Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Membuat konektor SFTP
Topik ini menjelaskan cara membuat konektor SFTP. Setiap konektor menyediakan kemampuan untuk terhubung dengan satu server SFTP jarak jauh. Anda melakukan tugas tingkat tinggi berikut untuk mengonfigurasi konektor SFTP.
**catatan**
Untuk konektor berbasis VPC yang merutekan lalu lintas melalui Virtual Private Cloud Anda, lihat. [Buat konektor SFTP dengan jalan keluar berbasis VPC](create-vpc-sftp-connector-procedure.md)
1. Simpan kredensi otentikasi untuk konektor di. AWS Secrets Manager
1. Buat konektor, dengan menentukan ARN rahasia, URL server jarak jauh atau ARN Konfigurasi Sumber Daya, kebijakan keamanan yang berisi algoritme yang akan didukung oleh konektor, dan pengaturan konfigurasi lainnya.
1. Setelah Anda membuat konektor, Anda dapat mengujinya untuk memastikan bahwa itu dapat membuat koneksi dengan server SFTP jarak jauh.
## Memilih jenis jalan keluar konektor SFTP
Saat Anda membuat konektor SFTP, Anda memilih Jenis Jalan Keluar antara “Layanan dikelola” dan “Kisi VPC”.
+ **Layanan dikelola** (default): Konektor menggunakan gateway NAT dan alamat IP yang dimiliki oleh AWS Transfer Family untuk merutekan koneksi melalui internet publik. Layanan ini menyediakan 3 alamat IP statis untuk konektor Anda yang perlu diizinkanterdaftar di server jarak jauh untuk membuat koneksi.
+ **Kisi VPC**: Konektor merutekan lalu lintas melalui lingkungan VPC Anda menggunakan Amazon VPC Lattice. Gunakan konektivitas VPC untuk konektor SFTP dalam skenario berikut:
+ Server **SFTP pribadi: Connect ke server** SFTP yang hanya dapat diakses dari VPC Anda
+ **Konektivitas lokal**: Connect ke server SFTP lokal melalui atau koneksi AWS Direct Connect AWS Virtual Private Network
+ **Alamat IP khusus**: Sajikan gateway NAT Anda sendiri dan alamat IP Elastis ke server jarak jauh
+ **Kontrol keamanan terpusat**: Rutekan transfer file melalui kontrol pusat ingress/egress organisasi Anda
Matriks berikut membantu Anda memilih jenis konektor yang tepat untuk kasus penggunaan Anda.
**Matriks Tipe Jalan Keluar Konektor SFTP**
| Kemampuan | Egress Type = Layanan dikelola | Jenis Jalan Keluar = Kisi VPC |
| --- | --- | --- |
| Konektivitas ke server SFTP yang dihosting secara publik (dapat diakses internet) | Didukung | Didukung 1 |
| Konektivitas ke server SFTP yang dihosting secara pribadi (lokal) | Tidak didukung | Didukung 2 |
| Konektivitas ke server SFTP yang di-host secara pribadi (dalam VPC) | Tidak didukung | Didukung |
| Alamat IP statis disajikan ke server SFTP jarak jauh | Didukung melalui layanan yang disediakan alamat IP statis | Didukung melalui alamat IP statis milik pelanggan |
| Bandwidth tersedia | 50 MBPS per akun | Bandwidth yang lebih tinggi, tersedia dari Resource Gateway dan NAT Gateway milik pelanggan |
| Perutean lalu lintas ke internet melalui Gateway NAT dan Firewall Jaringan milik pelanggan | Tidak didukung. NAT Gateways dimiliki dan dikelola oleh layanan Transfer Family. | Didukung |
1 *Dengan Egress Type = VPC Lattice, konektivitas ke server yang dihosting secara publik didukung menggunakan pengaturan infrastruktur jalan keluar (NAT Gateways) di* jalan keluar Anda. VPCs
2 *Dengan Egress Type = VPC Lattice, konektivitas ke server yang dihosting secara pribadi didukung menggunakan jaringan yang ada di VPC Anda*, seperti atau VPN. AWS Direct Connect
**Topics**
+ [Memilih jenis jalan keluar konektor SFTP](#choosing-egress-type)
+ [Simpan kredensi otentikasi untuk konektor SFTP di Secrets Manager](sftp-connector-secret-procedure.md)
+ [Buat konektor SFTP dengan jalan keluar yang dikelola layanan](create-sftp-connector-procedure.md)
+ [Buat konektor SFTP dengan jalan keluar berbasis VPC](create-vpc-sftp-connector-procedure.md)
+ [Uji konektor SFTP](test-sftp-connector.md)
# Simpan kredensi otentikasi untuk konektor SFTP di Secrets Manager
Anda dapat menggunakan Secrets Manager untuk menyimpan kredensi pengguna untuk konektor SFTP Anda. Ketika Anda membuat rahasia Anda, Anda harus memberikan nama pengguna. Selain itu, Anda dapat memberikan kata sandi, kunci pribadi, atau keduanya. Lihat perinciannya di [Kuota untuk konektor SFTP](scale-and-limits-sftp-connector.md#limits-sftp-connector).
