Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Creación de conectores SFTP
En este tema se describe cómo crear conectores SFTP. Cada conector ofrece la posibilidad de conectarse con un servidor SFTP remoto. Realice las siguientes tareas de alto nivel para configurar un conector SFTP.
**nota**
Para ver los conectores basados en VPC que enrutan el tráfico a través de su nube privada virtual, consulte. [Cree un conector SFTP con salida basada en VPC](create-vpc-sftp-connector-procedure.md)
1. Guarde las credenciales de autenticación del conector en. AWS Secrets Manager
1. Cree el conector especificando el ARN secreto, la URL del servidor remoto o el ARN de configuración de recursos, la política de seguridad que contiene los algoritmos que admitirá el conector y otros ajustes de configuración.
1. Tras crear el conector, puede probarlo para asegurarse de que puede establecer conexiones con el servidor SFTP remoto.
## Elegir el tipo de salida del conector SFTP
Al crear un conector SFTP, se elige el tipo de salida entre «Servicio gestionado» y «VPC Lattice».
+ **Servicio gestionado** (predeterminado): el conector utiliza las puertas de enlace NAT y las direcciones IP de su propiedad AWS Transfer Family para enrutar las conexiones a través de la Internet pública. El servicio proporciona 3 direcciones IP estáticas para los conectores que deben figurar en la lista de permitidos de los servidores remotos para poder establecer conexiones.
+ **VPC Lattice**: el conector enruta el tráfico a través de su entorno de VPC mediante Amazon VPC Lattice. Utilice la conectividad de VPC para los conectores SFTP en los siguientes escenarios:
+ Servidores **SFTP privados: Conéctese a servidores** SFTP a los que solo se puede acceder desde su VPC
+ **Conectividad local**: conéctese a servidores SFTP locales a través de nuestras conexiones AWS Direct Connect AWS Virtual Private Network
+ **Direcciones IP personalizadas**: presente sus propias puertas de enlace NAT y direcciones IP elásticas al servidor remoto
+ **Controles de seguridad centralizados**: dirija las transferencias de archivos a través de los controles centrales ingress/egress de su organización
La siguiente matriz le ayuda a elegir el tipo de conector adecuado para sus casos de uso.
**Matriz de tipos de salida del conector SFTP**
| Funcionalidad | Tipo de salida = Servicio gestionado | Tipo de salida = celosía de VPC |
| --- | --- | --- |
| Conectividad a servidores SFTP alojados públicamente (accesibles a Internet) | compatible | Compatible con 1 |
| Conectividad a servidores SFTP alojados de forma privada (locales) | No compatible | Compatible con 2 |
| Conectividad a servidores SFTP alojados de forma privada (en la VPC) | No compatible | compatible |
| Direcciones IP estáticas presentadas al servidor SFTP remoto | Compatible mediante direcciones IP estáticas suministradas por el servicio | Compatible a través de direcciones IP estáticas propiedad del cliente |
| Ancho de banda disponible | 50 MBPS por cuenta | Mayor ancho de banda, disponible en Resource Gateway y NAT Gateway, propiedad del cliente |
| Enrutamiento del tráfico a Internet a través de pasarelas NAT y firewalls de red propiedad del cliente | No admitido. Las pasarelas NAT son propiedad del servicio Transfer Family y están administradas por él. | compatible |
1 *Con el tipo de salida = red de VPC, se admite la conectividad con los servidores alojados públicamente mediante la infraestructura de salida (puertas de enlace NAT) configurada* en la salida. VPCs
2 *Con el tipo de salida = VPC Lattice, se admite la conectividad con servidores alojados de forma privada mediante las redes existentes en la VPC*, como una VPN. AWS Direct Connect
**Topics**
+ [Elegir el tipo de salida del conector SFTP](#choosing-egress-type)
+ [Almacene las credenciales de autenticación para los conectores SFTP en Secrets Manager](sftp-connector-secret-procedure.md)
+ [Cree un conector SFTP con salida gestionada por el servicio](create-sftp-connector-procedure.md)
+ [Cree un conector SFTP con salida basada en VPC](create-vpc-sftp-connector-procedure.md)
+ [Prueba de un conector SFTP](test-sftp-connector.md)
# Almacene las credenciales de autenticación para los conectores SFTP en Secrets Manager
Puede usar Secrets Manager para almacenar las credenciales de usuario de los conectores SFTP. Al crear el secreto, debe proporcionar un nombre de usuario. Además, puede proporcionar una contraseña, una clave privada o ambas. Para obtener más información, consulte [Cuotas para conectores SFTP](scale-and-limits-sftp-connector.md#limits-sftp-connector).
**nota**
Cuando guardas secretos en Secrets Manager, Cuenta de AWS incurres en cargos. Para obtener más información acerca de los precios, consulte [AWS Secrets Manager Precios](https://aws.amazon.com/secrets-manager/pricing).
