Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Acceda a sus sistemas de archivos FSx para NetApp ONTAP con Transfer Family
**Contents**
+ [Descripción general de](#fsx-overview)
+ [Requisitos previos](#fsx-prerequisites)
+ [Requisitos de FSx para ONTAP NetApp](#fsx-ontap-requirements)
+ [Permisos de IAM necesarios](#required-iam-permissions)
+ [Cómo funciona el almacenamiento FSx con Transfer Family](#how-fsx-storage-works)
+ [Identidad de usuario del sistema de archivos](#file-system-user-identity)
+ [Creación de un punto de acceso S3 para FSx](#creating-s3-access-point)
+ [Denominación de puntos de acceso](#access-point-naming)
+ [Creación de un punto de acceso para FSx para ONTAP NetApp](#creating-access-point-ontap)
+ [Configuración de los permisos del sistema de archivos](#configuring-file-system-permissions)
+ [Uso de alias de puntos de acceso S3 con FSx](#using-s3-access-point-aliases)
+ [Acerca de los alias de los puntos de acceso](#about-access-point-aliases)
+ [Cómo encontrar el alias del punto de acceso](#finding-access-point-alias)
+ [Configuración de Transfer Family para el almacenamiento FSx](#configuring-transfer-family-fsx)
+ [Creación de un rol de IAM](#creating-iam-role-fsx)
+ [Administración de usuarios para el almacenamiento de FSx](#managing-users-fsx)
+ [Creación de un usuario](#creating-user-fsx)
+ [Configuración de múltiples mapeos de directorios](#multiple-directory-mappings)
+ [Configuración de clientes de transferencia de archivos](#configuring-file-transfer-clients)
+ [Configuración WinSCP](#winscp-configuration)
+ [Otros clientes SFTP](#other-sftp-clients)
+ [Solución de problemas de almacenamiento FSx](#troubleshooting-fsx-storage)
+ [Problemas con el funcionamiento de los archivos](#file-operation-issues)
## Descripción general de
Transfer Family es compatible con Amazon FSx para NetApp ONTAP a través de puntos de acceso S3. Amazon FSx para NetApp ONTAP es un servicio totalmente gestionado que proporciona un almacenamiento de archivos altamente fiable, escalable, de alto rendimiento y rico en funciones basado en NetApp el popular sistema de archivos ONTAP. Al configurar Transfer Family con un sistema de archivos FSx, los usuarios se conectan a los puntos finales de Transfer Family mediante clientes de transferencia de archivos estándar. Transfer Family dirige las operaciones de archivos a través de un punto de acceso S3 conectado al volumen FSx, mientras que los datos permanecen en el sistema de archivos FSx. Para obtener más información sobre FSx para NetApp ONTAP, consulte [¿Qué es Amazon FSx](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html) para ONTAP? NetApp
Esta integración le permite:
+ Transfiera archivos mediante los protocolos SFTP, FTPS o FTP a un almacenamiento de archivos de nivel empresarial
+ Acceda a los mismos datos a través de varios protocolos (SFTP, NFS, SMB)
+ Utilice las funciones de FSx, como las instantáneas, las copias de seguridad y la organización de datos en niveles
**importante**
Algunas operaciones de archivos no se admiten cuando se utilizan sistemas de archivos FSx con Transfer Family, incluidas las operaciones de cambio de nombre y adición. Para las operaciones de carga, el tamaño de los archivos está limitado a 5 GB. Para obtener una lista completa de las limitaciones, consulte [Compatibilidad con los puntos de acceso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-object-api-support.html).
## Requisitos previos
Antes de configurar Transfer Family con Amazon FSx, debe cumplir los siguientes requisitos.
### Requisitos de FSx para ONTAP NetApp
Para utilizar FSx para NetApp ONTAP con Transfer Family, necesita:
+ Un sistema de archivos FSx para NetApp ONTAP que ejecute ONTAP 9.17.1 o posterior
+ El sistema de archivos y el punto de acceso S3 en la misma región AWS
+ La misma AWS cuenta que posee el sistema de archivos y el punto de acceso
Para obtener más información, consulte [Introducción a Amazon FSx para NetApp ](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/getting-started.html) ONTAP.