**catatan**
Ketika Anda menyimpan rahasia di Secrets Manager, Anda Akun AWS dikenakan biaya. Untuk informasi tentang harga, lihat [AWS Secrets Manager Harga](https://aws.amazon.com/secrets-manager/pricing).
**Untuk menyimpan kredensi pengguna di Secrets Manager untuk konektor SFTP**
1. Masuk ke Konsol Manajemen AWS dan buka AWS Secrets Manager konsol di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Pada panel navigasi kiri, pilih **Rahasia**.
1. Pada halaman **Rahasia**, pilih **Simpan rahasia baru**.
1. Pada halaman **Pilih jenis rahasia**, untuk **tipe Rahasia**, pilih **Jenis rahasia lainnya**.
1. Berikan key/value informasi untuk rahasia Anda: Anda perlu memberikan nama pengguna, dan kunci pribadi atau kata sandi.
1. Di bagian **pasangan kunci/Nilai**, pilih tab **kunci/Nilai**.
+ **Kunci** — Masukkan**Username**.
+ **nilai** — Masukkan nama pengguna yang berwenang untuk terhubung ke server mitra.
1. Jika Anda ingin memberikan key pair, pilih **Tambah baris**, dan di bagian **pasangan kunci/nilai**, pilih tab **kunci/Nilai**.
+ **Kunci** — Masukkan**PrivateKey**.
+ **nilai** — tempel di kunci pribadi Anda.
**Tip**: Data kunci pribadi yang Anda masukkan harus sesuai dengan kunci publik yang disimpan untuk pengguna ini di server SFTP jarak jauh.
**catatan**
Tidak mungkin menggunakan kunci pribadi yang dilindungi frasa sandi untuk otentikasi dengan konektor SFTP. AWS Transfer Family
Untuk detail tentang cara menghasilkan public/private key pair, lihat[Membuat kunci SSH di macOS, Linux, atau Unix](macOS-linux-unix-ssh.md).
1. Jika Anda ingin memberikan kata sandi, pilih **Tambahkan baris**, dan di bagian **pasangan kunci/nilai**, pilih tab **kunci/Nilai**.
+ **Kunci** — Masukkan**Password**.
+ **nilai** — Masukkan kata sandi untuk pengguna.
1. Pilih **Berikutnya**.
1. Pada halaman **Konfigurasi rahasia**, masukkan nama dan deskripsi untuk rahasia Anda. Kami menyarankan Anda menggunakan awalan **aws/transfer/** untuk nama tersebut. Misalnya, Anda bisa menyebutkan rahasia Anda**aws/transfer/connector-1**.
1. Pilih **Berikutnya**, dan kemudian terima default pada halaman **Konfigurasi** rotasi. Lalu pilih **Selanjutnya**.
1. Pada halaman **Review**, pilih **Store** untuk membuat dan menyimpan rahasia.
# Buat konektor SFTP dengan jalan keluar yang dikelola layanan
Prosedur ini menjelaskan cara membuat konektor SFTP dengan menggunakan AWS Transfer Family konsol atau. AWS CLI
------
#### [ Console ]
**Untuk membuat konektor SFTP**
1. Buka AWS Transfer Family konsol di [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Di panel navigasi kiri, pilih Konektor **SFTP, lalu pilih **Buat** konektor** SFTP.
1. Di bagian **Konfigurasi konektor**, untuk **tipe Egress**, pilih **Service** managed. Opsi ini menggunakan infrastruktur AWS Transfer Family jalan keluar terkelola. Layanan Transfer Family menyediakan dan mengelola alamat IP statis untuk setiap konektor SFTP.
1. Di bagian **Konfigurasi konektor**, berikan informasi berikut:
![\[Konsol konektor Transfer Family SFTP, menampilkan pengaturan konfigurasi Konektor.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/create-connector-example-config.png)
+ Untuk **URL**, masukkan URL untuk server SFTP jarak jauh. URL ini harus diformat sebagai`sftp://partner-SFTP-server-url`, misalnya`sftp://AnyCompany.com`.
**catatan**
Secara opsional, Anda dapat memberikan nomor port di URL Anda. Formatnya adalah `sftp://partner-SFTP-server-url:port-number`. Nomor port default (bila tidak ada port yang ditentukan) adalah port 22.
+ Untuk **peran Access**, pilih Amazon Resource Name (ARN) dari peran AWS Identity and Access Management (IAM) yang akan digunakan.
+ **Pastikan bahwa peran ini menyediakan akses baca dan tulis** ke direktori induk dari lokasi file yang digunakan dalam `StartFileTransfer` permintaan.
+ **Pastikan bahwa peran ini memberikan izin** `secretsmanager:GetSecretValue` untuk mengakses rahasia.