**Almacenamiento de las credenciales de usuario en Secrets Manager para un conector SFTP**
1. Inicia sesión en Consola de administración de AWS y abre la AWS Secrets Manager consola en [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. En el panel de navegación izquierdo, seleccione **Secretos**.
1. En la página **Secretos**, seleccione **Almacenar un nuevo secreto**.
1. En la página **Seleccionar tipo de secreto**, en **Tipo de secreto**, seleccione **Otro tipo de secreto**.
1. Proporcione la key/value información de su secreto: debe proporcionar el nombre de usuario y una clave privada o una contraseña.
1. En la sección de **Pares clave-valor**, seleccione la pestaña **Clave/valor**.
+ **Clave**: introduzca **Username**.
+ **valor**: introduzca el nombre del usuario que está autorizado a conectarse al servidor del socio.
1. Si desea proporcionar un par de claves, elija **Agregar fila** y, en la sección **Pares clave/valor**, elija la pestaña **Clave/valor**.
+ **Clave**: introduzca **PrivateKey**.
+ **valor**: pega tu clave privada.
**Consejo**: Los datos de la clave privada que introduzca deben corresponder a la clave pública que está almacenada para este usuario en el servidor SFTP remoto.
**nota**
No es posible utilizar una clave privada protegida por contraseña para la autenticación con un conector SFTP. AWS Transfer Family
Para obtener más información sobre cómo generar un public/private key pair, consulte[Creación de claves SSH en macOS, Linux o Unix](macOS-linux-unix-ssh.md).
1. Si desea proporcionar una contraseña, seleccione **Añadir fila** y, en la sección **Pares clave/valor**, elija la pestaña **Clave/valor.**
+ **Clave**: introduzca **Password**.
+ **valor**: introduzca una contraseña para el usuario.
1. Elija **Siguiente**.
1. En la página **Configurar secreto**, introduzca un nombre y una descripción para el secreto. Se recomienda utilizar un prefijo de **aws/transfer/** para el nombre. Por ejemplo, puede dar un nombre a su secreto de **aws/transfer/connector-1**.
1. Seleccione **Siguiente** y, a continuación, acepte los valores predeterminados de la página **Configurar rotación**. A continuación, elija **Siguiente**.
1. En la página de **Revisión**, elija **Guardar** para crear y almacenar el secreto.
# Cree un conector SFTP con salida gestionada por el servicio
En este procedimiento se explica cómo crear conectores SFTP mediante la AWS Transfer Family consola o. AWS CLI
------
#### [ Console ]
**Creación de un Conector SFTP**
1. Abra la AWS Transfer Family consola en. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)
1. En el panel de navegación izquierdo, seleccione **Conectores SFTP** y, a continuación, seleccione **Crear conector SFTP**.
1. **En la sección de **configuración del conector**, para el **tipo de salida**, elija Servicio gestionado.** Esta opción utiliza una infraestructura de salida AWS Transfer Family gestionada. El servicio Transfer Family proporciona y administra direcciones IP estáticas para cada conector SFTP.
1. En la sección de **Configuración del conector**, proporcione la siguiente información:
![\[La consola de conectores SFTP de Transfer Family, que muestra los ajustes de configuración del conector.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/create-connector-example-config.png)
+ Para la **URL**, introduzca la URL de un servidor SFTP remoto. Esta URL debe tener el siguiente formato como `sftp://partner-SFTP-server-url`, por ejemplo, `sftp://AnyCompany.com`.
**nota**
También tiene la posibilidad de proporcionar un número de puerto en su URL. El formato es `sftp://partner-SFTP-server-url:port-number`. El número de puerto predeterminado (cuando no se especifica ningún puerto) es el puerto 22.
+ Para la **función de acceso**, elija el nombre de recurso de Amazon (ARN) de la función AWS Identity and Access Management (IAM) que se va a utilizar.
+ **Asegúrese de que este rol proporcione acceso de lectura y escritura** al directorio principal de la ubicación del archivo que se utiliza en la solicitud `StartFileTransfer`.
+ **Asegúrese de que este rol dé permiso** a `secretsmanager:GetSecretValue` para acceder al secreto.
**nota**
En la política, debe especificar el ARN del secreto. El ARN contiene el nombre secreto, pero lo agrega con seis caracteres alfanuméricos aleatorios. El ARN de un secreto tiene el siguiente formato.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Asegúrese de que contiene una relación de confianza** que permita que el conector tenga acceso a los recursos cuando atienda las solicitudes de transferencia de sus usuarios. Para obtener más información sobre cómo establecer una relación de confianza, consulte [Para establecer una relación de confianza](requirements-roles.md#establish-trust-transfer).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**nota**
Para el rol de acceso, el ejemplo concede acceso a un único secreto. Sin embargo, puede utilizar un carácter comodín, que puede ahorrarle trabajo si quiere reutilizar el mismo rol de IAM para varios usuarios y secretos. Por ejemplo, la siguiente declaración de recursos concede permisos para todos los secretos cuyos nombres comiencen por `aws/transfer`.