### Permisos de IAM necesarios
Puede configurar cada punto de acceso S3 con distintos permisos y controles de red que S3 aplicará a cualquier solicitud que se realice mediante ese punto de acceso. Los puntos de acceso S3 admiten las políticas de recursos de IAM que puede utilizar para controlar el uso del punto de acceso por recurso, usuario u otras condiciones. Para que una aplicación o un usuario accedan a los archivos a través de un punto de acceso, tanto el punto de acceso como el volumen subyacente deben permitir la solicitud. Para obtener más información, consulte las [políticas de puntos de acceso de IAM](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/s3-ap-manage-access-fsxn.html).
Los puntos de acceso Amazon S3 para FSx utilizan un modelo de autorización de doble capa que combina los permisos de IAM con los permisos a nivel del sistema de archivos. Este enfoque garantiza que las solicitudes de acceso a los datos estén debidamente autorizadas tanto a nivel de AWS servicio como a nivel del sistema de archivos subyacente.
Para que una aplicación o un usuario puedan acceder correctamente a los datos a través de un punto de acceso, tanto la política del punto de acceso S3 como el volumen FSx subyacente deben permitir la solicitud.
Para crear y configurar esta integración, necesita los siguientes permisos:
+ `fsx:CreateAndAttachS3AccessPoint`
+ `s3:CreateAccessPoint`
+ `s3:GetAccessPoint`
+ `s3:PutAccessPointPolicy`(si crea una política de puntos de acceso opcional)
## Cómo funciona el almacenamiento FSx con Transfer Family
Al configurar Transfer Family con un sistema de archivos FSx, los siguientes componentes funcionan juntos para permitir la transferencia de archivos:
1. Un usuario se conecta al servidor Transfer Family mediante un cliente SFTP, FTPS o FTP.
1. Transfer Family autentica al usuario mediante identidades administradas por el servicio, un proveedor de identidades personalizado o. AWS Directory Service for Microsoft Active Directory Una vez autenticado, Transfer Family asume la función de IAM asociada al usuario.
1. Para cada operación de archivo, Transfer Family actúa como un cliente API de S3 estándar, realiza solicitudes al punto de acceso S3 utilizando la función de IAM asumida por el usuario y verifica los permisos según la política del punto de acceso de S3.
1. El sistema de archivos FSx comprueba que el usuario del sistema de archivos asociado al punto de acceso tiene permiso para realizar la operación solicitada. A continuación, la operación de archivo se realiza en el volumen FSx.
Para que una operación de archivo se realice correctamente, ambas capas de autorización deben permitir la solicitud.
**nota**
La conexión de un punto de acceso S3 a un volumen FSx no cambia el comportamiento del volumen cuando se accede directamente a través de NFS o SMB. El acceso al protocolo de archivos existente sigue funcionando sin cambios.
### Identidad de usuario del sistema de archivos
Cada punto de acceso utiliza una identidad de usuario del sistema de archivos que se especifica al crear el punto de acceso. Esta identidad autoriza todas las solicitudes de acceso a los archivos realizadas a través de ese punto de acceso. El usuario del sistema de archivos es una cuenta de usuario en el sistema de archivos Amazon FSx subyacente. Si el usuario del sistema de archivos tiene acceso de solo lectura, solo se autorizan las solicitudes de lectura realizadas desde el punto de acceso y se bloquean las solicitudes de escritura. Si el usuario del sistema de archivos tiene acceso de lectura y escritura, se autorizan tanto las solicitudes de lectura como las de escritura al volumen adjunto realizadas mediante el punto de acceso.
## Creación de un punto de acceso S3 para FSx
Antes de configurar Transfer Family, debe crear un punto de acceso S3 adjunto al volumen FSx. Los puntos de acceso S3 se denominan puntos de conexión de red que se conectan a una fuente de datos, como un bucket o Amazon FSx para el volumen de ONTAP. Puede crear y conectar un punto de acceso a un FSx para NetApp ONTAP mediante la consola, la AWS CLI o la API de Amazon FSx. Una vez adjuntado, puede usar las API de objetos de S3 para acceder a los datos de los archivos. Los datos seguirán residiendo en el sistema de archivos de Amazon FSx y seguirán siendo directamente accesibles para las cargas de trabajo existentes. Seguirá gestionando su almacenamiento con todas las funciones de gestión del almacenamiento de FSx for NetApp ONTAP, incluidas las copias de seguridad, las instantáneas, las cuotas de usuarios y grupos y la compresión.
