Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # AWS Transfer Family Conectores SFTP Un conector AWS Transfer Family SFTP establece una conexión con un servidor SFTP remoto para transferir archivos entre el almacenamiento de Amazon y un servidor remoto mediante el protocolo SFTP. Puede enviar archivos desde Amazon S3 a un servidor SFTP externo propiedad de un socio, recuperar archivos del servidor SFTP de un socio a Amazon S3 o enumerarlos, eliminar, cambiar el nombre o mover archivos en el servidor remoto. Los conectores SFTP admiten dos tipos de salida: servicio gestionado (mediante infraestructura AWS gestionada) y VPC (enrutamiento a través de la VPC mediante Amazon VPC Lattice). Con los conectores SFTP, puede crear flujos de trabajo de transferencia de archivos automatizados y basados en eventos. AWS En el siguiente vídeo se ofrece una breve introducción a los conectores SFTP de Transfer Family. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Gm-FMGrVpAg/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Gm-FMGrVpAg) **Topics** + [ # Creación de conectores SFTP ](configure-sftp-connector.md) + [ # Conectividad de VPC para conectores SFTP ](sftp-connectors-vpc-overview.md) + [ # Uso de conectores SFTP ](transfer-sftp-connectors.md) + [ # Monitorización de conectores SFTP ](track-connector-progress.md) + [ # Administración de conectores SFTP ](manage-sftp-connectors.md) + [ # Escalado y cuotas para los conectores SFTP ](scale-and-limits-sftp-connector.md) + [ # Arquitecturas de referencia que utilizan conectores SFTP ](reference-architectures.md) # Creación de conectores SFTP En este tema se describe cómo crear conectores SFTP. Cada conector ofrece la posibilidad de conectarse con un servidor SFTP remoto. Realice las siguientes tareas de alto nivel para configurar un conector SFTP. **nota** Para ver los conectores basados en VPC que enrutan el tráfico a través de su nube privada virtual, consulte. [Cree un conector SFTP con salida basada en VPC](create-vpc-sftp-connector-procedure.md) 1. Guarde las credenciales de autenticación del conector en. AWS Secrets Manager 1. Cree el conector especificando el ARN secreto, la URL del servidor remoto o el ARN de configuración de recursos, la política de seguridad que contiene los algoritmos que admitirá el conector y otros ajustes de configuración. 1. Tras crear el conector, puede probarlo para asegurarse de que puede establecer conexiones con el servidor SFTP remoto. ## Elegir el tipo de salida del conector SFTP Al crear un conector SFTP, se elige el tipo de salida entre «Servicio gestionado» y «VPC Lattice». + **Servicio gestionado** (predeterminado): el conector utiliza las puertas de enlace NAT y las direcciones IP de su propiedad AWS Transfer Family para enrutar las conexiones a través de la Internet pública. El servicio proporciona 3 direcciones IP estáticas para los conectores que deben figurar en la lista de permitidos de los servidores remotos para poder establecer conexiones. + **VPC Lattice**: el conector enruta el tráfico a través de su entorno de VPC mediante Amazon VPC Lattice. Utilice la conectividad de VPC para los conectores SFTP en los siguientes escenarios: + Servidores **SFTP privados: Conéctese a servidores** SFTP a los que solo se puede acceder desde su VPC + **Conectividad local**: conéctese a servidores SFTP locales a través de nuestras conexiones AWS Direct Connect AWS Virtual Private Network + **Direcciones IP personalizadas**: presente sus propias puertas de enlace NAT y direcciones IP elásticas al servidor remoto + **Controles de seguridad centralizados**: dirija las transferencias de archivos a través de los controles centrales ingress/egress de su organización La siguiente matriz le ayuda a elegir el tipo de conector adecuado para sus casos de uso. **Matriz de tipos de salida del conector SFTP** | Funcionalidad | Tipo de salida = Servicio gestionado | Tipo de salida = celosía de VPC | | --- | --- | --- | | Conectividad a servidores SFTP alojados públicamente (accesibles a Internet) | compatible | Compatible con 1 | | Conectividad a servidores SFTP alojados de forma privada (locales) | No compatible | Compatible con 2 | | Conectividad a servidores SFTP alojados de forma privada (en la VPC) | No compatible | compatible | | Direcciones IP estáticas presentadas al servidor SFTP remoto | Compatible mediante direcciones IP estáticas suministradas por el servicio | Compatible a través de direcciones IP estáticas propiedad del cliente | | Ancho de banda disponible | 50 MBPS por cuenta | Mayor ancho de banda, disponible en Resource Gateway y NAT Gateway, propiedad del cliente | | Enrutamiento del tráfico a Internet a través de pasarelas NAT y firewalls de red propiedad del cliente | No admitido. Las pasarelas NAT son propiedad del servicio Transfer Family y están administradas por él. | compatible | 1 *Con el tipo de salida = red de VPC, se admite la conectividad con los servidores alojados públicamente mediante la infraestructura de salida (puertas de enlace NAT) configurada* en la salida. VPCs 2 *Con el tipo de salida = VPC Lattice, se admite la conectividad con servidores alojados de forma privada mediante las redes existentes en la VPC*, como una VPN. AWS Direct Connect **Topics** + [ ## Elegir el tipo de salida del conector SFTP ](#choosing-egress-type) + [ # Almacene las credenciales de autenticación para los conectores SFTP en Secrets Manager ](sftp-connector-secret-procedure.md) + [ # Cree un conector SFTP con salida gestionada por el servicio ](create-sftp-connector-procedure.md) + [ # Cree un conector SFTP con salida basada en VPC ](create-vpc-sftp-connector-procedure.md) + [ # Prueba de un conector SFTP ](test-sftp-connector.md) # Almacene las credenciales de autenticación para los conectores SFTP en Secrets Manager Puede usar Secrets Manager para almacenar las credenciales de usuario de los conectores SFTP. Al crear el secreto, debe proporcionar un nombre de usuario. Además, puede proporcionar una contraseña, una clave privada o ambas. Para obtener más información, consulte [Cuotas para conectores SFTP](scale-and-limits-sftp-connector.md#limits-sftp-connector). **nota** Cuando guardas secretos en Secrets Manager, Cuenta de AWS incurres en cargos. Para obtener más información acerca de los precios, consulte [AWS Secrets Manager Precios](https://aws.amazon.com/secrets-manager/pricing). **Almacenamiento de las credenciales de usuario en Secrets Manager para un conector SFTP** 1. Inicia sesión en Consola de administración de AWS y abre la AWS Secrets Manager consola en [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/). 1. En el panel de navegación izquierdo, seleccione **Secretos**. 1. En la página **Secretos**, seleccione **Almacenar un nuevo secreto**. 1. En la página **Seleccionar tipo de secreto**, en **Tipo de secreto**, seleccione **Otro tipo de secreto**. 1. Proporcione la key/value información de su secreto: debe proporcionar el nombre de usuario y una clave privada o una contraseña. 1. En la sección de **Pares clave-valor**, seleccione la pestaña **Clave/valor**. + **Clave**: introduzca **Username**. + **valor**: introduzca el nombre del usuario que está autorizado a conectarse al servidor del socio. 1. Si desea proporcionar un par de claves, elija **Agregar fila** y, en la sección **Pares clave/valor**, elija la pestaña **Clave/valor**. + **Clave**: introduzca **PrivateKey**. + **valor**: pega tu clave privada. **Consejo**: Los datos de la clave privada que introduzca deben corresponder a la clave pública que está almacenada para este usuario en el servidor SFTP remoto. **nota** No es posible utilizar una clave privada protegida por contraseña para la autenticación con un conector SFTP. AWS Transfer Family Para obtener más información sobre cómo generar un public/private key pair, consulte[Creación de claves SSH en macOS, Linux o Unix](macOS-linux-unix-ssh.md). 1. Si desea proporcionar una contraseña, seleccione **Añadir fila** y, en la sección **Pares clave/valor**, elija la pestaña **Clave/valor.** + **Clave**: introduzca **Password**. + **valor**: introduzca una contraseña para el usuario. 1. Elija **Siguiente**. 1. En la página **Configurar secreto**, introduzca un nombre y una descripción para el secreto. Se recomienda utilizar un prefijo de **aws/transfer/** para el nombre. Por ejemplo, puede dar un nombre a su secreto de **aws/transfer/connector-1**. 1. Seleccione **Siguiente** y, a continuación, acepte los valores predeterminados de la página **Configurar rotación**. A continuación, elija **Siguiente**. 1. En la página de **Revisión**, elija **Guardar** para crear y almacenar el secreto. # Cree un conector SFTP con salida gestionada por el servicio En este procedimiento se explica cómo crear conectores SFTP mediante la AWS Transfer Family consola o. AWS CLI ------ #### [ Console ] **Creación de un Conector SFTP** 1. Abra la AWS Transfer Family consola en. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) 1. En el panel de navegación izquierdo, seleccione **Conectores SFTP** y, a continuación, seleccione **Crear conector SFTP**. 1. **En la sección de **configuración del conector**, para el **tipo de salida**, elija Servicio gestionado.** Esta opción utiliza una infraestructura de salida AWS Transfer Family gestionada. El servicio Transfer Family proporciona y administra direcciones IP estáticas para cada conector SFTP. 1. En la sección de **Configuración del conector**, proporcione la siguiente información: ![\[La consola de conectores SFTP de Transfer Family, que muestra los ajustes de configuración del conector.