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
También puede almacenar los secretos que contengan sus credenciales de SFTP en otra Cuenta de AWS. Para obtener más información sobre cómo habilitar el acceso secreto entre cuentas, consulta [Permisos a los AWS Secrets Manager secretos para los usuarios de otra](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) cuenta.
1. Complete la configuración del conector:
+ (Opcional) Para la **función de registro**, elija la función de IAM que utilizará el conector para enviar eventos a sus CloudWatch registros. En el siguiente ejemplo de política, se enumeran los permisos necesarios para registrar eventos en los conectores SFTP.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
1. En el panel **Configuración SFTP**, proporcione la siguiente información:
![\[La consola de conectores SFTP de Transfer Family, que muestra los ajustes de configuración de SFTP.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/create-connector-example-sftp-config.png)
+ Para **las credenciales de Connector**, en la lista desplegable, elija el nombre de un código secreto AWS Secrets Manager que contenga la clave privada o la contraseña del usuario de SFTP. Debe crear un secreto y almacenarlo de una manera específica. Para obtener más información, consulte [Almacene las credenciales de autenticación para los conectores SFTP en Secrets Manager](sftp-connector-secret-procedure.md).
+ (Opcional) Tiene la opción de crear su conector y dejar el `TrustedHostKeys` parámetro vacío. Sin embargo, el conector no podrá transferir archivos con el servidor remoto hasta que proporcione este parámetro en la configuración del conector. Puede introducir las claves de host de confianza al crear el conector o actualizarlo más adelante utilizando la información de la clave de host que devuelve la acción de la `TestConnection` consola o el comando de la API. Es decir, para el cuadro de texto **Trusted host keys**, puede realizar una de las siguientes acciones:
+ **Proporcione las claves de host de confianza al momento de crear el conector.** Pegue la parte pública de la clave de host que se utiliza para identificar el servidor externo. Para añadir más de una clave, seleccione **Añadir clave de host de confianza** para añadir una clave adicional. Puede utilizar el comando `ssh-keyscan` en el servidor SFTP para recuperar la clave necesaria. Para obtener más información sobre el formato y el tipo de claves de host de confianza compatibles con Transfer Family, consulte [https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html](https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html).
+ *Deje vacío el cuadro de texto Claves de host confiables al crear el conector y actualícelo más adelante con esta información.* Si no dispone de la información de la clave de host en el momento de crear el conector, puede dejar este parámetro vacío por ahora y continuar con la creación del conector. Una vez creado el conector, utilice el identificador del nuevo conector para ejecutar el `TestConnection` comando, ya sea en la página de detalles del conector AWS CLI o desde ella. Si se ejecuta correctamente, `TestConnection` devolverá la información clave de host necesaria. A continuación, puede editar el conector mediante la consola (o ejecutando el `UpdateConnector` AWS CLI comando) y añadir la información de la clave de host que se devolvió al ejecutarlo`TestConnection`.
**importante**
Si recuperas la clave de host del servidor remoto ejecutándola`TestConnection`, asegúrate de out-of-band validar la clave que se devuelve.
Debe aceptar la nueva clave como de confianza o verificar la huella digital presentada con una huella conocida anteriormente que haya recibido del propietario del servidor SFTP remoto al que se está conectando.
+ (Opcional) Para el número **máximo de conexiones simultáneas**, en la lista desplegable, elija el número de conexiones simultáneas que el conector crea al servidor remoto. **La selección predeterminada en la consola es 5.**
Esta configuración especifica el número de conexiones activas que el conector puede establecer con el servidor remoto al mismo tiempo. La creación de conexiones simultáneas puede mejorar el rendimiento del conector al permitir operaciones en paralelo.
1. En la sección de **opciones de algoritmos criptográficos**, elija una **política de seguridad** de la lista desplegable del campo Política de **seguridad**. La política de seguridad le permite seleccionar los algoritmos criptográficos que admite su conector. Para obtener más información sobre las políticas y los algoritmos de seguridad disponibles, consulte[AWS Transfer Family Políticas de seguridad para conectores SFTP](security-policies-connectors.md).
1. (Opcional) En la sección **Etiquetas**, para **Clave** y **Valor**, escriba una o varias etiquetas como pares clave-valor.
1. Una vez que haya confirmado todos los ajustes, elija **Crear conector SFTP para crear el conector** SFTP. Si el conector se ha creado correctamente, aparecerá una pantalla con una lista de las direcciones IP estáticas asignadas y un botón de **prueba de conexión**. Utilice el botón para probar la configuración del nuevo conector.