**catatan**
Dalam kebijakan, Anda harus menentukan ARN untuk rahasianya. ARN berisi nama rahasia, tetapi menambahkan nama dengan enam, acak, karakter alfanumerik. ARN untuk rahasia memiliki format berikut.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Pastikan peran ini berisi hubungan kepercayaan yang** memungkinkan konektor mengakses sumber daya Anda saat melayani permintaan transfer pengguna Anda. Untuk detail tentang membangun hubungan kepercayaan, lihat[Untuk membangun hubungan kepercayaan](requirements-roles.md#establish-trust-transfer).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**catatan**
Untuk peran akses, contoh memberikan akses ke satu rahasia. Namun, Anda dapat menggunakan karakter wildcard, yang dapat menyimpan pekerjaan jika Anda ingin menggunakan kembali peran IAM yang sama untuk beberapa pengguna dan rahasia. Misalnya, pernyataan sumber daya berikut memberikan izin untuk semua rahasia yang memiliki nama yang dimulai dengan. `aws/transfer`
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
Anda juga dapat menyimpan rahasia yang berisi kredensi SFTP Anda di tempat lain. Akun AWS Untuk detail tentang mengaktifkan akses rahasia lintas akun, lihat [Izin untuk AWS Secrets Manager rahasia bagi pengguna di](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) akun lain.
1. Lengkapi konfigurasi konektor:
+ (Opsional) Untuk **peran Logging**, pilih peran IAM untuk konektor yang akan digunakan untuk mendorong peristiwa ke CloudWatch log Anda. Contoh kebijakan berikut mencantumkan izin yang diperlukan untuk mencatat peristiwa untuk konektor SFTP.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
1. Di bagian **Konfigurasi SFTP**, berikan informasi berikut:
![\[Konsol konektor SFTP Transfer Family, menampilkan pengaturan konfigurasi SFTP.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/create-connector-example-sftp-config.png)
+ Untuk **kredensi Connector**, dari daftar dropdown, pilih nama rahasia AWS Secrets Manager yang berisi kunci pribadi atau kata sandi pengguna SFTP. Anda harus membuat rahasia dan menyimpannya dengan cara tertentu. Lihat perinciannya di [Simpan kredensi otentikasi untuk konektor SFTP di Secrets Manager](sftp-connector-secret-procedure.md).
+ (Opsional) Anda memiliki opsi untuk membuat konektor sambil membiarkan `TrustedHostKeys` parameter kosong. Namun, konektor Anda tidak akan dapat mentransfer file dengan server jarak jauh sampai Anda memberikan parameter ini dalam konfigurasi konektor Anda. Anda dapat memasukkan kunci host Tepercaya pada saat membuat konektor, atau memperbarui konektor Anda nanti dengan menggunakan informasi kunci host yang dikembalikan oleh tindakan `TestConnection` konsol atau perintah API. Artinya, untuk kotak teks **kunci host tepercaya**, Anda dapat melakukan salah satu hal berikut:
+ **Berikan Kunci Host Tepercaya pada saat membuat konektor Anda.** Tempel di bagian publik dari kunci host yang digunakan untuk mengidentifikasi server eksternal. Anda dapat menambahkan lebih dari satu kunci, dengan memilih **Tambahkan kunci host tepercaya** untuk menambahkan kunci tambahan. Anda dapat menggunakan `ssh-keyscan` perintah terhadap server SFTP untuk mengambil kunci yang diperlukan. Untuk detail tentang format dan jenis kunci host tepercaya yang didukung Transfer Family, lihat [https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html](https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html).
+ *Biarkan kotak teks Trusted Host Key kosong saat membuat konektor Anda dan perbarui konektor Anda di lain waktu dengan informasi ini.* Jika Anda tidak memiliki informasi kunci host pada saat membuat konektor Anda, Anda dapat membiarkan parameter ini kosong untuk saat ini dan melanjutkan dengan membuat konektor Anda. Setelah konektor dibuat, gunakan ID konektor baru untuk menjalankan `TestConnection` perintah, baik di AWS CLI atau dari halaman detail konektor. Jika berhasil, `TestConnection` akan mengembalikan informasi kunci host yang diperlukan. Anda kemudian dapat mengedit konektor menggunakan konsol (atau dengan menjalankan `UpdateConnector` AWS CLI perintah) dan menambahkan informasi kunci host yang dikembalikan saat Anda menjalankan`TestConnection`.
**penting**
Jika Anda mengambil kunci host server jarak jauh dengan menjalankan`TestConnection`, pastikan Anda melakukan out-of-band validasi pada kunci yang dikembalikan.
Anda harus menerima kunci baru sebagai tepercaya, atau memverifikasi sidik jari yang disajikan dengan sidik jari yang diketahui sebelumnya yang telah Anda terima dari pemilik server SFTP jarak jauh yang Anda sambungkan.
+ (Opsional) Untuk **Koneksi bersamaan maksimum**, dari daftar tarik-turun, pilih jumlah koneksi bersamaan yang dibuat konektor Anda ke server jarak jauh. Pilihan default pada konsol adalah **5**.
Pengaturan ini menentukan jumlah koneksi aktif yang dapat dibuat konektor Anda dengan server jarak jauh secara bersamaan. Membuat koneksi bersamaan dapat meningkatkan kinerja konektor dengan mengaktifkan operasi paralel.
1. Di bagian **Opsi algoritma kriptografi**, pilih **kebijakan keamanan** dari daftar dropdown di bidang Kebijakan **Keamanan**. Kebijakan keamanan memungkinkan Anda untuk memilih algoritma kriptografi yang didukung konektor Anda. Untuk detail tentang kebijakan dan algoritme keamanan yang tersedia, lihat[Kebijakan keamanan untuk konektor AWS Transfer Family SFTP](security-policies-connectors.md).
1. (Opsional) Di bagian **Tag**, untuk **Kunci** dan **Nilai**, masukkan satu atau beberapa tag sebagai pasangan nilai kunci.
1. Setelah Anda mengkonfirmasi semua pengaturan Anda, pilih **Buat konektor SFTP untuk membuat konektor** SFTP. Jika konektor berhasil dibuat, layar muncul dengan daftar alamat IP statis yang ditetapkan dan tombol **koneksi Uji**. Gunakan tombol untuk menguji konfigurasi konektor baru Anda.
![\[Layar pembuatan konektor yang muncul ketika konektor SFTP telah berhasil dibuat. Ini berisi tombol untuk menguji koneksi dan daftar alamat IP statis yang dikelola layanan dari konektor ini.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/connector-success-ip.png)
Halaman **Konektor** muncul, dengan ID konektor SFTP baru Anda ditambahkan ke daftar. Untuk melihat detail konektor Anda, lihat[Lihat detail konektor SFTP](manage-sftp-connectors.md#sftp-connectors-view-info).
------
#### [ CLI ]
Anda menggunakan [https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html)perintah untuk membuat konektor. Untuk menggunakan perintah ini untuk membuat konektor SFTP, Anda harus memberikan informasi berikut.
+ URL untuk server SFTP jarak jauh. URL ini harus diformat sebagai`sftp://partner-SFTP-server-url`, misalnya`sftp://AnyCompany.com`.
+ Peran akses. Pilih Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang akan digunakan.
+ **Pastikan bahwa peran ini menyediakan akses baca dan tulis** ke direktori induk dari lokasi file yang digunakan dalam `StartFileTransfer` permintaan.
+ **Pastikan bahwa peran ini memberikan izin** `secretsmanager:GetSecretValue` untuk mengakses rahasia.
**catatan**
Dalam kebijakan, Anda harus menentukan ARN untuk rahasianya. ARN berisi nama rahasia, tetapi menambahkan nama dengan enam, acak, karakter alfanumerik. ARN untuk rahasia memiliki format berikut.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Pastikan peran ini berisi hubungan kepercayaan yang** memungkinkan konektor mengakses sumber daya Anda saat melayani permintaan transfer pengguna Anda. Untuk detail tentang membangun hubungan kepercayaan, lihat[Untuk membangun hubungan kepercayaan](requirements-roles.md#establish-trust-transfer).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**catatan**
Untuk peran akses, contoh memberikan akses ke satu rahasia. Namun, Anda dapat menggunakan karakter wildcard, yang dapat menyimpan pekerjaan jika Anda ingin menggunakan kembali peran IAM yang sama untuk beberapa pengguna dan rahasia. Misalnya, pernyataan sumber daya berikut memberikan izin untuk semua rahasia yang memiliki nama yang dimulai dengan. `aws/transfer`
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
Anda juga dapat menyimpan rahasia yang berisi kredensi SFTP Anda di tempat lain. Akun AWS Untuk detail tentang mengaktifkan akses rahasia lintas akun, lihat [Izin untuk AWS Secrets Manager rahasia bagi pengguna di](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) akun lain.
+ (Opsional) Pilih peran IAM untuk konektor yang akan digunakan untuk mendorong peristiwa ke CloudWatch log Anda. Contoh kebijakan berikut mencantumkan izin yang diperlukan untuk mencatat peristiwa untuk konektor SFTP.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
+ Berikan informasi konfigurasi SFTP berikut.
+ ARN rahasia AWS Secrets Manager yang berisi kunci pribadi atau kata sandi pengguna SFTP.
+ Bagian publik dari kunci host yang digunakan untuk mengidentifikasi server eksternal. Anda dapat memberikan beberapa kunci host tepercaya jika Anda mau.
Cara termudah untuk memberikan informasi SFTP adalah dengan menyimpannya ke file. Misalnya, salin contoh teks berikut ke file bernama`testSFTPConfig.json`.
```
// Listing for testSFTPConfig.json
{
"UserSecretId": "arn:aws::secretsmanager:us-east-2:123456789012:secret:aws/transfer/example-username-key",
"TrustedHostKeys": [
"sftp.example.com ssh-rsa AAAAbbbb...EEEE="
]
}
```
+ Tentukan kebijakan keamanan untuk konektor Anda, masukkan nama kebijakan keamanan.
**catatan**
`SecretId`Dapat berupa seluruh ARN atau nama rahasia (*example-username-key*dalam daftar sebelumnya).