Para obtener más información, consulte [Creación de puntos de acceso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/create-access-points.html).
### Denominación de puntos de acceso
Cuando asigne un nombre a su punto de acceso, siga estas pautas:
+ Los nombres de los puntos de acceso deben ser únicos en su AWS cuenta y región.
+ Los nombres no pueden terminar por `-ext-s3alias` (reservado para los alias).
+ Evite incluir información confidencial en los nombres porque están publicados en el DNS.
Para obtener una lista completa de las reglas de nomenclatura, consulte [Reglas, restricciones y limitaciones de nomenclatura de los puntos de acceso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-point-for-fsxn-restrictions-limitations-naming-rules.html).
### Creación de un punto de acceso para FSx para ONTAP NetApp
Utilice el siguiente procedimiento para crear un punto de acceso S3 para un volumen FSx for NetApp ONTAP.
**Para crear un punto de acceso (consola)**
1. Abra la consola Amazon FSx en. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)
1. En el panel de navegación, elija **Sistema de archivos**.
1. Elija su sistema de archivos FSx para NetApp ONTAP.
1. Seleccione la pestaña **Volúmenes**.
1. Seleccione el volumen que desee adjuntar.
1. En **Acciones**, elija **Crear punto de acceso S3**.
1. **En Nombre del punto de acceso**, introduzca un nombre descriptivo (por ejemplo,`transfer-family-ap`).
1. En el **tipo de identidad de usuario del sistema de archivos**, elija una de las siguientes opciones:
+ **Identidad UNIX**: para volúmenes con el estilo de seguridad UNIX
+ **Identidad de Windows**: para volúmenes con estilo de seguridad NTFS
1. (Opcional) En el caso de la **política de puntos de acceso**, introduzca una política de IAM que defina qué responsables de IAM pueden realizar determinadas operaciones en los objetos a los que se accede a través de este punto de acceso. Para obtener más información, consulte [Administrar el acceso a los puntos de acceso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/s3-ap-manage-access-fsxn.html).
1. Seleccione **Crear**.
1. Tras la creación, anote el alias del punto de acceso para usarlo en la configuración de Transfer Family.
**nota**
Cuando AWS Transfer Family accede a los recursos de S3 en nombre de SFTP/FTPS los usuarios conectados, las solicitudes se originan en la AWS Transfer Family infraestructura, no en la VPC. Por ello, los puntos de acceso S3 configurados con un origen de red de VPC denegarán estas solicitudes. Sin embargo, incluso si utiliza un punto de acceso configurado con un origen de red de Internet, todo el tráfico entre Transfer Family y el punto de acceso permanece privado y viaja a través de la red AWS troncal, no atraviesa la Internet pública.
### Configuración de los permisos del sistema de archivos
El usuario del sistema de archivos que especifique determinará qué operaciones pueden realizar los usuarios de Transfer Family. Debe configurar los permisos adecuados en el volumen FSx.
**Ejemplo de UNIX:**
```
# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users
# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users
# Set permissions
chmod 755 /vol1/transfer-users
```
**Ejemplo de Windows:**
```
# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory
# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T
# Verify permissions
icacls "D:\vol1\transfer-users"
```
## Uso de alias de puntos de acceso S3 con FSx
Cuando utilice sistemas de archivos FSx con Transfer Family, debe utilizar los alias de punto de acceso S3. Transfer Family no admite el uso de ARN de puntos de acceso u otros métodos de referencia para el almacenamiento de FSx.
**importante**
AWS Transfer Family solo admite alias de puntos de acceso S3 cuando se utilizan sistemas de archivos FSx. No puede utilizar ARN de puntos de acceso ni URI de tipo hospedado virtual.
**importante**
El punto de acceso debe estar en la misma región que el volumen.
### Acerca de los alias de los puntos de acceso
Al crear un punto de acceso S3 adjunto a un volumen FSx, Amazon S3 genera automáticamente un alias de punto de acceso. Este alias es un identificador único que puede utilizar en cualquier lugar donde utilice un nombre de bucket de S3.
Para los puntos de acceso adjuntos a los volúmenes de FSx, el alias utiliza el siguiente formato:
```
access-point-name-metadata-ext-s3alias
```
**Ejemplo de alias:**
```
my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
```
**nota**
El `-ext-s3alias` sufijo está reservado para los alias de los puntos de acceso FSx. No puede utilizar este sufijo en los nombres de los puntos de acceso.
### Cómo encontrar el alias del punto de acceso
Puede encontrar el alias del punto de acceso después de crear el punto de acceso.
**Para buscar el alias del punto de acceso (consola)**
1. Abra la consola Amazon FSx en. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)
1. En el panel de navegación, elija **Sistema de archivos**.
1. Elija su sistema de archivos
1. Elija la pestaña **Volúmenes** y seleccione el volumen para el que creó el punto de acceso.
1. Vaya a la columna de **detalles del punto de acceso S3**.
1. El alias se muestra en la columna **Alias**.
**Para buscar el alias del punto de acceso (CLI)**
Utilice el comando `describe-s3-access-point-attachments`.
```
aws fsx describe-s3-access-point-attachments \
--filters Name=file-system-id,Values=fs-0123456789abcdef0
```
La respuesta incluye el alias:
```
{
"S3AccessPointAttachments": [
{
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
"Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
}
}
]
}
```
Al configurar los usuarios de Transfer Family, utilice el alias del punto de acceso en las asignaciones del directorio principal.
**Formato de directorio principal:**
```
/access-point-alias/path/to/directory
```
**Ejemplo:**
```
/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith
```
## Configuración de Transfer Family para el almacenamiento FSx
Después de crear el punto de acceso S3, configure un servidor Transfer Family para usarlo.
### Creación de un rol de IAM
Debe crear un rol de IAM que conceda a Transfer Family acceso al punto de acceso S3.
**importante**
Las políticas de IAM requieren el formato ARN del punto de acceso, no el alias. Utilice el formato `arn:aws:s3:region:account-id:accesspoint/access-point-name` en las declaraciones de recursos de su política de IAM. El alias del punto de acceso (que termina en`-ext-s3alias`) solo se usa para mapear el directorio principal.
**Creación del rol de IAM**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación, elija **Funciones** y, a continuación, seleccione **Crear** función.
1. En **Tipo de entidad de confianza**, elija **Servicio de AWS **.
1. **En Caso de uso**, selecciona **Transferir**.
1. Elija **Siguiente**.
1. Selecciona **Crear política** e introduce tu política (consulta un ejemplo de política a continuación).
1. Adjunta la política al rol y selecciona **Crear rol**.
**Ejemplo de política de IAM:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowFileOperations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectTagging",
"s3:PutObjectTagging"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
},
{
"Sid": "AllowDirectoryOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
}
]
}
```
## Administración de usuarios para el almacenamiento de FSx
Cree usuarios de Transfer Family con asignaciones de directorios principales que usen el alias del punto de acceso S3.
### Creación de un usuario
Al crear un usuario para el almacenamiento de FSx, utilice el alias del punto de acceso en las asignaciones del directorio principal.
**Para crear un usuario de Service Managed (consola)**
1. Abra la AWS Transfer Family consola en [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. En el panel de navegación, seleccione **Servers (Servidores)**.
1. Seleccione su servidor.
1. En la sección Usuarios, selecciona **Añadir usuario**.
1. En **Nombre de usuario**, introduzca un nombre de usuario.
1. En **Función**, elija la función de IAM que creó.
1. En el **directorio principal**, elija **Restringido**.
1. Para las **asignaciones del directorio principal**, añada una asignación con el alias del punto de acceso:
```
[{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]
```
**Para crear un usuario (CLI)**
Utilice el comando `create-user`. Sustituya el alias del punto de acceso por el suyo.