![\[La pantalla de creación de conectores que aparece cuando se ha creado correctamente un conector SFTP. Contiene un botón para probar la conexión y una lista de las direcciones IP estáticas administradas por el servicio de este conector.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/connector-success-ip.png)
Aparece la página **Conectores**, con el ID del nuevo conector SFTP agregado a la lista. Para ver los detalles de los conectores, consulte [Ver los detalles del conector SFTP](manage-sftp-connectors.md#sftp-connectors-view-info).
------
#### [ CLI ]
Utilice el comando [https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html) para crear un conector. Para utilizar este comando para crear un conector SFTP, debe proporcionar la siguiente información.
+ La dirección URL de un servidor SFTP remoto. Esta URL debe tener el siguiente formato como `sftp://partner-SFTP-server-url`, por ejemplo, `sftp://AnyCompany.com`.
+ Ver Acceso de roles. Seleccione el nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que desee utilizar.
+ **Asegúrese de que este rol proporcione acceso de lectura y escritura** al directorio principal de la ubicación del archivo que se utiliza en la solicitud `StartFileTransfer`.
+ **Asegúrese de que este rol dé permiso** a `secretsmanager:GetSecretValue` para acceder al secreto.
**nota**
En la política, debe especificar el ARN del secreto. El ARN contiene el nombre secreto, pero lo agrega con seis caracteres alfanuméricos aleatorios. El ARN de un secreto tiene el siguiente formato.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Asegúrese de que contiene una relación de confianza** que permita que el conector tenga acceso a los recursos cuando atienda las solicitudes de transferencia de sus usuarios. Para obtener más información sobre cómo establecer una relación de confianza, consulte [Para establecer una relación de confianza](requirements-roles.md#establish-trust-transfer).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**nota**
Para el rol de acceso, el ejemplo concede acceso a un único secreto. Sin embargo, puede utilizar un carácter comodín, que puede ahorrarle trabajo si quiere reutilizar el mismo rol de IAM para varios usuarios y secretos. Por ejemplo, la siguiente declaración de recursos concede permisos para todos los secretos cuyos nombres comiencen por `aws/transfer`.
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
También puede almacenar los secretos que contengan sus credenciales de SFTP en otra Cuenta de AWS. Para obtener más información sobre cómo habilitar el acceso secreto entre cuentas, consulta [Permisos a los AWS Secrets Manager secretos para los usuarios de otra](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) cuenta.
+ (Opcional) Elija la función de IAM que utilizará el conector para enviar eventos a sus CloudWatch registros. El siguiente ejemplo de política enumera los permisos necesarios para registrar eventos en los conectores SFTP.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
+ Proporcione la siguiente información de configuración de SFTP.
+ El ARN de un secreto AWS Secrets Manager que contiene la clave privada o la contraseña del usuario de SFTP.
+ La parte pública de la clave de host que se utiliza para identificar el servidor externo. Si lo desea, puede proporcionar varias claves de host de confianza.
La forma más sencilla de proporcionar la información del SFTP es guardarla en un archivo. Por ejemplo, copie el siguiente texto de ejemplo en un archivo denominado `testSFTPConfig.json`.
```
// Listing for testSFTPConfig.json
{
"UserSecretId": "arn:aws::secretsmanager:us-east-2:123456789012:secret:aws/transfer/example-username-key",
"TrustedHostKeys": [
"sftp.example.com ssh-rsa AAAAbbbb...EEEE="
]
}
```
+ Especifique una política de seguridad para el conector e introduzca el nombre de la política de seguridad.
**nota**
`SecretId`Puede ser el ARN completo o el nombre del secreto (*example-username-key*en la lista anterior).
A continuación, ejecute el siguiente comando para crear el conector:
```
aws transfer create-connector --url "sftp://partner-SFTP-server-url" \
--access-role your-IAM-role-for-bucket-access \
--logging-role arn:aws:iam::your-account-id:role/service-role/AWSTransferLoggingAccess \
--sftp-config file:///path/to/testSFTPConfig.json \
--security-policy-name security-policy-name \
--maximum-concurrent-connections integer-from-1-to-5
```
Cuando describe un conector de tipo salida de VPC, la respuesta incluye los nuevos campos:
```
{
"Connector": {
"AccessRole": "arn:aws:iam::123456789012:role/connector-role",
"Arn": "arn:aws:transfer:us-east-1:123456789012:connector/c-1234567890abcdef0",
"ConnectorId": "c-1234567890abcdef0",
"Status": "ACTIVE",
"EgressConfig": {
"VpcLattice": {
"ResourceConfigurationArn": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-12345678",
"PortNumber": 22
}
},
"EgressType": "VPC",
"ServiceManagedEgressIpAddresses": null,
"SftpConfig": {
"TrustedHostKeys": [ "ssh-rsa AAAAB3NzaC..." ],
"UserSecretId": "aws/transfer/connector-secret"
},
"Url": "sftp://my.sftp.server.com:22"
}
}
```
Tenga en cuenta que `ServiceManagedEgressIpAddresses` es nulo para los conectores de tipo salida de VPC, ya que el tráfico se dirige a través de la VPC en lugar de a través de la infraestructura gestionada. AWS
------
# Cree un conector SFTP con salida basada en VPC
En este tema se proporcionan step-by-step instrucciones para crear conectores SFTP con conectividad de VPC. Los conectores compatibles con VPC\$1Lattice utilizan Amazon VPC Lattice para enrutar el tráfico a través de su nube privada virtual, lo que permite conexiones seguras a puntos de conexión privados o utiliza sus propias puertas de enlace NAT para el acceso a Internet.
