen Sie **Verzeichnis einrichten** aus.

1. Wählen Sie als Verzeichnistyp **AD Connector** aus.

1. Wählen Sie eine Verzeichnisgröße, klicken Sie auf **Weiter** und wählen Sie dann Ihre VPC und Subnetze aus.

1. Wählen Sie **Weiter** aus und füllen Sie dann die Felder wie folgt aus:
   + **Verzeichnis-DNS-Name**: Geben Sie den Domainnamen ein, den Sie für Ihr Microsoft Active Directory verwenden.
   + **DNS-IP-Adressen**: Geben Sie Ihre Microsoft Active Directory-IP-Adressen ein.
   + **Benutzername und **Passwort** des Serverkontos**: Geben Sie die Details für das zu verwendende Dienstkonto ein.

1. Füllen Sie die Bildschirme aus, um den Verzeichnisdienst zu erstellen.

Der nächste Schritt besteht darin, einen Transfer Family Family-Server mit dem SFTP-Protokoll und dem Identitätsanbietertyp **AWS Directory Service** zu erstellen. **Wählen Sie in der Dropdownliste Verzeichnis das Verzeichnis aus, das Sie im vorherigen Verfahren hinzugefügt haben.**

## Zugriff auf Gruppen gewähren
<a name="directory-services-grant-access"></a>

 Nachdem Sie den Server erstellt haben, müssen Sie auswählen, welche Gruppen im Verzeichnis Zugriff auf das Hoch- und Herunterladen von Dateien über die aktivierten Protokolle haben sollen AWS Transfer Family. Sie tun dies, indem Sie einen *Zugriff* erstellen.

**Anmerkung**  
AWS Transfer Family hat ein Standardlimit von 100 Active Directory-Gruppen pro Server. Wenn Ihr Anwendungsfall mehr als 100 Gruppen erfordert, sollten Sie die Verwendung einer benutzerdefinierten Identitätsanbieterlösung in Betracht ziehen, wie unter [Vereinfachen der Active Directory-Authentifizierung mit einem benutzerdefinierten Identitätsanbieter für](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/) beschrieben AWS Transfer Family.

**Anmerkung**  
Benutzer müssen *direkt* zu der Gruppe gehören, der Sie Zugriff gewähren. Nehmen wir beispielsweise an, dass Bob ein Benutzer ist und zu Gruppe A gehört und dass Gruppe A selbst in Gruppe B enthalten ist.  
Wenn Sie Zugriff auf Gruppe A gewähren, wird Bob Zugriff gewährt.
 Wenn Sie Zugriff auf Gruppe B (und nicht auf Gruppe A) gewähren, hat Bob keinen Zugriff.

**Um einer Gruppe Zugriff zu gewähren**

1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Navigieren Sie zu Ihrer Serverdetailseite.

1.  Wählen Sie im Abschnitt **Zugriffe** die Option **Zugriff hinzufügen** aus. 

1.  Geben Sie die SID für das AWS Managed Microsoft AD Verzeichnis ein, auf das Sie Zugriff auf diesen Server haben möchten.
**Anmerkung**  
Informationen darüber, wie Sie die SID für Ihre Gruppe finden, finden Sie unter[Bevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory](#managed-ad-prereq).

1. Wählen Sie für **Access** eine AWS Identity and Access Management (IAM-) Rolle für die Gruppe aus.

1.  Wählen Sie im Abschnitt **Richtlinie** eine Richtlinie aus. Die Standardeinstellung ist **Keine**. 

1. Wählen Sie für **Home-Verzeichnis** einen Amazon S3 S3-Bucket aus, der dem Home-Verzeichnis der Gruppe entspricht.
**Anmerkung**  
Sie können die Teile des Buckets einschränken, die Benutzer sehen, indem Sie eine Sitzungsrichtlinie erstellen. Um beispielsweise Benutzer auf ihren eigenen Ordner im `/filetest` Verzeichnis zu beschränken, geben Sie den folgenden Text in das Feld ein.  

   ```
   /filetest/${transfer:UserName}
   ```
 Weitere Informationen zum Erstellen einer Sitzungsrichtlinie finden Sie unter[Sitzungsrichtlinie für einen Amazon S3 S3-Bucket erstellen](users-policies-session.md). 

1.  Wählen Sie **Hinzufügen**, um die Zuordnung zu erstellen. 

1. Wählen Sie Ihren Server aus.

1. Wählen **Sie Zugriff hinzufügen**.

   1.  Geben Sie die SID für die Gruppe ein. 
**Anmerkung**  
Informationen darüber, wie Sie die SID finden, finden Sie unter[Bevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory](#managed-ad-prereq).

1. Wählen Sie **Zugriff hinzufügen** aus.

 Im Bereich **Zugriffe** werden die Zugriffe für den Server aufgelistet. 

![\[Konsole, in der der Bereich Zugriffe mit den aufgelisteten Serverzugriffen angezeigt wird.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/accesses-list.png)


## Benutzer werden getestet
<a name="directory-services-test-user"></a>

Sie können testen, ob ein Benutzer Zugriff auf das AWS Managed Microsoft AD Verzeichnis für Ihren Server hat.

**Anmerkung**  
Ein Benutzer muss zu genau einer Gruppe (einer externen ID) gehören, die im Abschnitt **Zugriff auf** der **Endpunktkonfigurationsseite** aufgeführt ist. Wenn der Benutzer keiner Gruppe angehört oder zu mehr als einer einzigen Gruppe gehört, wird diesem Benutzer kein Zugriff gewährt.

**Um zu testen, ob ein bestimmter Benutzer Zugriff hat**

1. Wählen Sie auf der Seite mit den Serverdetails **Aktionen** und dann **Test** aus.

1. Geben Sie zum **Testen des Identitätsanbieters** die Anmeldeinformationen für einen Benutzer ein, der zu einer der Gruppen gehört, die Zugriff haben. 

1.  Wählen Sie **Test** aus. 

Sie sehen einen erfolgreichen Identitätsanbietertest, der zeigt, dass dem ausgewählten Benutzer Zugriff auf den Server gewährt wurde.

![\[Konsolen-Screenshot der erfolgreichen Antwort auf den Identitätsanbieter-Test.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/identity-provider-test-success.png)


Wenn der Benutzer zu mehr als einer Gruppe gehört, die Zugriff hat, erhalten Sie die folgende Antwort.

```
"Response":"",
"StatusCode":200,
"Message":"More than one associated access found for user's groups."
```

## Serverzugriff für eine Gruppe wird gelöscht
<a name="directory-services-misc"></a>

**Um den Serverzugriff für eine Gruppe zu löschen**

1. Wählen Sie auf der Seite mit den Serverdetails **Aktionen** und anschließend **Zugriff löschen** aus.

1. Bestätigen Sie im Dialogfeld, dass Sie den Zugriff für diese Gruppe entfernen möchten.

 Wenn Sie zur Seite mit den Serverdetails zurückkehren, sehen Sie, dass der Zugriff für diese Gruppe nicht mehr aufgeführt ist. 

## Mit SSH (Secure Shell) eine Verbindung zum Server herstellen
<a name="directory-services-ssh-procedure"></a>

Nachdem Sie Ihren Server und Ihre Benutzer konfiguriert haben, können Sie über SSH eine Verbindung zum Server herstellen und den vollqualifizierten Benutzernamen für einen Benutzer verwenden, der Zugriff hat. 

```
sftp user@active-directory-domain@vpc-endpoint
```

Beispiel: `transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com`.

Dieses Format zielt auf die Suche im Verbund ab und schränkt die Suche in einem potenziell großen Active Directory ein. 

**Anmerkung**  
Sie können den einfachen Benutzernamen angeben. In diesem Fall muss der Active Directory-Code jedoch alle Verzeichnisse im Verbund durchsuchen. Dadurch kann die Suche eingeschränkt werden, und die Authentifizierung schlägt möglicherweise fehl, selbst wenn der Benutzer Zugriff haben sollte. 

Nach der Authentifizierung befindet sich der Benutzer in dem Basisverzeichnis, das Sie bei der Konfiguration des Benutzers angegeben haben.

## Mithilfe von Gesamtstrukturen und Vertrauensstellungen eine Verbindung AWS Transfer Family zu einem selbstverwalteten Active Directory herstellen
<a name="directory-services-ad-trust"></a>

Directory Service bietet die folgenden Optionen, um eine Verbindung zu einem selbstverwalteten Active Directory herzustellen:
+ Die unidirektionale Gesamtvertrauensstellung (ausgehend von AWS Managed Microsoft AD und eingehend für lokales Active Directory) funktioniert nur für die Stammdomäne.
+ Für untergeordnete Domänen können Sie eine der folgenden Optionen verwenden:
  + Verwenden Sie bidirektionale Vertrauensstellung zwischen AWS Managed Microsoft AD und lokalem Active Directory
  + Verwenden Sie für jede untergeordnete Domäne eine unidirektionale externe Vertrauensstellung.

