Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # AWS Transfer Family Connecteurs SFTP Un connecteur AWS Transfer Family SFTP établit une connexion avec un serveur SFTP distant pour transférer des fichiers entre le stockage Amazon et un serveur distant, en utilisant le protocole SFTP. Vous pouvez envoyer des fichiers depuis Amazon S3 vers un serveur SFTP externe appartenant à un partenaire, récupérer des fichiers du serveur SFTP d'un partenaire vers Amazon S3 ou répertorier, supprimer, renommer ou déplacer des fichiers sur le serveur distant. Les connecteurs SFTP prennent en charge deux types de sortie : les services gérés (à l'aide d'une infrastructure AWS gérée) et les VPC (routage via votre VPC à l'aide d'Amazon VPC Lattice). À l'aide des connecteurs SFTP, vous pouvez créer des flux de travail de transfert de fichiers automatisés et pilotés par des événements. AWS La vidéo suivante présente brièvement les connecteurs SFTP Transfer Family. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Gm-FMGrVpAg/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Gm-FMGrVpAg) **Topics** + [Création de connecteurs SFTP](configure-sftp-connector.md) + [Connectivité VPC pour connecteurs SFTP](sftp-connectors-vpc-overview.md) + [Utilisation de connecteurs SFTP](transfer-sftp-connectors.md) + [Surveillance des connecteurs SFTP](track-connector-progress.md) + [Gestion des connecteurs SFTP](manage-sftp-connectors.md) + [Dimensionnement et quotas pour les connecteurs SFTP](scale-and-limits-sftp-connector.md) + [Architectures de référence utilisant des connecteurs SFTP](reference-architectures.md) # Création de connecteurs SFTP Cette rubrique explique comment créer des connecteurs SFTP. Chaque connecteur permet de se connecter à un serveur SFTP distant. Vous devez effectuer les tâches de haut niveau suivantes pour configurer un connecteur SFTP. **Note** Pour les connecteurs basés sur VPC qui acheminent le trafic via votre cloud privé virtuel, consultez. [Création d'un connecteur SFTP avec sortie basée sur VPC](create-vpc-sftp-connector-procedure.md) 1. Stockez les informations d'authentification du connecteur dans AWS Secrets Manager. 1. Créez le connecteur en spécifiant l'ARN secret, l'URL du serveur distant ou l'ARN de configuration des ressources, la politique de sécurité contenant les algorithmes qui seront pris en charge par le connecteur et d'autres paramètres de configuration. 1. Après avoir créé le connecteur, vous pouvez le tester pour vous assurer qu'il peut établir des connexions avec le serveur SFTP distant. ## Choix du type de sortie du connecteur SFTP Lorsque vous créez un connecteur SFTP, vous choisissez le type de sortie entre « Service géré » et « VPC Lattice ». + **Service géré** (par défaut) : le connecteur utilise des passerelles NAT et des adresses IP détenues par AWS Transfer Family pour acheminer les connexions via l'Internet public. Le service fournit 3 adresses IP statiques pour vos connecteurs qui doivent être répertoriées sur les serveurs distants pour établir des connexions. + **Réseau VPC : le connecteur achemine le trafic via votre environnement VPC à l'aide d'Amazon VPC Lattice**. Utilisez la connectivité VPC pour les connecteurs SFTP dans les scénarios suivants : + **Serveurs SFTP privés** : connectez-vous à des serveurs SFTP uniquement accessibles depuis votre VPC + **Connectivité sur site** : connectez-vous aux serveurs SFTP locaux par le biais de connexions ou AWS Direct Connect AWS Virtual Private Network + **Adresses IP personnalisées** : présentez vos propres passerelles NAT et adresses IP élastiques au serveur distant + **Contrôles de sécurité centralisés** : acheminez les transferts de fichiers via les ingress/egress contrôles centraux de votre entreprise La matrice suivante vous aide à choisir le type de connecteur adapté à vos cas d'utilisation. **Matrice de type sortie du connecteur SFTP** | Capacité | Type de sortie = Service géré | Type de sortie = réseau VPC | | --- | --- | --- | | Connectivité aux serveurs SFTP hébergés publiquement (accessibles par Internet) | Pris en charge | Supporté 1 | | Connectivité aux serveurs SFTP hébergés en privé (sur site) | Non pris en charge | Soutenu (2) | | Connectivité aux serveurs SFTP hébergés en privé (In-VPC) | Non pris en charge | Pris en charge | | Adresses IP statiques présentées au serveur SFTP distant | Pris en charge via les adresses IP statiques fournies par le service | Pris en charge via les adresses IP statiques appartenant aux clients | | Bande passante disponible | 50 Mbits/s par compte | Bande passante plus élevée, telle que disponible auprès de Resource Gateway et de NAT Gateway appartenant au client | | Acheminement du trafic vers Internet via des passerelles NAT et des pare-feux réseau appartenant au client | Non pris en charge. Les passerelles NAT sont détenues et gérées par le service Transfer Family. | Pris en charge | 1 *Avec Type de sortie = VPC Lattice, la connectivité aux serveurs hébergés publiquement est prise en charge à l'aide de l'infrastructure de sortie (passerelles NAT) configurée* dans votre sortie. VPCs 2 *Avec Type de sortie = VPC Lattice, la connectivité aux serveurs hébergés en privé est prise en charge via les réseaux existants de votre VPC*, tels que le VPN. AWS Direct Connect **Topics** + [Choix du type de sortie du connecteur SFTP](#choosing-egress-type) + [Stockez les informations d'authentification pour les connecteurs SFTP dans Secrets Manager](sftp-connector-secret-procedure.md) + [Création d'un connecteur SFTP avec sortie gérée par service](create-sftp-connector-procedure.md) + [Création d'un connecteur SFTP avec sortie basée sur VPC](create-vpc-sftp-connector-procedure.md) + [Tester un connecteur SFTP](test-sftp-connector.md) # Stockez les informations d'authentification pour les connecteurs SFTP dans Secrets Manager Vous pouvez utiliser Secrets Manager pour stocker les informations d'identification utilisateur de vos connecteurs SFTP. Lorsque vous créez votre secret, vous devez fournir un nom d'utilisateur. En outre, vous pouvez fournir un mot de passe, une clé privée ou les deux. Pour en savoir plus, consultez [Quotas pour les connecteurs SFTP](scale-and-limits-sftp-connector.md#limits-sftp-connector). **Note** Lorsque vous stockez des secrets dans Secrets Manager, des frais Compte AWS vous sont facturés. Pour plus d’informations sur la tarification, consultez la section [AWS Secrets Manager Tarification](https://aws.amazon.com/secrets-manager/pricing). **Pour stocker les informations d'identification de l'utilisateur dans Secrets Manager pour un connecteur SFTP** 1. Connectez-vous à la AWS Secrets Manager console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/). 1. Dans le panneau de navigation de gauche, choisissez **Secrets**. 1. Sur la page **Secrets**, choisissez **Enregistrer un nouveau secret**. 1. Sur la page **Choisir un type de secret**, pour **Type de secret**, choisissez **Autre type de secret**. 1. Fournissez les key/value informations relatives à votre secret : vous devez fournir le nom d'utilisateur, ainsi qu'une clé privée ou un mot de passe. 1. Dans la section **Paires clé/valeur**, choisissez l'onglet **clé/valeur**. + **Clé** — Entrée**Username**. + **valeur** — Entrez le nom de l'utilisateur autorisé à se connecter au serveur du partenaire. 1. Si vous souhaitez fournir une paire de clés, choisissez **Ajouter une ligne, puis** dans la section **Paires clé/valeur**, choisissez l'onglet **clé/valeur**. + **Clé** — Entrée**PrivateKey**. + **valeur** : collez votre clé privée. **Conseil** : Les données de clé privée que vous entrez doivent correspondre à la clé publique enregistrée pour cet utilisateur sur le serveur SFTP distant. **Note** Il n'est pas possible d'utiliser une clé privée protégée par un mot de passe pour l'authentification avec un connecteur SFTP. AWS Transfer Family Pour plus de détails sur la génération d'une paire de public/private clés, consultez[Création de clés SSH sous macOS, Linux ou Unix](macOS-linux-unix-ssh.md). 1. Si vous souhaitez fournir un mot de passe, choisissez **Ajouter une ligne**, puis dans la section **Paires clé/valeur**, choisissez l'onglet **clé/valeur**. + **Clé** — Entrée**Password**. + **valeur** — Entrez le mot de passe de l'utilisateur. 1. Choisissez **Suivant**. 1. Sur la page **Configurer le secret**, entrez le nom et la description de votre secret. Nous vous recommandons d'utiliser le préfixe de **aws/transfer/** pour le nom. Par exemple, vous pourriez donner un nom à votre secret**aws/transfer/connector-1**. 1. Choisissez **Next**, puis acceptez les valeurs par défaut sur la page **Configurer la rotation**. Ensuite, sélectionnez **Suivant**. 1. Sur la page **Révision**, choisissez **Store** pour créer et stocker le secret. # Création d'un connecteur SFTP avec sortie gérée par service Cette procédure explique comment créer des connecteurs SFTP à l'aide de la AWS Transfer Family console ou AWS CLI. ------ #### [ Console ] **Pour créer un connecteur SFTP** 1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). 1. Dans le volet de navigation de gauche, choisissez **SFTP Connectors**, puis **Create SFTP connector**. 1. Dans la section **Configuration du connecteur**, pour le **type de sortie**, choisissez **Service géré**. Cette option utilise une infrastructure de sortie AWS Transfer Family gérée. Le service Transfer Family fournit et gère des adresses IP statiques pour chaque connecteur SFTP. 1. Dans la section **Configuration du connecteur**, fournissez les informations suivantes : ![\[La console du connecteur SFTP Transfer Family, qui affiche les paramètres de configuration du connecteur.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/create-connector-example-config.png) + Pour l'**URL**, entrez l'URL d'un serveur SFTP distant. Cette URL doit être formatée comme suit`sftp://partner-SFTP-server-url`, par exemple`sftp://AnyCompany.com`. **Note** Vous pouvez éventuellement fournir un numéro de port dans votre URL. Le format est `sftp://partner-SFTP-server-url:port-number`. Le numéro de port par défaut (lorsqu'aucun port n'est spécifié) est le port 22. + Pour le **rôle Access**, choisissez le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) à utiliser. + **Assurez-vous que ce rôle fournit un accès en lecture et en écriture** au répertoire parent de l'emplacement du fichier utilisé dans la `StartFileTransfer` demande. + **Assurez-vous que ce rôle autorise l'**`secretsmanager:GetSecretValue`accès au secret. **Note** Dans la politique, vous devez spécifier l'ARN du secret. L'ARN contient le nom secret, mais y ajoute six caractères alphanumériques aléatoires. L'ARN d'un secret a le format suivant. ``` arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters ``` + **Assurez-vous que ce rôle contient une relation de confiance** qui permet au connecteur d'accéder à vos ressources lorsqu'il répond aux demandes de transfert de vos utilisateurs. Pour plus de détails sur l'établissement d'une relation de confiance, voir[Étape 1 : Établir une relation d'approbation](requirements-roles.md#establish-trust-transfer). **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "HomeDirObjectAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectVersion", "s3:GetObjectACL", "s3:PutObjectACL" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" }, { "Sid": "GetConnectorSecretValue", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters" } ] } ``` **Note** Pour le rôle d'accès, l'exemple accorde l'accès à un secret unique. Vous pouvez toutefois utiliser un caractère générique, ce qui peut vous faire économiser du travail si vous souhaitez réutiliser le même rôle IAM pour plusieurs utilisateurs et plusieurs secrets. Par exemple, l'instruction de ressource suivante accorde des autorisations pour tous les secrets dont le nom commence par`aws/transfer`. ``` "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*" ``` Vous pouvez également stocker des secrets contenant vos informations d'identification SFTP dans un autre Compte AWS. Pour plus de détails sur l'activation de l'accès secret entre comptes, voir [Autorisations relatives aux AWS Secrets Manager secrets pour les utilisateurs d'un autre compte](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html). 1. Terminez la configuration du connecteur : + (Facultatif) Pour le **rôle de journalisation**, choisissez le rôle IAM que le connecteur doit utiliser pour transférer des événements vers vos CloudWatch journaux. L'exemple de politique suivant répertorie les autorisations nécessaires pour consigner des événements pour les connecteurs SFTP. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` 1. Dans la section **Configuration SFTP**, fournissez les informations suivantes : ![\[La console du connecteur SFTP Transfer Family, qui affiche les paramètres de configuration SFTP.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/create-connector-example-sftp-config.png) + Pour les **informations d'identification du connecteur**, dans la liste déroulante, choisissez le nom d'un secret AWS Secrets Manager contenant la clé privée ou le mot de passe de l'utilisateur SFTP. Vous devez créer un secret et le stocker d'une manière spécifique. Pour en savoir plus, consultez [Stockez les informations d'authentification pour les connecteurs SFTP dans Secrets Manager](sftp-connector-secret-procedure.md). + (Facultatif) Vous avez la possibilité de créer votre connecteur tout en laissant le `TrustedHostKeys` paramètre vide. Toutefois, votre connecteur ne sera pas en mesure de transférer des fichiers avec le serveur distant tant que vous n'aurez pas fourni ce paramètre dans la configuration de votre connecteur. Vous pouvez saisir la ou les clés d'hôte fiables au moment de créer votre connecteur, ou mettre à jour votre connecteur ultérieurement en utilisant les informations de clé d'hôte renvoyées par l'action de la `TestConnection` console ou la commande d'API. En d'autres termes, pour la zone de texte **Clés d'hôte fiables**, vous pouvez effectuer l'une des opérations suivantes : + **Fournissez la ou les clés d'hôte sécurisé au moment de créer votre connecteur.** Collez la partie publique de la clé d'hôte utilisée pour identifier le serveur externe. Vous pouvez ajouter plusieurs clés en choisissant **Ajouter une clé d'hôte fiable** pour ajouter une clé supplémentaire. Vous pouvez utiliser la `ssh-keyscan` commande sur le serveur SFTP pour récupérer la clé nécessaire. Pour plus de détails sur le format et le type de clés d'hôte fiables prises en charge par Transfer Family, consultez [https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html](https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html). + *Laissez la zone de texte Trusted Host Key (s) vide lors de la création de votre connecteur et mettez à jour votre connecteur ultérieurement avec ces informations.* Si vous ne disposez pas des informations clés de l'hôte au moment de créer votre connecteur, vous pouvez laisser ce paramètre vide pour le moment et poursuivre la création de votre connecteur. Une fois le connecteur créé, utilisez l'identifiant du nouveau connecteur pour exécuter la `TestConnection` commande, soit dans la page détaillée du connecteur, AWS CLI soit à partir de celle-ci. En cas de succès, `TestConnection` renverra les informations de clé d'hôte nécessaires. Vous pouvez ensuite modifier votre connecteur à l'aide de la console (ou en exécutant la `UpdateConnector` AWS CLI commande) et ajouter les informations de clé d'hôte renvoyées lors de l'exécution`TestConnection`. **Important** Si vous récupérez la clé d'hôte du serveur distant en exécutant`TestConnection`, assurez-vous de out-of-band valider la clé renvoyée. Vous devez accepter la nouvelle clé comme étant fiable ou vérifier l'empreinte digitale présentée à l'aide d'une empreinte connue que vous avez reçue du propriétaire du serveur SFTP distant auquel vous vous connectez. + (Facultatif) Pour **Maximum de connexions simultanées**, dans la liste déroulante, choisissez le nombre de connexions simultanées que votre connecteur crée avec le serveur distant. La sélection par défaut sur la console est **5**. Ce paramètre indique le nombre de connexions actives que votre connecteur peut établir avec le serveur distant en même temps. La création de connexions simultanées peut améliorer les performances du connecteur en permettant des opérations parallèles. 1. Dans la section **Options de l'algorithme cryptographique**, choisissez une **politique de sécurité** dans la liste déroulante du champ **Stratégie de sécurité**. La politique de sécurité vous permet de sélectionner les algorithmes cryptographiques pris en charge par votre connecteur. Pour plus de détails sur les politiques de sécurité et les algorithmes disponibles, consultez[Politiques de sécurité pour les AWS Transfer Family connecteurs SFTP](security-policies-connectors.md). 1. (Facultatif) Dans la section **Balises**, pour **Clé** et **Valeur**, entrez une ou plusieurs balises sous forme de paires clé-valeur. 1. Après avoir confirmé tous vos paramètres, choisissez **Create SFTP connector pour créer le connecteur** SFTP. Si le connecteur est créé avec succès, un écran apparaît avec une liste des adresses IP statiques attribuées et un bouton **Tester la connexion**. Utilisez le bouton pour tester la configuration de votre nouveau connecteur. ![\[L'écran de création de connecteur qui apparaît lorsqu'un connecteur SFTP a été créé avec succès. Il contient un bouton permettant de tester la connexion et une liste des adresses IP statiques gérées par le service de ce connecteur.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/connector-success-ip.png) La page **Connecteurs** apparaît, avec l'ID de votre nouveau connecteur SFTP ajouté à la liste. Pour consulter les détails de vos connecteurs, consultez[Afficher les détails du connecteur SFTP](manage-sftp-connectors.md#sftp-connectors-view-info). ------ #### [ CLI ] Vous utilisez la [https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html)commande pour créer un connecteur. Pour utiliser cette commande afin de créer un connecteur SFTP, vous devez fournir les informations suivantes. + URL d'un serveur SFTP distant. Cette URL doit être formatée comme suit`sftp://partner-SFTP-server-url`, par exemple`sftp://AnyCompany.com`. + Le rôle d'accès. Choisissez le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) à utiliser. + **Assurez-vous que ce rôle fournit un accès en lecture et en écriture** au répertoire parent de l'emplacement du fichier utilisé dans la `StartFileTransfer` demande. + **Assurez-vous que ce rôle autorise l'**`secretsmanager:GetSecretValue`accès au secret. **Note** Dans la politique, vous devez spécifier l'ARN du secret. L'ARN contient le nom secret, mais y ajoute six caractères alphanumériques aléatoires. L'ARN d'un secret a le format suivant. ``` arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters ``` + **Assurez-vous que ce rôle contient une relation de confiance** qui permet au connecteur d'accéder à vos ressources lorsqu'il répond aux demandes de transfert de vos utilisateurs. Pour plus de détails sur l'établissement d'une relation de confiance, voir[Étape 1 : Établir une relation d'approbation](requirements-roles.md#establish-trust-transfer). **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "HomeDirObjectAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectVersion", "s3:GetObjectACL", "s3:PutObjectACL" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" }, { "Sid": "GetConnectorSecretValue", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters" } ] } ``` **Note** Pour le rôle d'accès, l'exemple accorde l'accès à un secret unique. Vous pouvez toutefois utiliser un caractère générique, ce qui peut vous faire économiser du travail si vous souhaitez réutiliser le même rôle IAM pour plusieurs utilisateurs et plusieurs secrets. Par exemple, l'instruction de ressource suivante accorde des autorisations pour tous les secrets dont le nom commence par`aws/transfer`. ``` "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*" ``` Vous pouvez également stocker des secrets contenant vos informations d'identification SFTP dans un autre Compte AWS. Pour plus de détails sur l'activation de l'accès secret entre comptes, voir [Autorisations relatives aux AWS Secrets Manager secrets pour les utilisateurs d'un autre compte](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html). + (Facultatif) Choisissez le rôle IAM que le connecteur doit utiliser pour transférer des événements vers vos CloudWatch journaux. L'exemple de politique suivant répertorie les autorisations nécessaires pour consigner des événements pour les connecteurs SFTP. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` + Fournissez les informations de configuration SFTP suivantes. + L'ARN d'un secret AWS Secrets Manager contenant la clé privée ou le mot de passe de l'utilisateur SFTP. + Partie publique de la clé d'hôte utilisée pour identifier le serveur externe. Vous pouvez fournir plusieurs clés d'hôte fiables si vous le souhaitez. Le moyen le plus simple de fournir les informations SFTP est de les enregistrer dans un fichier. Par exemple, copiez le texte d'exemple suivant dans un fichier nommé`testSFTPConfig.json`. ``` // Listing for testSFTPConfig.json { "UserSecretId": "arn:aws::secretsmanager:us-east-2:123456789012:secret:aws/transfer/example-username-key", "TrustedHostKeys": [ "sftp.example.com ssh-rsa AAAAbbbb...EEEE=" ] } ``` + Spécifiez une politique de sécurité pour votre connecteur, en saisissant le nom de la politique de sécurité. **Note** Il `SecretId` peut s'agir de l'ARN complet ou du nom du secret (*example-username-key*dans la liste précédente). Exécutez ensuite la commande suivante pour créer le connecteur : ``` aws transfer create-connector --url "sftp://partner-SFTP-server-url" \ --access-role your-IAM-role-for-bucket-access \ --logging-role arn:aws:iam::your-account-id:role/service-role/AWSTransferLoggingAccess \ --sftp-config file:///path/to/testSFTPConfig.json \ --security-policy-name security-policy-name \ --maximum-concurrent-connections integer-from-1-to-5 ``` Lorsque vous décrivez un connecteur de type sortie VPC, la réponse inclut les nouveaux champs : ``` { "Connector": { "AccessRole": "arn:aws:iam::123456789012:role/connector-role", "Arn": "arn:aws:transfer:us-east-1:123456789012:connector/c-1234567890abcdef0", "ConnectorId": "c-1234567890abcdef0", "Status": "ACTIVE", "EgressConfig": { "VpcLattice": { "ResourceConfigurationArn": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-12345678", "PortNumber": 22 } }, "EgressType": "VPC", "ServiceManagedEgressIpAddresses": null, "SftpConfig": { "TrustedHostKeys": [ "ssh-rsa AAAAB3NzaC..." ], "UserSecretId": "aws/transfer/connector-secret" }, "Url": "sftp://my.sftp.server.com:22" } } ``` Notez que cela `ServiceManagedEgressIpAddresses` est nul pour les connecteurs de type sortie VPC, car le trafic passe par votre VPC plutôt que par l'infrastructure gérée. AWS ------ # Création d'un connecteur SFTP avec sortie basée sur VPC Cette rubrique fournit des step-by-step instructions pour créer des connecteurs SFTP dotés d'une connectivité VPC. Les connecteurs compatibles VPC\$1Lattice utilisent Amazon VPC Lattice pour acheminer le trafic via votre cloud privé virtuel, en sécurisant les connexions vers des points de terminaison privés ou en utilisant vos propres passerelles NAT pour accéder à Internet. **Quand utiliser la connectivité VPC** Utilisez la connectivité VPC pour les connecteurs SFTP dans les scénarios suivants : + **Serveurs SFTP privés** : connectez-vous à des serveurs SFTP uniquement accessibles depuis votre VPC. + **Connectivité sur site** : connectez-vous aux serveurs SFTP locaux via Direct AWS Connect ou AWS Site-to-Site des connexions VPN. + **Adresses IP personnalisées** : utilisez vos propres passerelles NAT et adresses IP élastiques, y compris les scénarios BYOIP. + **Contrôles de sécurité centralisés** : acheminez les transferts de fichiers par le biais des ingress/egress contrôles centraux de votre entreprise. ![\[Schéma d'architecture illustrant la sortie basée sur VPC pour les connecteurs SFTP, illustrant comment l'accès aux ressources entre VPC permet des connexions sécurisées via votre cloud privé virtuel.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/vpc-egress-diagram.png) ## Conditions préalables pour les connecteurs SFTP compatibles avec VPC\$1Lattice Avant de créer un connecteur SFTP compatible avec VPC\$1Lattice, vous devez remplir les conditions préalables suivantes : **Comment fonctionne la connectivité basée sur le VPC** VPC Lattice vous permet de partager en toute sécurité des ressources VPC avec d'autres services. AWS AWS Transfer Family utilise un réseau de service pour simplifier le processus de partage des ressources. Les composants clés sont les suivants : + **Passerelle de ressources** : sert de point d'accès à votre VPC. Vous le créez dans votre VPC avec un minimum de deux zones de disponibilité. + **Configuration des ressources** : contient l'adresse IP privée ou le nom DNS public du serveur SFTP auquel vous souhaitez vous connecter. Lorsque vous créez un connecteur compatible avec VPC\$1Lattice, AWS Transfer Family utilisez la session d'accès direct (FAS) pour obtenir temporairement vos informations d'identification et associer votre configuration de ressources à notre réseau de services. **Étapes de configuration requises** 1. **Infrastructure VPC** : assurez-vous de disposer d'un VPC correctement configuré avec les sous-réseaux, les tables de routage et les groupes de sécurité nécessaires pour répondre aux exigences de connectivité de votre serveur SFTP. 1. **Passerelle de ressources** : créez une passerelle de ressources dans votre VPC à l'aide de la commande VPC Lattice. `create-resource-gateway` La passerelle de ressources doit être associée à des sous-réseaux dans au moins deux zones de disponibilité. Pour plus d'informations, consultez [Resource Gateways](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-gateway.html) dans le guide de l'utilisateur *Amazon VPC Lattice*. 1. **Configuration des ressources** : créez une configuration des ressources qui représente le serveur SFTP cible à l'aide de la commande VPC `create-resource-configuration` Lattice. Vous pouvez spécifier soit : + Une adresse IP privée pour les points de terminaison privés + Un nom DNS public pour les points de terminaison publics (les adresses IP ne sont pas prises en charge pour les points de terminaison publics) 1. **Informations d'authentification** : stockez les informations d'identification de l'utilisateur SFTP AWS Secrets Manager comme décrit dans[Stockez les informations d'authentification pour les connecteurs SFTP dans Secrets Manager](sftp-connector-secret-procedure.md). **Important** La passerelle de ressources et la configuration des ressources doivent être créées dans le même AWS compte. Lorsque vous créez une configuration de ressources, vous devez d'abord disposer d'une passerelle de ressources. Pour plus d'informations sur les configurations des ressources VPC, consultez la section Configurations [des ressources dans le guide](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) de l'utilisateur Amazon *VPC Lattice*. **Note** La connectivité VPC pour les connecteurs SFTP est disponible là où les ressources Régions AWS Amazon VPC Lattice sont disponibles. Pour plus d'informations, consultez [VPC](https://aws.amazon.com/vpc/lattice/faqs/#topic-0) Lattice. FAQs La prise en charge des zones de disponibilité varie selon les régions, et les passerelles de ressources nécessitent un minimum de deux zones de disponibilité. ## Création d'un connecteur SFTP compatible avec VPC\$1Lattice Une fois les conditions requises remplies, vous pouvez créer un connecteur SFTP avec une connectivité VPC à l'aide de la console de AWS gestion AWS CLI ou. AWS SDKs ------ #### [ Console ] **Pour créer un connecteur SFTP compatible avec VPC\$1Lattice** 1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). 1. Dans le volet de navigation de gauche, choisissez **SFTP Connectors**, puis **Create SFTP connector**. 1. Dans la section **Configuration du connecteur**, pour le **type de sortie**, choisissez **VPC Lattice**. Cette option achemine le trafic via votre VPC à l'aide d'Amazon VPC Lattice pour l'accès aux ressources entre VPC. Vous pouvez utiliser cette option pour vous connecter à des points de terminaison de serveurs hébergés en privé, acheminer le trafic via les contrôles de sécurité de votre VPC ou utiliser vos propres passerelles NAT et adresses IP élastiques. L'adresse du serveur SFTP distant est représentée sous forme de configuration de ressources dans votre VPC. Pour plus d'informations sur les configurations des ressources, consultez la section [Configurations des ressources pour les ressources VPC](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) dans le guide de l'utilisateur Amazon VPC Lattice. 1. Terminez la configuration du connecteur : + Pour le **rôle Access**, choisissez le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) à utiliser. + **Assurez-vous que ce rôle fournit un accès en lecture et en écriture** au répertoire parent de l'emplacement du fichier utilisé dans la `StartFileTransfer` demande. + **Assurez-vous que ce rôle autorise l'**`secretsmanager:GetSecretValue`accès au secret. **Note** Dans la politique, vous devez spécifier l'ARN du secret. L'ARN contient le nom secret, mais y ajoute six caractères alphanumériques aléatoires. L'ARN d'un secret a le format suivant. ``` arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters ``` + **Assurez-vous que ce rôle contient une relation de confiance** qui permet au connecteur d'accéder à vos ressources lorsqu'il répond aux demandes de transfert de vos utilisateurs. Pour plus de détails sur l'établissement d'une relation de confiance, voir[Étape 1 : Établir une relation d'approbation](requirements-roles.md#establish-trust-transfer). **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "HomeDirObjectAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectVersion", "s3:GetObjectACL", "s3:PutObjectACL" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" }, { "Sid": "GetConnectorSecretValue", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters" } ] } ``` **Note** Pour le rôle d'accès, l'exemple accorde l'accès à un secret unique. Vous pouvez toutefois utiliser un caractère générique, ce qui peut vous faire économiser du travail si vous souhaitez réutiliser le même rôle IAM pour plusieurs utilisateurs et plusieurs secrets. Par exemple, l'instruction de ressource suivante accorde des autorisations pour tous les secrets dont le nom commence par`aws/transfer`. ``` "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*" ``` Vous pouvez également stocker des secrets contenant vos informations d'identification SFTP dans un autre Compte AWS. Pour plus de détails sur l'activation de l'accès secret entre comptes, voir [Autorisations relatives aux AWS Secrets Manager secrets pour les utilisateurs d'un autre compte](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html). + Pour l'**ARN de configuration des ressources**, entrez l'ARN de la configuration des ressources en treillis VPC qui pointe vers votre serveur SFTP : ``` arn:aws:vpc-lattice:region:account-id:resourceconfiguration/rcfg-12345678 ``` + (Facultatif) Pour le **rôle de journalisation**, choisissez le rôle IAM que le connecteur doit utiliser pour transférer des événements vers vos CloudWatch journaux. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` 1. Dans la section **Configuration SFTP**, fournissez les informations suivantes : + Pour les **informations d'identification du connecteur**, choisissez le nom d'un secret AWS Secrets Manager contenant la clé privée ou le mot de passe de l'utilisateur SFTP. + Pour les **clés d'hôte fiables**, collez la partie publique de la clé d'hôte utilisée pour identifier le serveur externe, ou laissez le champ vide pour le configurer ultérieurement à l'aide de la `TestConnection` commande. Comme cette clé d'hôte est destinée à un connecteur VPC\$1LATTICE, supprimez le nom d'hôte dans la clé + (Facultatif) Pour Nombre **maximal de connexions simultanées**, choisissez le nombre de connexions simultanées que votre connecteur crée avec le serveur distant (la valeur par défaut est 5). 1. Dans la section **Options de l'algorithme cryptographique**, choisissez une **politique de sécurité** dans la liste déroulante. 1. (Facultatif) Dans la section **Balises**, ajoutez des balises sous forme de paires clé-valeur. 1. Choisissez **Create SFTP connector pour créer le connecteur SFTP** compatible VPC\$1Lattice. Le connecteur sera créé avec l'état `PENDING` pendant le provisionnement de l'association de ressources, ce qui prend généralement plusieurs minutes. Lorsque l'état passe à`ACTIVE`, le connecteur est prêt à être utilisé. ------ #### [ CLI ] Utilisez la commande suivante pour créer un connecteur SFTP compatible avec VPC\$1Lattice : ``` aws transfer create-connector \ --url "sftp://my.sftp.server.com:22" \ --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \ --sftp-config UserSecretId=my-secret-id,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0} \ --security-policy-name TransferSecurityPolicy-2024-01 ``` Le paramètre clé de la connectivité VPC est `--egress-config` le suivant : il spécifie l'ARN de configuration des ressources qui définit la cible de votre serveur SFTP. ------ ## Surveillance de l'état du connecteur VPC Les connecteurs compatibles VPC\$1Lattice ont un processus de configuration asynchrone. Après la création, surveillez l'état du connecteur : + **EN ATTENTE** : Le connecteur est en cours de provisionnement. Le provisionnement du réseau de services est en cours, ce qui prend généralement plusieurs minutes. + **ACTIF** : Le connecteur est prêt à être utilisé et permet de transférer des fichiers. + **ERREUR** : Le connecteur n'a pas pu être configuré. Consultez les détails de l'erreur pour obtenir des informations de dépannage. Vérifiez l'état du connecteur à l'aide de la `describe-connector` commande : ``` aws transfer describe-connector --connector-id c-1234567890abcdef0 ``` Pendant l'état PENDING, l'`test-connection`API renvoie le message « Connecteur non disponible » jusqu'à ce que le provisionnement soit terminé. ## Limites et considérations + **Points de terminaison publics** : lorsque vous vous connectez à des points de terminaison publics via VPC, vous devez fournir un nom DNS dans la configuration des ressources. Les adresses IP publiques ne sont pas prises en charge. + **Disponibilité régionale : la** connectivité VPC est disponible dans certains pays. Régions AWS Le partage de ressources entre régions n'est pas pris en charge. + **Exigences relatives aux zones de disponibilité** : les passerelles de ressources doivent être associées à des sous-réseaux dans au moins deux zones de disponibilité. Les zones de disponibilité ne sont pas toutes compatibles avec le VPC Lattice dans toutes les régions. + **Limites de connexion** : 350 connexions maximum par ressource avec un délai d'inactivité de 350 secondes pour les connexions TCP. ## Considérations de coût Il n'y a pas de frais supplémentaires autres AWS Transfer Family que les frais de service réguliers. Toutefois, les clients peuvent être soumis à des frais supplémentaires de la part d'Amazon VPC Lattice associés au partage de leurs ressources Amazon Virtual Private Cloud, ainsi qu'à des frais de passerelle NAT s'ils utilisent leurs propres passerelles NAT pour accéder à Internet. Pour obtenir AWS Transfer Family des informations complètes sur les prix, consultez la [page AWS Transfer Family des tarifs](https://aws.amazon.com/aws-transfer-family/pricing/). ## Exemples de connectivité VPC pour les connecteurs SFTP Cette section fournit des exemples de création de connecteurs SFTP avec connectivité VPC pour différents scénarios. Avant d'utiliser ces exemples, assurez-vous d'avoir terminé la configuration de l'infrastructure VPC comme décrit dans la documentation de connectivité VPC. ### Exemple : connexion à un point de terminaison privé Cet exemple montre comment créer un connecteur SFTP qui se connecte à un serveur SFTP privé accessible uniquement depuis votre VPC. **Conditions préalables** 1. Créez une passerelle de ressources dans votre VPC : ``` aws vpc-lattice create-resource-gateway \ --name my-private-server-gateway \ --vpc-identifier vpc-1234567890abcdef0 \ --subnet-ids subnet-1234567890abcdef0 subnet-0987654321fedcba0 ``` 1. Créez une configuration de ressources pour votre serveur SFTP privé : ``` aws vpc-lattice create-resource-configuration \ --name my-private-server-config \ --resource-gateway-identifier rgw-1234567890abcdef0 \ --resource-configuration-definition ipResource={ipAddress="10.0.1.100"} \ --port-ranges 22 ``` **Créez le connecteur compatible VPC\$1Lattice** 1. Créez le connecteur SFTP avec connectivité VPC : ``` aws transfer create-connector \ --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \ --sftp-config UserSecretId=my-private-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22} ``` 1. Surveillez l'état du connecteur jusqu'à ce qu'il devienne `ACTIVE` : ``` aws transfer describe-connector --connector-id c-1234567890abcdef0 ``` Le serveur SFTP distant verra les connexions provenant de l'adresse IP de Resource Gateway dans la plage d'adresses CIDR de votre VPC. ### Exemple : point de terminaison public via VPC Cet exemple montre comment acheminer les connexions vers un serveur SFTP public via votre VPC afin de tirer parti des contrôles de sécurité centralisés et d'utiliser vos propres adresses IP de passerelle NAT. **Conditions préalables** 1. Créez une passerelle de ressources dans votre VPC (identique à l'exemple d'un point de terminaison privé). 1. Créez une configuration de ressource pour le serveur SFTP public à l'aide de son nom DNS : ``` aws vpc-lattice create-resource-configuration \ --name my-public-server-config \ --resource-gateway-identifier rgw-1234567890abcdef0 \ --resource-configuration-definition dnsResource={domainName="sftp.example.com"} \ --port-ranges 22 ``` **Note** Pour les points de terminaison publics, vous devez utiliser un nom DNS et non une adresse IP. **Création du connecteur** + Créez le connecteur SFTP : ``` aws transfer create-connector \ --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \ --sftp-config UserSecretId=my-public-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0987654321fedcba0,PortNumber=22} ``` Le trafic circulera du connecteur vers votre passerelle de ressources, puis via votre passerelle NAT pour atteindre le serveur SFTP public. Le serveur distant verra l'adresse IP élastique de votre passerelle NAT comme source. ### Exemple : point de terminaison privé entre comptes Cet exemple montre comment se connecter à un serveur SFTP privé sur un autre AWS compte en utilisant le partage de ressources. **Note** Si le partage de ressources inter-VPC est déjà activé via d'autres mécanismes, par exemple AWS Transit Gateway, vous n'avez pas besoin de configurer le partage de ressources décrit ici. Les mécanismes de routage existants, tels que les tables de routage Transit Gateway, sont automatiquement utilisés par les connecteurs SFTP. Il vous suffit de créer une configuration de ressources dans le compte sur lequel vous créez le connecteur SFTP. **Compte A (fournisseur de ressources) - Partagez la configuration des ressources** 1. Créez une passerelle de ressources et une configuration de ressources dans le compte A (comme dans les exemples précédents). 1. Partagez la configuration des ressources avec le compte B à l'aide de AWS Resource Access Manager : ``` aws ram create-resource-share \ --name cross-account-sftp-share \ --resource-arns arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0 \ --principals 222222222222 ``` **Compte B (consommateur de ressources) - Acceptez et utilisez le partage** 1. Acceptez l'invitation au partage de ressources : ``` aws ram accept-resource-share-invitation \ --resource-share-invitation-arn arn:aws:ram:us-east-1:111111111111:resource-share-invitation/invitation-id ``` 1. Créez le connecteur SFTP dans le compte B : ``` aws transfer create-connector \ --access-role arn:aws:iam::222222222222:role/TransferConnectorRole \ --sftp-config UserSecretId=cross-account-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22} ``` Le connecteur du compte B peut désormais accéder au serveur SFTP privé du compte A via la configuration des ressources partagées. ### Scénarios courants de résolution des problèmes Voici des solutions aux problèmes courants liés à la création de connecteurs compatibles VPC\$1Lattice : + **Connecteur bloqué avec le statut EN ATTENTE** : vérifiez que votre passerelle de ressources est ACTIVE et possède des sous-réseaux dans les zones de disponibilité prises en charge. Si le connecteur est toujours bloqué avec le statut EN ATTENTE, appelez en `UpdateConnector` utilisant les mêmes paramètres de configuration que ceux que vous avez utilisés initialement. Cela déclenche un nouvel événement de statut susceptible de résoudre le problème. + **Délais de connexion :** vérifiez que les règles du groupe de sécurité autorisent le trafic sur le port 22 et que le routage de votre VPC est correct. + **Problèmes de résolution du DNS** : pour les points de terminaison publics, assurez-vous que votre VPC dispose d'une connectivité Internet via une passerelle NAT ou une passerelle Internet. + **Accès entre comptes refusé** : vérifiez que le partage de ressources est accepté et que l'ARN de configuration des ressources est correct. Si la politique d'autorisation appropriée est attachée à la configuration des ressources lorsque le compte d'origine crée le partage de ressources, les autorisations suivantes sont requises :`vpc-lattice:AssociateViaAWSService`,`vpc-lattice:AssociateViaAWSService-EventsAndStates`,`vpc-lattice:CreateServiceNetworkResourceAssociation`,`vpc-lattice:GetResourceConfiguration`. # Tester un connecteur SFTP Après avoir créé un connecteur SFTP, nous vous recommandons de le tester avant de tenter de transférer des fichiers à l'aide de votre nouveau connecteur. **Pour tester un connecteur SFTP** 1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). 1. Dans le volet de navigation de gauche, choisissez **SFTP Connectors**, puis sélectionnez un connecteur. 1. Dans le menu **Actions**, choisissez **Tester la connexion**. ![\[La console Transfer Family, qui affiche un connecteur SFTP sélectionné, et l'action Test connection Test connection sélectionnée.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/connector-test-choose.png) Le système renvoie un message indiquant si le test est réussi ou non. Si le test échoue, le système affiche un message d'erreur basé sur la raison de l'échec du test. ![\[Le panneau de connexion de test du connecteur SFTP indique un test réussi.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/connector-test-success.png) ![\[Le panneau de connexion du connecteur SFTP montre un échec du test : le message d'erreur indique que le rôle d'accès du connecteur est incorrect.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/connector-test-fail-role.png) **Note** Pour utiliser l'API afin de tester votre connecteur, consultez la documentation de l'[https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection](https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection)API. # Connectivité VPC pour connecteurs SFTP AWS Transfer Family Les connecteurs SFTP prennent en charge la connectivité aux serveurs SFTP distants via vos environnements VPC à l'aide d'Amazon VPC Lattice. Cela vous permet de vous connecter à des serveurs SFTP hébergés en privé ou d'acheminer le trafic Internet via les contrôles de sécurité de votre VPC, et d'utiliser vos propres passerelles NAT et adresses IP élastiques. **Types de sorties** Les connecteurs SFTP peuvent utiliser l'un des deux types de sortie suivants : + **Service géré** (par défaut) : le connecteur utilise des passerelles NAT et des adresses IP détenues par AWS Transfer Family pour acheminer les connexions via l'Internet public. + **VPC\$1LATTICE** : Le connecteur achemine le trafic via votre environnement VPC à l'aide de l'accès aux ressources inter-VPC. **Quand utiliser la connectivité VPC** Utilisez la connectivité VPC pour les connecteurs SFTP dans les scénarios suivants : + **Serveurs SFTP privés** : connectez-vous à des serveurs SFTP uniquement accessibles depuis votre VPC. + **Connectivité sur site** : connectez-vous aux serveurs SFTP locaux via Direct AWS Connect ou AWS Site-to-Site des connexions VPN. + **Adresses IP personnalisées** : utilisez vos propres passerelles NAT et adresses IP élastiques, y compris les scénarios BYOIP. + **Contrôles de sécurité centralisés** : acheminez les transferts de fichiers via les ingress/egress contrôles centraux de votre entreprise. **Prérequis** Avant de créer un connecteur SFTP compatible avec VPC\$1Lattice, vous devez : + VPC et infrastructure associée (sous-réseaux, tables de routage, groupes de sécurité) + Passerelle de ressources dans votre VPC (au moins deux zones de disponibilité) + Configuration des ressources spécifiant le serveur SFTP cible Pour des instructions de configuration détaillées, voir[Création d'un connecteur SFTP compatible avec VPC\$1Lattice](create-vpc-sftp-connector-procedure.md#create-vpc-connector-procedure). Et, pour des exemples, voir[Exemples de connectivité VPC pour les connecteurs SFTP](create-vpc-sftp-connector-procedure.md#sftp-connectors-vpc-examples). # Utilisation de connecteurs SFTP Cette rubrique décrit comment effectuer les opérations sur les fichiers prises en charge à l'aide de votre connecteur SFTP. Vous pouvez également trouver des exemples de commandes pour effectuer ces opérations en sélectionnant les détails de votre connecteur sur la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). Après avoir créé un connecteur SFTP, vous pouvez l'utiliser pour effectuer les opérations de fichier suivantes sur le serveur SFTP distant auquel il est associé. + Envoyez des fichiers depuis Amazon S3 vers le serveur SFTP distant. + Récupérez des fichiers depuis le serveur SFTP distant vers Amazon S3. + Répertoriez les fichiers et les sous-dossiers d'un répertoire sur le serveur SFTP distant. + Supprimez, renommez ou déplacez des fichiers et des répertoires sur le serveur SFTP distant. Pour plus de détails sur la création de connecteurs, voir[Création de connecteurs SFTP](configure-sftp-connector.md). **Topics** + [Transférer des fichiers](transfer-files-and-track.md) + [Lister le contenu d'un répertoire distant](sftp-connector-list-dir.md) + [Déplacer, renommer ou supprimer des fichiers ou des répertoires sur le serveur distant](move-delete-remote-files.md) # Transférer des fichiers **Topics** + [Envoyer et récupérer des fichiers à l'aide d'un connecteur SFTP](#send-retrieve-connector-details) ## Envoyer et récupérer des fichiers à l'aide d'un connecteur SFTP Pour envoyer et récupérer des fichiers à l'aide d'un connecteur SFTP, vous devez utiliser l'opération [https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartFileTransfer.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartFileTransfer.html)API et spécifier les paramètres suivants, selon que vous *envoyez des fichiers* (transferts sortants) ou que vous *recevez des fichiers* (transferts entrants). Notez que chaque `StartFileTransfer` demande peut contenir 10 chemins distincts. **Note** Par défaut, les connecteurs SFTP traitent un fichier à la fois, transférant les fichiers de manière séquentielle. Vous pouvez accélérer les performances de transfert en demandant à vos connecteurs de créer des sessions simultanées avec des serveurs distants qui prennent en charge les sessions simultanées du même utilisateur et traitent jusqu'à 5 fichiers en parallèle. Pour activer les connexions simultanées pour n'importe quel connecteur, vous pouvez modifier le paramètre **Nombre maximal de connexions simultanées lors de la** création ou de la mise à jour d'un connecteur. Pour en savoir plus, consultez [Création d'un connecteur SFTP avec sortie gérée par service](create-sftp-connector-procedure.md). + **Transferts sortants** + `send-file-paths`contient de un à dix chemins de fichiers sources, pour les fichiers à transférer vers le serveur SFTP du partenaire. + `remote-directory-path`est le chemin distant vers lequel envoyer un fichier sur le serveur SFTP du client. + **Transferts entrants** + `retrieve-file-paths`contient de un à dix chemins distants. Chaque chemin indique un emplacement pour le transfert des fichiers du serveur SFTP du partenaire vers votre serveur Transfer Family. + `local-directory-path`est l'emplacement Amazon S3 (compartiment et préfixe facultatif) où vos fichiers sont stockés. Pour envoyer des fichiers, vous devez spécifier les `remote-directory-path` paramètres `send-file-paths` et. Vous pouvez spécifier jusqu'à 10 fichiers pour le `send-file-paths` paramètre. L'exemple de commande suivant envoie les fichiers nommés `/amzn-s3-demo-source-bucket/file1.txt` et `/amzn-s3-demo-source-bucket/file2.txt` situés dans le stockage Amazon S3 vers le `/tmp` répertoire du serveur SFTP de votre partenaire. Pour utiliser cet exemple de commande, remplacez le `amzn-s3-demo-source-bucket` par votre propre bucket. ``` aws transfer start-file-transfer --send-file-paths /amzn-s3-demo-source-bucket/file1.txt /amzn-s3-demo-source-bucket/file2.txt \ --remote-directory-path /tmp --connector-id c-1111AAAA2222BBBB3 --region us-east-2 ``` Pour récupérer des fichiers, vous devez spécifier les `local-directory-path` paramètres `retrieve-file-paths` et. L'exemple suivant extrait les fichiers `/my/remote/file1.txt` et les place `/my/remote/file2.txt` sur le serveur SFTP du partenaire dans l'emplacement Amazon S3 /amzn-s3-demo-bucket/. *prefix* Pour utiliser cet exemple de commande, remplacez `user input placeholders` par vos propres informations. ``` aws transfer start-file-transfer --retrieve-file-paths /my/remote/file1.txt /my/remote/file2.txt \ --local-directory-path /amzn-s3-demo-bucket/prefix --connector-id c-2222BBBB3333CCCC4 --region us-east-2 ``` Les exemples précédents spécifient des chemins absolus sur le serveur SFTP. Vous pouvez également utiliser des chemins relatifs, c'est-à-dire des chemins relatifs au répertoire personnel de l'utilisateur SFTP. Par exemple, si l'utilisateur SFTP l'est `marymajor` et que son répertoire personnel sur le serveur SFTP l'est`/users/marymajor/`, la commande suivante envoie à `/amzn-s3-demo-source-bucket/file1.txt` `/users/marymajor/test-connectors/file1.txt` ``` aws transfer start-file-transfer --send-file-paths /amzn-s3-demo-source-bucket/file1.txt \ --remote-directory-path test-connectors --connector-id c-2222BBBB3333CCCC4 --region us-east-2 ``` # Lister le contenu d'un répertoire distant Avant de récupérer des fichiers depuis un serveur SFTP distant, vous pouvez récupérer le contenu d'un répertoire sur le serveur SFTP distant. Pour ce faire, vous utilisez [https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartDirectoryListing.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartDirectoryListing.html)Fonctionnement de l'API. L'exemple suivant répertorie le contenu du `home` dossier sur le serveur SFTP distant, qui est spécifié dans la configuration du connecteur. Les résultats sont placés dans l'emplacement `/amzn-s3-demo-bucket/connector-files` Amazon S3 et dans un fichier nommé`c-AAAA1111BBBB2222C-6666abcd-11aa-22bb-cc33-0000aaaa3333.json`. ``` aws transfer start-directory-listing \ --connector-id c-AAAA1111BBBB2222C \ --output-directory-path /amzn-s3-demo-bucket/example/connector-files \ --remote-directory-path /home ``` Cette AWS CLI commande renvoie un numéro de liste et le nom du fichier contenant les résultats. ``` { "ListingId": "6666abcd-11aa-22bb-cc33-0000aaaa3333", "OutputFileName": "c-AAAA1111BBBB2222C-6666abcd-11aa-22bb-cc33-0000aaaa3333.json" } ``` **Note** La convention de dénomination du fichier de sortie est`connector-ID-listing-ID.json`. Le fichier JSON contient les informations suivantes : + `filePath`: le chemin complet d'un fichier distant, relatif au répertoire de la demande de listage pour votre connecteur SFTP sur le serveur distant. + `modifiedTimestamp`: la dernière fois que le fichier a été modifié, en secondes, au format UTC (Coordinated Universal Time). Ce champ est facultatif. Si les attributs du fichier distant ne contiennent pas d'horodatage, celui-ci est omis de la liste des fichiers. + `size`: la taille du fichier, en octets. Ce champ est facultatif. Si les attributs du fichier distant ne contiennent pas de taille de fichier, celui-ci est omis de la liste des fichiers. + `path`: le chemin complet d'un répertoire distant, relatif au répertoire de la demande de listage pour votre connecteur SFTP sur le serveur distant. + `truncated`: un drapeau indiquant si la sortie de la liste contient tous les éléments contenus dans le répertoire distant ou non. Si votre valeur en `truncated` sortie est vraie, vous pouvez augmenter la valeur fournie dans l'attribut `max-items` d'entrée facultatif pour pouvoir répertorier davantage d'éléments (jusqu'à la taille de liste maximale autorisée de 10 000 éléments). Voici un exemple du contenu du fichier de sortie (`c-AAAA1111BBBB2222C-6666abcd-11aa-22bb-cc33-0000aaaa3333.json`), dans lequel le répertoire distant contient deux fichiers et deux sous-répertoires (chemins). ``` { "files": [ { "filePath": "/home/what.txt", "modifiedTimestamp": "2024-01-30T20:34:54Z", "size" : 2323 }, { "filePath": "/home/how.pgp", "modifiedTimestamp": "2024-01-30T20:34:54Z", "size" : 4691 } ], "paths": [ { "path": "/home/magic" }, { "path": "/home/aws" }, ], "truncated": "false" } ``` # Déplacer, renommer ou supprimer des fichiers ou des répertoires sur le serveur distant **Topics** + [Déplacer ou renommer des fichiers ou des répertoires sur le serveur SFTP distant](#move-remote-file) + [Supprimer des fichiers ou des répertoires sur le serveur SFTP distant](#delete-remote-file) ## Déplacer ou renommer des fichiers ou des répertoires sur le serveur SFTP distant Vous pouvez utiliser un connecteur SFTP pour déplacer ou renommer des fichiers et des répertoires sur un serveur SFTP distant. Notez que le serveur distant doit prendre en charge ces opérations pour un traitement réussi à l'aide de connecteurs. Certains cas d'utilisation courants sont les suivants. + Un serveur distant génère ou reçoit un nouveau fichier toutes les heures, avec le même nom de fichier mais un horodatage différent. Pour maintenir le dossier principal à jour (afin qu'il ne contienne que le dernier fichier), vous pouvez utiliser un connecteur pour déplacer les anciens fichiers vers un dossier archivé. + Vous utilisez un connecteur pour répertorier tous les fichiers d'un répertoire distant, puis vous transférez tous les fichiers vers votre stockage local. Vous pouvez ensuite utiliser un connecteur pour déplacer les fichiers vers un dossier archivé sur le serveur distant. Vous devez utiliser un `StartRemoteMove` appel pour chaque fichier ou répertoire que vous souhaitez traiter, car la commande prend un seul fichier ou répertoire source et de destination comme arguments. Cependant, vous pouvez améliorer les performances en demandant à vos connecteurs de créer des sessions simultanées avec des serveurs distants qui prennent en charge les sessions simultanées du même utilisateur et move/rename jusqu'à 5 fichiers en parallèle. L'exemple suivant déplace un fichier sur le serveur SFTP distant de `/source/folder/sourceFile` vers `/destination/targetFile` et renvoie un identifiant unique pour l'opération. ``` aws transfer --connector-id c-AAAA1111BBBB2222C start-remote-move \ --source-path /source/folder/sourceFile --target-path /destination/targetFile ``` **Note** Pour les move/rename opérations, Transfer Family utilise la `SFTP SSH_FXP_RENAME` commande standard pour effectuer l' move/rename opération. ## Supprimer des fichiers ou des répertoires sur le serveur SFTP distant Vous pouvez utiliser un connecteur SFTP pour supprimer des fichiers ou des répertoires sur un serveur SFTP distant. Notez que le serveur distant doit prendre en charge ces opérations pour un traitement réussi à l'aide de connecteurs. **Note** Les opérations de suppression pour les répertoires distants ne sont prises en charge que pour les répertoires vides. Certains cas d'utilisation courants sont les suivants. + Vous utilisez un connecteur pour récupérer un fichier depuis un serveur SFTP distant, le stocker dans votre compartiment Amazon S3, puis le chiffrer. Enfin, vous pouvez utiliser un connecteur pour supprimer le fichier non chiffré sur le serveur distant. + Vous utilisez un connecteur pour répertorier tous les fichiers d'un répertoire distant, puis vous transférez tous les fichiers vers votre stockage local. Vous pouvez ensuite utiliser un connecteur pour supprimer tous les fichiers que vous avez transférés. Vous pouvez également supprimer le répertoire distant si vous le souhaitez. Vous devez utiliser un `StartRemoteDelete` appel pour chaque fichier ou répertoire que vous souhaitez supprimer, car la commande prend un seul fichier ou répertoire comme argument. Cependant, vous pouvez améliorer les performances en demandant à vos connecteurs de créer des sessions simultanées avec des serveurs distants qui prennent en charge les sessions simultanées du même utilisateur, et en suppriment jusqu'à 5 files/directories en parallèle. L'exemple suivant supprime un fichier sur le serveur SFTP distant dans le chemin `/delete/folder/deleteFile` et renvoie un identifiant unique pour l'opération. ``` aws transfer start-remote-delete --connector-id c-AAAA1111BBBB2222C \ --delete-path /delete/folder/deleteFile ``` **Note** Pour l'opération de suppression, Transfer Family utilise la `SSH_FXP_REMOVE` commande standard pour supprimer un fichier et `SSH_FXP_RMDIR` un répertoire. # Surveillance des connecteurs SFTP Vous pouvez surveiller l'état des opérations de votre connecteur en utilisant l'une des méthodes suivantes. Choisissez l'approche qui répond à vos besoins. ## Utilisez l'API du connecteur pour connaître l'état des demandes de transfert de fichiers Pour suivre la progression d'une opération de transfert de fichiers, vous utilisez l'opération [https://docs.aws.amazon.com//transfer/latest/APIReference/API_ListFileTransferResults.html](https://docs.aws.amazon.com//transfer/latest/APIReference/API_ListFileTransferResults.html)API, qui renvoie des mises à jour en temps réel et des informations détaillées sur le statut de chaque fichier transféré dans le cadre d'une opération de transfert de fichiers spécifique. Vous spécifiez le transfert de fichier en fournissant son identifiant de connecteur et son identifiant de transfert. L'exemple suivant renvoie une liste de fichiers pour l'ID du connecteur `a-11112222333344444` et l'ID de transfert`aa1b2c3d4-5678-90ab-cdef-EXAMPLE11111`. ``` aws transfer list-file-transfer-results --connector-id a-11112222333344444 --transfer-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ``` **Note** Les résultats du transfert de fichiers sont disponibles jusqu'à 7 jours après l'appel de l'opération `ListFileTransferResults` API. Vous pouvez également consulter les journaux et les événements relatifs à vos demandes de transfert de fichiers utilisant des connecteurs SFTP. EventBridge Les événements Amazon pour Transfer Family sont décrits dans[Événements relatifs au connecteur SFTP](events-detail-reference.md#event-detail-sftp-connector-events). Pour savoir comment consulter les entrées du CloudWatch journal Transfer Family, consultez[Afficher les flux de log de Transfer Family](view-log-entries.md). ## Afficher les événements relatifs au connecteur SFTP sur Amazon EventBridge Pour chaque opération effectuée par les connecteurs SFTP, Transfer Family génère et envoie automatiquement des événements au bus d'événements par défaut de votre EventBridge compte Amazon. Les événements contiennent des métadonnées détaillées sur l'opération, y compris son état. Vous pouvez vous abonner à ces événements dans EventBridge, appliquer des filtres sur des critères d'événements spécifiques tels que l'état de l'opération, et déclencher automatiquement des actions en aval en fonction de l'état. Pour plus de détails sur les événements générés par les opérations du connecteur SFTP, consultez[Événements relatifs au connecteur SFTP](events-detail-reference.md#event-detail-sftp-connector-events). ## Afficher les journaux du connecteur SFTP sur Amazon CloudWatch Toutes les opérations du connecteur SFTP génèrent des connexions détaillées. CloudWatch Par exemple, les entrées de journal générées par les connecteurs SFTP, voir[Exemples d'entrées de journal pour les connecteurs SFTP](cw-example-logs.md#example-sftp-connector-logs). ## Surveillance des connecteurs de type sortie VPC Les connecteurs de type sortie VPC offrent des fonctionnalités de surveillance et des considérations supplémentaires au-delà des connecteurs de gestion de services standard : ### Surveillance de l'état du connecteur Les connecteurs VPC\$1LATTICE incluent des informations supplémentaires pour vous aider à surveiller le provisionnement et l'état opérationnel : + **EgressType champ : S'**affiche `VPC` pour les connecteurs de type sortie VPC\$1LATTICE + **EgressConfig champ** : contient l'ARN de configuration des ressources et les informations de port Surveillez l'état du connecteur à l'aide de `describe-connector` l'API : ``` aws transfer describe-connector --connector-id c-1234567890abcdef0 ``` ### Surveillance des coûts du réseau VPC Les connecteurs de type sortie VPC entraînent des frais supplémentaires liés au réseau VPC que vous devez surveiller : + **Frais du fournisseur de ressources** : le traitement des données vous est facturé 0,006 \$1/Go en tant que fournisseur de ressources (facturé directement par VPC Lattice) + **Frais de consommation de ressources** : AWS Transfer Family absorbe les coûts de consommation de 0,01 \$1/Go de ressources (1 premier point de crédit) + **Frais de passerelle NAT** : pour les points de terminaison publics accessibles via VPC, des frais supplémentaires de passerelle NAT et de transfert de données peuvent s'appliquer + Frais **de Transfer Family : les frais** standard de traitement des données de 0,40 \$1/Go s'appliquent toujours Surveillez l'utilisation et les coûts du VPC Lattice via la console AWS Cost and Billing, en filtrant par le service VPC Lattice. ### Surveillance réseau pour connecteurs VPC Surveillez l'activité et les performances du réseau pour les connecteurs de type sortie VPC : + Journaux de **flux VPC : activez les journaux** de flux VPC pour surveiller les modèles de trafic réseau entre les passerelles de ressources et les serveurs SFTP + Journaux d'**accès VPC Lattice :** VPC Lattice fournit des journaux d'accès indiquant les adresses source/destination IP, le calendrier des connexions et les volumes de transfert de données + **Surveillance des groupes de sécurité** : surveillez les règles des groupes de sécurité et les modèles de trafic pour garantir des contrôles d'accès au réseau appropriés + **Surveillance de la résolution DNS** : surveillez les temps de résolution DNS et les défaillances des points de terminaison du réseau de service Exemple d'entrée dans le journal d'accès au réseau VPC : ``` { "eventTimestamp": "2025-01-16T20:59:08.531Z", "serviceNetworkArn": "arn:aws:vpc-lattice:us-east-1:123456789012:servicenetwork/sn-1234567890abcdef0", "sourceVpcArn": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-12345678", "resourceConfigurationArn": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-12345678", "protocol": "tcp", "sourceIpPort": "10.0.1.100:33760", "destinationIpPort": "10.0.2.200:22", "gatewayIpPort": "10.0.1.150:1769", "resourceIpPort": "10.0.2.200:22" } ``` ### Résolution des problèmes grâce à la surveillance Utilisez les données de surveillance pour résoudre les problèmes courants liés aux connecteurs VPC : + **État EN ATTENTE** : surveillez la progression de la résolution DNS et attendez le statut ACTIF avant de tenter de transférer + **Délais de connexion :** vérifiez les journaux de flux VPC et les règles des groupes de sécurité pour détecter le trafic bloqué sur le port 22 + **Défaillances de transfert** : consultez CloudWatch les journaux pour les messages d'erreur détaillés et les journaux d'accès VPC Lattice pour les problèmes au niveau du réseau + **Problèmes de performances** : surveillez les journaux d'accès au réseau VPC pour connaître le calendrier de connexion et les indicateurs de débit # Gestion des connecteurs SFTP Cette rubrique explique comment afficher et mettre à jour les connecteurs SFTP. **Note** Chaque connecteur reçoit automatiquement des adresses IP statiques qui restent inchangées pendant toute la durée de vie du connecteur. Cela vous permet de vous connecter à des serveurs SFTP distants qui n'acceptent que les connexions entrantes provenant d'adresses IP connues. Vos connecteurs se voient attribuer un ensemble d'adresses IP statiques partagées par tous les connecteurs utilisant le même protocole (SFTP ou AS2) dans votre Compte AWS. Pour les connecteurs compatibles VPC\$1Lattice, le serveur SFTP distant verra les adresses IP de votre plage d'adresses CIDR VPC au lieu des adresses IP gérées par le service. AWS Transfer Family ## Mettre à jour les connecteurs SFTP Pour modifier les valeurs des paramètres existants pour vos connecteurs, vous pouvez exécuter la `update-connector` commande. La commande suivante met à jour le secret du connecteur`connector-id`, dans la région `region-id` vers`secret-ARN`. Pour utiliser cet exemple de commande, remplacez `user input placeholders` par vos propres informations. ``` aws transfer update-connector --sftp-config '{"UserSecretId":"secret-ARN"}' \ --connector-id connector-id --region region-id ``` ### Mise à jour des paramètres de connectivité VPC Vous pouvez mettre à jour les paramètres de connectivité VPC pour les connecteurs existants, notamment en basculant entre le type de sortie géré par le service et le type de sortie VPC ou en modifiant l'ARN de configuration des ressources. Pour passer d'un connecteur géré par des services à une sortie VPC, procédez comme suit : ``` aws transfer update-connector \ --connector-id connector-id \ --egress-type VPC \ --egress-config ResourceConfigurationArn=resource-configuration-arn ``` Pour mettre à jour l'ARN de configuration des ressources pour un connecteur compatible VPC\$1Lattice : ``` aws transfer update-connector \ --connector-id connector-id \ --egress-config ResourceConfigurationArn=new-resource-configuration-arn ``` **Note** Lors de la mise à jour des paramètres de connectivité VPC, l'état du connecteur passe au `PENDING` cours du processus de reconfiguration. Surveillez l'état du connecteur à l'aide de la `describe-connector` commande. ## Afficher les détails du connecteur SFTP Vous trouverez la liste des détails et des propriétés d'un connecteur SFTP dans la AWS Transfer Family console. **Pour afficher les détails du connecteur** 1. Ouvrez la AWS Transfer Family console à l'adresse [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). 1. Dans le panneau de navigation de gauche, choisissez **Connectors (Connecteurs)**. 1. Choisissez l'identifiant dans la colonne **ID du connecteur** pour voir la page de détails du connecteur sélectionné. Vous pouvez modifier les propriétés du connecteur SFTP en choisissant **Modifier** sur la page de détails du connecteur. ### Surveillance de l'état du connecteur VPC Les connecteurs compatibles VPC\$1Lattice incluent des informations d'état supplémentaires pour vous aider à surveiller le processus de provisionnement : + **État** : `PENDING` Émissions`ACTIVE`, ou `ERRORED` + **EgressType**: Émissions `VPC` ou `SERVICE_MANAGED` + **EgressConfig**: contient l'ARN de configuration des ressources pour les connecteurs VPC + **Erreur** : fournit des informations d'erreur détaillées si le connecteur est en bon `ERRORED` état Pour les connecteurs VPC, le `ServiceManagedEgressIpAddresses` champ sera nul car le trafic utilise plutôt vos adresses IP VPC. **Note** Vous pouvez obtenir la plupart de ces informations, bien que dans un format différent, en exécutant la commande suivante AWS Command Line Interface (AWS CLI). Pour utiliser cet exemple de commande, remplacez `user input placeholders` par vos propres informations. ``` aws transfer describe-connector --connector-id your-connector-id ``` Pour plus d'informations, consultez [https://docs.aws.amazon.com/transfer/latest/APIReference/API_DescribeConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_DescribeConnector.html)la référence de l'API. # Dimensionnement et quotas pour les connecteurs SFTP **Topics** + [Quotas pour les connecteurs SFTP](#limits-sftp-connector) + [Dimensionnement de vos connecteurs SFTP](#scaling-sftp-connector) ## Quotas pour les connecteurs SFTP Les quotas suivants sont en place pour les connecteurs SFTP. **Note** D'autres quotas de service pour les connecteurs SFTP sont répertoriés dans les [AWS Transfer Family points de terminaison et les quotas](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html) dans le. *Référence générale d'Amazon Web Services* **Quotas de connecteurs SFTP** | Nom | Par défaut | Ajustable | | --- | --- | --- | | Nombre maximal de transactions de connexion de test par seconde (TPS) | 1 demande par seconde, par compte | Non | | Taille de file d'attente maximale pour les transferts de fichiers en attente | 1 000 | Non | | Taille maximale du fichier | 150 Gibioctets (GiB) | Non | | Durée de transfert maximale par fichier | 12 heures | Non | | Temps d'attente maximal pour les demandes par fichier | 12 heures | Non | | Bande passante maximale pour les connecteurs par compte (le SFTP et les AS2 connecteurs contribuent à cette valeur) | 50 MBps | Non | | Nombre maximum d'éléments pour les opérations de listage dans les annuaires | 10 000 | Non | **Note** Par défaut, les connecteurs SFTP traitent un fichier à la fois, transférant les fichiers de manière séquentielle. Vous pouvez accélérer les performances de transfert en demandant à vos connecteurs de créer des sessions simultanées avec des serveurs distants qui prennent en charge les sessions simultanées du même utilisateur et traitent jusqu'à 5 fichiers en parallèle. Pour activer les connexions simultanées pour n'importe quel connecteur, vous pouvez modifier le paramètre **Nombre maximal de connexions simultanées lors de la** création ou de la mise à jour d'un connecteur. Pour en savoir plus, consultez [Création d'un connecteur SFTP avec sortie gérée par service](create-sftp-connector-procedure.md). Pour stocker les informations d'identification des connecteurs SFTP, des quotas sont associés à chaque secret de Secrets Manager. Si vous utilisez le même secret pour stocker plusieurs types de clés, à des fins multiples, vous risquez de rencontrer ces quotas. + Longueur totale d'un seul secret : 12 000 caractères + Longueur maximale de la **Password** chaîne : 1024 caractères + Longueur maximale de la **PrivateKey** chaîne : 8192 caractères + Longueur maximale de la **Username** chaîne : 100 caractères ## Dimensionnement de vos connecteurs SFTP Cette section décrit les considérations relatives à la manière de dimensionner les charges de travail de votre connecteur AWS Transfer Family SFTP. Vous devez tenir compte des trois quotas suivants qui s'appliquent lorsque vous souhaitez dimensionner vos charges de travail à l'aide de connecteurs SFTP. + **Taille maximale de la file d'attente.** Cela fait référence au nombre maximum d'opérations en attente dans la file d'attente d'un connecteur qui ont été demandées. Une opération en attente fait référence à toute demande de transfert soumise précédemment qui n'est pas encore terminée, avec ou sans succès. La profondeur de file d'attente maximale pour les demandes en attente est actuellement fixée à 1 000 par connecteur (comme défini dans les [quotas de AWS Transfer Family service](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html)). Vos charges de travail peuvent dépasser cette limite de service lorsque vous demandez des milliers d'opérations de transfert sur une courte durée, et vous recevrez le message « Dépassement du nombre maximum de demandes en attente ». `ThrottlingException` Si vos charges de travail sont soumises à ce quota, contactez l'équipe du service Transfer Family AWS Support ou l'équipe de votre compte pour discuter de vos besoins en matière d'évolutivité. Vous pouvez également effectuer l'une ou l'autre des actions suivantes, ou les deux. + Répartissez vos volumes de fichiers sur plusieurs connecteurs. + Demandez à vos connecteurs de créer des sessions simultanées avec le serveur distant pour traiter en parallèle plusieurs demandes provenant de la file d'attente. + **Le nombre de sessions simultanées.** Par défaut, un connecteur SFTP transfère un fichier à la fois, en transférant les fichiers de manière séquentielle depuis sa file d'attente. Vous avez la possibilité d'accélérer les performances de transfert en faisant en sorte que vos connecteurs transfèrent plusieurs fichiers en parallèle. Vous pouvez créer des sessions simultanées avec des serveurs distants qui prennent en charge les sessions simultanées du même utilisateur et traitent jusqu'à 5 fichiers en parallèle. Lorsque vous créez un connecteur SFTP, choisissez une valeur maximale de 5 pour le paramètre **Nombre maximal de connexions simultanées** lorsque vous créez ou mettez à jour le connecteur. Pour en savoir plus, consultez [Création d'un connecteur SFTP avec sortie gérée par service](create-sftp-connector-procedure.md). + **Le taux de `StartFileTransfer` demandes.** Vous pouvez demander jusqu'à 100 chemins de fichiers par seconde pour le transfert avec chaque connecteur SFTP. Les chemins de fichiers demandés sont ajoutés à la file d'attente de vos connecteurs pour être traités. Vous pouvez utiliser la `StartFileTransfer` commande de manière récursive pour demander jusqu'à 100 chemins de fichiers par seconde et par connecteur, quel que soit le nombre de fichiers fourni dans une `StartFileTransfer` commande individuelle. # Architectures de référence utilisant des connecteurs SFTP Cette section répertorie les documents de référence disponibles pour configurer des flux de transfert de fichiers automatisés à l'aide de connecteurs SFTP. Vous pouvez concevoir vos propres architectures pilotées par les événements en utilisant les événements du connecteur SFTP dans Amazon EventBridge, pour orchestrer votre action de transfert de fichiers et les actions de pré-traitement et de post-traitement dans. AWS ## Billets de blogs Le billet de blog suivant fournit une architecture de référence pour créer un flux de travail MFT à l'aide de connecteurs SFTP, y compris le chiffrement de fichiers à l'aide de PGP avant de les envoyer à un serveur SFTP distant à l'aide de connecteurs SFTP : [Architecture de transferts de fichiers gérés sécurisés et conformes avec AWS Transfer Family les connecteurs SFTP et](https://aws.amazon.com/blogs//storage/architecting-secure-and-compliant-managed-file-transfers-with-aws-transfer-family-sftp-connectors-and-pgp-encryption/) le chiffrement PGP. ## Ateliers + L'atelier suivant propose des ateliers pratiques sur la configuration des connecteurs SFTP et l'utilisation de vos connecteurs pour envoyer ou récupérer des fichiers depuis des serveurs SFTP distants : [Transfer Family - SFTP](https://catalog.workshops.aws/transfer-family-sftp/en-US) workshop. + [L'atelier suivant propose des ateliers pratiques pour créer des flux de travail entièrement automatisés et axés sur les événements impliquant le transfert de fichiers vers ou depuis des serveurs SFTP externes vers Amazon S3, ainsi que le prétraitement et le post-traitement courants de ces fichiers : atelier MFT piloté par les événements.](https://catalog.us-east-1.prod.workshops.aws/workshops/e55c90e0-bbb0-47e1-be83-6bafa3a59a8a/en-US) Cette vidéo présente un aperçu de cet atelier. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/oojopisG4lA/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/oojopisG4lA) ## Des solutions AWS Transfer Family propose les solutions suivantes : + La [solution de synchronisation des transferts de fichiers](https://github.com/aws-samples/file-transfer-sync-solution) fournit une architecture de référence pour automatiser le processus de synchronisation des répertoires SFTP distants, y compris des structures de dossiers complètes, avec vos compartiments Amazon S3 locaux à l'aide d'un connecteur SFTP. Il orchestre le processus de listage des répertoires distants, de détection des modifications et de transfert de fichiers nouveaux ou modifiés. + [Serverlessland - Transfert de fichiers sélectif entre un serveur SFTP distant et S3 ; l'utilisation AWS Transfer Family](https://serverlessland.com/patterns/awstransfer-s3-sam?ref=search) fournit un exemple de modèle pour répertorier les fichiers stockés sur des emplacements SFTP distants et transférer des fichiers sélectifs vers Amazon S3. ## Architectures de référence VPC Les architectures de référence suivantes présentent des modèles courants de déploiement de connecteurs SFTP compatibles avec VPC\$1Lattice. Ces exemples vous aident à comprendre où les ressources VPC Lattice doivent être créées dans votre architecture globale. AWS ### Compte unique avec infrastructure de sortie partagée Dans cette architecture, l'infrastructure de sortie (passerelle NAT, tunnel VPN ou Direct Connect) est configurée dans un VPC au sein du même compte que vos connecteurs SFTP. Tous les connecteurs peuvent partager la même passerelle de ressources et la même passerelle NAT. ![\[Schéma d'architecture illustrant les connecteurs SFTP compatibles VPC_Lattice dans un seul compte avec une infrastructure de sortie partagée comprenant des composants de passerelle NAT, de passerelle de ressources et de treillis VPC.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/vpc-customer-architecture-1.png) Ce modèle est idéal lorsque : + Tous les connecteurs SFTP sont gérés en un seul Compte AWS + L'infrastructure de sortie est configurée dans un VPC au sein du même compte que vos connecteurs SFTP ### Comptes multiples avec infrastructure de sortie centralisée Dans cette architecture, l'infrastructure de sortie (passerelle NAT, tunnel VPN, Direct Connect ou pare-feux B2B) est configurée dans un compte de sortie central géré par l'équipe réseau. Les connecteurs SFTP sont créés dans le compte d'application MFT géré par l'équipe d'administration MFT. La mise en réseau entre comptes est établie à l'aide de Transit Gateway afin de respecter les règles de réseau existantes. ![\[Schéma d'architecture illustrant les connecteurs SFTP compatibles VPC_Lattice dans une configuration multi-comptes avec une infrastructure de sortie centralisée gérée par un compte d'équipe réseau distinct.\]](http://docs.aws.amazon.com/fr_fr/transfer/latest/userguide/images/vpc-customer-architecture-2.png) Ce modèle est idéal lorsque : + L'infrastructure réseau est gérée par une équipe distincte dans un compte dédié + Vous avez des itinéraires existants (tels que AWS Transit Gateway ) entre le compte où les connecteurs SFTP sont créés et le compte où l'infrastructure de sortie est configurée. Les connecteurs SFTP pourront tirer parti de vos itinéraires existants reliant les deux comptes. + Des contrôles de sécurité centralisés et des pare-feux B2B sont nécessaires + Vous devez maintenir la séparation des tâches entre les équipes de mise en réseau et d'application