**Cuándo usar la conectividad de VPC**
Utilice la conectividad de VPC para los conectores SFTP en los siguientes escenarios:
+ **Servidores SFTP privados**: Conéctese a servidores SFTP a los que solo se puede acceder desde su VPC.
+ **Conectividad local**: conéctese a servidores SFTP locales a través de conexiones VPN o AWS Site-to-Site Direct AWS Connect.
+ **Direcciones IP personalizadas**: utilice sus propias puertas de enlace NAT y direcciones IP elásticas, incluidos los escenarios de BYOIP.
+ **Controles de seguridad centralizados**: dirija las transferencias de archivos a través de los controles centrales de su organización. ingress/egress
![\[Diagrama de arquitectura que muestra la salida basada en VPC para los conectores SFTP, que ilustra cómo el acceso a recursos entre VPC permite conexiones seguras a través de su nube privada virtual.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/vpc-egress-diagram.png)
## Requisitos previos para los conectores SFTP compatibles con VPC\$1Lattice
Antes de crear un conector SFTP compatible con VPC\$1Lattice, debe cumplir los siguientes requisitos previos:
**Cómo funciona la conectividad basada en VPC**
VPC Lattice le permite compartir de forma segura los recursos de VPC con otros servicios. AWS AWS Transfer Family utiliza una red de servicios para simplificar el proceso de intercambio de recursos. Los componentes clave son:
+ **Resource Gateway**: sirve como punto de acceso a su VPC. Esto se crea en la VPC con un mínimo de dos zonas de disponibilidad.
+ **Configuración de recursos**: contiene la dirección IP privada o el nombre DNS público del servidor SFTP al que desea conectarse.
Al crear un conector compatible con VPC\$1Lattice, AWS Transfer Family utiliza la sesión de acceso directo (FAS) para obtener temporalmente las credenciales y asociar la configuración de recursos a nuestra red de servicios.
**Pasos de configuración necesarios**
1. **Infraestructura de VPC**: asegúrese de tener una VPC correctamente configurada con las subredes, tablas de enrutamiento y grupos de seguridad necesarios para los requisitos de conectividad del servidor SFTP.
1. **Puerta de enlace de recursos**: cree una puerta de enlace de recursos en su VPC mediante el comando VPC Lattice. `create-resource-gateway` La puerta de enlace de recursos debe estar asociada a subredes de al menos dos zonas de disponibilidad. Para obtener más información, consulte [Resource Gateways](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-gateway.html) en la Guía del usuario de *Amazon VPC Lattice*.
1. **Configuración de recursos**: cree una configuración de recursos que represente el servidor SFTP de destino mediante el comando VPC Lattice`create-resource-configuration`. Puede especificar:
+ Una dirección IP privada para puntos finales privados
+ Un nombre DNS público para los puntos finales públicos (las direcciones IP no se admiten en los puntos finales públicos)
1. **Credenciales de autenticación**: almacene las credenciales de usuario de SFTP AWS Secrets Manager como se describe en. [Almacene las credenciales de autenticación para los conectores SFTP en Secrets Manager](sftp-connector-secret-procedure.md)
**importante**
La puerta de enlace de recursos y la configuración de recursos deben crearse en la misma AWS cuenta. Al crear una configuración de recursos, primero debe disponer de una puerta de enlace de recursos.
Para obtener más información sobre las configuraciones de recursos de VPC, consulte Configuraciones de [recursos en la Guía](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) del usuario de Amazon *VPC Lattice*.
**nota**
La conectividad de VPC para los conectores SFTP está disponible en los lugares donde estén disponibles los recursos de Regiones de AWS Amazon VPC Lattice. Para obtener más información, consulte [VPC Lattice. FAQs](https://aws.amazon.com/vpc/lattice/faqs/#topic-0) La compatibilidad con las zonas de disponibilidad varía según la región y las pasarelas de recursos requieren un mínimo de dos zonas de disponibilidad.