Wenn der Benutzer über eine vertrauenswürdige Domäne eine Verbindung zum Server herstellt, muss er beispielsweise `transferuserexample@mycompany.com` die vertrauenswürdige Domäne angeben.

# Verwenden des AWS Directory Service für Entra ID Domain Services
<a name="azure-sftp"></a>

 Für Kunden, die nur SFTP-Transfer benötigen und keine Domain verwalten möchten, gibt es Simple Active Directory. Alternativ können Kunden, die die Vorteile von Active Directory und hoher Verfügbarkeit in einem vollständig verwalteten Dienst nutzen möchten, AWS Managed Microsoft AD verwenden. Und für Kunden, die ihre bestehende Active Directory-Gesamtstruktur für ihre SFTP-Übertragung nutzen möchten, gibt es den Active Directory Connector. 

Beachten Sie Folgendes:
+ Um Ihre bestehende Active Directory-Gesamtstruktur für Ihre SFTP-Übertragungsanforderungen zu nutzen, können Sie [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) verwenden.
+ Wenn Sie die Vorteile von Active Directory und hoher Verfügbarkeit in einem vollständig verwalteten Dienst nutzen möchten, können Sie Folgendes verwenden AWS Directory Service for Microsoft Active Directory. Details hierzu finden Sie unter [Verwenden des AWS Directory Service für Microsoft Active Directory](directory-services-users.md).

In diesem Thema wird beschrieben, wie Sie einen Active Directory-Connector und [Entra ID-Domänendienste (früher Azure AD)](https://azure.microsoft.com/en-us/services/active-directory-ds/) verwenden, um SFTP-Übertragungsbenutzer mit Entra ID zu authentifizieren.

**Topics**
+ [Bevor Sie beginnen, AWS Directory Service für Entra ID Domain Services zu verwenden](#azure-prereq)
+ [Schritt 1: Hinzufügen von Entra ID Domain Services](#azure-add-adds)
+ [Schritt 2: Erstellen eines Dienstkontos](#azure-create-service-acct)
+ [Schritt 3: AWS Verzeichnis mit AD Connector einrichten](#azure-setup-directory)
+ [Schritt 4: AWS Transfer Family Server einrichten](#azure-setup-transfer-server)
+ [Schritt 5: Zugriff auf Gruppen gewähren](#azure-grant-access)
+ [Schritt 6: Benutzer testen](#azure-test)

## Bevor Sie beginnen, AWS Directory Service für Entra ID Domain Services zu verwenden
<a name="azure-prereq"></a>

**Anmerkung**  
AWS Transfer Family hat ein Standardlimit von 100 Active Directory-Gruppen pro Server. Wenn Ihr Anwendungsfall mehr als 100 Gruppen erfordert, sollten Sie die Verwendung einer benutzerdefinierten Identitätsanbieterlösung in Betracht ziehen, wie unter [Vereinfachen der Active Directory-Authentifizierung mit einem benutzerdefinierten Identitätsanbieter für](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/) beschrieben AWS Transfer Family.

Für AWS benötigen Sie Folgendes:
+ Eine virtuelle private Cloud (VPC) in einer AWS Region, in der Sie Ihre Transfer Family Family-Server verwenden
+ Mindestens zwei private Subnetze in Ihrer VPC
+ Die VPC muss über eine Internetverbindung verfügen
+ Ein Kunden-Gateway und ein virtuelles privates Gateway für die site-to-site VPN-Verbindung mit Microsoft Entra

Für Microsoft Entra benötigen Sie Folgendes:
+ Eine Entra-ID und ein Active Directory-Domänendienst
+ Eine Entra-Ressourcengruppe
+ Ein virtuelles Entra-Netzwerk
+ VPN-Konnektivität zwischen Ihrer Amazon VPC und Ihrer Entra-Ressourcengruppe
**Anmerkung**  
Dies kann über native IPSEC-Tunnel oder mithilfe von VPN-Appliances erfolgen. In diesem Thema verwenden wir IPSEC-Tunnel zwischen einem virtuellen Entra-Netzwerk-Gateway und einem lokalen Netzwerk-Gateway. Die Tunnel müssen so konfiguriert sein, dass sie den Verkehr zwischen Ihren Entra Domain Service-Endpunkten und den Subnetzen, in denen sich Ihre VPC befindet, zulassen. AWS 
+ Ein Kunden-Gateway und ein virtuelles privates Gateway für die site-to-site VPN-Verbindung mit Microsoft Entra

Das folgende Diagramm zeigt die Konfiguration, die Sie benötigen, bevor Sie beginnen.

![\[Entra/Azure AD und AWS Transfer Family Architekturdiagramm. Eine AWS VPC, die über das Internet eine Verbindung zu einem virtuellen Entra-Netzwerk herstellt und dabei einen AWS Directory Service Service-Connector zum Entra-Domänendienst verwendet.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-architecture.png)


## Schritt 1: Hinzufügen von Entra ID Domain Services
<a name="azure-add-adds"></a>

 Entra ID unterstützt standardmäßig keine Domänenbeitritte. Um Aktionen wie den Domänenbeitritt durchzuführen und Tools wie Gruppenrichtlinien zu verwenden, müssen Administratoren die Entra ID Domain Services aktivieren. Wenn Sie Entra DS noch nicht hinzugefügt haben oder Ihre bestehende Implementierung nicht mit der Domain verknüpft ist, die Ihr SFTP-Übertragungsserver verwenden soll, müssen Sie eine neue Instanz hinzufügen.

Informationen zur Aktivierung der Entra ID Domain Services finden Sie unter [Tutorial: Erstellen und Konfigurieren einer verwalteten Microsoft Entra Domain Services-Domain Services-Domain](https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-getting-started).

**Anmerkung**  
Wenn Sie Entra DS aktivieren, stellen Sie sicher, dass es für die Ressourcengruppe und die Entra-Domäne konfiguriert ist, mit der Sie Ihren SFTP-Übertragungsserver verbinden.

![\[alt text not found\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-ad-add-instance.png)


## Schritt 2: Erstellen eines Dienstkontos
<a name="azure-create-service-acct"></a>

 Entra muss über ein Dienstkonto verfügen, das Teil einer Admin-Gruppe in Entra DS ist. Dieses Konto wird mit dem AWS Active Directory-Connector verwendet. Stellen Sie sicher, dass dieses Konto mit Entra DS synchronisiert ist. 

![\[Entra-Bildschirm mit einem Profil für einen Benutzer.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-service-acct.png)


**Tipp**  
Die Multi-Faktor-Authentifizierung für Entra ID wird für Transfer Family Family-Server, die das SFTP-Protokoll verwenden, nicht unterstützt. Der Transfer Family Family-Server kann das MFA-Token nicht bereitstellen, nachdem sich ein Benutzer bei SFTP authentifiziert hat. Stellen Sie sicher, dass MFA deaktiviert ist, bevor Sie versuchen, eine Verbindung herzustellen.  

![\[Geben Sie Details zur Multi-Faktor-Authentifizierung ein, aus denen hervorgeht, dass der MFA-Status für zwei Benutzer deaktiviert ist.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-ad-mfa-disable.png)


## Schritt 3: AWS Verzeichnis mit AD Connector einrichten
<a name="azure-setup-directory"></a>

 Nachdem Sie Entra DS konfiguriert und ein Dienstkonto mit IPSEC-VPN-Tunneln zwischen Ihrer AWS VPC und dem Entra Virtual Network erstellt haben, können Sie die Konnektivität testen, indem Sie die Entra DS-DNS-IP-Adresse von einer beliebigen EC2-Instance aus pingen. AWS 

Nachdem Sie sich vergewissert haben, dass die Verbindung aktiv ist, können Sie weiter unten fortfahren.

**So richten Sie Ihr AWS Verzeichnis mit AD Connector ein**

1. Öffnen Sie die [Directory Service Service-Konsole](https://console.aws.amazon.com/directoryservicev2/) und wählen Sie **Verzeichnisse** aus.

1. Wählen Sie **Verzeichnis einrichten** aus.

1. Wählen Sie als Verzeichnistyp **AD Connector** aus.

1. Wählen Sie eine Verzeichnisgröße aus, klicken Sie auf **Weiter** und wählen Sie dann Ihre VPC und Subnetze aus.

1. Wählen Sie **Weiter** aus und füllen Sie dann die Felder wie folgt aus:
   + **DNS-Name des Verzeichnisses**: Geben Sie den Domainnamen ein, den Sie für Ihren Entra DS verwenden.
   + **DNS-IP-Adressen**: Geben Sie Ihre Entra DS-IP-Adressen ein.
   + **Benutzername und **Passwort** für das Serverkonto**: Geben Sie die Details für das Dienstkonto *ein, das Sie in Schritt 2: Dienstkonto erstellen* erstellt haben.