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/create-connector-example-config.png) + Para la **URL**, introduzca la URL de un servidor SFTP remoto. Esta URL debe tener el siguiente formato como `sftp://partner-SFTP-server-url`, por ejemplo, `sftp://AnyCompany.com`. **nota** También tiene la posibilidad de proporcionar un número de puerto en su URL. El formato es `sftp://partner-SFTP-server-url:port-number`. El número de puerto predeterminado (cuando no se especifica ningún puerto) es el puerto 22. + Para la **función de acceso**, elija el nombre de recurso de Amazon (ARN) de la función AWS Identity and Access Management (IAM) que se va a utilizar. + **Asegúrese de que este rol proporcione acceso de lectura y escritura** al directorio principal de la ubicación del archivo que se utiliza en la solicitud `StartFileTransfer`. + **Asegúrese de que este rol dé permiso** a `secretsmanager:GetSecretValue` para acceder al secreto. **nota** En la política, debe especificar el ARN del secreto. El ARN contiene el nombre secreto, pero lo agrega con seis caracteres alfanuméricos aleatorios. El ARN de un secreto tiene el siguiente formato. ``` arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters ``` + **Asegúrese de que contiene una relación de confianza** que permita que el conector tenga acceso a los recursos cuando atienda las solicitudes de transferencia de sus usuarios. Para obtener más información sobre cómo establecer una relación de confianza, consulte [Para establecer una relación de confianza](requirements-roles.md#establish-trust-transfer). **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "HomeDirObjectAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectVersion", "s3:GetObjectACL", "s3:PutObjectACL" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" }, { "Sid": "GetConnectorSecretValue", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters" } ] } ``` **nota** Para el rol de acceso, el ejemplo concede acceso a un único secreto. Sin embargo, puede utilizar un carácter comodín, que puede ahorrarle trabajo si quiere reutilizar el mismo rol de IAM para varios usuarios y secretos. Por ejemplo, la siguiente declaración de recursos concede permisos para todos los secretos cuyos nombres comiencen por `aws/transfer`. ``` "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*" ``` También puede almacenar los secretos que contengan sus credenciales de SFTP en otra Cuenta de AWS. Para obtener más información sobre cómo habilitar el acceso secreto entre cuentas, consulta [Permisos a los AWS Secrets Manager secretos para los usuarios de otra](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) cuenta. 1. Complete la configuración del conector: + (Opcional) Para la **función de registro**, elija la función de IAM que utilizará el conector para enviar eventos a sus CloudWatch registros. En el siguiente ejemplo de política, se enumeran los permisos necesarios para registrar eventos en los conectores SFTP. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` 1. En el panel **Configuración SFTP**, proporcione la siguiente información: ![\[La consola de conectores SFTP de Transfer Family, que muestra los ajustes de configuración de SFTP.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/create-connector-example-sftp-config.png) + Para **las credenciales de Connector**, en la lista desplegable, elija el nombre de un código secreto AWS Secrets Manager que contenga la clave privada o la contraseña del usuario de SFTP. Debe crear un secreto y almacenarlo de una manera específica. Para obtener más información, consulte [Almacene las credenciales de autenticación para los conectores SFTP en Secrets Manager](sftp-connector-secret-procedure.md). + (Opcional) Tiene la opción de crear su conector y dejar el `TrustedHostKeys` parámetro vacío. Sin embargo, el conector no podrá transferir archivos con el servidor remoto hasta que proporcione este parámetro en la configuración del conector. Puede introducir las claves de host de confianza al crear el conector o actualizarlo más adelante utilizando la información de la clave de host que devuelve la acción de la `TestConnection` consola o el comando de la API. Es decir, para el cuadro de texto **Trusted host keys**, puede realizar una de las siguientes acciones: + **Proporcione las claves de host de confianza al momento de crear el conector.** Pegue la parte pública de la clave de host que se utiliza para identificar el servidor externo. Para añadir más de una clave, seleccione **Añadir clave de host de confianza** para añadir una clave adicional. Puede utilizar el comando `ssh-keyscan` en el servidor SFTP para recuperar la clave necesaria. Para obtener más información sobre el formato y el tipo de claves de host de confianza compatibles con Transfer Family, consulte [https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html](https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html). + *Deje vacío el cuadro de texto Claves de host confiables al crear el conector y actualícelo más adelante con esta información.* Si no dispone de la información de la clave de host en el momento de crear el conector, puede dejar este parámetro vacío por ahora y continuar con la creación del conector. Una vez creado el conector, utilice el identificador del nuevo conector para ejecutar el `TestConnection` comando, ya sea en la página de detalles del conector AWS CLI o desde ella. Si se ejecuta correctamente, `TestConnection` devolverá la información clave de host necesaria. A continuación, puede editar el conector mediante la consola (o ejecutando el `UpdateConnector` AWS CLI comando) y añadir la información de la clave de host que se devolvió al ejecutarlo`TestConnection`. **importante** Si recuperas la clave de host del servidor remoto ejecutándola`TestConnection`, asegúrate de out-of-band validar la clave que se devuelve. Debe aceptar la nueva clave como de confianza o verificar la huella digital presentada con una huella conocida anteriormente que haya recibido del propietario del servidor SFTP remoto al que se está conectando. + (Opcional) Para el número **máximo de conexiones simultáneas**, en la lista desplegable, elija el número de conexiones simultáneas que el conector crea al servidor remoto. **La selección predeterminada en la consola es 5.** Esta configuración especifica el número de conexiones activas que el conector puede establecer con el servidor remoto al mismo tiempo. La creación de conexiones simultáneas puede mejorar el rendimiento del conector al permitir operaciones en paralelo. 1. En la sección de **opciones de algoritmos criptográficos**, elija una **política de seguridad** de la lista desplegable del campo Política de **seguridad**. La política de seguridad le permite seleccionar los algoritmos criptográficos que admite su conector. Para obtener más información sobre las políticas y los algoritmos de seguridad disponibles, consulte[AWS Transfer Family Políticas de seguridad para conectores SFTP](security-policies-connectors.md). 1. (Opcional) En la sección **Etiquetas**, para **Clave** y **Valor**, escriba una o varias etiquetas como pares clave-valor. 1. Una vez que haya confirmado todos los ajustes, elija **Crear conector SFTP para crear el conector** SFTP. Si el conector se ha creado correctamente, aparecerá una pantalla con una lista de las direcciones IP estáticas asignadas y un botón de **prueba de conexión**. Utilice el botón para probar la configuración del nuevo conector. ![\[La pantalla de creación de conectores que aparece cuando se ha creado correctamente un conector SFTP. Contiene un botón para probar la conexión y una lista de las direcciones IP estáticas administradas por el servicio de este conector.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/connector-success-ip.png) Aparece la página **Conectores**, con el ID del nuevo conector SFTP agregado a la lista. Para ver los detalles de los conectores, consulte [Ver los detalles del conector SFTP](manage-sftp-connectors.md#sftp-connectors-view-info). ------ #### [ CLI ] Utilice el comando [https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html) para crear un conector. Para utilizar este comando para crear un conector SFTP, debe proporcionar la siguiente información. + La dirección URL de un servidor SFTP remoto. Esta URL debe tener el siguiente formato como `sftp://partner-SFTP-server-url`, por ejemplo, `sftp://AnyCompany.com`. + Ver Acceso de roles. Seleccione el nombre de recurso de Amazon (ARN) del rol de AWS Identity and Access Management (IAM) que desee utilizar. + **Asegúrese de que este rol proporcione acceso de lectura y escritura** al directorio principal de la ubicación del archivo que se utiliza en la solicitud `StartFileTransfer`. + **Asegúrese de que este rol dé permiso** a `secretsmanager:GetSecretValue` para acceder al secreto. **nota** En la política, debe especificar el ARN del secreto. El ARN contiene el nombre secreto, pero lo agrega con seis caracteres alfanuméricos aleatorios. El ARN de un secreto tiene el siguiente formato. ``` arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters ``` + **Asegúrese de que contiene una relación de confianza** que permita que el conector tenga acceso a los recursos cuando atienda las solicitudes de transferencia de sus usuarios. Para obtener más información sobre cómo establecer una relación de confianza, consulte [Para establecer una relación de confianza](requirements-roles.md#establish-trust-transfer). **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "HomeDirObjectAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectVersion", "s3:GetObjectACL", "s3:PutObjectACL" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" }, { "Sid": "GetConnectorSecretValue", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters" } ] } ``` **nota** Para el rol de acceso, el ejemplo concede acceso a un único secreto. Sin embargo, puede utilizar un carácter comodín, que puede ahorrarle trabajo si quiere reutilizar el mismo rol de IAM para varios usuarios y secretos. Por ejemplo, la siguiente declaración de recursos concede permisos para todos los secretos cuyos nombres comiencen por `aws/transfer`. ``` "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*" ``` También puede almacenar los secretos que contengan sus credenciales de SFTP en otra Cuenta de AWS. Para obtener más información sobre cómo habilitar el acceso secreto entre cuentas, consulta [Permisos a los AWS Secrets Manager secretos para los usuarios de otra](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) cuenta. + (Opcional) Elija la función de IAM que utilizará el conector para enviar eventos a sus CloudWatch registros. El siguiente ejemplo de política enumera los permisos necesarios para registrar eventos en los conectores SFTP. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` + Proporcione la siguiente información de configuración de SFTP. + El ARN de un secreto AWS Secrets Manager que contiene la clave privada o la contraseña del usuario de SFTP. + La parte pública de la clave de host que se utiliza para identificar el servidor externo. Si lo desea, puede proporcionar varias claves de host de confianza. La forma más sencilla de proporcionar la información del SFTP es guardarla en un archivo. Por ejemplo, copie el siguiente texto de ejemplo en un archivo denominado `testSFTPConfig.json`. ``` // Listing for testSFTPConfig.json { "UserSecretId": "arn:aws::secretsmanager:us-east-2:123456789012:secret:aws/transfer/example-username-key", "TrustedHostKeys": [ "sftp.example.com ssh-rsa AAAAbbbb...EEEE=" ] } ``` + Especifique una política de seguridad para el conector e introduzca el nombre de la política de seguridad. **nota** `SecretId`Puede ser el ARN completo o el nombre del secreto (*example-username-key*en la lista anterior). A continuación, ejecute el siguiente comando para crear el conector: ``` aws transfer create-connector --url "sftp://partner-SFTP-server-url" \ --access-role your-IAM-role-for-bucket-access \ --logging-role arn:aws:iam::your-account-id:role/service-role/AWSTransferLoggingAccess \ --sftp-config file:///path/to/testSFTPConfig.json \ --security-policy-name security-policy-name \ --maximum-concurrent-connections integer-from-1-to-5 ``` Cuando describe un conector de tipo salida de VPC, la respuesta incluye los nuevos campos: ``` { "Connector": { "AccessRole": "arn:aws:iam::123456789012:role/connector-role", "Arn": "arn:aws:transfer:us-east-1:123456789012:connector/c-1234567890abcdef0", "ConnectorId": "c-1234567890abcdef0", "Status": "ACTIVE", "EgressConfig": { "VpcLattice": { "ResourceConfigurationArn": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-12345678", "PortNumber": 22 } }, "EgressType": "VPC", "ServiceManagedEgressIpAddresses": null, "SftpConfig": { "TrustedHostKeys": [ "ssh-rsa AAAAB3NzaC..." ], "UserSecretId": "aws/transfer/connector-secret" }, "Url": "sftp://my.sftp.server.com:22" } } ``` Tenga en cuenta que `ServiceManagedEgressIpAddresses` es nulo para los conectores de tipo salida de VPC, ya que el tráfico se dirige a través de la VPC en lugar de a través de la infraestructura gestionada. AWS ------ # Cree un conector SFTP con salida basada en VPC En este tema se proporcionan step-by-step instrucciones para crear conectores SFTP con conectividad de VPC. Los conectores compatibles con VPC\$1Lattice utilizan Amazon VPC Lattice para enrutar el tráfico a través de su nube privada virtual, lo que permite conexiones seguras a puntos de conexión privados o utiliza sus propias puertas de enlace NAT para el acceso a Internet. **Cuándo usar la conectividad de VPC** Utilice la conectividad de VPC para los conectores SFTP en los siguientes escenarios: + **Servidores SFTP privados**: Conéctese a servidores SFTP a los que solo se puede acceder desde su VPC. + **Conectividad local**: conéctese a servidores SFTP locales a través de conexiones VPN o AWS Site-to-Site Direct AWS Connect. + **Direcciones IP personalizadas**: utilice sus propias puertas de enlace NAT y direcciones IP elásticas, incluidos los escenarios de BYOIP. + **Controles de seguridad centralizados**: dirija las transferencias de archivos a través de los controles centrales de su organización. ingress/egress ![\[Diagrama de arquitectura que muestra la salida basada en VPC para los conectores SFTP, que ilustra cómo el acceso a recursos entre VPC permite conexiones seguras a través de su nube privada virtual.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/vpc-egress-diagram.png) ## Requisitos previos para los conectores SFTP compatibles con VPC\$1Lattice Antes de crear un conector SFTP compatible con VPC\$1Lattice, debe cumplir los siguientes requisitos previos: **Cómo funciona la conectividad basada en VPC** VPC Lattice le permite compartir de forma segura los recursos de VPC con otros servicios. AWS AWS Transfer Family utiliza una red de servicios para simplificar el proceso de intercambio de recursos. Los componentes clave son: + **Resource Gateway**: sirve como punto de acceso a su VPC. Esto se crea en la VPC con un mínimo de dos zonas de disponibilidad. + **Configuración de recursos**: contiene la dirección IP privada o el nombre DNS público del servidor SFTP al que desea conectarse. Al crear un conector compatible con VPC\$1Lattice, AWS Transfer Family utiliza la sesión de acceso directo (FAS) para obtener temporalmente las credenciales y asociar la configuración de recursos a nuestra red de servicios. **Pasos de configuración necesarios** 1. **Infraestructura de VPC**: asegúrese de tener una VPC correctamente configurada con las subredes, tablas de enrutamiento y grupos de seguridad necesarios para los requisitos de conectividad del servidor SFTP. 1. **Puerta de enlace de recursos**: cree una puerta de enlace de recursos en su VPC mediante el comando VPC Lattice. `create-resource-gateway` La puerta de enlace de recursos debe estar asociada a subredes de al menos dos zonas de disponibilidad. Para obtener más información, consulte [Resource Gateways](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-gateway.html) en la Guía del usuario de *Amazon VPC Lattice*. 1. **Configuración de recursos**: cree una configuración de recursos que represente el servidor SFTP de destino mediante el comando VPC Lattice`create-resource-configuration`. Puede especificar: + Una dirección IP privada para puntos finales privados + Un nombre DNS público para los puntos finales públicos (las direcciones IP no se admiten en los puntos finales públicos) 1. **Credenciales de autenticación**: almacene las credenciales de usuario de SFTP AWS Secrets Manager como se describe en. [Almacene las credenciales de autenticación para los conectores SFTP en Secrets Manager](sftp-connector-secret-procedure.md) **importante** La puerta de enlace de recursos y la configuración de recursos deben crearse en la misma AWS cuenta. Al crear una configuración de recursos, primero debe disponer de una puerta de enlace de recursos. Para obtener más información sobre las configuraciones de recursos de VPC, consulte Configuraciones de [recursos en la Guía](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) del usuario de Amazon *VPC Lattice*. **nota** La conectividad de VPC para los conectores SFTP está disponible en los lugares donde estén disponibles los recursos de Regiones de AWS Amazon VPC Lattice. Para obtener más información, consulte [VPC Lattice. FAQs](https://aws.amazon.com/vpc/lattice/faqs/#topic-0) La compatibilidad con las zonas de disponibilidad varía según la región y las pasarelas de recursos requieren un mínimo de dos zonas de disponibilidad. ## Cree un conector SFTP compatible con VPC\$1Lattice Tras completar los requisitos previos, puede crear un conector SFTP con conectividad de VPC mediante la AWS CLI consola de AWS administración o. AWS SDKs ------ #### [ Console ] **Para crear un conector SFTP compatible con VPC\$1Lattice** 1. Abra AWS Transfer Family la consola en [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). 1. En el panel de navegación izquierdo, seleccione **Conectores SFTP** y, a continuación, seleccione **Crear conector SFTP**. 1. En la sección **Configuración del conector**, para el **tipo de salida**, elija **VPC Lattice**. Esta opción enruta el tráfico a través de la VPC mediante Amazon VPC Lattice para el acceso a los recursos entre VPC. Puede usar esta opción para conectarse a puntos finales de servidores alojados de forma privada, enrutar el tráfico a través de los controles de seguridad de su VPC o usar sus propias puertas de enlace NAT y direcciones IP elásticas. La dirección del servidor SFTP remoto se representa como una configuración de recursos en la VPC. Para obtener más información sobre las configuraciones de recursos, consulte [Configuraciones de recursos para recursos de VPC en la Guía](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) del usuario de Amazon VPC Lattice. 