## Cree un conector SFTP compatible con VPC\$1Lattice
Tras completar los requisitos previos, puede crear un conector SFTP con conectividad de VPC mediante la AWS CLI consola de AWS administración o. AWS SDKs
------
#### [ Console ]
**Para crear un conector SFTP compatible con VPC\$1Lattice**
1. Abra AWS Transfer Family la consola en [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. En el panel de navegación izquierdo, seleccione **Conectores SFTP** y, a continuación, seleccione **Crear conector SFTP**.
1. En la sección **Configuración del conector**, para el **tipo de salida**, elija **VPC Lattice**.
Esta opción enruta el tráfico a través de la VPC mediante Amazon VPC Lattice para el acceso a los recursos entre VPC. Puede usar esta opción para conectarse a puntos finales de servidores alojados de forma privada, enrutar el tráfico a través de los controles de seguridad de su VPC o usar sus propias puertas de enlace NAT y direcciones IP elásticas. La dirección del servidor SFTP remoto se representa como una configuración de recursos en la VPC. Para obtener más información sobre las configuraciones de recursos, consulte [Configuraciones de recursos para recursos de VPC en la Guía](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) del usuario de Amazon VPC Lattice.
1. Complete la configuración del conector:
+ Para la **función de acceso**, elija el nombre de recurso de Amazon (ARN) de la función AWS Identity and Access Management (IAM) que se va a utilizar.
+ **Asegúrese de que este rol proporcione acceso de lectura y escritura** al directorio principal de la ubicación del archivo que se utiliza en la solicitud `StartFileTransfer`.
+ **Asegúrese de que este rol dé permiso** a `secretsmanager:GetSecretValue` para acceder al secreto.
**nota**
En la política, debe especificar el ARN del secreto. El ARN contiene el nombre secreto, pero lo añade con seis caracteres alfanuméricos aleatorios. El ARN de un secreto tiene el siguiente formato.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Asegúrese de que contiene una relación de confianza** que permita que el conector tenga acceso a los recursos cuando atienda las solicitudes de transferencia de sus usuarios. Para obtener más información sobre cómo establecer una relación de confianza, consulte [Para establecer una relación de confianza](requirements-roles.md#establish-trust-transfer).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**nota**
Para el rol de acceso, el ejemplo concede acceso a un único secreto. Sin embargo, puede utilizar un carácter comodín, que puede ahorrarle trabajo si quiere reutilizar el mismo rol de IAM para varios usuarios y secretos. Por ejemplo, la siguiente declaración de recursos concede permisos para todos los secretos cuyos nombres comiencen por `aws/transfer`.
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
También puede almacenar los secretos que contengan sus credenciales de SFTP en otra Cuenta de AWS. Para obtener más información sobre cómo habilitar el acceso secreto entre cuentas, consulta [Permisos a los AWS Secrets Manager secretos para los usuarios de otra](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) cuenta.
+ Para el **ARN de configuración de recursos**, introduzca el ARN de la configuración de recursos de red de VPC que apunta a su servidor SFTP:
```
arn:aws:vpc-lattice:region:account-id:resourceconfiguration/rcfg-12345678
```
+ (Opcional) Para la función de **registro, elija la función** de IAM para que el conector la utilice para enviar eventos a sus registros. CloudWatch
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
1. En el panel **Configuración SFTP**, proporcione la siguiente información:
+ Para **las credenciales de Connector**, elija el nombre de un archivo secreto AWS Secrets Manager que contenga la clave privada o la contraseña del usuario de SFTP.
+ En el caso de **las claves de host confiables**, pegue la parte pública de la clave de host que se utiliza para identificar el servidor externo o déjela en blanco para configurarla más adelante mediante el `TestConnection` comando.
Como esta clave de host es para un conector VPC\$1LATTICE, elimine el nombre de host de la clave
+ (Opcional) Para el número **máximo de conexiones simultáneas**, elija el número de conexiones simultáneas que el conector crea al servidor remoto (el valor predeterminado es 5).
1. En la sección de **opciones de algoritmos criptográficos**, elija una **política de seguridad** de la lista desplegable.
1. (Opcional) En la sección **Etiquetas**, añada etiquetas como pares clave-valor.
1. Seleccione **Crear conector SFTP para crear el conector SFTP** habilitado para VPC\$1Lattice.
El conector se creará con el estado de `PENDING` mientras se aprovisiona la asociación de recursos, lo que normalmente tarda varios minutos. Una vez que el estado cambie a`ACTIVE`, el conector estará listo para su uso.