1. Füllen Sie die Bildschirme aus, um den Verzeichnisdienst zu erstellen.

Jetzt sollte der Verzeichnisstatus **Aktiv** lauten und es kann mit einem SFTP-Übertragungsserver verwendet werden.

![\[Auf dem Bildschirm mit den Verzeichnisdiensten wird je nach Bedarf ein Verzeichnis mit dem Status Aktiv angezeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-connector-ready.png)


## Schritt 4: AWS Transfer Family Server einrichten
<a name="azure-setup-transfer-server"></a>

Erstellen Sie einen Transfer Family Family-Server mit dem SFTP-Protokoll und dem Identitätsanbietertyp **AWS Directory Service**. **Wählen Sie aus der Dropdownliste Verzeichnis das Verzeichnis aus, das Sie in *Schritt 3: AWS Verzeichnis mit AD Connector einrichten* hinzugefügt haben.**

**Anmerkung**  
Sie können ein Microsoft AD-Verzeichnis nicht im AWS Directory Service löschen, wenn Sie es auf einem Transfer Family Family-Server verwendet haben. Sie müssen zuerst den Server löschen, und dann können Sie das Verzeichnis löschen. 

## Schritt 5: Zugriff auf Gruppen gewähren
<a name="azure-grant-access"></a>

 Nachdem Sie den Server erstellt haben, müssen Sie auswählen, welche Gruppen im Verzeichnis Zugriff auf das Hoch- und Herunterladen von Dateien über die aktivierten Protokolle haben sollen AWS Transfer Family. Dazu erstellen Sie einen *Zugriff*.

**Anmerkung**  
Benutzer müssen *direkt* zu der Gruppe gehören, der Sie Zugriff gewähren. Nehmen wir beispielsweise an, dass Bob ein Benutzer ist und zu Gruppe A gehört und dass Gruppe A selbst in Gruppe B enthalten ist.  
Wenn Sie Zugriff auf Gruppe A gewähren, wird Bob Zugriff gewährt.
 Wenn Sie Zugriff auf Gruppe B (und nicht auf Gruppe A) gewähren, hat Bob keinen Zugriff.

 Um Zugriff zu gewähren, müssen Sie die SID für die Gruppe abrufen.

Verwenden Sie den folgenden PowerShell Windows-Befehl, um die SID für eine Gruppe abzurufen, und *YourGroupName* ersetzen Sie sie durch den Namen der Gruppe. 

```
Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
```

![\[Windows PowerShell zeigt eine Objekt-SID an, die abgerufen wird.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-grant-access.png)


**Gewähren Sie Gruppen Zugriff**

1. Öffnen Sie [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Navigieren Sie zu Ihrer Serverdetailseite und wählen Sie im Bereich **Zugriffe** die Option **Zugriff hinzufügen** aus. 

1. Geben Sie die SID ein, die Sie aus der Ausgabe des vorherigen Verfahrens erhalten haben.

1. Wählen Sie für **Access** eine AWS Identity and Access Management Rolle für die Gruppe aus.

1. Wählen Sie im Abschnitt **Richtlinie** eine Richtlinie aus. Der Standardwert ist **None (Kein)**.

1. Wählen Sie für **Home-Verzeichnis** einen Amazon S3 S3-Bucket aus, der dem Home-Verzeichnis der Gruppe entspricht.

1. Wählen Sie **Hinzufügen**, um die Zuordnung zu erstellen.

Die Details von Ihrem Transferserver sollten etwa wie folgt aussehen:

![\[Ein Teil des Detailbildschirms mit den Transfer Family Family-Servern, der ein Beispiel für eine Verzeichnis-ID für den Identity Provider zeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-assoc-1.png)


![\[Ein Teil des Detailbildschirms mit den Transfer Family Family-Servern, in dem die externe ID des Active Directory im Bereich Zugriffe angezeigt wird.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/azure-assoc-2.png)


## Schritt 6: Benutzer testen
<a name="azure-test"></a>

Sie können testen ([Benutzer werden getestet](directory-services-users.md#directory-services-test-user)), ob ein Benutzer Zugriff auf das AWS Managed Microsoft AD Verzeichnis für Ihren Server hat. Ein Benutzer muss zu genau einer Gruppe gehören (eine externe ID), die im Abschnitt **Zugriff auf** der **Endpunktkonfigurationsseite** aufgeführt ist. Wenn der Benutzer keiner oder mehreren Gruppen angehört, wird diesem Benutzer kein Zugriff gewährt. 

# Verwendung logischer Verzeichnisse zur Vereinfachung Ihrer Transfer Family Family-Verzeichnisstrukturen
<a name="logical-dir-mappings"></a>

Logische Verzeichnisse vereinfachen die Verzeichnisstruktur Ihres AWS Transfer Family Servers. Mit logischen Verzeichnissen können Sie eine virtuelle Verzeichnisstruktur mit benutzerfreundlichen Namen erstellen, anhand derer Benutzer navigieren, wenn sie eine Verbindung zu Ihrem Amazon S3 S3-Bucket oder Amazon EFS-Dateisystem herstellen. Dadurch wird verhindert, dass Benutzer die tatsächlichen Verzeichnispfade, Bucket-Namen und Dateisystemnamen sehen.

**Anmerkung**  
Sie sollten Sitzungsrichtlinien verwenden, damit Ihre Endbenutzer nur Vorgänge ausführen können, deren Ausführung Sie ihnen gestatten.  
Sie sollten logische Verzeichnisse verwenden, um ein benutzerfreundliches, virtuelles Verzeichnis für Ihre Endbenutzer zu erstellen und Bucket-Namen zu abstrahieren. Logische Verzeichniszuordnungen ermöglichen Benutzern nur den Zugriff auf ihre zugewiesenen logischen Pfade und Unterverzeichnisse und verbieten relative Pfade, die die logischen Wurzeln durchqueren.  
Transfer Family validiert jeden Pfad, der relative Elemente enthalten könnte, und blockiert aktiv die Auflösung dieser Pfade, bevor wir diese Pfade an Amazon S3 übergeben. Dadurch wird verhindert, dass Ihre Benutzer ihre logischen Zuordnungen verlassen.  
Transfer Family verhindert zwar, dass Ihre Endbenutzer auf Verzeichnisse außerhalb ihres logischen Verzeichnisses zugreifen, wir empfehlen Ihnen jedoch, auch eindeutige Rollen oder Sitzungsrichtlinien zu verwenden, um die geringsten Rechte auf Speicherebene durchzusetzen.

## Grundlegendes zu Chroot und Verzeichnisstruktur
<a name="chroot-dir-structure"></a>

Mit einer **Chroot-Operation** können Sie das Stammverzeichnis eines Benutzers auf eine beliebige Stelle in Ihrer Speicherhierarchie setzen. Dadurch werden Benutzer auf ihr konfiguriertes Home- oder Stammverzeichnis beschränkt, wodurch der Zugriff auf Verzeichnisse auf höherer Ebene verhindert wird.

Stellen Sie sich einen Fall vor, in dem ein Amazon S3 S3-Benutzer auf Folgendes beschränkt ist`amzn-s3-demo-bucket/home/${transfer:UserName}`. Ohne **Chroot** könnten einige Clients es Benutzern ermöglichen, zu /amzn-s3-demo-bucket/home zu wechseln, sodass sie sich abmelden und anmelden müssen, um zum richtigen Verzeichnis zurückzukehren. **Das Ausführen einer Chroot-Operation verhindert dieses Problem.**

Sie können benutzerdefinierte Verzeichnisstrukturen für mehrere Buckets und Präfixe erstellen. Dies ist nützlich, wenn Ihr Workflow ein bestimmtes Verzeichnislayout erfordert, das Bucket-Präfixe allein nicht bereitstellen können. Sie können auch Links zu mehreren nicht zusammenhängenden Speicherorten innerhalb von Amazon S3 erstellen, ähnlich wie beim Erstellen eines symbolischen Links in einem Linux-Dateisystem, in dem Ihr Verzeichnispfad auf einen anderen Speicherort im Dateisystem verweist.

## Regeln für die Verwendung logischer Verzeichnisse
<a name="logical-dir-rules"></a>

In diesem Abschnitt werden einige Regeln und andere Überlegungen zur Verwendung logischer Verzeichnisse beschrieben.