Kemudian jalankan perintah berikut untuk membuat konektor:
```
aws transfer create-connector --url "sftp://partner-SFTP-server-url" \
--access-role your-IAM-role-for-bucket-access \
--logging-role arn:aws:iam::your-account-id:role/service-role/AWSTransferLoggingAccess \
--sftp-config file:///path/to/testSFTPConfig.json \
--security-policy-name security-policy-name \
--maximum-concurrent-connections integer-from-1-to-5
```
Saat Anda menjelaskan konektor tipe jalan keluar VPC, responsnya mencakup bidang baru:
```
{
"Connector": {
"AccessRole": "arn:aws:iam::123456789012:role/connector-role",
"Arn": "arn:aws:transfer:us-east-1:123456789012:connector/c-1234567890abcdef0",
"ConnectorId": "c-1234567890abcdef0",
"Status": "ACTIVE",
"EgressConfig": {
"VpcLattice": {
"ResourceConfigurationArn": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-12345678",
"PortNumber": 22
}
},
"EgressType": "VPC",
"ServiceManagedEgressIpAddresses": null,
"SftpConfig": {
"TrustedHostKeys": [ "ssh-rsa AAAAB3NzaC..." ],
"UserSecretId": "aws/transfer/connector-secret"
},
"Url": "sftp://my.sftp.server.com:22"
}
}
```
Perhatikan bahwa `ServiceManagedEgressIpAddresses` nol untuk konektor tipe jalan keluar VPC karena rute lalu lintas melalui VPC Anda alih-alih infrastruktur terkelola. AWS
------
# Buat konektor SFTP dengan jalan keluar berbasis VPC
Topik ini memberikan step-by-step instruksi untuk membuat konektor SFTP dengan konektivitas VPC. Konektor berkemampuan VPC\$1Lattice menggunakan Amazon VPC Lattice untuk merutekan lalu lintas melalui Virtual Private Cloud Anda, memungkinkan koneksi aman ke titik akhir pribadi atau menggunakan gateway NAT Anda sendiri untuk akses internet.
**Kapan menggunakan konektivitas VPC**
Gunakan konektivitas VPC untuk konektor SFTP dalam skenario berikut:
+ Server **SFTP pribadi: Connect ke server** SFTP yang hanya dapat diakses dari VPC Anda.
+ **Konektivitas lokal**: Connect ke server SFTP lokal melalui AWS koneksi Direct Connect atau VPN. AWS Site-to-Site
+ **Alamat IP khusus**: Gunakan gateway NAT dan alamat IP Elastis Anda sendiri, termasuk skenario BYOIP.
+ **Kontrol keamanan terpusat**: Rutekan transfer file melalui ingress/egress kontrol pusat organisasi Anda.
![\[Diagram arsitektur yang menunjukkan jalan keluar berbasis VPC untuk konektor SFTP, menggambarkan bagaimana Cross-VPC Resource Access memungkinkan koneksi aman melalui Virtual Private Cloud Anda.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/vpc-egress-diagram.png)
## Prasyarat untuk konektor SFTP berkemampuan VPC\$1Lattice
Sebelum membuat konektor SFTP berkemampuan VPC\$1Lattice, Anda harus menyelesaikan prasyarat berikut:
**Cara kerja konektivitas berbasis VPC**
VPC Lattice memungkinkan Anda berbagi sumber daya VPC dengan aman dengan layanan lain. AWS AWS Transfer Family menggunakan jaringan layanan untuk menyederhanakan proses berbagi sumber daya. Komponen kuncinya adalah:
+ **Resource Gateway**: Berfungsi sebagai titik akses ke VPC Anda. Anda membuat ini di VPC Anda dengan minimal dua Availability Zone.
+ **Konfigurasi Sumber Daya**: Berisi alamat IP pribadi atau nama DNS publik dari server SFTP yang ingin Anda sambungkan.
Saat Anda membuat konektor VPC\$1Lattice-enabled, AWS Transfer Family gunakan Forward Access Session (FAS) untuk sementara mendapatkan kredensi Anda dan mengaitkan Konfigurasi Sumber Daya Anda dengan jaringan layanan kami.
**Langkah-langkah penyiapan yang diperlukan**
1. **Infrastruktur VPC**: Pastikan Anda memiliki VPC yang dikonfigurasi dengan benar dengan subnet, tabel rute, dan grup keamanan yang diperlukan untuk persyaratan konektivitas server SFTP Anda.
1. **Resource Gateway**: Buat Resource Gateway di VPC Anda menggunakan perintah VPC Lattice. `create-resource-gateway` Resource Gateway harus dikaitkan dengan subnet di setidaknya dua Availability Zone. Untuk informasi selengkapnya, lihat [Gateway sumber daya](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-gateway.html) di Panduan Pengguna Amazon *VPC Lattice*.
1. **Konfigurasi Sumber Daya**: Buat Konfigurasi Sumber Daya yang mewakili server SFTP target menggunakan perintah VPC Lattice. `create-resource-configuration` Anda dapat menentukan:
+ Alamat IP pribadi untuk titik akhir pribadi
+ Nama DNS publik untuk titik akhir publik (alamat IP tidak didukung untuk titik akhir publik)
1. Kredensi **otentikasi: Simpan kredenal** pengguna SFTP seperti yang dijelaskan dalam. AWS Secrets Manager [Simpan kredensi otentikasi untuk konektor SFTP di Secrets Manager](sftp-connector-secret-procedure.md)
**penting**
Resource Gateway dan Resource Configuration harus dibuat di AWS akun yang sama. Saat membuat Konfigurasi Sumber Daya, Anda harus terlebih dahulu memiliki Resource Gateway di tempatnya.
Untuk informasi selengkapnya tentang konfigurasi sumber daya VPC, lihat [Konfigurasi sumber daya di Panduan Pengguna](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) Amazon *VPC Lattice*.
**catatan**
Konektivitas VPC untuk konektor SFTP tersedia di tempat sumber daya Wilayah AWS Amazon VPC Lattice tersedia. Untuk informasi lebih lanjut, lihat [VPC Lattice](https://aws.amazon.com/vpc/lattice/faqs/#topic-0). FAQs Dukungan Availability Zone bervariasi menurut wilayah, dan Resource Gateways memerlukan minimal dua Availability Zone.
## Buat konektor SFTP berkemampuan VPC\$1Lattice
Setelah menyelesaikan prasyarat, Anda dapat membuat konektor SFTP dengan konektivitas VPC menggunakan, Management Console, atau. AWS CLI AWS AWS SDKs
------
#### [ Console ]
**Untuk membuat konektor SFTP berkemampuan VPC\$1Lattice**
1. Buka AWS Transfer Family konsol di [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Di panel navigasi kiri, pilih Konektor **SFTP, lalu pilih **Buat** konektor** SFTP.
1. **Di bagian **Konfigurasi konektor**, untuk **tipe Egress**, pilih VPC Lattice.**
Opsi ini merutekan lalu lintas melalui VPC Anda menggunakan Amazon VPC Lattice untuk akses sumber daya lintas VPC. Anda dapat menggunakan opsi ini untuk terhubung ke titik akhir server yang dihosting secara pribadi, merutekan lalu lintas melalui kontrol keamanan VPC Anda, atau menggunakan gateway NAT dan alamat IP Elastis Anda sendiri. Alamat server SFTP jarak jauh direpresentasikan sebagai Konfigurasi Sumber Daya di VPC Anda. Untuk informasi selengkapnya tentang Konfigurasi Sumber Daya, lihat [Konfigurasi sumber daya untuk sumber daya VPC di Panduan Pengguna](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) Amazon VPC Lattice.
1. Lengkapi konfigurasi konektor:
+ Untuk **peran Access**, pilih Amazon Resource Name (ARN) dari peran AWS Identity and Access Management (IAM) yang akan digunakan.
+ **Pastikan bahwa peran ini menyediakan akses baca dan tulis** ke direktori induk dari lokasi file yang digunakan dalam `StartFileTransfer` permintaan.
+ **Pastikan bahwa peran ini memberikan izin** `secretsmanager:GetSecretValue` untuk mengakses rahasia.
**catatan**
Dalam kebijakan, Anda harus menentukan ARN untuk rahasianya. ARN berisi nama rahasia, tetapi menambahkan nama dengan enam, acak, karakter alfanumerik. ARN untuk rahasia memiliki format berikut.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Pastikan peran ini berisi hubungan kepercayaan yang** memungkinkan konektor mengakses sumber daya Anda saat melayani permintaan transfer pengguna Anda. Untuk detail tentang membangun hubungan kepercayaan, lihat[Untuk membangun hubungan kepercayaan](requirements-roles.md#establish-trust-transfer).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**catatan**
Untuk peran akses, contoh memberikan akses ke satu rahasia. Namun, Anda dapat menggunakan karakter wildcard, yang dapat menyimpan pekerjaan jika Anda ingin menggunakan kembali peran IAM yang sama untuk beberapa pengguna dan rahasia. Misalnya, pernyataan sumber daya berikut memberikan izin untuk semua rahasia yang memiliki nama yang dimulai dengan. `aws/transfer`
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
Anda juga dapat menyimpan rahasia yang berisi kredensi SFTP Anda di tempat lain. Akun AWS Untuk detail tentang mengaktifkan akses rahasia lintas akun, lihat [Izin untuk AWS Secrets Manager rahasia bagi pengguna di](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) akun lain.
+ Untuk **ARN Konfigurasi Sumber Daya**, masukkan ARN Konfigurasi Sumber Daya Kisi VPC yang mengarah ke server SFTP Anda:
```
arn:aws:vpc-lattice:region:account-id:resourceconfiguration/rcfg-12345678
```
+ (Opsional) Untuk **peran Logging**, pilih peran IAM untuk konektor yang akan digunakan untuk mendorong peristiwa ke CloudWatch log Anda.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
1. Di bagian **Konfigurasi SFTP**, berikan informasi berikut:
+ Untuk **kredensi Konektor**, pilih nama rahasia AWS Secrets Manager yang berisi kunci pribadi atau kata sandi pengguna SFTP.
+ Untuk **kunci host Tepercaya**, tempel di bagian publik dari kunci host yang digunakan untuk mengidentifikasi server eksternal, atau biarkan kosong untuk mengkonfigurasi nanti menggunakan `TestConnection` perintah.
Karena kunci host ini untuk konektor VPC\$1LATTICE, hapus nama host di kunci
+ (Opsional) Untuk **koneksi bersamaan maksimum**, pilih jumlah koneksi bersamaan yang dibuat konektor Anda ke server jarak jauh (defaultnya adalah 5).
1. Di bagian **Opsi algoritma kriptografi**, pilih **kebijakan keamanan dari daftar** dropdown.
1. (Opsional) Di bagian **Tag**, tambahkan tag sebagai pasangan nilai kunci.
1. Pilih **Buat konektor SFTP untuk membuat konektor SFTP** berkemampuan VPC\$1Lattice.
Konektor akan dibuat dengan status `PENDING` sementara asosiasi sumber daya sedang disediakan, yang biasanya memakan waktu beberapa menit. Setelah status berubah`ACTIVE`, konektor siap digunakan.
------
#### [ CLI ]
Gunakan perintah berikut untuk membuat konektor SFTP VPC\$1Lattice-enabled:
```
aws transfer create-connector \
--url "sftp://my.sftp.server.com:22" \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-secret-id,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0} \
--security-policy-name TransferSecurityPolicy-2024-01
```
Parameter kunci untuk konektivitas VPC adalah`--egress-config`, yang menentukan ARN Konfigurasi Sumber Daya yang menentukan target server SFTP Anda.
------
## Memantau status konektor VPC
Konektor berkemampuan VPC\$1Lattice memiliki proses pengaturan asinkron. Setelah pembuatan, pantau status konektor:
+ **PENDING**: Konektor sedang disediakan. Penyediaan jaringan layanan sedang berlangsung, yang biasanya memakan waktu beberapa menit.
+ **AKTIF**: Konektor siap digunakan dan dapat mentransfer file.
+ **ERRORED**: Konektor gagal disediakan. Periksa detail kesalahan untuk informasi pemecahan masalah.
Periksa status konektor menggunakan `describe-connector` perintah:
```
aws transfer describe-connector --connector-id c-1234567890abcdef0
```
Selama status PENDING, `test-connection` API akan mengembalikan “Konektor tidak tersedia” hingga penyediaan selesai.
## Pertimbangan dan batasan
+ **Titik akhir publik**: Saat menghubungkan ke titik akhir publik melalui VPC, Anda harus memberikan nama DNS di Konfigurasi Sumber Daya. Alamat IP publik tidak didukung.
+ **Ketersediaan regional**: Konektivitas VPC tersedia di pilih. Wilayah AWS Berbagi sumber daya lintas wilayah tidak didukung.
+ **Persyaratan Availability Zone**: Resource Gateway harus dikaitkan dengan subnet di setidaknya dua Availability Zone. Tidak semua Availability Zone mendukung VPC Lattice di setiap wilayah.
+ **Batas koneksi: Maksimum 350 koneksi per sumber daya dengan batas** waktu idle 350 detik untuk koneksi TCP.
## Pertimbangan Biaya
Tidak ada biaya tambahan dari AWS Transfer Family luar biaya layanan reguler. Namun, pelanggan dapat dikenakan biaya tambahan dari Amazon VPC Lattice yang terkait dengan berbagi sumber daya Amazon Virtual Private Cloud mereka, dan biaya gateway NAT jika mereka menggunakan gateway NAT mereka sendiri untuk keluar ke internet.
Untuk informasi AWS Transfer Family harga lengkap, lihat [halaman AWS Transfer Family harga](https://aws.amazon.com/aws-transfer-family/pricing/).
## Contoh konektivitas VPC untuk konektor SFTP
Bagian ini memberikan contoh pembuatan konektor SFTP dengan konektivitas VPC untuk berbagai skenario. Sebelum menggunakan contoh ini, pastikan Anda telah menyelesaikan penyiapan infrastruktur VPC seperti yang dijelaskan dalam dokumentasi konektivitas VPC.
### Contoh: Koneksi titik akhir pribadi
Contoh ini menunjukkan cara membuat konektor SFTP yang terhubung ke server SFTP pribadi yang hanya dapat diakses dari VPC Anda.
**Prasyarat**
1. Buat Resource Gateway di VPC Anda:
```
aws vpc-lattice create-resource-gateway \
--name my-private-server-gateway \
--vpc-identifier vpc-1234567890abcdef0 \
--subnet-ids subnet-1234567890abcdef0 subnet-0987654321fedcba0
```
1. Buat Konfigurasi Sumber Daya untuk server SFTP pribadi Anda:
```
aws vpc-lattice create-resource-configuration \
--name my-private-server-config \
--resource-gateway-identifier rgw-1234567890abcdef0 \
--resource-configuration-definition ipResource={ipAddress="10.0.1.100"} \
--port-ranges 22
```
**Buat konektor VPC\$1Lattice-enabled**
1. Buat konektor SFTP dengan konektivitas VPC:
```
aws transfer create-connector \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-private-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22}
```
1. Pantau status konektor hingga menjadi`ACTIVE`:
```
aws transfer describe-connector --connector-id c-1234567890abcdef0
```
Server SFTP jarak jauh akan melihat koneksi yang berasal dari alamat IP Resource Gateway dalam rentang CIDR VPC Anda.
### Contoh: Titik akhir publik melalui VPC
Contoh ini menunjukkan cara merutekan koneksi ke server SFTP publik melalui VPC Anda untuk memanfaatkan kontrol keamanan terpusat dan menggunakan alamat IP NAT Gateway Anda sendiri.
**Prasyarat**
1. Buat Resource Gateway di VPC Anda (sama seperti contoh endpoint pribadi).
1. Buat Konfigurasi Sumber Daya untuk server SFTP publik menggunakan nama DNS-nya:
```
aws vpc-lattice create-resource-configuration \
--name my-public-server-config \
--resource-gateway-identifier rgw-1234567890abcdef0 \
--resource-configuration-definition dnsResource={domainName="sftp.example.com"} \
--port-ranges 22
```
**catatan**
Untuk titik akhir publik, Anda harus menggunakan nama DNS, bukan alamat IP.
**Buat konektor**
+ Buat konektor SFTP:
```
aws transfer create-connector \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-public-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0987654321fedcba0,PortNumber=22}
```
Lalu lintas akan mengalir dari konektor ke Resource Gateway Anda, kemudian melalui NAT Gateway Anda untuk mencapai server SFTP publik. Server jarak jauh akan melihat alamat IP Elastis NAT Gateway Anda sebagai sumbernya.
### Contoh: Titik akhir pribadi lintas akun
Contoh ini menunjukkan cara menghubungkan ke server SFTP pribadi di AWS akun yang berbeda dengan menggunakan berbagi sumber daya.
**catatan**
Jika Anda sudah mengaktifkan berbagi sumber daya lintas VPC melalui mekanisme lain, seperti AWS Transit Gateway, Anda tidak perlu mengonfigurasi pembagian sumber daya yang dijelaskan di sini. Mekanisme routing yang ada, seperti tabel rute Transit Gateway, secara otomatis digunakan oleh konektor SFTP. Anda hanya perlu membuat Konfigurasi Sumber Daya di akun yang sama tempat Anda membuat konektor SFTP.
**Akun A (Penyedia Sumber Daya) - Bagikan Konfigurasi Sumber Daya**
1. Buat Resource Gateway dan Resource Configuration di Akun A (sama seperti contoh sebelumnya).
1. Bagikan Konfigurasi Sumber Daya dengan Akun B menggunakan AWS Resource Access Manager:
```
aws ram create-resource-share \
--name cross-account-sftp-share \
--resource-arns arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0 \
--principals 222222222222
```
**Akun B (Konsumen Sumber Daya) - Terima dan Gunakan Saham**
1. Terima undangan berbagi sumber daya:
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn arn:aws:ram:us-east-1:111111111111:resource-share-invitation/invitation-id
```
1. Buat konektor SFTP di Akun B:
```
aws transfer create-connector \
--access-role arn:aws:iam::222222222222:role/TransferConnectorRole \
--sftp-config UserSecretId=cross-account-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22}
```
Konektor di Akun B sekarang dapat mengakses server SFTP pribadi di Akun A melalui Konfigurasi Sumber Daya bersama.
### Skenario pemecahan masalah umum
Berikut adalah solusi untuk masalah umum saat membuat konektor berkemampuan VPC\$1Lattice:
+ **Konektor terjebak dalam status PENDING**: Periksa apakah Resource Gateway Anda AKTIF dan memiliki subnet di Availability Zone yang didukung. Jika konektor masih macet dengan status PENDING, panggil `UpdateConnector` menggunakan parameter konfigurasi yang sama yang Anda gunakan pada awalnya. Ini memicu peristiwa status baru yang mungkin menyelesaikan masalah.
+ Batas **waktu koneksi**: Verifikasi aturan grup keamanan mengizinkan lalu lintas di port 22 dan perutean VPC Anda benar.
+ **Masalah resolusi DNS**: Untuk titik akhir publik, pastikan VPC Anda memiliki konektivitas internet melalui NAT Gateway atau Internet Gateway.
+ **Akses lintas akun ditolak**: Verifikasi pembagian sumber daya diterima dan ARN Konfigurasi Sumber Daya sudah benar. Jika kebijakan izin yang tepat dilampirkan ke konfigurasi sumber daya saat akun asal membuat pembagian sumber daya, izin ini diperlukan:`vpc-lattice:AssociateViaAWSService`,, `vpc-lattice:AssociateViaAWSService-EventsAndStates``vpc-lattice:CreateServiceNetworkResourceAssociation`,`vpc-lattice:GetResourceConfiguration`.
# Uji konektor SFTP
Setelah Anda membuat konektor SFTP, kami sarankan Anda mengujinya sebelum mencoba mentransfer file apa pun menggunakan konektor baru Anda.
**Untuk menguji konektor SFTP**
1. Buka AWS Transfer Family konsol di [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Di panel navigasi kiri, pilih Konektor **SFTP, dan pilih konektor**.
1. Dari menu **Tindakan**, pilih **Uji koneksi**.
![\[Konsol Transfer Family, menampilkan konektor SFTP yang dipilih, dan tindakan koneksi Uji koneksi Uji disorot.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/connector-test-choose.png)
Sistem mengembalikan pesan, menunjukkan apakah tes lulus atau gagal. Jika tes gagal, sistem memberikan pesan kesalahan berdasarkan alasan pengujian gagal.
![\[Panel koneksi uji konektor SFTP, menunjukkan tes yang berhasil.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/connector-test-success.png)
![\[Panel koneksi uji konektor SFTP, menunjukkan tes yang gagal: pesan kesalahan menunjukkan bahwa peran akses untuk konektor tidak benar.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/connector-test-fail-role.png)
**catatan**
Untuk menggunakan API untuk menguji konektor Anda, lihat dokumentasi [https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection](https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection)API.