------
#### [ CLI ]
Utilice el siguiente comando para crear un conector SFTP compatible con VPC\$1Lattice:
```
aws transfer create-connector \
--url "sftp://my.sftp.server.com:22" \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-secret-id,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0} \
--security-policy-name TransferSecurityPolicy-2024-01
```
El parámetro clave para la conectividad de la VPC es `--egress-config` el que especifica el ARN de la configuración de recursos que define el destino del servidor SFTP.
------
## Supervisión del estado del conector de VPC
Los conectores compatibles con VPC\$1Lattice tienen un proceso de configuración asíncrono. Tras la creación, supervise el estado del conector:
+ **PENDIENTE**: Se está aprovisionando el conector. El aprovisionamiento de la red de servicios está en curso, lo que suele tardar varios minutos.
+ **ACTIVO**: el conector está listo para su uso y puede transferir archivos.
+ **ERROR**: el conector no se pudo aprovisionar. Compruebe los detalles del error para obtener información sobre la solución de problemas.
Compruebe el estado del conector mediante el `describe-connector` comando:
```
aws transfer describe-connector --connector-id c-1234567890abcdef0
```
Durante el estado PENDIENTE, la `test-connection` API mostrará el mensaje «Conector no disponible» hasta que se complete el aprovisionamiento.
## Limitaciones y consideraciones
+ **Puntos finales públicos**: al conectarse a puntos finales públicos a través de la VPC, debe proporcionar un nombre DNS en la configuración de recursos. No se admiten las direcciones IP públicas.
+ **Disponibilidad regional**: la conectividad de VPC está disponible en una selección. Regiones de AWS No se admite el uso compartido de recursos entre regiones.
+ **Requisitos de la zona de disponibilidad**: las pasarelas de recursos deben estar asociadas a subredes de al menos dos zonas de disponibilidad. No todas las zonas de disponibilidad admiten VPC Lattice en todas las regiones.
+ **Límites de conexión**: máximo 350 conexiones por recurso con un tiempo de espera de 350 segundos para las conexiones TCP.
## Consideraciones sobre costos
No hay cargos adicionales más AWS Transfer Family allá de los cargos de servicio habituales. Sin embargo, los clientes pueden estar sujetos a cargos adicionales por parte de Amazon VPC Lattice relacionados con el uso compartido de sus recursos de Amazon Virtual Private Cloud y a cargos por pasarelas de NAT si utilizan sus propias pasarelas de NAT para acceder a Internet.
[Para obtener información completa sobre AWS Transfer Family los precios, consulte la página de precios.AWS Transfer Family](https://aws.amazon.com/aws-transfer-family/pricing/)
## Ejemplos de conectividad de VPC para conectores SFTP
En esta sección se proporcionan ejemplos de creación de conectores SFTP con conectividad de VPC para varios escenarios. Antes de usar estos ejemplos, asegúrese de haber completado la configuración de la infraestructura de la VPC tal como se describe en la documentación de conectividad de la VPC.
### Ejemplo: conexión de punto final privado
En este ejemplo, se muestra cómo crear un conector SFTP que se conecte a un servidor SFTP privado al que solo se pueda acceder desde la VPC.
**Requisitos previos**
1. Cree una pasarela de recursos en su VPC:
```
aws vpc-lattice create-resource-gateway \
--name my-private-server-gateway \
--vpc-identifier vpc-1234567890abcdef0 \
--subnet-ids subnet-1234567890abcdef0 subnet-0987654321fedcba0
```
1. Cree una configuración de recursos para su servidor SFTP privado:
```
aws vpc-lattice create-resource-configuration \
--name my-private-server-config \
--resource-gateway-identifier rgw-1234567890abcdef0 \
--resource-configuration-definition ipResource={ipAddress="10.0.1.100"} \
--port-ranges 22
```
**Cree el conector habilitado para VPC\$1Lattice**
1. Cree el conector SFTP con conectividad de VPC:
```
aws transfer create-connector \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-private-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22}
```
1. Supervise el estado del conector hasta que se convierta en: `ACTIVE`
```
aws transfer describe-connector --connector-id c-1234567890abcdef0
```
El servidor SFTP remoto verá las conexiones procedentes de la dirección IP de Resource Gateway dentro del rango CIDR de la VPC.
### Ejemplo: punto final público mediante VPC
En este ejemplo, se muestra cómo enrutar las conexiones a un servidor SFTP público a través de la VPC para aprovechar los controles de seguridad centralizados y utilizar sus propias direcciones IP de NAT Gateway.
**Requisitos previos**
1. Cree una puerta de enlace de recursos en su VPC (igual que en el ejemplo de un punto final privado).
1. Cree una configuración de recursos para el servidor SFTP público con su nombre DNS:
```
aws vpc-lattice create-resource-configuration \
--name my-public-server-config \
--resource-gateway-identifier rgw-1234567890abcdef0 \
--resource-configuration-definition dnsResource={domainName="sftp.example.com"} \
--port-ranges 22
```
**nota**
Para los puntos finales públicos, debe usar un nombre DNS, no una dirección IP.