### Grenzwerte zuordnen
<a name="key-mapping-rules"></a>
+ Wenn ja, ist nur eine Zuordnung zulässig `"/"` (`Entry`es sind keine überlappenden Pfade zulässig).
+ Logische Verzeichnisse unterstützen Zuordnungen von bis zu 2,1 MB für benutzerdefinierte IDP- und AD-Benutzer und 2.000 Einträge für vom Service verwaltete Benutzer. Sie können die Größe Ihrer Zuordnungen wie folgt berechnen:

  1. Schreiben Sie ein typisches Mapping in dem Format aus`{"Entry":"/entry-path","Target":"/target-path"}`, wo `entry-path` und wo die tatsächlichen Werte `target-path` sind, die Sie verwenden werden.

  1. Zählen Sie die Zeichen in dieser Zeichenfolge und fügen Sie dann eins hinzu (1).

  1. Multiplizieren Sie diese Zahl mit der ungefähren Anzahl von Zuordnungen, die Sie für Ihren Server haben.

  Wenn die Zahl, die Sie in Schritt 3 geschätzt haben, weniger als 2,1 MB beträgt, liegen Ihre Zuordnungen innerhalb des akzeptablen Grenzwerts.

### Anforderungen an den Zielpfad
<a name="target-path"></a>
+ Verwenden Sie `${transfer:UserName}` eine Variable, wenn der Bucket- oder Dateisystempfad auf der Grundlage des Benutzernamens parametrisiert wurde.
+ Ziele können so konfiguriert werden, dass sie auf verschiedene Amazon S3 S3-Buckets oder Dateisysteme verweisen, sofern die zugehörige IAM-Rolle über die erforderlichen Berechtigungen für den Zugriff auf diese Speicherorte verfügt.
+ Alle Ziele müssen mit einem Schrägstrich (`/`) beginnen, dürfen aber nicht mit einem enden. Zum Beispiel `/amzn-s3-demo-bucket/images` ist richtig, während `amzn-s3-demo-bucket/images ` und `/amzn-s3-demo-bucket/images/` nicht.

### Überlegungen zur Speicherung
<a name="storage-considerations"></a>
+ Amazon S3 ist ein Objektspeicher, in dem Ordner nur als virtuelles Konzept existieren. Bei Verwendung von Amazon S3 S3-Speicher meldet Transfer Family Präfixe als Verzeichnisse in STAT-Vorgängen, auch wenn kein Null-Byte-Objekt mit einem abschließenden Schrägstrich vorhanden ist. Ein richtiges Null-Byte-Objekt mit einem abschließenden Schrägstrich wird bei STAT-Vorgängen auch als Verzeichnis gemeldet. Dieses Verhalten wird unter [Organisieren von Objekten in der Amazon S3 S3-Konsole mithilfe von Ordnern](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) im *Amazon Simple Storage Service-Benutzerhandbuch* beschrieben.
+ Für Anwendungen, die zwischen Dateien und Ordnern unterscheiden müssen, verwenden Sie Amazon Elastic File System (Amazon EFS) als Ihre Transfer Family Family-Speicheroption.
+ Wenn Sie logische Verzeichniswerte für Ihren Benutzer angeben, hängt der verwendete Parameter vom Benutzertyp ab:
  + Geben Sie für vom Dienst verwaltete Benutzer logische Verzeichniswerte in `HomeDirectoryMappings` ein.
  + Geben Sie für Benutzer eines benutzerdefinierten Identitätsanbieters logische Verzeichniswerte in an`HomeDirectoryDetails`.

### Werte für Benutzerverzeichnisse
<a name="user-dir-values"></a>
+ Der Parameter für die Angabe logischer Verzeichniswerte hängt von Ihrem Benutzertyp ab:
  + Geben Sie für vom Dienst verwaltete Benutzer logische Verzeichniswerte in `HomeDirectoryMappings` ein.
  + Geben Sie für Benutzer eines benutzerdefinierten Identitätsanbieters logische Verzeichniswerte in an`HomeDirectoryDetails`.
+ Wenn Sie LOGICAL verwenden HomeDirectoryType, können Sie einen HomeDirectory Wert für vom Service verwaltete Benutzer, Active Directory-Zugriff und benutzerdefinierte Identity Provider-Implementierungen angeben, sofern diese in der Antwort angegeben HomeDirectoryDetails werden. Wenn nicht angegeben, ist der HomeDirectory Standardwert. `/`

Einzelheiten zur Implementierung logischer Verzeichnisse finden Sie unter[Implementierung logischer Verzeichnisse](implement-log-dirs.md).

# Implementierung logischer Verzeichnisse
<a name="implement-log-dirs"></a>

**Wichtig**  
**Anforderungen an das Stammverzeichnis**
Wenn Sie die Amazon S3 S3-Einstellungen zur Leistungsoptimierung nicht verwenden, muss Ihr Stammverzeichnis beim Start vorhanden sein.
Für Amazon S3 bedeutet dies, ein Null-Byte-Objekt zu erstellen, das mit einem Schrägstrich () endet. `/`
Um diese Anforderung zu umgehen, sollten Sie erwägen, die Amazon S3 S3-Leistungsoptimierung zu aktivieren, wenn Sie Ihren Server erstellen oder aktualisieren.
Wenn Sie a HomeDirectory mit LOGICAL angeben HomeDirectoryType, muss der Wert einer Ihrer logischen Verzeichniszuordnungen zugeordnet werden. Der Dienst überprüft dies sowohl bei der Benutzererstellung als auch bei Aktualisierungen, um Konfigurationen zu verhindern, die nicht funktionieren würden.
**Konfiguration des logischen Home-Verzeichnisses**
Wenn Sie LOGICAL als Ihr System verwenden HomeDirectoryType, beachten Sie Folgendes:  
Der HomeDirectory Wert muss einer Ihrer vorhandenen logischen Verzeichniszuordnungen entsprechen.
Das System überprüft dies automatisch bei der Benutzererstellung und bei Aktualisierungen.
Diese Überprüfung verhindert Konfigurationen, die zu Zugriffsproblemen führen würden.

## Aktivieren Sie logische Verzeichnisse
<a name="enable-log-dirs-small"></a>

Um logische Verzeichnisse für einen Benutzer zu verwenden, setzen Sie den `HomeDirectoryType` Parameter auf`LOGICAL`. Tun Sie dies, wenn Sie einen neuen Benutzer erstellen oder einen vorhandenen Benutzer aktualisieren. 

```
"HomeDirectoryType": "LOGICAL"
```

## `chroot`Für Benutzer aktivieren
<a name="chroot"></a>

Erstellen Sie für eine Verzeichnisstruktur**chroot**, die aus einer einzelnen Verzeichnisstruktur `Entry` und einer `Target` Paarung für jeden Benutzer besteht. Der Eintrag**/**steht für den Stammordner, während **Target** den tatsächlichen Speicherort in Ihrem Bucket oder Dateisystem angibt.

------
#### [ Example for Amazon S3 ]

```
[{"Entry": "/", "Target": "/amzn-s3-demo-bucket/jane"}]
```

------
#### [ Example for Amazon EFS ]

```
[{"Entry": "/", "Target": "/fs-faa1a123/jane"}]
```

------

Sie können einen absoluten Pfad wie im vorherigen Beispiel verwenden, oder Sie können eine dynamische Ersetzung für den Benutzernamen durch verwenden`${transfer:UserName}`, wie im folgenden Beispiel.

```
[{"Entry": "/", "Target":
"/amzn-s3-demo-bucket/${transfer:UserName}"}]
```

Im vorherigen Beispiel ist der Benutzer an sein Stammverzeichnis gebunden und kann sich in der Hierarchie nicht weiter oben bewegen.

## Struktur des virtuellen Verzeichnisses
<a name="virtual-dirs"></a>

Für eine virtuelle Verzeichnisstruktur können Sie mehrere `Entry` `Target` Paarungen mit Zielen an einer beliebigen Stelle in Ihren S3-Buckets oder EFS-Dateisystemen erstellen, auch über mehrere Buckets oder Dateisysteme hinweg, sofern die IAM-Rollenzuordnung des Benutzers über Zugriffsberechtigungen verfügt.

Im folgenden Beispiel für eine virtuelle Struktur befindet sich der Benutzer, wenn er sich bei AWS SFTP anmeldet, im Stammverzeichnis mit den Unterverzeichnissen,, und. `/pics` `/doc` `/reporting` `/anotherpath/subpath/financials` 

**Anmerkung**  
Sofern Sie sich nicht dafür entscheiden, die Leistung Ihrer Amazon S3 S3-Verzeichnisse zu optimieren (wenn Sie einen Server erstellen oder aktualisieren), muss entweder der Benutzer oder ein Administrator die Verzeichnisse erstellen, sofern sie noch nicht existieren. Die Vermeidung dieses Problems ist ein Grund, eine Optimierung der Amazon S3 S3-Leistung in Betracht zu ziehen.  
Für Amazon EFS benötigen Sie weiterhin den Administrator, um die logischen Zuordnungen oder das `/` Verzeichnis zu erstellen.

```
[
{"Entry": "/pics", "Target": "/amzn-s3-demo-bucket1/pics"}, 
{"Entry": "/doc", "Target": "/amzn-s3-demo-bucket1/anotherpath/docs"},
{"Entry": "/reporting", "Target": "/amzn-s3-demo-bucket2/Q1"},
{"Entry": "/anotherpath/subpath/financials", "Target": "/amzn-s3-demo-bucket2/financials"}]
```



**Anmerkung**  
 Sie können Dateien nur in die spezifischen Ordner hochladen, die Sie zuordnen. Das bedeutet, dass Sie im vorherigen Beispiel nicht in `/anotherpath` oder `anotherpath/subpath` Verzeichnisse hochladen können, sondern nur`anotherpath/subpath/financials`. Sie können diesen Pfaden auch nicht direkt zuordnen, da überlappende Pfade nicht zulässig sind.  
 Gehen Sie beispielsweise davon aus, dass Sie die folgenden Zuordnungen erstellen:   

```
{
   "Entry": "/pics", 
   "Target": "/amzn-s3-demo-bucket/pics"
}, 
{
   "Entry": "/doc", 
   "Target": "/amzn-s3-demo-bucket/mydocs"
}, 
{
   "Entry": "/temp", 
   "Target": "/amzn-s3-demo-bucket2/temporary"
}
```
 Sie können nur Dateien in diese Buckets hochladen. Wenn Sie zum ersten Mal eine Verbindung herstellen`sftp`, werden Sie im Stammverzeichnis abgelegt. `/` Wenn Sie versuchen, eine Datei in dieses Verzeichnis hochzuladen, schlägt der Upload fehl. Die folgenden Befehle zeigen eine Beispielsequenz:   

```
sftp> pwd
Remote working directory: /
sftp> put file
Uploading file to /file
remote open("/file"): No such file or directory
```
Um in eine beliebige Datei hochzuladen`directory/sub-directory`, müssen Sie den Pfad explizit dem zuordnen`sub-directory`.

Weitere Informationen zur Konfiguration logischer Verzeichnisse und **chroot** für Ihre Benutzer, einschließlich einer AWS CloudFormation Vorlage, die Sie herunterladen und verwenden können, finden Sie unter [Vereinfachen Sie Ihre AWS SFTP-Struktur mit Chroot und logischen Verzeichnissen](https://aws.amazon.com/blogs/storage/simplify-your-aws-sftp-structure-with-chroot-and-logical-directories/) im AWS Storage-Blog.

# Beispiele für die Konfiguration logischer Verzeichnisse
<a name="logical-dir-example"></a>

In diesem Beispiel erstellen wir einen Benutzer und weisen ihm zwei logische Verzeichnisse zu. Der folgende Befehl erstellt einen neuen Benutzer (für einen vorhandenen Transfer Family Family-Server) mit logischen Verzeichnissen `pics` und`doc`. 

```
aws transfer create-user \
    --user-name marymajor \
    --server-id s-11112222333344445 \
    --role arn:aws:iam::1234abcd5678:role/marymajor-role \
    --home-directory-type LOGICAL \
    --home-directory-mappings "[{\"Entry\":\"/pics\", \"Target\":\"/amzn-s3-demo-bucket1/pics\"}, {\"Entry\":\"/doc\", \"Target\":\"/amzn-s3-demo-bucket2/test/mydocs\"}]" \
    --ssh-public-key-body file://~/.ssh/id_rsa.pub
```

Wenn **marymajor** es sich um einen bestehenden Benutzer handelt und sein Home-Verzeichnistyp ist`PATH`, können Sie ihn `LOGICAL` mit einem ähnlichen Befehl wie dem vorherigen ändern.

```
aws transfer update-user \
    --user-name marymajor \
    --server-id s-11112222333344445 \
    --role arn:aws:iam::1234abcd5678:role/marymajor-role \
    --home-directory-type LOGICAL \
    --home-directory-mappings "[{\"Entry\":\"/pics\", \"Target\":\"/amzn-s3-demo-bucket1/pics\"}, {\"Entry\":\"/doc\", \"Target\":\"/amzn-s3-demo-bucket2/test/mydocs\"}]"
```

Beachten Sie Folgendes:
+ Wenn die Verzeichnisse `/amzn-s3-demo-bucket1/pics` und noch `/amzn-s3-demo-bucket2/test/mydocs` nicht existieren, muss der Benutzer (oder ein Administrator) sie erstellen.
**Anmerkung**  
Diese Verzeichnisse werden automatisch vom Transfer Family Family-Server erstellt, wenn Sie optimierte Verzeichnisse konfiguriert haben.
+ Wenn Mary **marymajor** eine Verbindung zum Server herstellt und den `ls -l` Befehl ausführt, sieht Mary Folgendes:

  ```
  drwxr--r--   1        -        -        0 Mar 17 15:42 doc
  drwxr--r--   1        -        -        0 Mar 17 16:04 pics
  ```
+ **marymajor**kann auf dieser Ebene keine Dateien oder Verzeichnisse erstellen. Innerhalb von `pics` und kann sie `doc` jedoch Unterverzeichnisse hinzufügen.
+ Dateien, die Mary zu `pics` Amazon S3 S3-Pfaden hinzufügt `/amzn-s3-demo-bucket1/pics` `/amzn-s3-demo-bucket2/test/mydocs` bzw. zu diesen hinzugefügt `doc` werden.
+ In diesem Beispiel geben wir zwei verschiedene Buckets an, um diese Möglichkeit zu veranschaulichen. Sie können jedoch denselben Bucket für mehrere oder alle logischen Verzeichnisse verwenden, die Sie für den Benutzer angeben.

Dieses Beispiel bietet eine alternative Konfiguration für einen logischen Home-Pfad.

```
aws transfer create-user \
    --user-name marymajor \
    --server-id s-11112222333344445 \
    --role arn:aws:iam::1234abcd5678:role/marymajor-role \
    --home-directory-type LOGICAL \
    --home-directory /home/marymajor \
    --home-directory-mappings "[{\"Entry\":\"/home/marymajor/pics\", \"Target\":\"/amzn-s3-demo-bucket1/pics\"}, {\"Entry\":\"/home/marymajor/doc\", \"Target\":\"/amzn-s3-demo-bucket2/test/mydocs\"}]" \
    --ssh-public-key-body file://~/.ssh/id_rsa.pub
```

Beachten Sie Folgendes:
+ Die Zuordnungen sehen einen gemeinsamen Pfad vor`/home/marymajor`, der der erste Teil der beiden logischen Pfade ist. Dateien können dann zu den Ordnern `pics` und `doc` hinzugefügt werden.
+ Wie im vorherigen Beispiel ist das Home-Verzeichnis,`/home/marymajor`, schreibgeschützt.

## Logische Verzeichnisse für Amazon EFS konfigurieren
<a name="logical-dir-efs"></a>

Wenn Ihr Transfer Family Family-Server Amazon EFS verwendet, muss das Home-Verzeichnis für den Benutzer mit Lese- und Schreibzugriff erstellt werden, bevor der Benutzer in seinem logischen Home-Verzeichnis arbeiten kann. Der Benutzer kann dieses Verzeichnis nicht selbst erstellen, da ihm die entsprechenden Berechtigungen für `mkdir` sein logisches Home-Verzeichnis fehlen würden.

Wenn das Basisverzeichnis des Benutzers nicht existiert und er einen `ls` Befehl ausführt, reagiert das System wie folgt:

```
sftp> ls
remote readdir ("/"): No such file or directory
```

Ein Benutzer mit Administratorzugriff auf das übergeordnete Verzeichnis muss das logische Home-Verzeichnis des Benutzers erstellen.

## Benutzerdefinierte AWS Lambda Antwort
<a name="auth-lambda-response"></a>

Sie können logische Verzeichnisse mit einer Lambda-Funktion verwenden, die eine Verbindung zu Ihrem benutzerdefinierten Identitätsanbieter herstellt. Dazu geben Sie in Ihrer Lambda-Funktion die `Target` Werte `HomeDirectoryType` as **LOGICAL** und add `Entry` und für den `HomeDirectoryDetails` Parameter an. Beispiel:

```
HomeDirectoryType: "LOGICAL"
HomeDirectoryDetails: "[{\"Entry\": \"/\", \"Target\": \"/amzn-s3-demo-bucket/theRealFolder"}]"
```

Der folgende Code ist ein Beispiel für eine erfolgreiche Antwort auf einen benutzerdefinierten Lambda-Authentifizierungsaufruf. 

```
aws transfer test-identity-provider \
    --server-id s-1234567890abcdef0 \
    --user-name myuser
{
    "Url": "https://a1b2c3d4e5.execute-api.us-east-2.amazonaws.com/prod/servers/s-1234567890abcdef0/users/myuser/config", 
    "Message": "", 
    "Response": "{\"Role\": \"arn:aws:iam::123456789012:role/bob-usa-role\",
                  \"HomeDirectoryType\": \"LOGICAL\",
                  \"HomeDirectoryDetails\": \"[{\\\"Entry\\\":\\\"/myhome\\\",\\\"Target\\\":\\\"/amzn-s3-demo-bucket/theRealFolder\\\"}]\",
                  \"PublicKeys\": \"[ssh-rsa myrsapubkey]\"}", 
    "StatusCode": 200
}
```

**Anmerkung**  
Die `"Url":` Zeile wird nur zurückgegeben, wenn Sie eine API Gateway Gateway-Methode als Ihren benutzerdefinierten Identitätsanbieter verwenden.

# Greifen Sie mit Transfer Family auf Ihre FSx für NetApp ONTAP Dateisysteme zu
<a name="fsx-s3-access-points"></a>



**Contents**
+ [-Übersicht](#fsx-overview)
+ [Voraussetzungen](#fsx-prerequisites)
  + [FSx für NetApp ONTAP-Anforderungen](#fsx-ontap-requirements)
  + [Erforderliche IAM-Berechtigungen](#required-iam-permissions)
+ [So funktioniert FSx Speicher mit Transfer Family](#how-fsx-storage-works)
  + [Benutzeridentität im Dateisystem](#file-system-user-identity)
+ [Erstellen eines S3-Zugriffspunkts für FSx](#creating-s3-access-point)
  + [Benennung der Access Points](#access-point-naming)
  + [Einen Access Point FSx für NetApp ONTAP erstellen](#creating-access-point-ontap)
  + [Konfiguration von Dateisystemberechtigungen](#configuring-file-system-permissions)
+ [Verwenden von S3-Zugangspunkt-Aliasnamen mit FSx](#using-s3-access-point-aliases)
  + [Über Aliase für Access Points](#about-access-point-aliases)
  + [Finden Sie den Alias Ihres Access Points](#finding-access-point-alias)
+ [Konfiguration der Transfer Family für FSx Speicher](#configuring-transfer-family-fsx)
  + [Erstellen einer IAM-Rolle](#creating-iam-role-fsx)
+ [Benutzer für FSx den Speicher verwalten](#managing-users-fsx)
  + [Erstellen eines Benutzers](#creating-user-fsx)
  + [Konfiguration mehrerer Verzeichniszuordnungen](#multiple-directory-mappings)
+ [Konfiguration von Dateiübertragungsclients](#configuring-file-transfer-clients)
  + [WinSCP-Konfiguration](#winscp-configuration)
  + [Andere SFTP-Clients](#other-sftp-clients)
+ [Problembehebung FSx beim Speicher](#troubleshooting-fsx-storage)
  + [Probleme beim Betrieb von Dateien](#file-operation-issues)

## -Übersicht
<a name="fsx-overview"></a>

Transfer Family unterstützt Amazon FSx für NetApp ONTAP über S3-Zugriffspunkte. Amazon FSx for NetApp ONTAP ist ein vollständig verwalteter Service, der äußerst zuverlässige, skalierbare, leistungsstarke und funktionsreiche Dateispeicherung bietet, die auf dem beliebten NetApp ONTAP-Dateisystem basiert. Wenn Sie Transfer Family mit einem FSx Dateisystem konfigurieren, stellen Ihre Benutzer mithilfe von Standard-Dateiübertragungsclients eine Verbindung zu Transfer Family-Endpunkten her. Transfer Family leitet Dateioperationen über einen S3-Zugriffspunkt weiter, der an Ihr FSx Volume angeschlossen ist, während Ihre Daten im FSx Dateisystem verbleiben. Weitere Informationen zu FSx for NetApp ONTAP finden Sie unter [Was ist Amazon FSx for NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html)?

Diese Integration ermöglicht Ihnen:
+ Dateien mithilfe von SFTP-, FTPS- oder FTP-Protokollen in einen Dateispeicher der Enterprise-Klasse übertragen
+ Greifen Sie über mehrere Protokolle (SFTP, NFS, SMB) auf dieselben Daten zu
+ Verwenden Sie FSx Funktionen wie Snapshots, Backups und Data Tiering

**Wichtig**  
Einige Dateioperationen werden nicht unterstützt, wenn FSx Dateisysteme mit Transfer Family verwendet werden, einschließlich Umbenennungs- und Anfügeoperationen. Bei Upload-Vorgängen sind die Dateigrößen auf 5 GB begrenzt. Eine vollständige Liste der Einschränkungen finden Sie unter [Access Point-Kompatibilität](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-object-api-support.html).

## Voraussetzungen
<a name="fsx-prerequisites"></a>

Bevor Sie Transfer Family mit Amazon konfigurieren FSx, müssen Sie die folgenden Anforderungen erfüllen.

### FSx für NetApp ONTAP-Anforderungen
<a name="fsx-ontap-requirements"></a>

Um NetApp ONTAP mit Transfer Family zu verwenden FSx , benötigen Sie:
+ Ein FSx für NetApp ONTAP Dateisystem, auf dem ONTAP Version 9.17.1 oder höher ausgeführt wird
+ Das Dateisystem und der S3-Zugangspunkt befinden sich in derselben Region AWS 
+ Dasselbe AWS Konto, dem sowohl das Dateisystem als auch der Access Point gehören

Weitere Informationen finden Sie unter [Erste Schritte mit Amazon FSx for NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/getting-started.html).

### Erforderliche IAM-Berechtigungen
<a name="required-iam-permissions"></a>

Sie können jeden S3-Zugriffspunkt mit unterschiedlichen Berechtigungen und Netzwerkkontrollen konfigurieren, die S3 für jede Anfrage anwendet, die über diesen Access Point gestellt wird. S3-Zugriffspunkte unterstützen IAM-Ressourcenrichtlinien, mit denen Sie die Nutzung des Access Points nach Ressourcen, Benutzern oder anderen Bedingungen steuern können. Damit eine Anwendung oder ein Benutzer über einen Access Point auf Dateien zugreifen kann, müssen sowohl der Access Point als auch das zugrunde liegende Volume die Anfrage zulassen. Weitere Informationen finden Sie unter [Richtlinien für IAM-Zugriffspunkte](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/s3-ap-manage-access-fsxn.html).

Amazon S3 S3-Zugriffspunkte für die FSx Verwendung eines dualen Autorisierungsmodells, das IAM-Berechtigungen mit Berechtigungen auf Dateisystemebene kombiniert. Dieser Ansatz stellt sicher, dass Datenzugriffsanfragen sowohl auf der AWS Service-Ebene als auch auf der Ebene des zugrunde liegenden Dateisystems ordnungsgemäß autorisiert werden.

Damit eine Anwendung oder ein Benutzer erfolgreich über einen Access Point auf Daten zugreifen kann, müssen sowohl die S3-Zugriffspunktrichtlinie als auch das zugrunde liegende FSx Volume die Anfrage zulassen.

Um diese Integration zu erstellen und zu konfigurieren, benötigen Sie die folgenden Berechtigungen:
+ `fsx:CreateAndAttachS3AccessPoint`
+ `s3:CreateAccessPoint`
+ `s3:GetAccessPoint`
+ `s3:PutAccessPointPolicy`(wenn Sie eine optionale Zugriffspunktrichtlinie erstellen)

## So funktioniert FSx Speicher mit Transfer Family
<a name="how-fsx-storage-works"></a>

Wenn Sie Transfer Family mit einem FSx Dateisystem konfigurieren, arbeiten die folgenden Komponenten zusammen, um Dateiübertragungen zu ermöglichen:

1. Ein Benutzer stellt über einen SFTP-, FTPS- oder FTP-Client eine Verbindung zum Transfer Family Family-Server her.

1. Transfer Family authentifiziert den Benutzer mithilfe von vom Dienst verwalteten Identitäten, einem benutzerdefinierten Identitätsanbieter oder. AWS Directory Service for Microsoft Active Directory Nach der Authentifizierung übernimmt Transfer Family die dem Benutzer zugeordnete IAM-Rolle.

1. Bei jedem Dateivorgang fungiert Transfer Family als standardmäßiger S3-API-Client, der Anfragen an den S3 Access Point unter Verwendung der angenommenen IAM-Rolle des Benutzers sendet und die Berechtigungen anhand der S3-Zugriffspunktrichtlinie überprüft.

1. Das FSx Dateisystem überprüft, ob der mit dem Access Point verknüpfte Dateisystembenutzer berechtigt ist, den angeforderten Vorgang auszuführen. Die Dateioperation wird dann auf dem FSx Volume ausgeführt.

Damit ein Dateivorgang erfolgreich ist, müssen beide Autorisierungsebenen die Anforderung zulassen.

**Anmerkung**  
Das Anhängen eines S3-Zugriffspunkts an ein FSx Volume ändert nichts daran, wie sich das Volume verhält, wenn direkt über NFS oder SMB darauf zugegriffen wird. Der bestehende Dateiprotokollzugriff funktioniert unverändert weiter.

### Benutzeridentität im Dateisystem
<a name="file-system-user-identity"></a>

Jeder Access Point verwendet eine Dateisystem-Benutzeridentität, die Sie bei der Erstellung des Access Points angeben. Diese Identität autorisiert alle Dateizugriffsanforderungen, die über diesen Access Point gestellt werden. Der Dateisystembenutzer ist ein Benutzerkonto im zugrunde liegenden FSx Amazon-Dateisystem. Wenn der Dateisystembenutzer nur Lesezugriff hat, sind nur Leseanfragen autorisiert, die über den Access Point gestellt werden, und Schreibanforderungen werden blockiert. Wenn der Dateisystembenutzer über Lese- und Schreibzugriff verfügt, sind sowohl Lese- als auch Schreibanforderungen an das angehängte Volume autorisiert, die über den Zugriffspunkt gestellt werden.

## Erstellen eines S3-Zugriffspunkts für FSx
<a name="creating-s3-access-point"></a>

Bevor Sie Transfer Family konfigurieren, müssen Sie einen S3-Zugriffspunkt erstellen, der an Ihr FSx Volume angeschlossen ist. S3-Zugriffspunkte sind so genannte Netzwerkendpunkte, die mit einer Datenquelle wie einem Bucket oder einem Amazon FSx for ONTAP-Volume verbunden sind. Sie können mithilfe der FSx Amazon-Konsole, AWS CLI oder API einen Access Point FSx für NetApp ONTAP erstellen und diesem zuordnen. Nach dem Anhängen können Sie das S3-Objekt verwenden APIs , um auf Ihre Dateidaten zuzugreifen. Ihre Daten befinden sich weiterhin im FSx Amazon-Dateisystem und sind weiterhin für Ihre vorhandenen Workloads direkt zugänglich. Sie verwalten Ihren Speicher weiterhin mit allen Speicherverwaltungsfunktionen von NetApp ONTAP, einschließlich Backups, Snapshots, Benutzer- und Gruppenkontingenten sowie Komprimierung. FSx 

Weitere Informationen finden Sie unter [Erstellen von Zugriffspunkten](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/create-access-points.html).

### Benennung der Access Points
<a name="access-point-naming"></a>

Beachten Sie bei der Benennung Ihres Access Points die folgenden Richtlinien:
+ Die Namen der Access Points müssen innerhalb Ihres AWS Kontos und Ihrer Region eindeutig sein.
+ Namen dürfen nicht mit `-ext-s3alias` (reserviert für Aliase) enden.
+ Vermeiden Sie es, vertrauliche Informationen in Namen aufzunehmen, da diese im DNS veröffentlicht werden.

Eine vollständige Liste der Benennungsregeln finden Sie unter [Benennungsregeln, Einschränkungen und Einschränkungen für Access Points](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-point-for-fsxn-restrictions-limitations-naming-rules.html).

### Einen Access Point FSx für NetApp ONTAP erstellen
<a name="creating-access-point-ontap"></a>

Gehen Sie wie folgt vor, um einen S3-Zugriffspunkt FSx für ein NetApp ONTAP-Volume zu erstellen.

**So erstellen Sie einen Access Point (Konsole)**

1. Öffnen Sie die FSx Amazon-Konsole unter [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Wählen Sie im Navigationsbereich **Dateisysteme** aus.

1. Wählen Sie Ihr FSx NetApp ONTAP-Dateisystem aus.

1. Wählen Sie den Tab **Volumes**.

1. Wählen Sie das Volume aus, das Sie anhängen möchten.

1. Wählen Sie **unter Aktionen** die Option **S3-Zugangspunkt erstellen** aus.

1. Geben Sie unter **Name des Zugriffspunkts** einen aussagekräftigen Namen ein (z. B.`transfer-family-ap`).

1. Wählen Sie für den **Identitätstyp des Dateisystembenutzers** eine der folgenden Optionen aus:
   + **UNIX-Identität** — Für Volumes mit UNIX-Sicherheitsstil
   + **Windows-Identität** — Für Volumes mit NTFS-Sicherheitsstil

1. (Optional) Geben Sie für die **Zugriffspunktrichtlinie** eine IAM-Richtlinie ein, die definiert, welche IAM-Prinzipale welche Operationen an Objekten ausführen können, auf die über diesen Access Point zugegriffen wird. Weitere Informationen finden Sie unter [Zugriffspunktzugriff verwalten](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/s3-ap-manage-access-fsxn.html).

1. Wählen Sie **Erstellen** aus.

1. Notieren Sie sich nach der Erstellung den Access Point-Alias für die Verwendung in der Transfer Family Family-Konfiguration.

**Anmerkung**  
Wenn im Namen Ihrer verbundenen SFTP/FTPS Benutzer auf S3-Ressourcen AWS Transfer Family zugegriffen wird, stammen Anfragen von der AWS Transfer Family Infrastruktur, nicht von Ihrer VPC. Aus diesem Grund lehnen S3 Access Points, die mit einem VPC-Netzwerkursprung konfiguriert sind, diese Anfragen ab. Selbst wenn Sie einen Access Point verwenden, der mit einem Internet-Netzwerkursprung konfiguriert ist, bleibt der gesamte Datenverkehr zwischen Transfer Family und dem Access Point privat und wird über das AWS Backbone-Netzwerk übertragen — er durchquert nicht das öffentliche Internet.

### Konfiguration von Dateisystemberechtigungen
<a name="configuring-file-system-permissions"></a>

Der von Ihnen angegebene Dateisystembenutzer bestimmt, welche Operationen Transfer Family Family-Benutzer ausführen können. Sie müssen die entsprechenden Berechtigungen für Ihr FSx Volume konfigurieren.

**UNIX-Beispiel:**

```
# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users

# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users

# Set permissions
chmod 755 /vol1/transfer-users
```

**Windows-Beispiel:**

```
# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory

# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T

# Verify permissions
icacls "D:\vol1\transfer-users"
```

## Verwenden von S3-Zugangspunkt-Aliasnamen mit FSx
<a name="using-s3-access-point-aliases"></a>

Wenn Sie FSx Dateisysteme mit Transfer Family verwenden, müssen Sie S3-Zugriffspunkt-Aliase verwenden. Transfer Family unterstützt nicht die Verwendung von Access Points ARNs oder anderen Referenzmethoden für die FSx Speicherung.

**Wichtig**  
AWS Transfer Family unterstützt nur S3-Zugriffspunkt-Aliase bei der Verwendung von FSx Dateisystemen. Sie können den Access Point ARNs oder virtual-hosted-style URIs nicht verwenden.

**Wichtig**  
Der Access Point muss sich in derselben Region wie das Volume befinden.

### Über Aliase für Access Points
<a name="about-access-point-aliases"></a>

Wenn Sie einen S3-Zugriffspunkt erstellen, der an ein FSx Volume angehängt ist, generiert Amazon S3 automatisch einen Access Point-Alias. Dieser Alias ist eine eindeutige Kennung, die Sie überall verwenden können, wo Sie einen S3-Bucket-Namen verwenden.

Für Access Points, die an FSx Volumes angehängt sind, verwendet der Alias das folgende Format:

```
access-point-name-metadata-ext-s3alias
```

**Beispiel für einen Alias:**

```
my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
```

**Anmerkung**  
Das `-ext-s3alias` Suffix ist für FSx Access Point-Aliase reserviert. Sie können dieses Suffix nicht in Zugriffspunktnamen verwenden.

### Finden Sie den Alias Ihres Access Points
<a name="finding-access-point-alias"></a>

Sie können den Alias des Access Points finden, nachdem Sie den Access Point erstellt haben.

**Um den Alias des Access Points zu finden (Konsole)**

1. Öffnen Sie die FSx Amazon-Konsole unter [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).

1. Wählen Sie im Navigationsbereich **Dateisysteme** aus.

1. Wählen Sie Ihr Dateisystem aus.

1. Wählen Sie die Registerkarte **Volumes** und wählen Sie das Volume aus, für das Sie den Access Point erstellt haben.

1. Gehen Sie zur Spalte mit **den S3-Zugangspunkt-Details**.

1. Der Alias wird in der **Alias-Spalte** angezeigt.

**So finden Sie den Access Point-Alias (CLI)**

Verwenden Sie den Befehl `describe-s3-access-point-attachments`.

```
aws fsx describe-s3-access-point-attachments \
    --filters Name=file-system-id,Values=fs-0123456789abcdef0
```

Die Antwort enthält den Alias:

```
{
    "S3AccessPointAttachments": [
        {
            "S3AccessPoint": {
                "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
                "Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
            }
        }
    ]
}
```

Wenn Sie Transfer Family Family-Benutzer konfigurieren, verwenden Sie den Access Point-Alias in Basisverzeichniszuordnungen.

**Format des Home-Verzeichnisses:**

```
/access-point-alias/path/to/directory
```

**Beispiel:**

```
/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith
```

## Konfiguration der Transfer Family für FSx Speicher
<a name="configuring-transfer-family-fsx"></a>

Nachdem Sie den S3-Zugriffspunkt erstellt haben, konfigurieren Sie einen Transfer Family Family-Server für die Verwendung.

### Erstellen einer IAM-Rolle
<a name="creating-iam-role-fsx"></a>

Sie müssen eine IAM-Rolle erstellen, die Transfer Family Zugriff auf den S3-Zugriffspunkt gewährt.

**Wichtig**  
IAM-Richtlinien erfordern das Access Point-ARN-Format, nicht den Alias. Verwenden Sie das Format `arn:aws:s3:region:account-id:accesspoint/access-point-name` in den Ressourcenanweisungen Ihrer IAM-Richtlinie. Der Access Point-Alias (endet auf`-ext-s3alias`) wird nur für Zuordnungen von Home-Verzeichnissen verwendet.

**So erstellen Sie die IAM-Rolle**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen und anschließend Rolle** **erstellen** aus.

1. Wählen Sie unter **Vertrauenswürdiger Entitätstyp** die Option **AWS -Service** aus.

1. Wählen Sie als **Anwendungsfall** die Option **Transfer** aus.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie **Richtlinie erstellen** und geben Sie Ihre Richtlinie ein (siehe Beispielrichtlinie unten).

1. Hängen Sie die Richtlinie an die Rolle an und wählen Sie **Rolle erstellen** aus.

**Beispiel für eine IAM-Richtlinie:**

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowFileOperations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
        },
        {
            "Sid": "AllowDirectoryOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
        }
    ]
}
```

## Benutzer für FSx den Speicher verwalten
<a name="managing-users-fsx"></a>

Erstellen Sie Transfer Family Family-Benutzer mit Stammverzeichniszuordnungen, die den S3-Zugriffspunkt-Alias verwenden.

### Erstellen eines Benutzers
<a name="creating-user-fsx"></a>

Wenn Sie einen Benutzer für den FSx Speicher erstellen, verwenden Sie den Access Point-Alias in den Zuordnungen der Home-Verzeichnisse.

**So erstellen Sie einen Service Managed-Benutzer (Konsole)**

1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Klicken Sie im Navigationsbereich auf **Servers (Server)**.

1. Wählen Sie Ihren Server aus.

1. Wählen Sie im Bereich Benutzer die Option **Benutzer hinzufügen** aus.

1. Geben Sie **unter Nutzername** einen Nutzernamen ein.

1. Wählen Sie **unter Rolle** die IAM-Rolle aus, die Sie erstellt haben.

1. Wählen Sie für **Home-Verzeichnis** die Option **Eingeschränkt** aus.

1. Fügen Sie für **Zuordnungen von Home-Verzeichnissen** eine Zuordnung mit dem Access Point-Alias hinzu:

   ```
   [{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]
   ```

**Um einen Benutzer zu erstellen (CLI)**

Verwenden Sie den Befehl `create-user`. Ersetzen Sie den Access Point-Alias durch Ihren Alias.

```
aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
        }
    ]'
```

### Konfiguration mehrerer Verzeichniszuordnungen
<a name="multiple-directory-mappings"></a>

Sie können mehrere virtuelle Verzeichnisse verschiedenen Pfaden auf dem FSx Volume zuordnen.

**Beispiel: Separate Upload- und Download-Verzeichnisse**

```
aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/inbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
        },
        {
            "Entry": "/outbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
        }
    ]'
```

## Konfiguration von Dateiübertragungsclients
<a name="configuring-file-transfer-clients"></a>

Wenn Sie FSx Dateisysteme mit Transfer Family verwenden, müssen Sie Ihre Dateiübertragungsclients so konfigurieren, dass Funktionen deaktiviert werden, die nicht unterstützt werden.

### WinSCP-Konfiguration
<a name="winscp-configuration"></a>

WinSCP verwendet standardmäßig eine temporäre Umbenennungsfunktion, die von S3-Zugriffspunkten für nicht unterstützt wird. FSx

**Warnung**  
Wenn Sie die Funktion zum temporären Umbenennen in WinSCP nicht deaktivieren, schlagen Dateiuploads fehl.

**Um die temporäre Umbenennung in WinSCP zu deaktivieren**

1. Öffnen Sie WinSCP.

1. Wählen Sie im Anmeldedialogfeld **Bearbeiten**, um Ihre Sitzungseinstellungen zu ändern.

1. Wählen Sie **Erweitert** aus.

1. Wählen Sie in der linken Navigationsleiste unter **Transfer** die Option **Endurance** aus.

1. Wählen **Sie für „Übertragung resume/transfer auf temporären Dateinamen aktivieren**“ die Option „**Deaktivieren**“.

1. Wählen Sie **OK**, um die Einstellungen zu speichern.

Alternativ können Sie diese Einstellung für eine bestehende Sitzung deaktivieren:

1. Connect zu Ihrem Transfer Family Family-Server her.

1. Wählen Sie **Optionen** und dann **Einstellungen**.

1. Wähle „**Transfer**“ und dann „**Endurance**“.

1. Wählen **Sie für „Übertragung resume/transfer auf temporären Dateinamen aktivieren**“ die Option „**Deaktivieren**“.

1. Wählen Sie **OK** aus.

### Andere SFTP-Clients
<a name="other-sftp-clients"></a>

Deaktivieren Sie für andere SFTP-Clients die folgenden Funktionen, sofern verfügbar:
+ Temporäre Datei-Uploads (in eine temporäre Datei hochladen und dann umbenennen)
+ Übertragungen mithilfe temporärer Dateien fortsetzen
+ Atomare Uploads mithilfe von Umbenennungsoperationen
+ Anfügen-Modus für Uploads

Spezifische Konfigurationsschritte finden Sie in Ihrer Client-Dokumentation.

## Problembehebung FSx beim Speicher
<a name="troubleshooting-fsx-storage"></a>

In diesem Abschnitt wird beschrieben, wie Sie häufig auftretende Probleme bei der Verwendung von Transfer Family mit FSx Dateisystemen identifizieren und lösen können.

### Probleme beim Betrieb von Dateien
<a name="file-operation-issues"></a>

**Genehmigung verweigert**

Wenn Sie die Fehlermeldung „Zugriff verweigert“ erhalten:

1. Stellen Sie sicher, dass die IAM-Rolle über die richtigen Berechtigungen für den Access Point-Alias verfügt. Sie können dies tun, indem Sie direkt mit S3 APIs testen.

1. Vergewissern Sie sich, dass die Zugriffspunktrichtlinie die IAM-Rolle zulässt.

1. Stellen Sie sicher, dass der Dateisystembenutzer über Berechtigungen für den Zielpfad verfügt.

1. Vergewissern Sie sich, dass bei der Zuordnung des Home-Verzeichnisses der richtige Access Point-Alias verwendet wird.

**Upload schlägt mit WinSCP fehl**

Wenn Datei-Uploads mit WinSCP fehlschlagen, deaktivieren Sie das temporäre Umbenennen:

1. **Wählen Sie in WinSCP **Optionen** und dann Einstellungen.**

1. **Wählen Sie **Transfer** und dann Endurance.**

1. Wählen **Sie für „Übertragung resume/transfer auf temporären Dateinamen aktivieren**“ die Option „**Deaktivieren**“.

Weitere Informationen finden Sie unter [Konfiguration von Dateiübertragungsclients](#configuring-file-transfer-clients).

**Das Hochladen der Datei schlägt fehl**

Wenn Datei-Uploads fehlschlagen:

1. Stellen Sie sicher, dass die Dateigröße unter 5 GB liegt.

1. Vergewissern Sie sich, dass auf dem FSx Volume ausreichend Speicherplatz verfügbar ist.

1. Überwachen Sie die CloudWatch Metriken im Hinblick auf Drosselung.