```
aws transfer create-user \
--server-id s-0123456789abcdef0 \
--user-name jsmith \
--role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
--home-directory-type LOGICAL \
--home-directory-mappings '[
{
"Entry": "/",
"Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
}
]'
```
### Configuración de múltiples mapeos de directorios
Puede asignar varios directorios virtuales a diferentes rutas del volumen FSx.
**Ejemplo: directorios de carga y descarga separados**
```
aws transfer create-user \
--server-id s-0123456789abcdef0 \
--user-name jsmith \
--role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
--home-directory-type LOGICAL \
--home-directory-mappings '[
{
"Entry": "/inbox",
"Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
},
{
"Entry": "/outbox",
"Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
}
]'
```
## Configuración de clientes de transferencia de archivos
Cuando utilice sistemas de archivos FSx con Transfer Family, debe configurar sus clientes de transferencia de archivos para deshabilitar las funciones que no son compatibles.
### Configuración WinSCP
WinSCP utiliza una función de cambio de nombre temporal de forma predeterminada que no es compatible con los puntos de acceso S3 para FSx.
**aviso**
Si no deshabilita la función de cambio de nombre temporal en WinSCP, se producirá un error al cargar los archivos.
**Para deshabilitar el cambio de nombre temporal en WinSCP**
1. Abre WinSCP.
1. En el cuadro de diálogo de inicio de sesión, seleccione **Editar** para modificar la configuración de la sesión.
1. Seleccione **Avanzado**.
1. En el menú de navegación de la izquierda, en **Transferir**, selecciona **Endurance**.
1. En **Habilitar la transferencia resume/transfer a un nombre de archivo temporal**, seleccione **Desactivar**.
1. Seleccione **Aceptar** para guardar la configuración.
Como alternativa, puedes deshabilitar esta configuración para una sesión existente:
1. Conéctese a su servidor Transfer Family.
1. Selecciona **Opciones** y, a continuación, **Preferencias**.
1. Selecciona **Transfer** y, a continuación, **Endurance**.
1. En **Habilitar la transferencia resume/transfer a un nombre de archivo temporal**, seleccione **Desactivar**.
1. Seleccione **Aceptar**.
### Otros clientes SFTP
Para otros clientes SFTP, deshabilite las siguientes funciones, si están disponibles:
+ Cargas de archivos temporales (cárguelos en un archivo temporal y, a continuación, cámbieles el nombre)
+ Reanude las transferencias mediante archivos temporales
+ Atomic carga mediante operaciones de cambio de nombre
+ Modo de adición para las cargas
Consulte la documentación del cliente para conocer los pasos de configuración específicos.
## Solución de problemas de almacenamiento FSx
En esta sección se describe cómo identificar y resolver problemas comunes al utilizar Transfer Family con sistemas de archivos FSx.
### Problemas con el funcionamiento de los archivos
**Permiso denegado**
Si recibes errores de permiso denegado:
1. Compruebe que la función de IAM tenga los permisos correctos para el alias del punto de acceso. Para ello, puede realizar pruebas directamente con las API de S3.
1. Compruebe que la política de puntos de acceso permita el rol de IAM.
1. Compruebe que el usuario del sistema de archivos tenga permisos en la ruta de destino.
1. Confirme que la asignación del directorio principal utilice el alias de punto de acceso correcto.
**La carga falla con WinSCP**
Si la carga de archivos falla con WinSCP, deshabilite el cambio de nombre temporal:
1. **En WinSCP, **seleccione** Opciones y, a continuación, Preferencias.**
1. **Selecciona **Transfer** y, a continuación, Endurance.**
1. En **Habilitar la transferencia resume/transfer a un nombre de archivo temporal**, seleccione **Desactivar**.
Para obtener más información, consulte [Configuración de clientes de transferencia de archivos](#configuring-file-transfer-clients).
**La carga del archivo falla**
Si se produce un error al cargar los archivos:
1. Comprueba que el tamaño del archivo sea inferior a 5 GB.
1. Compruebe que el volumen FSx tiene suficiente espacio de almacenamiento disponible.
1. Supervise CloudWatch las métricas de regulación.