1. Complete la configuración del conector: + Para la **función de acceso**, elija el nombre de recurso de Amazon (ARN) de la función AWS Identity and Access Management (IAM) que se va a utilizar. + **Asegúrese de que este rol proporcione acceso de lectura y escritura** al directorio principal de la ubicación del archivo que se utiliza en la solicitud `StartFileTransfer`. + **Asegúrese de que este rol dé permiso** a `secretsmanager:GetSecretValue` para acceder al secreto. **nota** En la política, debe especificar el ARN del secreto. El ARN contiene el nombre secreto, pero lo añade con seis caracteres alfanuméricos aleatorios. El ARN de un secreto tiene el siguiente formato. ``` arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters ``` + **Asegúrese de que contiene una relación de confianza** que permita que el conector tenga acceso a los recursos cuando atienda las solicitudes de transferencia de sus usuarios. Para obtener más información sobre cómo establecer una relación de confianza, consulte [Para establecer una relación de confianza](requirements-roles.md#establish-trust-transfer). **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "HomeDirObjectAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectVersion", "s3:GetObjectACL", "s3:PutObjectACL" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" }, { "Sid": "GetConnectorSecretValue", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters" } ] } ``` **nota** Para el rol de acceso, el ejemplo concede acceso a un único secreto. Sin embargo, puede utilizar un carácter comodín, que puede ahorrarle trabajo si quiere reutilizar el mismo rol de IAM para varios usuarios y secretos. Por ejemplo, la siguiente declaración de recursos concede permisos para todos los secretos cuyos nombres comiencen por `aws/transfer`. ``` "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*" ``` También puede almacenar los secretos que contengan sus credenciales de SFTP en otra Cuenta de AWS. Para obtener más información sobre cómo habilitar el acceso secreto entre cuentas, consulta [Permisos a los AWS Secrets Manager secretos para los usuarios de otra](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) cuenta. + Para el **ARN de configuración de recursos**, introduzca el ARN de la configuración de recursos de red de VPC que apunta a su servidor SFTP: ``` arn:aws:vpc-lattice:region:account-id:resourceconfiguration/rcfg-12345678 ``` + (Opcional) Para la función de **registro, elija la función** de IAM para que el conector la utilice para enviar eventos a sus registros. CloudWatch **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` 1. En el panel **Configuración SFTP**, proporcione la siguiente información: + Para **las credenciales de Connector**, elija el nombre de un archivo secreto AWS Secrets Manager que contenga la clave privada o la contraseña del usuario de SFTP. + En el caso de **las claves de host confiables**, pegue la parte pública de la clave de host que se utiliza para identificar el servidor externo o déjela en blanco para configurarla más adelante mediante el `TestConnection` comando. Como esta clave de host es para un conector VPC\$1LATTICE, elimine el nombre de host de la clave + (Opcional) Para el número **máximo de conexiones simultáneas**, elija el número de conexiones simultáneas que el conector crea al servidor remoto (el valor predeterminado es 5). 1. En la sección de **opciones de algoritmos criptográficos**, elija una **política de seguridad** de la lista desplegable. 1. (Opcional) En la sección **Etiquetas**, añada etiquetas como pares clave-valor. 1. Seleccione **Crear conector SFTP para crear el conector SFTP** habilitado para VPC\$1Lattice. El conector se creará con el estado de `PENDING` mientras se aprovisiona la asociación de recursos, lo que normalmente tarda varios minutos. Una vez que el estado cambie a`ACTIVE`, el conector estará listo para su uso. ------ #### [ CLI ] Utilice el siguiente comando para crear un conector SFTP compatible con VPC\$1Lattice: ``` aws transfer create-connector \ --url "sftp://my.sftp.server.com:22" \ --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \ --sftp-config UserSecretId=my-secret-id,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0} \ --security-policy-name TransferSecurityPolicy-2024-01 ``` El parámetro clave para la conectividad de la VPC es `--egress-config` el que especifica el ARN de la configuración de recursos que define el destino del servidor SFTP. ------ ## Supervisión del estado del conector de VPC Los conectores compatibles con VPC\$1Lattice tienen un proceso de configuración asíncrono. Tras la creación, supervise el estado del conector: + **PENDIENTE**: Se está aprovisionando el conector. El aprovisionamiento de la red de servicios está en curso, lo que suele tardar varios minutos. + **ACTIVO**: el conector está listo para su uso y puede transferir archivos. + **ERROR**: el conector no se pudo aprovisionar. Compruebe los detalles del error para obtener información sobre la solución de problemas. Compruebe el estado del conector mediante el `describe-connector` comando: ``` aws transfer describe-connector --connector-id c-1234567890abcdef0 ``` Durante el estado PENDIENTE, la `test-connection` API mostrará el mensaje «Conector no disponible» hasta que se complete el aprovisionamiento. ## Limitaciones y consideraciones + **Puntos finales públicos**: al conectarse a puntos finales públicos a través de la VPC, debe proporcionar un nombre DNS en la configuración de recursos. No se admiten las direcciones IP públicas. + **Disponibilidad regional**: la conectividad de VPC está disponible en una selección. Regiones de AWS No se admite el uso compartido de recursos entre regiones. + **Requisitos de la zona de disponibilidad**: las pasarelas de recursos deben estar asociadas a subredes de al menos dos zonas de disponibilidad. No todas las zonas de disponibilidad admiten VPC Lattice en todas las regiones. + **Límites de conexión**: máximo 350 conexiones por recurso con un tiempo de espera de 350 segundos para las conexiones TCP. ## Consideraciones sobre costos No hay cargos adicionales más AWS Transfer Family allá de los cargos de servicio habituales. Sin embargo, los clientes pueden estar sujetos a cargos adicionales por parte de Amazon VPC Lattice relacionados con el uso compartido de sus recursos de Amazon Virtual Private Cloud y a cargos por pasarelas de NAT si utilizan sus propias pasarelas de NAT para acceder a Internet. [Para obtener información completa sobre AWS Transfer Family los precios, consulte la página de precios.AWS Transfer Family](https://aws.amazon.com/aws-transfer-family/pricing/) ## Ejemplos de conectividad de VPC para conectores SFTP En esta sección se proporcionan ejemplos de creación de conectores SFTP con conectividad de VPC para varios escenarios. Antes de usar estos ejemplos, asegúrese de haber completado la configuración de la infraestructura de la VPC tal como se describe en la documentación de conectividad de la VPC. ### Ejemplo: conexión de punto final privado En este ejemplo, se muestra cómo crear un conector SFTP que se conecte a un servidor SFTP privado al que solo se pueda acceder desde la VPC. **Requisitos previos** 1. Cree una pasarela de recursos en su VPC: ``` aws vpc-lattice create-resource-gateway \ --name my-private-server-gateway \ --vpc-identifier vpc-1234567890abcdef0 \ --subnet-ids subnet-1234567890abcdef0 subnet-0987654321fedcba0 ``` 1. Cree una configuración de recursos para su servidor SFTP privado: ``` aws vpc-lattice create-resource-configuration \ --name my-private-server-config \ --resource-gateway-identifier rgw-1234567890abcdef0 \ --resource-configuration-definition ipResource={ipAddress="10.0.1.100"} \ --port-ranges 22 ``` **Cree el conector habilitado para VPC\$1Lattice** 1. Cree el conector SFTP con conectividad de VPC: ``` aws transfer create-connector \ --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \ --sftp-config UserSecretId=my-private-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22} ``` 1. Supervise el estado del conector hasta que se convierta en: `ACTIVE` ``` aws transfer describe-connector --connector-id c-1234567890abcdef0 ``` El servidor SFTP remoto verá las conexiones procedentes de la dirección IP de Resource Gateway dentro del rango CIDR de la VPC. ### Ejemplo: punto final público mediante VPC En este ejemplo, se muestra cómo enrutar las conexiones a un servidor SFTP público a través de la VPC para aprovechar los controles de seguridad centralizados y utilizar sus propias direcciones IP de NAT Gateway. **Requisitos previos** 1. Cree una puerta de enlace de recursos en su VPC (igual que en el ejemplo de un punto final privado). 1. Cree una configuración de recursos para el servidor SFTP público con su nombre DNS: ``` aws vpc-lattice create-resource-configuration \ --name my-public-server-config \ --resource-gateway-identifier rgw-1234567890abcdef0 \ --resource-configuration-definition dnsResource={domainName="sftp.example.com"} \ --port-ranges 22 ``` **nota** Para los puntos finales públicos, debe usar un nombre DNS, no una dirección IP. **Creación del conector** + Cree el conector SFTP: ``` aws transfer create-connector \ --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \ --sftp-config UserSecretId=my-public-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0987654321fedcba0,PortNumber=22} ``` El tráfico fluirá desde el conector hasta la puerta de enlace de recursos y, a continuación, a través de la puerta de enlace NAT para llegar al servidor SFTP público. El servidor remoto verá la dirección IP elástica de su puerta de enlace NAT como fuente. ### Ejemplo: punto final privado entre cuentas En este ejemplo, se muestra cómo conectarse a un servidor SFTP privado de una AWS cuenta diferente mediante el uso compartido de recursos. **nota** Si ya ha habilitado el uso compartido de recursos entre VPC mediante otros mecanismos, por ejemplo AWS Transit Gateway, no necesita configurar el uso compartido de recursos que se describe aquí. Los conectores SFTP utilizan automáticamente los mecanismos de enrutamiento existentes, como las tablas de enrutamiento de Transit Gateway. Solo necesita crear una configuración de recursos en la misma cuenta en la que está creando el conector SFTP. **Cuenta A (proveedor de recursos): comparte la configuración de recursos** 1. Cree la pasarela de recursos y la configuración de recursos en la cuenta A (igual que en los ejemplos anteriores). 1. Comparta la configuración de recursos con la cuenta B mediante AWS Resource Access Manager: ``` aws ram create-resource-share \ --name cross-account-sftp-share \ --resource-arns arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0 \ --principals 222222222222 ``` **Cuenta B (consumidora de recursos): acepta y usa el recurso compartido** 1. Acepte la invitación a compartir recursos: ``` aws ram accept-resource-share-invitation \ --resource-share-invitation-arn arn:aws:ram:us-east-1:111111111111:resource-share-invitation/invitation-id ``` 1. Cree el conector SFTP en la cuenta B: ``` aws transfer create-connector \ --access-role arn:aws:iam::222222222222:role/TransferConnectorRole \ --sftp-config UserSecretId=cross-account-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22} ``` El conector de la cuenta B ahora puede acceder al servidor SFTP privado de la cuenta A a través de la configuración de recursos compartidos. ### Situaciones comunes de solución de problemas Estas son las soluciones para los problemas más comunes al crear conectores compatibles con VPC\$1Lattice: + **Conector bloqueado en estado PENDIENTE**: compruebe que su Resource Gateway esté ACTIVA y que tenga subredes en las zonas de disponibilidad compatibles. Si el conector sigue bloqueado con el estado PENDIENTE, llame `UpdateConnector` con los mismos parámetros de configuración que utilizó inicialmente. Esto desencadena un nuevo evento de estado que podría resolver el problema. + Tiempos de **espera de conexión**: compruebe que las reglas del grupo de seguridad permiten el tráfico en el puerto 22 y que el enrutamiento de la VPC es correcto. + **Problemas de resolución de DNS**: en el caso de los puntos finales públicos, asegúrese de que su VPC tenga conectividad a Internet a través de una puerta de enlace NAT o una puerta de enlace de Internet. + **Acceso entre cuentas denegado**: compruebe que se acepta el recurso compartido y que el ARN de configuración de recursos es correcto. Si la política de permisos adecuada se adjunta a la configuración del recurso cuando la cuenta de origen crea el recurso compartido, se requieren los siguientes permisos:`vpc-lattice:AssociateViaAWSService`,,`vpc-lattice:AssociateViaAWSService-EventsAndStates`,`vpc-lattice:CreateServiceNetworkResourceAssociation`. `vpc-lattice:GetResourceConfiguration` # Prueba de un conector SFTP Tras crear un conector SFTP, le recomendamos que lo pruebe antes de intentar transferir cualquier archivo con el nuevo conector. **Prueba de un conector SFTP** 1. Abra la AWS Transfer Family consola en. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) 1. En el panel de navegación izquierdo, elija **Conectores SFTP** y seleccione un conector. 1. En el menú **Acciones**, seleccione **Evento de prueba**. ![\[La consola Transfer Family, que muestra un conector SFTP seleccionado y la acción Probar conexión resaltada.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/connector-test-choose.png) El sistema devuelve un mensaje que indica si la prueba se supera o no. Si la prueba no es satisfactoria, el sistema muestra un mensaje de error en función del motivo por el que no se ha realizado la prueba. ![\[El panel de conexión de prueba del conector SFTP muestra una prueba satisfactoria.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/connector-test-success.png) ![\[El panel de conexión de prueba del conector SFTP muestra una prueba fallida: el mensaje de error indica que el rol de acceso del conector es incorrecto.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/connector-test-fail-role.png) **nota** Para usar la API para probar el conector, consulte la documentación de la API de [https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection](https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection). # Conectividad de VPC para conectores SFTP AWS Transfer Family Los conectores SFTP admiten la conectividad con servidores SFTP remotos a través de sus entornos de VPC mediante Amazon VPC Lattice. Esto le permite conectarse a servidores SFTP alojados de forma privada o enrutar el tráfico de Internet a través de los controles de seguridad de su VPC y utilizar sus propias puertas de enlace NAT y direcciones IP elásticas. **Tipos de egreso** Los conectores SFTP pueden utilizar uno de los dos tipos de salida: + **Servicio gestionado** (predeterminado): el conector utiliza las puertas de enlace NAT y las direcciones IP de su propiedad AWS Transfer Family para enrutar las conexiones a través de la Internet pública. + **VPC\$1LATTICE**: El conector enruta el tráfico a través de su entorno de VPC mediante el acceso a recursos entre VPC. **Cuándo usar la conectividad de VPC** Utilice la conectividad de VPC para los conectores SFTP en los siguientes escenarios: + **Servidores SFTP privados**: Conéctese a servidores SFTP a los que solo se puede acceder desde su VPC. + **Conectividad local**: conéctese a servidores SFTP locales a través de conexiones VPN o AWS Site-to-Site Direct AWS Connect. + **Direcciones IP personalizadas**: utilice sus propias puertas de enlace NAT y direcciones IP elásticas, incluidos los escenarios de BYOIP. + **Controles de seguridad centralizados**: dirija las transferencias de archivos a través de los controles centrales de su organización. ingress/egress **Requisitos** Antes de crear un conector SFTP compatible con VPC\$1Lattice, necesita: + VPC e infraestructura relacionada (subredes, tablas de enrutamiento, grupos de seguridad) + Resource Gateway en su VPC (dos zonas de disponibilidad como mínimo) + Configuración de recursos que especifica el servidor SFTP de destino Para obtener instrucciones de configuración detalladas, consulte[Cree un conector SFTP compatible con VPC\$1Lattice](create-vpc-sftp-connector-procedure.md#create-vpc-connector-procedure). Y, para ver ejemplos, consulte[Ejemplos de conectividad de VPC para conectores SFTP](create-vpc-sftp-connector-procedure.md#sftp-connectors-vpc-examples). # Uso de conectores SFTP En este tema se describe cómo realizar las operaciones de archivos compatibles con el conector SFTP. También puede encontrar ejemplos de comandos para realizar estas operaciones seleccionando los detalles del conector en la AWS Transfer Family consola, en [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). Una vez creado un conector SFTP, puede usarlo para realizar las siguientes operaciones de archivo en el servidor SFTP remoto al que está asociado. + Envíe archivos desde Amazon S3 al servidor SFTP remoto. + Recupere archivos del servidor SFTP remoto a Amazon S3. + Enumere los archivos y subcarpetas de un directorio del servidor SFTP remoto. + Elimine, cambie el nombre o mueva los archivos y directorios del servidor SFTP remoto. Para obtener información sobre cómo crear conectores, consulte [Creación de conectores SFTP](configure-sftp-connector.md). **Topics** + [ # Transferencia de archivos ](transfer-files-and-track.md) + [ # Listar el contenido de un directorio remoto ](sftp-connector-list-dir.md) + [ # Mueva, cambie el nombre o elimine archivos o directorios del servidor remoto ](move-delete-remote-files.md) # Transferencia de archivos **Topics** + [ ## Enviar y recuperar archivos mediante un conector SFTP ](#send-retrieve-connector-details) ## Enviar y recuperar archivos mediante un conector SFTP Para enviar y recuperar archivos mediante un conector SFTP, utilice la operación [https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartFileTransfer.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartFileTransfer.html)API y especifique los siguientes parámetros, en función de si *envía archivos* (transferencias salientes) o *recibe archivos* (transferencias entrantes). Ten en cuenta que cada `StartFileTransfer` solicitud puede contener 10 rutas distintas. **nota** De forma predeterminada, los conectores SFTP procesan un archivo a la vez y los transfieren secuencialmente. Tiene la opción de acelerar el rendimiento de las transferencias haciendo que sus conectores creen sesiones simultáneas con servidores remotos que admitan sesiones simultáneas del mismo usuario y procesen hasta 5 archivos en paralelo. Para habilitar las conexiones simultáneas en cualquier conector, puede editar la configuración del número **máximo de conexiones simultáneas al crear o** actualizar un conector. Para obtener más información, consulte [Cree un conector SFTP con salida gestionada por el servicio](create-sftp-connector-procedure.md). + **Transferencias salientes** + `send-file-paths` contiene de una a diez rutas de archivos de origen, para que los archivos se transfieran al servidor SFTP del socio. + `remote-directory-path` es la ruta remota a la que se envía un archivo en el servidor SFTP del cliente. + **Transferencias entrantes** + `retrieve-file-paths` contiene de una a diez rutas remotas. Cada ruta especifica una ubicación para transferir archivos desde el servidor SFTP del socio a su servidor Transfer Family. + `local-directory-path` es la ubicación en Amazon S3 (bucket y prefijo opcional) en la que se almacenan los archivos. Para enviar archivos, debe especificar los parámetros `send-file-paths` y `remote-directory-path`. Puede especificar hasta 10 archivos para el parámetro `send-file-paths`. El siguiente comando de ejemplo envía los archivos denominados `/amzn-s3-demo-source-bucket/file1.txt` y `/amzn-s3-demo-source-bucket/file2.txt`, ubicados en el almacenamiento de Amazon S3, al directorio `/tmp` del servidor SFTP de su socio. Para utilizar este comando de ejemplo, sustituya `amzn-s3-demo-source-bucket` por su propio bucket. ``` aws transfer start-file-transfer --send-file-paths /amzn-s3-demo-source-bucket/file1.txt /amzn-s3-demo-source-bucket/file2.txt \ --remote-directory-path /tmp --connector-id c-1111AAAA2222BBBB3 --region us-east-2 ``` Para recuperar archivos, especifique los parámetros y. `retrieve-file-paths` `local-directory-path` El siguiente ejemplo recupera los archivos `/my/remote/file1.txt` y los guarda `/my/remote/file2.txt` en el servidor SFTP del socio y los coloca en la ubicación /amzn-s3-demo-bucket/ de Amazon S3. *prefix* Para utilizar este comando de ejemplo, sustituya `user input placeholders` por su propia información. ``` aws transfer start-file-transfer --retrieve-file-paths /my/remote/file1.txt /my/remote/file2.txt \ --local-directory-path /amzn-s3-demo-bucket/prefix --connector-id c-2222BBBB3333CCCC4 --region us-east-2 ``` Los ejemplos anteriores especifican las rutas absolutas en el servidor SFTP. También puede utilizar rutas relativas, es decir, rutas relativas al directorio de inicio del usuario de SFTP. Por ejemplo, si el usuario de SFTP es `marymajor` y su directorio de inicio en el servidor SFTP es `/users/marymajor/`, el siguiente comando envía `/amzn-s3-demo-source-bucket/file1.txt` a `/users/marymajor/test-connectors/file1.txt`. ``` aws transfer start-file-transfer --send-file-paths /amzn-s3-demo-source-bucket/file1.txt \ --remote-directory-path test-connectors --connector-id c-2222BBBB3333CCCC4 --region us-east-2 ``` # Listar el contenido de un directorio remoto Antes de recuperar los archivos de un servidor SFTP remoto, puede recuperar el contenido de un directorio del servidor SFTP remoto. Para ello, utilice el [https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartDirectoryListing.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartDirectoryListing.html)Funcionamiento de la API. El siguiente ejemplo muestra el contenido de la `home` carpeta del servidor SFTP remoto, que se especifica en la configuración del conector. Los resultados se colocan en la ubicación `/amzn-s3-demo-bucket/connector-files` de Amazon S3 y en un archivo denominado`c-AAAA1111BBBB2222C-6666abcd-11aa-22bb-cc33-0000aaaa3333.json`. ``` aws transfer start-directory-listing \ --connector-id c-AAAA1111BBBB2222C \ --output-directory-path /amzn-s3-demo-bucket/example/connector-files \ --remote-directory-path /home ``` Este AWS CLI comando devuelve un identificador de listado y el nombre del archivo que contiene los resultados. ``` { "ListingId": "6666abcd-11aa-22bb-cc33-0000aaaa3333", "OutputFileName": "c-AAAA1111BBBB2222C-6666abcd-11aa-22bb-cc33-0000aaaa3333.json" } ``` **nota** La convención de nomenclatura del archivo de salida es`connector-ID-listing-ID.json`. El archivo JSON contiene la siguiente información: + `filePath`: la ruta completa de un archivo remoto, relativa al directorio de la solicitud de listado del conector SFTP en el servidor remoto. + `modifiedTimestamp`: la última vez que se modificó el archivo, en segundos, en formato de hora universal coordinada (UTC). Este campo es opcional. Si los atributos del archivo remoto no contienen una marca de tiempo, se omite de la lista de archivos. + `size`: el tamaño del archivo, en bytes. Este campo es opcional. Si los atributos del archivo remoto no contienen un tamaño de archivo, se omite de la lista de archivos. + `path`: la ruta completa de un directorio remoto, relativa al directorio de la solicitud de listado del conector SFTP del servidor remoto. + `truncated`: un indicador que indica si el resultado de la lista contiene todos los elementos contenidos en el directorio remoto o no. Si el valor de `truncated` salida es verdadero, puede aumentar el valor proporcionado en el atributo de `max-items` entrada opcional para poder incluir más elementos (hasta el tamaño máximo de lista permitido de 10 000 elementos). El siguiente es un ejemplo del contenido del archivo de salida (`c-AAAA1111BBBB2222C-6666abcd-11aa-22bb-cc33-0000aaaa3333.json`), donde el directorio remoto contiene dos archivos y dos subdirectorios (rutas). ``` { "files": [ { "filePath": "/home/what.txt", "modifiedTimestamp": "2024-01-30T20:34:54Z", "size" : 2323 }, { "filePath": "/home/how.pgp", "modifiedTimestamp": "2024-01-30T20:34:54Z", "size" : 4691 } ], "paths": [ { "path": "/home/magic" }, { "path": "/home/aws" }, ], "truncated": "false" } ``` # Mueva, cambie el nombre o elimine archivos o directorios del servidor remoto **Topics** + [ ## Mueva o cambie el nombre de los archivos o directorios del servidor SFTP remoto ](#move-remote-file) + [ ## Elimine archivos o directorios del servidor SFTP remoto ](#delete-remote-file) ## Mueva o cambie el nombre de los archivos o directorios del servidor SFTP remoto Puede utilizar un conector SFTP para mover o cambiar el nombre de los archivos y directorios de un servidor SFTP remoto. Tenga en cuenta que el servidor remoto debe admitir estas operaciones para que el procesamiento mediante conectores se realice correctamente. Algunos casos de uso comunes son los siguientes. + Un servidor remoto genera o recibe un archivo nuevo cada hora, con el mismo nombre de archivo pero con una marca de tiempo diferente. Para mantener la carpeta principal actualizada (de forma que solo contenga el archivo más reciente), puede utilizar un conector para mover los archivos más antiguos a una carpeta archivada. + Se utiliza un conector para enumerar todos los archivos de un directorio remoto y, a continuación, se transfieren todos los archivos al almacenamiento local. A continuación, puede utilizar un conector para mover los archivos a una carpeta archivada en el servidor remoto. Debe utilizar una `StartRemoteMove` llamada para cada archivo o directorio que desee procesar, ya que el comando utiliza como argumentos un único archivo o directorio de origen y de destino. Sin embargo, puede acelerar el rendimiento haciendo que sus conectores creen sesiones simultáneas con servidores remotos que admitan sesiones simultáneas del mismo usuario y move/rename hasta 5 archivos en paralelo. El siguiente ejemplo mueve un archivo del servidor SFTP remoto de `/source/folder/sourceFile` a `/destination/targetFile` y devuelve un identificador único para la operación. ``` aws transfer --connector-id c-AAAA1111BBBB2222C start-remote-move \ --source-path /source/folder/sourceFile --target-path /destination/targetFile ``` **nota** Para las move/rename operaciones, Transfer Family utiliza el `SFTP SSH_FXP_RENAME` comando estándar para realizar la move/rename operación. ## Elimine archivos o directorios del servidor SFTP remoto Puede utilizar un conector SFTP para eliminar archivos o directorios en un servidor SFTP remoto. Tenga en cuenta que el servidor remoto debe admitir estas operaciones para que el procesamiento mediante conectores se realice correctamente. **nota** Las operaciones de eliminación de directorios remotos solo se admiten en directorios vacíos. Algunos casos de uso comunes son los siguientes. + Utiliza un conector para recuperar un archivo de un servidor SFTP remoto, almacenarlo en su bucket de Amazon S3 y, a continuación, cifrarlo. Por último, puede utilizar un conector para eliminar el archivo no cifrado del servidor remoto. + Utiliza un conector para enumerar todos los archivos de un directorio remoto y, a continuación, los transfiere a su almacenamiento local. A continuación, puede utilizar un conector para eliminar todos los archivos que ha transferido. También puede eliminar el directorio remoto si lo prefiere. Debe utilizar una `StartRemoteDelete` llamada para cada archivo o directorio que desee eliminar, ya que el comando utiliza un único archivo o directorio como argumento. Sin embargo, puede acelerar el rendimiento haciendo que sus conectores creen sesiones simultáneas con servidores remotos que admitan sesiones simultáneas del mismo usuario y eliminen hasta 5 en files/directories paralelo. En el siguiente ejemplo, se elimina un archivo del servidor SFTP remoto de la ruta `/delete/folder/deleteFile` y se devuelve un identificador único para la operación. ``` aws transfer start-remote-delete --connector-id c-AAAA1111BBBB2222C \ --delete-path /delete/folder/deleteFile ``` **nota** Para la operación de eliminación, Transfer Family utiliza el `SSH_FXP_REMOVE` comando estándar para eliminar un archivo y `SSH_FXP_RMDIR` un directorio. # Monitorización de conectores SFTP Puede supervisar el estado de las operaciones del conector mediante cualquiera de las siguientes formas. Elija el enfoque que mejor se adapte a sus necesidades. ## Utilice la API del conector para consultar el estado de las solicitudes de transferencia de archivos Para realizar un seguimiento del progreso de una operación de transferencia de archivos, se utiliza la operación de [https://docs.aws.amazon.com//transfer/latest/APIReference/API_ListFileTransferResults.html](https://docs.aws.amazon.com//transfer/latest/APIReference/API_ListFileTransferResults.html)API, que devuelve actualizaciones en tiempo real e información detallada sobre el estado de cada archivo individual que se está transfiriendo en una operación de transferencia de archivos específica. Para especificar la transferencia de archivos, proporcione su ID de conector y su ID de transferencia. El siguiente ejemplo devuelve una lista de archivos para el ID del conector `a-11112222333344444` y el ID de transferencia`aa1b2c3d4-5678-90ab-cdef-EXAMPLE11111`. ``` aws transfer list-file-transfer-results --connector-id a-11112222333344444 --transfer-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ``` **nota** Los resultados de la transferencia de archivos están disponibles hasta 7 días después de la llamada a la operación de la `ListFileTransferResults` API. También puedes ver los registros y eventos de tus solicitudes de transferencia de archivos que utilizan conectores SFTP. EventBridge Los eventos de Amazon para Transfer Family se describen en[Eventos del conector SFTP](events-detail-reference.md#event-detail-sftp-connector-events). Para obtener información sobre cómo ver las entradas del CloudWatch registro de Transfer Family, consulte[Visualización de las transmisiones de registros de Transfer Family](view-log-entries.md). ## Ver los eventos del conector SFTP en Amazon EventBridge Para cada operación realizada por los conectores SFTP, Transfer Family genera y envía eventos automáticamente al bus de eventos predeterminado de tu EventBridge cuenta de Amazon. Los eventos contienen metadatos detallados sobre la operación, incluido el estado de la operación. Puede suscribirse a estos eventos en EventBridge, aplicar filtros según criterios de eventos específicos, como el estado de la operación, y activar automáticamente acciones posteriores en función del estado. Para obtener más información sobre los eventos generados por las operaciones del conector SFTP, consulte. [Eventos del conector SFTP](events-detail-reference.md#event-detail-sftp-connector-events) ## Ver los registros del conector SFTP en Amazon CloudWatch Todas las operaciones del conector SFTP generan registros detallados. CloudWatch Para ver, por ejemplo, las entradas de registro generadas por los conectores SFTP, consulte. [Ejemplos de entradas de registro para conectores SFTP](cw-example-logs.md#example-sftp-connector-logs) ## Monitorización de conectores de tipo salida de VPC Los conectores de tipo salida de VPC proporcionan capacidades y consideraciones de monitoreo adicionales más allá de los conectores gestionados por servicio estándar: ### Supervisión del estado de los conectores Los conectores VPC\$1LATTICE incluyen información adicional para ayudarle a supervisar el aprovisionamiento y el estado operativo: + **EgressType campo**: Muestra `VPC` los conectores de tipo salida VPC\$1LATTICE + **EgressConfig campo**: contiene el ARN de la configuración del recurso y la información del puerto Supervise el estado del conector mediante la `describe-connector` API: ``` aws transfer describe-connector --connector-id c-1234567890abcdef0 ``` ### Monitorización de costes de VPC Lattice Los conectores de tipo salida de VPC incurren en cargos de celosía de VPC adicionales que debe monitorear: + **Cargos del proveedor de recursos**: se le facturan 0,006 USD/GB por el procesamiento de datos como proveedor de recursos (VPC Lattice lo factura directamente) + **Cargos por consumo de recursos**: AWS Transfer Family absorbe los costes de 0,01 USD/GB por consumo de recursos (primer PB) + **Cargos de NAT Gateway**: en el caso de los puntos finales públicos a los que se accede mediante VPC, se pueden aplicar cargos adicionales por transferencia de datos y pasarelas NAT + **Cargos de Transfer Family**: se siguen aplicando las tarifas estándar de procesamiento de datos de 0,40\$1 por GB Supervise el uso y los costos de VPC Lattice a través de la consola de AWS costos y facturación, filtrando por el servicio VPC Lattice. ### Supervisión de red para conectores de VPC Supervise la actividad y el rendimiento de la red para los conectores de tipo salida de VPC: + Registros de **flujo de VPC: habilite los registros** de flujo de VPC para monitorear los patrones de tráfico de red entre Resource Gateways y servidores SFTP + Registros de **acceso de VPC Lattice:** VPC Lattice proporciona registros de acceso que muestran las direcciones source/destination IP, el tiempo de conexión y los volúmenes de transferencia de datos + **Supervisión de los grupos de seguridad**: supervise las reglas y los patrones de tráfico de los grupos de seguridad para garantizar los controles de acceso a la red adecuados + **Supervisión de la resolución del DNS**: supervise los tiempos y los fallos de resolución del DNS en los puntos finales de la red de servicio Ejemplo de entrada de registro de acceso a VPC Lattice: ``` { "eventTimestamp": "2025-01-16T20:59:08.531Z", "serviceNetworkArn": "arn:aws:vpc-lattice:us-east-1:123456789012:servicenetwork/sn-1234567890abcdef0", "sourceVpcArn": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-12345678", "resourceConfigurationArn": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-12345678", "protocol": "tcp", "sourceIpPort": "10.0.1.100:33760", "destinationIpPort": "10.0.2.200:22", "gatewayIpPort": "10.0.1.150:1769", "resourceIpPort": "10.0.2.200:22" } ``` ### Solución de problemas mediante la supervisión Utilice los datos de supervisión para solucionar problemas comunes de los conectores de VPC: + **Estado PENDIENTE**: supervisa el progreso de la resolución del DNS y espera al estado ACTIVO antes de intentar realizar las transferencias + Tiempos de **espera de conexión:** compruebe los registros de flujo de la VPC y las reglas del grupo de seguridad para ver si hay tráfico bloqueado en el puerto 22 + **Fallos de transferencia**: revise CloudWatch los registros para ver los mensajes de error detallados y los registros de acceso de VPC Lattice para detectar problemas a nivel de red + **Problemas de rendimiento**: supervise los registros de acceso de VPC Lattice para conocer el tiempo de conexión y las métricas de rendimiento # Administración de conectores SFTP En este tema se describe cómo ver y actualizar los conectores SFTP. **nota** A cada conector se le asignan automáticamente direcciones IP estáticas que permanecen inalteradas durante la vida útil del conector. Esto le permite conectarse con servidores SFTP remotos que solo aceptan conexiones entrantes desde direcciones IP conocidas. A sus conectores se les asigna un conjunto de direcciones IP estáticas que comparten todos los conectores que utilizan el mismo protocolo (SFTP o AS2) que el suyo. Cuenta de AWS En el caso de los conectores habilitados para VPC\$1Lattice, el servidor SFTP remoto verá las direcciones IP del rango CIDR de la VPC en lugar de las direcciones IP administradas por el servicio. AWS Transfer Family ## Actualizar conectores SFTP Para cambiar los valores de los parámetros existentes de los conectores, puede ejecutar el comando `update-connector`. El siguiente comando actualiza el secreto del conector `connector-id`, en la región `region-id` a `secret-ARN`. Para utilizar este comando de ejemplo, sustituya `user input placeholders` por su propia información. ``` aws transfer update-connector --sftp-config '{"UserSecretId":"secret-ARN"}' \ --connector-id connector-id --region region-id ``` ### Actualización de la configuración de conectividad de la VPC Puede actualizar la configuración de conectividad de la VPC para los conectores existentes, lo que incluye cambiar entre los tipos de salida de VPC y gestionados por el servicio o cambiar el ARN de la configuración de recursos. Para cambiar un conector de servicio gestionado a uno de salida de VPC: ``` aws transfer update-connector \ --connector-id connector-id \ --egress-type VPC \ --egress-config ResourceConfigurationArn=resource-configuration-arn ``` Para actualizar el ARN de configuración de recursos de un conector habilitado para VPC\$1Lattice: ``` aws transfer update-connector \ --connector-id connector-id \ --egress-config ResourceConfigurationArn=new-resource-configuration-arn ``` **nota** Al actualizar la configuración de conectividad de la VPC, el estado del conector cambiará a `PENDING` durante el proceso de reconfiguración. Supervise el estado del conector mediante el `describe-connector` comando. ## Ver los detalles del conector SFTP Puede encontrar una lista de detalles y propiedades de un conector SFTP en la consola AWS Transfer Family . **Visualización de los detalles del conector** 1. Abra la AWS Transfer Family consola en [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). 1. En el panel de navegación izquierdo, seleccione **Connectors (Conectores)**. 1. Elija el identificador en la columna **ID del conector** para ver la página de detalles del conector seleccionado. Puede cambiar las propiedades del conector SFTP seleccionando **Editar** en la página de detalles del conector. ### Supervisión del estado del conector de VPC Los conectores compatibles con VPC\$1Lattice incluyen información de estado adicional para ayudarle a supervisar el proceso de aprovisionamiento: + **`ACTIVE`Estado`PENDING`:** muestra, o `ERRORED` + **EgressType**: Muestra `VPC` o `SERVICE_MANAGED` + **EgressConfig**: Contiene el ARN de configuración de recursos para los conectores de VPC + **Error**: proporciona información detallada sobre los errores si el conector está en ese estado `ERRORED` En el caso de los conectores de VPC, el `ServiceManagedEgressIpAddresses` campo será nulo, ya que el tráfico utilizará las direcciones IP de la VPC en su lugar. **nota** Puede obtener gran parte de esta información, aunque en un formato diferente, ejecutando el siguiente comando AWS Command Line Interface (AWS CLI). Para utilizar este comando de ejemplo, sustituya `user input placeholders` por su propia información. ``` aws transfer describe-connector --connector-id your-connector-id ``` Para obtener más información, consulte [https://docs.aws.amazon.com/transfer/latest/APIReference/API_DescribeConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_DescribeConnector.html) en la referencia de la API. # Escalado y cuotas para los conectores SFTP **Topics** + [ ## Cuotas para conectores SFTP ](#limits-sftp-connector) + [ ## Escalar sus conectores SFTP ](#scaling-sftp-connector) ## Cuotas para conectores SFTP Existen las siguientes cuotas para los conectores SFTP. **nota** Se muestran más cuotas de servicio para los conectores SFTP en los [AWS Transfer Family puntos finales y las cuotas](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html) en. *Referencia general de Amazon Web Services* **Cuotas de conectores SFTP** | Name | Predeterminado | Ajustable | | --- | --- | --- | | Máximo de transacciones de conexión de prueba por segundo (TPS) | 1 solicitud por segundo por cuenta | No | | Tamaño máximo de cola para las transferencias de archivos pendientes | 1 000 | No | | Tamaño máximo de archivo | 150 gibibytes (GiB) | No | | Tiempo máximo de transferencia por archivo | 12 horas | No | | Tiempo máximo de espera de solicitudes por archivo | 12 horas | No | | Ancho de banda máximo para los conectores por cuenta (tanto el SFTP como los AS2 conectores contribuyen a este valor) | 50 MBps | No | | Número máximo de elementos para las operaciones de listado de directorios | 10 000 | No | **nota** De forma predeterminada, los conectores SFTP procesan un archivo a la vez y los transfieren secuencialmente. Tiene la opción de acelerar el rendimiento de las transferencias haciendo que sus conectores creen sesiones simultáneas con servidores remotos que admitan sesiones simultáneas del mismo usuario y procesen hasta 5 archivos en paralelo. Para habilitar las conexiones simultáneas en cualquier conector, puede editar la configuración del número **máximo de conexiones simultáneas al crear o** actualizar un conector. Para obtener más información, consulte [Cree un conector SFTP con salida gestionada por el servicio](create-sftp-connector-procedure.md). Para almacenar las credenciales de los conectores SFTP, hay cuotas asociadas a cada secreto de Secrets Manager. Si usa el mismo secreto para almacenar varios tipos de claves y para varios propósitos, es posible que encuentre estas cuotas. + Longitud total de un único secreto: 12 000 caracteres + Longitud máxima de la **Password** cadena: 1024 caracteres + Longitud máxima de la **PrivateKey** cadena: 8192 caracteres + Longitud máxima de la **Username** cadena: 100 caracteres ## Escalar sus conectores SFTP En esta sección se describen las consideraciones sobre cómo escalar las cargas de trabajo de los conectores AWS Transfer Family SFTP. Debe tener en cuenta las tres cuotas siguientes que se aplican cuando desee escalar sus cargas de trabajo con conectores SFTP. + **El tamaño máximo de la cola.** Se refiere al número máximo de operaciones pendientes solicitadas en la cola de un conector. Una operación pendiente se refiere a cualquier solicitud de transferencia enviada anteriormente que aún no se haya completado, ya sea con éxito o sin éxito. La profundidad máxima de cola para las solicitudes pendientes se establece actualmente en 1000 por conector (según se define en [las cuotas de AWS Transfer Family servicio](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html)). Sus cargas de trabajo pueden superar este límite de servicio si solicita miles de operaciones de transferencia durante un período breve, y recibirá un mensaje `ThrottlingException` con el mensaje Se ha superado el máximo de solicitudes pendientes. Si sus cargas de trabajo están sujetas a esta cuota, póngase en contacto con el equipo de servicio de Transfer Family a través AWS Support de su equipo de cuentas para analizar sus requisitos de escalabilidad. También puedes realizar una de las siguientes acciones o ambas. + Distribuya los volúmenes de archivos en varios conectores. + Haga que sus conectores creen sesiones simultáneas con el servidor remoto para procesar varias solicitudes de la cola en paralelo. + **El número de sesiones simultáneas.** De forma predeterminada, un conector SFTP transfiere un archivo a la vez, transfiriendo los archivos secuencialmente desde su cola. Tiene la opción de acelerar el rendimiento de la transferencia haciendo que sus conectores transfieran varios archivos en paralelo. Puede crear sesiones simultáneas con servidores remotos que admitan sesiones simultáneas del mismo usuario y procesar hasta 5 archivos en paralelo. Al crear un conector SFTP, elija un valor de hasta 5 para la configuración **Máximo de conexiones simultáneas** al crear o actualizar el conector. Para obtener más información, consulte [Cree un conector SFTP con salida gestionada por el servicio](create-sftp-connector-procedure.md). + **La tasa de solicitudes. `StartFileTransfer`** Puede solicitar hasta 100 rutas de archivos por segundo para su transferencia con cada conector SFTP. Las rutas de archivo solicitadas se añaden a la cola de sus conectores para su procesamiento. Puede utilizar el `StartFileTransfer` comando de forma recursiva para solicitar hasta 100 rutas de archivos por segundo por conector, independientemente del número de archivos que se proporcione en un comando individual. `StartFileTransfer` # Arquitecturas de referencia que utilizan conectores SFTP En esta sección se enumeran los materiales de referencia disponibles para configurar los flujos de trabajo de transferencia automática de archivos mediante conectores SFTP. Puede diseñar sus propias arquitecturas basadas en eventos mediante el conector SFTP de Amazon EventBridge, para organizar entre la acción de transferencia de archivos y las acciones previas y posteriores al procesamiento. AWS ## Publicaciones de blog La siguiente entrada del blog proporciona una arquitectura de referencia para crear un flujo de trabajo de MFT con conectores SFTP, que incluye el cifrado de archivos mediante PGP antes de enviarlos a un servidor SFTP remoto mediante conectores SFTP: [diseñar transferencias de archivos gestionadas seguras y compatibles con conectores SFTP y cifrado PGP](https://aws.amazon.com/blogs//storage/architecting-secure-and-compliant-managed-file-transfers-with-aws-transfer-family-sftp-connectors-and-pgp-encryption/). AWS Transfer Family ## Talleres + El siguiente taller ofrece laboratorios prácticos para configurar los conectores SFTP y usar los conectores para enviar o recuperar archivos de servidores SFTP remotos: [Transfer Family: taller de SFTP](https://catalog.workshops.aws/transfer-family-sftp/en-US). + [El siguiente taller ofrece laboratorios prácticos para crear flujos de trabajo totalmente automatizados y basados en eventos que implican la transferencia de archivos hacia o desde servidores SFTP externos a Amazon S3, y el procesamiento previo y posterior común de esos archivos: taller de MFT basado en eventos.](https://catalog.us-east-1.prod.workshops.aws/workshops/e55c90e0-bbb0-47e1-be83-6bafa3a59a8a/en-US) En este vídeo se ofrece un recorrido por este taller. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/oojopisG4lA/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/oojopisG4lA) ## Soluciones AWS Transfer Family ofrece las siguientes soluciones: + La [solución de sincronización de transferencias de archivos](https://github.com/aws-samples/file-transfer-sync-solution) proporciona una arquitectura de referencia para automatizar el proceso de sincronización de directorios SFTP remotos (incluidas estructuras de carpetas completas) con los buckets locales de Amazon S3 mediante un conector SFTP. Organiza el proceso de enumerar los directorios remotos, detectar cambios y transferir archivos nuevos o modificados. + [Serverlessland: transferencia selectiva de archivos entre un servidor SFTP remoto y S3; su uso AWS Transfer Family](https://serverlessland.com/patterns/awstransfer-s3-sam?ref=search) proporciona un patrón de muestra para enumerar los archivos almacenados en ubicaciones SFTP remotas y transferir archivos selectivos a Amazon S3. ## Arquitecturas de referencia de VPC Las siguientes arquitecturas de referencia muestran patrones comunes para implementar conectores SFTP habilitados para VPC\$1Lattice. Estos ejemplos le ayudan a comprender dónde deben crearse los recursos de VPC Lattice en su arquitectura general. AWS ### Cuenta única con infraestructura de salida compartida En esta arquitectura, la infraestructura de salida (puerta de enlace NAT, túnel VPN o Direct Connect) se configura en una VPC dentro de la misma cuenta que los conectores SFTP. Todos los conectores pueden compartir la misma puerta de enlace de recursos y la misma puerta de enlace NAT. ![\[Diagrama de arquitectura que muestra los conectores SFTP habilitados para VPC_Lattice en una sola cuenta con una infraestructura de salida compartida que incluye los componentes NAT Gateway, Resource Gateway y VPC Lattice.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/vpc-customer-architecture-1.png) Este patrón es ideal cuando: + Todos los conectores SFTP se administran en un solo conector Cuenta de AWS + La infraestructura de salida se configura en una VPC dentro de la misma cuenta que los conectores SFTP. ### Cuenta cruzada con una infraestructura de salida centralizada En esta arquitectura, la infraestructura de salida (puerta de enlace NAT, túnel VPN, Direct Connect o firewalls B2B) se configura en una cuenta de salida central administrada por el equipo de redes. Los conectores SFTP se crean en la cuenta de la aplicación MFT administrada por el equipo de administración de MFT. Las redes entre cuentas se establecen mediante Transit Gateway para cumplir con las normas de red existentes. ![\[Diagrama de arquitectura que muestra los conectores SFTP compatibles con VPC_Lattice en una configuración multicuenta con una infraestructura de salida centralizada administrada por una cuenta de equipo de redes independiente.\]](http://docs.aws.amazon.com/es_es/transfer/latest/userguide/images/vpc-customer-architecture-2.png) Este patrón es ideal cuando: + La infraestructura de red la administra un equipo independiente en una cuenta dedicada + Tiene rutas existentes (por ejemplo AWS Transit Gateway ) entre la cuenta en la que se crean los conectores SFTP y la cuenta en la que se configura la infraestructura de salida. Los conectores SFTP podrán aprovechar las rutas existentes que conectan las dos cuentas. + Se requieren controles de seguridad centralizados y firewalls B2B + Debe mantener la separación de funciones entre los equipos de redes y aplicaciones