**Creación del conector**
+ Cree el conector SFTP:
```
aws transfer create-connector \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-public-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0987654321fedcba0,PortNumber=22}
```
El tráfico fluirá desde el conector hasta la puerta de enlace de recursos y, a continuación, a través de la puerta de enlace NAT para llegar al servidor SFTP público. El servidor remoto verá la dirección IP elástica de su puerta de enlace NAT como fuente.
### Ejemplo: punto final privado entre cuentas
En este ejemplo, se muestra cómo conectarse a un servidor SFTP privado de una AWS cuenta diferente mediante el uso compartido de recursos.
**nota**
Si ya ha habilitado el uso compartido de recursos entre VPC mediante otros mecanismos, por ejemplo AWS Transit Gateway, no necesita configurar el uso compartido de recursos que se describe aquí. Los conectores SFTP utilizan automáticamente los mecanismos de enrutamiento existentes, como las tablas de enrutamiento de Transit Gateway. Solo necesita crear una configuración de recursos en la misma cuenta en la que está creando el conector SFTP.
**Cuenta A (proveedor de recursos): comparte la configuración de recursos**
1. Cree la pasarela de recursos y la configuración de recursos en la cuenta A (igual que en los ejemplos anteriores).
1. Comparta la configuración de recursos con la cuenta B mediante AWS Resource Access Manager:
```
aws ram create-resource-share \
--name cross-account-sftp-share \
--resource-arns arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0 \
--principals 222222222222
```
**Cuenta B (consumidora de recursos): acepta y usa el recurso compartido**
1. Acepte la invitación a compartir recursos:
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn arn:aws:ram:us-east-1:111111111111:resource-share-invitation/invitation-id
```
1. Cree el conector SFTP en la cuenta B:
```
aws transfer create-connector \
--access-role arn:aws:iam::222222222222:role/TransferConnectorRole \
--sftp-config UserSecretId=cross-account-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22}
```
El conector de la cuenta B ahora puede acceder al servidor SFTP privado de la cuenta A a través de la configuración de recursos compartidos.
### Situaciones comunes de solución de problemas
Estas son las soluciones para los problemas más comunes al crear conectores compatibles con VPC\$1Lattice:
+ **Conector bloqueado en estado PENDIENTE**: compruebe que su Resource Gateway esté ACTIVA y que tenga subredes en las zonas de disponibilidad compatibles. Si el conector sigue bloqueado con el estado PENDIENTE, llame `UpdateConnector` con los mismos parámetros de configuración que utilizó inicialmente. Esto desencadena un nuevo evento de estado que podría resolver el problema.
+ Tiempos de **espera de conexión**: compruebe que las reglas del grupo de seguridad permiten el tráfico en el puerto 22 y que el enrutamiento de la VPC es correcto.
+ **Problemas de resolución de DNS**: en el caso de los puntos finales públicos, asegúrese de que su VPC tenga conectividad a Internet a través de una puerta de enlace NAT o una puerta de enlace de Internet.
+ **Acceso entre cuentas denegado**: compruebe que se acepta el recurso compartido y que el ARN de configuración de recursos es correcto. Si la política de permisos adecuada se adjunta a la configuración del recurso cuando la cuenta de origen crea el recurso compartido, se requieren los siguientes permisos:`vpc-lattice:AssociateViaAWSService`,,`vpc-lattice:AssociateViaAWSService-EventsAndStates`,`vpc-lattice:CreateServiceNetworkResourceAssociation`. `vpc-lattice:GetResourceConfiguration`
# Prueba de un conector SFTP
Tras crear un conector SFTP, le recomendamos que lo pruebe antes de intentar transferir cualquier archivo con el nuevo conector.
**Prueba de un conector SFTP**
1. Abra la AWS Transfer Family consola en. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)
1. En el panel de navegación izquierdo, elija **Conectores SFTP** y seleccione un conector.
1. En el menú **Acciones**, seleccione **Evento de prueba**.
![\[La consola Transfer Family, que muestra un conector SFTP seleccionado y la acción Probar conexión resaltada.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/connector-test-choose.png)
El sistema devuelve un mensaje que indica si la prueba se supera o no. Si la prueba no es satisfactoria, el sistema muestra un mensaje de error en función del motivo por el que no se ha realizado la prueba.
![\[El panel de conexión de prueba del conector SFTP muestra una prueba satisfactoria.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/connector-test-success.png)
![\[El panel de conexión de prueba del conector SFTP muestra una prueba fallida: el mensaje de error indica que el rol de acceso del conector es incorrecto.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/connector-test-fail-role.png)
**nota**
Para usar la API para probar el conector, consulte la documentación de la API de [https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection](https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection).