Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione di un endpoint server SFTP, FTPS o FTP
Questo argomento fornisce dettagli sulla creazione e l'utilizzo di endpoint AWS Transfer Family server che utilizzano uno o più protocolli SFTP, FTPS e FTP.
**Topics**
+ [Opzioni del provider di identità](#identity-provider-details)
+ [AWS Transfer Family matrice del tipo di endpoint](#endpoint-matrix)
+ [Configurazione di un endpoint server SFTP, FTPS o FTP](tf-server-endpoint.md)
+ [Considerazioni su FTP e FTPS Network Load Balancer](#ftp-ftps-nlb-considerations)
+ [Trasferimento di file su un endpoint server utilizzando un client](transfer-file.md)
+ [Gestione degli utenti per gli endpoint del server](create-user.md)
+ [Utilizzo di directory logiche per semplificare le strutture di directory Transfer Family](logical-dir-mappings.md)
+ [Accedi ai tuoi file system FSx for NetApp ONTAP con Transfer Family](fsx-s3-access-points.md)
## Opzioni del provider di identità
AWS Transfer Family fornisce diversi metodi per l'autenticazione e la gestione degli utenti. La tabella seguente confronta i provider di identità disponibili che puoi utilizzare con Transfer Family.
| Azione | AWS Transfer Family servizio gestito | AWS Managed Microsoft AD | Gateway Amazon API | AWS Lambda |
| --- | --- | --- | --- | --- |
| Protocolli supportati | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP |
| Autenticazione basata su chiavi | Sì | No | Sì | Sì |
| Autenticazione password | No | Sì | Sì | Sì |
| AWS Identity and Access Management (IAM) e POSIX | Sì | Sì | Sì | Sì |
| cartella home logica | Sì | Sì | Sì | Sì |
| Accesso parametrizzato (basato sul nome utente) | Sì | Sì | Sì | Sì |
| Struttura di accesso ad hoc | Sì | No | Sì | Sì |
| AWS WAF | No | No | Sì | No |
Note:
+ IAM viene utilizzato per controllare l'accesso per lo storage di backup di Amazon S3 e POSIX viene utilizzato per Amazon EFS.
+ *Ad hoc* si riferisce alla possibilità di inviare il profilo utente in fase di esecuzione. Ad esempio, puoi indirizzare gli utenti nelle loro home directory passando il nome utente come variabile.
+ Per ulteriori informazioni su AWS WAF, vedere[Aggiungi un firewall per applicazioni Web](web-application-firewall.md).
+ C'è un post sul blog che descrive l'uso di una funzione Lambda integrata con Microsoft Entra ID (precedentemente Azure AD) come provider di identità Transfer Family. Per i dettagli, vedere [Autenticazione](https://aws.amazon.com/blogs/storage/authenticating-to-aws-transfer-family-with-azure-active-directory-and-aws-lambda/) con Azure Active Directory e. AWS Transfer Family AWS Lambda
+ Forniamo diversi CloudFormation modelli per aiutarti a implementare rapidamente un server Transfer Family che utilizza un provider di identità personalizzato. Per informazioni dettagliate, vedi [Modelli di funzioni Lambda](custom-lambda-idp.md#lambda-idp-templates).
Nelle seguenti procedure, è possibile creare un server abilitato per SFTP, un server abilitato per FTPS, un server abilitato per FTP o un server abilitato per -. AS2
**Approfondimenti**
+ [Crea un server compatibile con SFTP](create-server-sftp.md)
+ [Creare un server compatibile con FTPS](create-server-ftps.md)
+ [Crea un server abilitato all'FTP](create-server-ftp.md)
+ [Configurazione AS2](create-b2b-server.md)
## AWS Transfer Family matrice del tipo di endpoint
Quando crei un server Transfer Family, scegli il tipo di endpoint da utilizzare. La tabella seguente descrive le caratteristiche per ogni tipo di endpoint.
**Matrice del tipo di endpoint**
| Caratteristica | Pubblica | VPC - Internet | VPC - Interno | VPC\$1Endpoint (obsoleto) |
| --- | --- | --- | --- | --- |
| Protocolli supportati | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP |
| Accesso | Da Internet. Questo tipo di endpoint non richiede alcuna configurazione speciale nel tuo VPC. | Tramite Internet e dall'interno di ambienti VPC e connessi a VPC, come un data center locale o una VPN. Direct Connect | Dall'interno di ambienti VPC e connessi a VPC, come un data center locale o una VPN. Direct Connect | Dall'interno di ambienti VPC e connessi a VPC, come un data center locale o una VPN. Direct Connect |
| Indirizzo IP statico | Non è possibile allegare un indirizzo IP statico. AWS fornisce indirizzi IP soggetti a modifiche. | È possibile collegare indirizzi IP elastici all'endpoint. Questi possono essere indirizzi AWS IP di proprietà o indirizzi IP personali ([Bring your own IP address](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html)). Gli indirizzi IP elastici collegati all'endpoint non cambiano. Inoltre, gli indirizzi IP privati collegati al server non vengono modificati. | Gli indirizzi IP privati collegati all'endpoint non cambiano. | Gli indirizzi IP privati collegati all'endpoint non cambiano. |
| Elenco IP consentiti di origine | Questo tipo di endpoint non supporta gli elenchi consentiti per indirizzi IP di origine. L'endpoint è accessibile al pubblico e ascolta il traffico sulla porta 22. Per gli endpoint ospitati su VPC, i server SFTP Transfer Family possono funzionare sulla porta 22 (impostazione predefinita), 2222, 2223 o 22000. | Per consentire l'accesso tramite l'indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e la rete ACLs collegata alla sottorete in cui si trova l'endpoint. | Per consentire l'accesso tramite l'indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e le liste di controllo dell'accesso alla rete (rete ACLs) collegate alla sottorete in cui si trova l'endpoint. | Per consentire l'accesso tramite l'indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e alla rete ACLs collegata alla sottorete in cui si trova l'endpoint. |
| Elenco degli indirizzi consentiti dal firewall del client | È necessario consentire il nome DNS del server. Poiché gli indirizzi IP sono soggetti a modifiche, evita di utilizzare gli indirizzi IP per l'elenco consentito del firewall del client. | È possibile consentire il nome DNS del server o gli indirizzi IP elastici collegati al server. | È possibile consentire gli indirizzi IP privati o il nome DNS degli endpoint. | È possibile consentire gli indirizzi IP privati o il nome DNS degli endpoint. |
| Tipo di indirizzo IP | IPv4 (impostazione predefinita) o dual-stack (e) IPv4 IPv6 | IPv4 solo (dual-stack non supportato) | IPv4 (impostazione predefinita) o dual-stack (e) IPv4 IPv6 | IPv4 solo (dual-stack non supportato) |
**Nota**
Il tipo di `VPC_ENDPOINT` endpoint è ora obsoleto e non può essere utilizzato per creare nuovi server. Invece di utilizzare`EndpointType=VPC_ENDPOINT`, utilizza il tipo di endpoint VPC (`EndpointType=VPC`), che puoi usare come interfaccia **interna** o **Internet**, come descritto nella tabella precedente.
Per i dettagli sulla deprecazione, vedere. [Interruzione dell'uso di VPC\$1ENDPOINTPuoi modificare il tipo di endpoint per il tuo server utilizzando la console Transfer Family AWS CLI SDKs, l'API o CloudFormation. Per modificare il tipo di endpoint del server, consulta. [Aggiornamento del tipo di endpoint AWS Transfer Family del server da VPC\$1ENDPOINT a VPC](update-endpoint-type-vpc.md)](create-server-in-vpc.md#deprecate-vpc-endpoint)
Per informazioni sulla gestione delle autorizzazioni degli endpoint VPC, consulta. [Limitazione dell'accesso agli endpoint VPC per i server Transfer Family](create-server-in-vpc.md#limit-vpc-endpoint-access)
Considerate le seguenti opzioni per aumentare il livello di sicurezza del vostro server: AWS Transfer Family
+ Utilizza un endpoint VPC con accesso interno, in modo che il server sia accessibile solo ai client all'interno del tuo VPC o agli ambienti connessi a VPC, come un data center locale o una VPN. Direct Connect
+ Per consentire ai client di accedere all'endpoint tramite Internet e proteggere il server, utilizza un endpoint VPC con accesso a Internet. Quindi, modifica i gruppi di sicurezza del VPC per consentire il traffico solo da determinati indirizzi IP che ospitano i client degli utenti.
+ Se richiedi l'autenticazione basata su password e utilizzi un provider di identità personalizzato con il tuo server, è buona norma che la politica in materia di password impedisca agli utenti di creare password deboli e limiti il numero di tentativi di accesso non riusciti.
+ AWS Transfer Family è un servizio gestito e quindi non fornisce l'accesso alla shell. Non è possibile accedere direttamente al server SFTP sottostante per eseguire comandi nativi del sistema operativo sui server Transfer Family.
+ Usa un Network Load Balancer davanti a un endpoint VPC con accesso interno. Cambia la porta del listener sul load balancer dalla porta 22 a una porta diversa. Ciò può ridurre, ma non eliminare, il rischio che scanner di porte e bot controllino il server, poiché la porta 22 è la più comunemente utilizzata per la scansione. Per maggiori dettagli, consulta il post sul blog [Network Load Balancer](https://aws.amazon.com/blogs/containers/network-load-balancers-now-support-security-groups/) now support Security groups.
**Nota**
Se si utilizza un Network Load Balancer, AWS Transfer Family CloudWatch i log mostrano l'indirizzo IP dell'NLB, anziché l'indirizzo IP effettivo del client.
# Configurazione di un endpoint server SFTP, FTPS o FTP
È possibile creare un server di trasferimento file utilizzando il servizio. AWS Transfer Family Sono disponibili i seguenti protocolli di trasferimento file:
+ Secure Shell (SSH) File Transfer Protocol (SFTP): trasferimento di file tramite SSH. Per informazioni dettagliate, vedi [Crea un server compatibile con SFTP](create-server-sftp.md).
**Nota**
Forniamo un AWS CDK esempio per la creazione di un server SFTP Transfer Family. L'esempio utilizza TypeScript ed è disponibile GitHub [qui](https://github.com/aws-samples/aws-cdk-examples/tree/master/typescript/aws-transfer-sftp-server).
+ File Transfer Protocol Secure (FTPS): trasferimento di file con crittografia TLS. Per informazioni dettagliate, vedi [Creare un server compatibile con FTPS](create-server-ftps.md).
+ File Transfer Protocol (FTP): trasferimento di file non crittografato. Per informazioni dettagliate, vedi [Crea un server abilitato all'FTP](create-server-ftp.md).
+ Dichiarazione di applicabilità 2 (AS2) — Trasferimento di file per il trasporto di dati strutturati. business-to-business Per informazioni dettagliate, vedi [Configurazione AS2](create-b2b-server.md). Infatti AS2, puoi creare rapidamente uno CloudFormation stack a scopo dimostrativo. Questa procedura è descritta in. [Usa un modello per creare uno AS2 stack Transfer Family dimostrativo](create-as2-transfer-server.md#as2-cfn-demo-template)
È possibile creare un server con più protocolli.
**Nota**
Se disponi di più protocolli abilitati per lo stesso endpoint server e desideri fornire l'accesso utilizzando lo stesso nome utente su più protocolli, puoi farlo purché le credenziali specifiche del protocollo siano state configurate nel tuo provider di identità. Per FTP, consigliamo di mantenere credenziali separate da SFTP e FTPS. Questo perché, a differenza di SFTP e FTPS, FTP trasmette le credenziali in testo non crittografato. Isolando le credenziali FTP da SFTP o FTPS, se le credenziali FTP sono condivise o esposte, i carichi di lavoro che utilizzano SFTP o FTPS rimangono sicuri.
Quando create un server, ne scegliete uno specifico Regione AWS per eseguire le richieste di gestione dei file degli utenti assegnati a quel server. Oltre ad assegnare al server uno o più protocolli, si assegna anche uno dei seguenti tipi di provider di identità:
+ **Servizio gestito tramite chiavi SSH**. Per informazioni dettagliate, vedi [Lavorare con utenti gestiti dal servizio](service-managed-users.md).
+ **AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD).** Questo metodo consente di integrare i gruppi Microsoft Active Directory per fornire l'accesso ai server Transfer Family. Per informazioni dettagliate, vedi [Utilizzo di AWS Directory Service per Microsoft Active Directory](directory-services-users.md).
+ **Un provider di identità personalizzato**. Transfer Family offre diverse opzioni per l'utilizzo di un provider di identità personalizzato, come descritto nell'[Lavorare con provider di identità personalizzati](custom-idp-intro.md)argomento.
Puoi anche assegnare al server un tipo di endpoint (accessibile pubblicamente o ospitato su VPC) e un nome host utilizzando l'endpoint server predefinito o un nome host personalizzato utilizzando il servizio Amazon Route 53 o utilizzando un servizio DNS (Domain Name System) a tua scelta. Il nome host del server deve essere univoco nel luogo in cui è stato creato. Regione AWS
Inoltre, puoi CloudWatch assegnare un ruolo di registrazione di Amazon per inviare eventi ai tuoi CloudWatch log, scegliere una politica di sicurezza che contenga gli algoritmi crittografici abilitati all'uso dal tuo server e aggiungere metadati al server sotto forma di tag che sono coppie chiave-valore.
**Importante**
Sono a tuo carico i costi per i server istanziati e per il trasferimento dei dati. Per informazioni sui prezzi e da utilizzare per Calcolatore dei prezzi AWS ottenere una stima del costo di utilizzo di Transfer Family, consulta [AWS Transfer Family i prezzi](https://aws.amazon.com/aws-transfer-family/pricing/).
# Crea un server compatibile con SFTP
Secure Shell (SSH) File Transfer Protocol (SFTP) è un protocollo di rete utilizzato per il trasferimento sicuro di dati su Internet. Il protocollo supporta tutte le funzionalità di sicurezza e autenticazione di SSH. È ampiamente utilizzato per lo scambio di dati, comprese informazioni sensibili tra partner commerciali in una varietà di settori come i servizi finanziari, la sanità, la vendita al dettaglio e la pubblicità.
**Tieni presente quanto segue**
+ I server SFTP per Transfer Family funzionano tramite la porta 22. Per gli endpoint ospitati su VPC, i server SFTP Transfer Family possono funzionare anche sulle porte 2222, 2223 o 22000. Per informazioni dettagliate, vedi [Crea un server in un cloud privato virtuale](create-server-in-vpc.md).
+ Gli endpoint pubblici non possono limitare il traffico tramite gruppi di sicurezza. Per utilizzare i gruppi di sicurezza con il server Transfer Family, è necessario ospitare l'endpoint del server all'interno di un cloud privato virtuale (VPC) come descritto in. [Crea un server in un cloud privato virtuale](create-server-in-vpc.md)
**Consulta anche**
+ Forniamo un AWS CDK esempio per la creazione di un server SFTP Transfer Family. L'esempio utilizza TypeScript ed è disponibile GitHub [qui](https://github.com/aws-samples/aws-cdk-examples/tree/master/typescript/aws-transfer-sftp-server).
+ Per una procedura dettagliata su come implementare un server Transfer Family all'interno di un VPC, consulta [Usa l'elenco degli IP consentiti](https://aws.amazon.com/blogs//storage/use-ip-allow-list-to-secure-your-aws-transfer-for-sftp-servers/) per proteggere i tuoi server. AWS Transfer Family
**Per creare un server compatibile con SFTP**
1. **Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)e seleziona **Server** dal pannello di navigazione, quindi scegli Crea server.**
1. In **Scegli i protocolli**, seleziona **SFTP**, quindi scegli **Avanti**.
1. In **Scegli un provider di identità**, scegli il provider di identità che desideri utilizzare per gestire l'accesso degli utenti. Sono disponibili le seguenti opzioni:
+ **Servizio gestito**: memorizzi le identità e le chiavi degli utenti. AWS Transfer Family
+ **AWS Directory Service for Microsoft Active Directory**— Fornisci una Directory Service directory per accedere all'endpoint. In questo modo, è possibile utilizzare le credenziali archiviate in Active Directory per autenticare gli utenti. Per ulteriori informazioni sull'utilizzo dei provider di AWS Managed Microsoft AD identità, consulta. [Utilizzo di AWS Directory Service per Microsoft Active Directory](directory-services-users.md)
**Nota**
Le directory Cross-Account e Shared non sono supportate per. AWS Managed Microsoft AD
Per configurare un server con Directory Service come provider di identità, è necessario aggiungere alcune Directory Service autorizzazioni. Per informazioni dettagliate, vedi [Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
+ **Provider di identità personalizzato**: scegli una delle seguenti opzioni:
+ ** AWS Lambda Utilizzalo per connettere il tuo provider di identità**: puoi utilizzare un provider di identità esistente, supportato da una funzione Lambda. Fornisci il nome della funzione Lambda. Per ulteriori informazioni, consulta [Utilizzo AWS Lambda per integrare il tuo provider di identità](custom-lambda-idp.md).
+ **Usa Amazon API Gateway per connettere il tuo provider di identità**: puoi creare un metodo API Gateway supportato da una funzione Lambda da utilizzare come provider di identità. Fornisci un URL di Amazon API Gateway e un ruolo di chiamata. Per ulteriori informazioni, consulta [Utilizzo di Amazon API Gateway per integrare il tuo provider di identità](authentication-api-gateway.md).
![\[La sezione Scegli una console con provider di identità personalizzato selezionato. È inoltre selezionato il valore predefinito, ovvero che gli utenti possono autenticarsi utilizzando la password o la chiave.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/custom-lambda-console.png)
1. Scegli **Next (Successivo)**.
1. In **Scegli un endpoint, procedi** come segue:
1. Per Tipo di **endpoint, scegli il tipo** di endpoint **accessibile pubblicamente**. Per un endpoint **ospitato in un VPC**, vedi. [Crea un server in un cloud privato virtuale](create-server-in-vpc.md)
1. Per il **tipo di indirizzo IP**, scegli **IPv4**(impostazione predefinita) per la compatibilità con le versioni precedenti o **Dual-stack** per abilitare entrambi IPv4 e le connessioni all'endpoint. IPv6
**Nota**
La modalità dual-stack consente all'endpoint Transfer Family di comunicare sia con i client abilitati che con quelli IPv4 abilitati. IPv6 Ciò consente di passare gradualmente da un sistema basato a uno IPv6 basato su un sistema senza dover passare da un sistema IPv4 all'altro in una sola volta.
1. **(Facoltativo) Per **Nome host personalizzato**, scegliete Nessuno.**
Ottieni un nome host del server fornito da. AWS Transfer Family Il nome host del server ha il formato `serverId.server.transfer.regionId.amazonaws.com`.
Per un nome host personalizzato, è necessario specificare un alias personalizzato per l'endpoint del server. Per ulteriori informazioni sull'utilizzo di nomi host personalizzati, consulta. [Lavorare con nomi host personalizzati](requirements-dns.md)
1. (Facoltativo) Per **FIPS Enabled**, selezionate la casella di controllo **FIPS Enabled Endpoint per assicurarvi che l'endpoint** sia conforme ai Federal Information Processing Standards (FIPS).
**Nota**
Gli endpoint compatibili con FIPS sono disponibili solo nelle regioni del Nord America. AWS Per le regioni disponibili, consulta gli [AWS Transfer Family endpoint](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) e le quote nel. *Riferimenti generali di AWS* Per ulteriori informazioni su FIPS, vedere [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Scegli il dominio**, scegli il servizio AWS di archiviazione che desideri utilizzare per archiviare e accedere ai tuoi dati tramite il protocollo selezionato:
+ Scegli **Amazon S3** per archiviare e accedere ai tuoi file come oggetti tramite il protocollo selezionato.
+ Scegli **Amazon EFS** per archiviare e accedere ai tuoi file nel tuo file system Amazon EFS tramite il protocollo selezionato.
Scegli **Next (Successivo)**.
1. In **Configura dettagli aggiuntivi**, procedi come segue:
1. Per la registrazione, specifica un gruppo di log esistente o creane uno nuovo (opzione predefinita). Se scegli un gruppo di log esistente, devi selezionarne uno associato al tuo Account AWS.
![\[Riquadro di registrazione per configurare dettagli aggiuntivi nella procedura guidata di creazione del server. È selezionato Scegli un gruppo di log esistente.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-choose-existing-group.png)
Se scegli **Crea gruppo di log**, la CloudWatch console ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) si apre sulla pagina **Crea gruppo di log**. Per i dettagli, consulta [Creare un gruppo di log in CloudWatch Logs.](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)
1. (Facoltativo) Per i **flussi di lavoro gestiti**, scegliete il flusso di lavoro IDs (e il ruolo corrispondente) che Transfer Family deve assumere durante l'esecuzione del flusso di lavoro. È possibile scegliere un flusso di lavoro da eseguire dopo un caricamento completo e un altro da eseguire dopo un caricamento parziale. Per ulteriori informazioni sull'elaborazione dei file utilizzando flussi di lavoro gestiti, consulta[AWS Transfer Family flussi di lavoro gestiti](transfer-workflows.md).
![\[La sezione Console dei flussi di lavoro gestiti.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/workflows-addtoserver.png)
1. Per **le opzioni relative agli algoritmi crittografici**, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso dal tuo server. La nostra politica di sicurezza più recente è quella predefinita: per i dettagli, consulta. [Politiche di sicurezza per i server AWS Transfer Family](security-policies.md)
1. (Facoltativo) Per **Server Host Key, inserisci una chiave** privata RSA o ECDSA che verrà utilizzata per identificare il server quando i client si connettono ad esso tramite SFTP. ED25519 Puoi anche aggiungere una descrizione per distinguere tra più chiavi host.
Dopo aver creato il server, puoi aggiungere chiavi host aggiuntive. Avere più chiavi host è utile se si desidera ruotare le chiavi o se si desidera disporre di diversi tipi di chiavi, ad esempio una chiave RSA e anche una chiave ECDSA.
**Nota**
La sezione **Server Host Key** viene utilizzata solo per la migrazione degli utenti da un server esistente compatibile con SFTP.
1. **(Facoltativo) Per **Tag**, per **Chiave** e **Valore**, inserite uno o più tag come coppie chiave-valore, quindi scegliete Aggiungi tag.**
1. Scegli **Next (Successivo)**.
1. Puoi ottimizzare le prestazioni per le tue directory Amazon S3. Ad esempio, supponiamo di accedere alla directory home e di avere 10.000 sottodirectory. In altre parole, il tuo bucket Amazon S3 ha 10.000 cartelle. In questo scenario, se si esegue il comando `ls` (list), l'operazione list richiede dai sei agli otto minuti. Tuttavia, se ottimizzi le directory, questa operazione richiede solo pochi secondi.
Quando si crea il server utilizzando la console, le directory ottimizzate sono abilitate per impostazione predefinita. Se crei il server utilizzando l'API, questo comportamento non è abilitato per impostazione predefinita.
![\[La sezione della console Optimized Directories.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/optimized-directories.png)
1. (Facoltativo) Configura AWS Transfer Family i server per visualizzare messaggi personalizzati come politiche organizzative o termini e condizioni agli utenti finali. Per **Visualizza banner**, nella casella di testo **Pre-autenticazione visualizza banner**, inserisci il messaggio di testo che desideri mostrare agli utenti prima che si autentichino.
1. (Facoltativo) È possibile configurare le seguenti opzioni aggiuntive.
+ **SetStat opzione**: abilita questa opzione per ignorare l'errore generato quando un client tenta di utilizzarlo `SETSTAT` su un file che stai caricando su un bucket Amazon S3. Per ulteriori dettagli, consulta la `SetStatOption` documentazione contenuta in. [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
+ **Ripresa della sessione TLS**: questa opzione è disponibile solo se hai abilitato FTPS come uno dei protocolli per questo server.
+ **IP passivo**: questa opzione è disponibile solo se hai abilitato FTPS o FTP come uno dei protocolli per questo server.
![\[Schermata delle opzioni aggiuntive per la pagina dei dettagli del server.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/create-server-configure-additional-items-sftp.png)
1. In **Rivedi e crea**, esamina le tue scelte.
+ Se desideri modificarne una, scegli **Modifica** accanto al passaggio.
**Nota**
Devi rivedere ogni passaggio dopo quello che hai scelto di modificare.
+ Se non hai apportato modifiche, scegli **Crea server** per creare il tuo server. Viene visualizzata la pagina **Servers (Server)**, mostrata di seguito, in cui è elencato il nuovo server.
Possono essere necessari un paio di minuti prima che lo stato del nuovo server passi a **Online**. A quel punto, il server sarà in grado di eseguire operazioni sui file, ma dovrai prima creare un utente. Per i dettagli sulla creazione di utenti, consulta[Gestione degli utenti per gli endpoint del server](create-user.md).
# Creare un server compatibile con FTPS
File Transfer Protocol over SSL (FTPS) è un'estensione di FTP. Utilizza i protocolli crittografici Transport Layer Security (TLS) e Secure Sockets Layer (SSL) per crittografare il traffico. FTPS consente la crittografia delle connessioni dei canali di controllo e dati in modo simultaneo o indipendente.
**Nota**
Per importanti considerazioni sui Network Load Balancer, consulta. [Evita NLBs di posizionarlo NATs davanti AWS Transfer Family ai server](infrastructure-security.md#nlb-considerations)
**Per creare un server compatibile con FTPS**
1. **Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)e seleziona **Server** dal pannello di navigazione, quindi scegli Crea server.**
1. In **Scegli i protocolli**, seleziona **FTPS.**
**Per **Certificato server**, scegli un certificato archiviato in AWS Certificate Manager (ACM) che verrà utilizzato per identificare il server quando i client si connettono ad esso tramite FTPS, quindi scegli Avanti.**
Per richiedere un nuovo certificato pubblico, consulta [Richiedere un certificato pubblico nella Guida](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) per l'*AWS Certificate Manager utente*.
*Per importare un certificato esistente in ACM, consulta [Importazione di certificati in ACM nella Guida](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) per l'AWS Certificate Manager utente.*
*Per richiedere un certificato privato per utilizzare FTPS tramite indirizzi IP privati, consulta [Richiesta di un certificato privato nella](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) Guida per l'utente.AWS Certificate Manager *
Sono supportati i certificati con gli algoritmi di crittografia e le dimensioni delle chiavi seguenti:
+ RSA a 2048 bit (RSA\$12048)
+ RSA a 4096 bit (RSA\$14096)
+ Elliptic Prime Curve a 256 bit (EC\$1prime256v1)
+ Elliptic Prime Curve a 384 bit (EC\$1secp384r1)
+ Elliptic Prime Curve a 521 bit (EC\$1secp521r1)
**Nota**
Il certificato deve essere un certificato SSL/TLS X.509 versione 3 valido con FQDN o indirizzo IP specificato e contenere informazioni sull'emittente.
1. In **Scegli un provider di identità, scegli il provider** di identità che desideri utilizzare per gestire l'accesso degli utenti. Sono disponibili le seguenti opzioni:
+ **AWS Directory Service for Microsoft Active Directory**— Fornisci una Directory Service directory per accedere all'endpoint. In questo modo, è possibile utilizzare le credenziali archiviate in Active Directory per autenticare gli utenti. Per ulteriori informazioni sull'utilizzo dei provider di AWS Managed Microsoft AD identità, consulta. [Utilizzo di AWS Directory Service per Microsoft Active Directory](directory-services-users.md)
**Nota**
Le directory Cross-Account e Shared non sono supportate per. AWS Managed Microsoft AD
Per configurare un server con Directory Service come provider di identità, è necessario aggiungere alcune Directory Service autorizzazioni. Per informazioni dettagliate, vedi [Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
+ **Provider di identità personalizzato**: scegli una delle seguenti opzioni:
+ ** AWS Lambda Utilizzalo per connettere il tuo provider di identità**: puoi utilizzare un provider di identità esistente, supportato da una funzione Lambda. Fornisci il nome della funzione Lambda. Per ulteriori informazioni, consulta [Utilizzo AWS Lambda per integrare il tuo provider di identità](custom-lambda-idp.md).
+ **Usa Amazon API Gateway per connettere il tuo provider di identità**: puoi creare un metodo API Gateway supportato da una funzione Lambda da utilizzare come provider di identità. Fornisci un URL di Amazon API Gateway e un ruolo di chiamata. Per ulteriori informazioni, consulta [Utilizzo di Amazon API Gateway per integrare il tuo provider di identità](authentication-api-gateway.md).
![\[La sezione Scegli una console con provider di identità personalizzato selezionato.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/custom-lambda-console-no-sftp.png)
1. Scegli **Next (Successivo)**.
1. In **Scegli un endpoint**, procedi come segue:
**Nota**
I server FTPS per Transfer Family funzionano su Port 21 (Control Channel) e Port Range 8192—8200 (Data Channel).
1. Per Tipo di **endpoint, scegli il tipo** di endpoint ospitato da **VPC** per ospitare l'endpoint del tuo server. Per informazioni sulla configurazione dell'endpoint ospitato da VPC, consulta. [Crea un server in un cloud privato virtuale](create-server-in-vpc.md)
**Nota**
Gli endpoint accessibili pubblicamente non sono supportati.
1. (Facoltativo) Per **FIPS Enabled**, selezionate la casella di controllo **FIPS Enabled Endpoint per assicurarvi che l'endpoint** sia conforme ai Federal Information Processing Standards (FIPS).
**Nota**
Gli endpoint compatibili con FIPS sono disponibili solo nelle regioni del Nord America. AWS Per le regioni disponibili, consulta gli [AWS Transfer Family endpoint](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) e le quote nel. *Riferimenti generali di AWS* Per ulteriori informazioni su FIPS, vedere [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
1. Scegli **Next (Successivo)**.
![\[La sezione Scegli una console endpoint con VPC ospitato è selezionata.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/create-server-choose-endpoint-vpc-internal.png)
1. Nella pagina **Scegli il dominio**, scegli il servizio AWS di archiviazione che desideri utilizzare per archiviare e accedere ai tuoi dati tramite il protocollo selezionato:
+ Scegli **Amazon S3** per archiviare e accedere ai tuoi file come oggetti tramite il protocollo selezionato.
+ Scegli **Amazon EFS** per archiviare e accedere ai tuoi file nel tuo file system Amazon EFS tramite il protocollo selezionato.
Scegli **Next (Successivo)**.
1. In **Configura dettagli aggiuntivi**, procedi come segue:
1. Per la registrazione, specifica un gruppo di log esistente o creane uno nuovo (opzione predefinita).
![\[Riquadro di registrazione per configurare dettagli aggiuntivi nella procedura guidata di creazione del server. È selezionato Scegli un gruppo di log esistente.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-choose-existing-group.png)
Se scegli **Crea gruppo di log**, la CloudWatch console ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) si apre sulla pagina **Crea gruppo di log**. Per i dettagli, consulta [Creare un gruppo di log in CloudWatch Logs.](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)
1. (Facoltativo) Per i **flussi di lavoro gestiti**, scegliete il flusso di lavoro IDs (e il ruolo corrispondente) che Transfer Family deve assumere durante l'esecuzione del flusso di lavoro. È possibile scegliere un flusso di lavoro da eseguire dopo un caricamento completo e un altro da eseguire dopo un caricamento parziale. Per ulteriori informazioni sull'elaborazione dei file utilizzando flussi di lavoro gestiti, consulta[AWS Transfer Family flussi di lavoro gestiti](transfer-workflows.md).
![\[La sezione Console dei flussi di lavoro gestiti.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/workflows-addtoserver.png)
1. Per **le opzioni relative agli algoritmi crittografici**, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso dal tuo server. La nostra politica di sicurezza più recente è quella predefinita: per i dettagli, consulta. [Politiche di sicurezza per i server AWS Transfer Family](security-policies.md)
1. Per **Server Host Key**, lascia vuoto il campo.
1. (Facoltativo) Per **Tag**, per **Chiave** e **Valore**, inserisci uno o più tag come coppie chiave-valore, quindi scegli **Aggiungi** tag.
1. Puoi ottimizzare le prestazioni per le tue directory Amazon S3. Ad esempio, supponiamo di accedere alla directory home e di avere 10.000 sottodirectory. In altre parole, il tuo bucket Amazon S3 ha 10.000 cartelle. In questo scenario, se si esegue il comando `ls` (list), l'operazione list richiede dai sei agli otto minuti. Tuttavia, se ottimizzi le directory, questa operazione richiede solo pochi secondi.
Quando si crea il server utilizzando la console, le directory ottimizzate sono abilitate per impostazione predefinita. Se crei il server utilizzando l'API, questo comportamento non è abilitato per impostazione predefinita.
![\[La sezione della console Optimized Directories.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/optimized-directories.png)
1. Scegli **Next (Successivo)**.
1. (Facoltativo) È possibile configurare AWS Transfer Family i server per visualizzare messaggi personalizzati, ad esempio politiche organizzative o termini e condizioni, agli utenti finali. È inoltre possibile visualizzare il messaggio del giorno (MOTD) personalizzato agli utenti che si sono autenticati correttamente.
Per **Visualizza banner**, nella casella di testo **Banner di visualizzazione pre-autenticazione**, inserisci il messaggio di testo che desideri mostrare agli utenti prima che si autentichino e nella casella di testo **Banner di visualizzazione post-autenticazione**, inserisci il testo che desideri mostrare agli utenti dopo che si sono autenticati con successo.
1. (Facoltativo) È possibile configurare le seguenti opzioni aggiuntive.
+ **SetStat opzione**: abilita questa opzione per ignorare l'errore generato quando un client tenta di utilizzarlo `SETSTAT` su un file che stai caricando su un bucket Amazon S3. Per ulteriori dettagli, consulta la `SetStatOption` documentazione nell'argomento. [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
+ **Ripresa della sessione TLS**: fornisce un meccanismo per riprendere o condividere una chiave segreta negoziata tra il controllo e la connessione dati per una sessione FTPS. Per ulteriori dettagli, consultate la documentazione nell'argomento. `TlsSessionResumptionMode` [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
+ **IP passivo**: indica la modalità passiva, per i protocolli FTP e FTPS. Inserisci un IPv4 indirizzo singolo, ad esempio l'indirizzo IP pubblico di un firewall, un router o un sistema di bilanciamento del carico. Per ulteriori dettagli, consulta la `PassiveIp` documentazione nell'[ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)argomento.
![\[La schermata di configurazione aggiuntiva che mostra i SetStat parametri, ripresa della sessione TLS e IP passivo.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/create-server-configure-additional-items-all.png)
1. In **Rivedi e crea**, esamina le tue scelte.
+ Se desideri modificarne una, scegli **Modifica** accanto al passaggio.
**Nota**
Devi rivedere ogni passaggio dopo quello che hai scelto di modificare.
+ Se non hai apportato modifiche, scegli **Crea server** per creare il tuo server. Viene visualizzata la pagina **Servers (Server)**, mostrata di seguito, in cui è elencato il nuovo server.
Possono essere necessari un paio di minuti prima che lo stato del nuovo server passi a **Online**. A questo punto, il server può eseguire operazioni sui file per gli utenti.
**Passaggi successivi**: per il passaggio successivo, continua con [Lavorare con provider di identità personalizzati](custom-idp-intro.md) la configurazione degli utenti.
# Crea un server abilitato all'FTP
File Transfer Protocol (FTP) è un protocollo di rete utilizzato per il trasferimento di dati. FTP utilizza un canale separato per il controllo e il trasferimento dei dati. Il canale di controllo è aperto fino al termine o al timeout di inattività. Il canale dati è attivo per tutta la durata del trasferimento. FTP utilizza testo non crittografato e non supporta la crittografia del traffico.
**Nota**
Quando abiliti FTP, devi scegliere l'opzione di accesso interno per l'endpoint ospitato da VPC. Se è necessario che il server trasmetta i dati alla rete pubblica, è necessario utilizzare protocolli sicuri, come SFTP o FTPS.
**Nota**
Per importanti considerazioni sui Network Load Balancer, consulta. [Evita NLBs di posizionarlo NATs davanti AWS Transfer Family ai server](infrastructure-security.md#nlb-considerations)
**Per creare un server compatibile con FTP**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)e seleziona **Server** dal pannello di navigazione, quindi scegli **Crea** server.
1. In **Scegli i protocolli**, seleziona **FTP**, quindi scegli **Avanti**.
1. In **Scegli un provider di identità**, scegli il provider di identità che desideri utilizzare per gestire l'accesso degli utenti. Sono disponibili le seguenti opzioni:
+ **AWS Directory Service for Microsoft Active Directory**— Fornisci una Directory Service directory per accedere all'endpoint. In questo modo, è possibile utilizzare le credenziali archiviate in Active Directory per autenticare gli utenti. Per ulteriori informazioni sull'utilizzo dei provider di AWS Managed Microsoft AD identità, consulta. [Utilizzo di AWS Directory Service per Microsoft Active Directory](directory-services-users.md)
**Nota**
Le directory Cross-Account e Shared non sono supportate per. AWS Managed Microsoft AD
Per configurare un server con Directory Service come provider di identità, è necessario aggiungere alcune Directory Service autorizzazioni. Per informazioni dettagliate, vedi [Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
+ **Provider di identità personalizzato**: scegli una delle seguenti opzioni:
+ ** AWS Lambda Utilizzalo per connettere il tuo provider di identità**: puoi utilizzare un provider di identità esistente, supportato da una funzione Lambda. Fornisci il nome della funzione Lambda. Per ulteriori informazioni, consulta [Utilizzo AWS Lambda per integrare il tuo provider di identità](custom-lambda-idp.md).
+ **Usa Amazon API Gateway per connettere il tuo provider di identità**: puoi creare un metodo API Gateway supportato da una funzione Lambda da utilizzare come provider di identità. Fornisci un URL di Amazon API Gateway e un ruolo di chiamata. Per ulteriori informazioni, consulta [Utilizzo di Amazon API Gateway per integrare il tuo provider di identità](authentication-api-gateway.md).
![\[La sezione Scegli una console con provider di identità personalizzato selezionato.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/custom-lambda-console-no-sftp.png)
1. Scegli **Next (Successivo)**.
1. In **Scegli un endpoint**, procedi come segue:
**Nota**
I server FTP per Transfer Family funzionano su Port 21 (Control Channel) e Port Range 8192—8200 (Data Channel).
1. Per il **tipo di endpoint**, scegli **VPC** ospitato per ospitare l'endpoint del tuo server. Per informazioni sulla configurazione dell'endpoint ospitato da VPC, consulta. [Crea un server in un cloud privato virtuale](create-server-in-vpc.md)
**Nota**
Gli endpoint accessibili pubblicamente non sono supportati.
1. Per **FIPS Enabled**, mantieni deselezionata la casella di controllo **FIPS Enabled endpoint**.
**Nota**
Gli endpoint compatibili con FIPS non sono supportati per i server FTP.
1. Scegli **Next (Successivo)**.
![\[La sezione Scegli una console endpoint con VPC ospitato è selezionata.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/create-server-choose-endpoint-vpc-internal.png)
1. Nella pagina **Scegli il dominio**, scegli il servizio AWS di archiviazione che desideri utilizzare per archiviare e accedere ai tuoi dati tramite il protocollo selezionato.
+ Scegli **Amazon S3** per archiviare e accedere ai tuoi file come oggetti tramite il protocollo selezionato.
+ Scegli **Amazon EFS** per archiviare e accedere ai tuoi file nel tuo file system Amazon EFS tramite il protocollo selezionato.
Scegli **Next (Successivo)**.
1. In **Configura dettagli aggiuntivi**, procedi come segue:
1. Per la registrazione, specifica un gruppo di log esistente o creane uno nuovo (opzione predefinita).
![\[Riquadro di registrazione per configurare dettagli aggiuntivi nella procedura guidata di creazione del server. È selezionato Scegli un gruppo di log esistente.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-choose-existing-group.png)
Se scegli **Crea gruppo di log**, la CloudWatch console ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) si apre sulla pagina **Crea gruppo di log**. Per i dettagli, consulta [Creare un gruppo di log in CloudWatch Logs.](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)
1. (Facoltativo) Per i **flussi di lavoro gestiti**, scegliete il flusso di lavoro IDs (e il ruolo corrispondente) che Transfer Family deve assumere durante l'esecuzione del flusso di lavoro. È possibile scegliere un flusso di lavoro da eseguire dopo un caricamento completo e un altro da eseguire dopo un caricamento parziale. Per ulteriori informazioni sull'elaborazione dei file utilizzando flussi di lavoro gestiti, consulta[AWS Transfer Family flussi di lavoro gestiti](transfer-workflows.md).
![\[La sezione Console dei flussi di lavoro gestiti.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/workflows-addtoserver.png)
1. Per **le opzioni relative agli algoritmi crittografici**, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso dal tuo server.
**Nota**
Transfer Family assegna la politica di sicurezza più recente al tuo server FTP. Tuttavia, poiché il protocollo FTP non utilizza alcuna crittografia, i server FTP non utilizzano nessuno degli algoritmi delle politiche di sicurezza. A meno che il server non utilizzi anche il protocollo FTPS o SFTP, la politica di sicurezza rimane inutilizzata.
1. Per **Server Host Key, lascialo** vuoto.
1. (Facoltativo) Per **Tag**, per **Chiave** e **Valore**, inserisci uno o più tag come coppie chiave-valore, quindi scegli **Aggiungi** tag.
1. Puoi ottimizzare le prestazioni per le tue directory Amazon S3. Ad esempio, supponiamo di accedere alla directory home e di avere 10.000 sottodirectory. In altre parole, il tuo bucket Amazon S3 ha 10.000 cartelle. In questo scenario, se si esegue il comando `ls` (list), l'operazione list richiede dai sei agli otto minuti. Tuttavia, se ottimizzi le directory, questa operazione richiede solo pochi secondi.
Quando si crea il server utilizzando la console, le directory ottimizzate sono abilitate per impostazione predefinita. Se crei il server utilizzando l'API, questo comportamento non è abilitato per impostazione predefinita.
![\[La sezione della console Optimized Directories.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/optimized-directories.png)
1. Scegli **Next (Successivo)**.
1. (Facoltativo) È possibile configurare AWS Transfer Family i server per visualizzare messaggi personalizzati, ad esempio politiche organizzative o termini e condizioni, agli utenti finali. È inoltre possibile visualizzare il messaggio del giorno (MOTD) personalizzato agli utenti che si sono autenticati correttamente.
Per **Visualizza banner**, nella casella di testo **Banner di visualizzazione pre-autenticazione**, inserisci il messaggio di testo che desideri mostrare agli utenti prima che si autentichino e nella casella di testo **Banner di visualizzazione post-autenticazione**, inserisci il testo che desideri mostrare agli utenti dopo che si sono autenticati con successo.
1. (Facoltativo) È possibile configurare le seguenti opzioni aggiuntive.
+ **SetStat opzione**: abilita questa opzione per ignorare l'errore generato quando un client tenta di utilizzarlo `SETSTAT` su un file che stai caricando su un bucket Amazon S3. Per ulteriori dettagli, consulta la `SetStatOption` documentazione nell'argomento. [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
+ **Ripresa della sessione TLS**: fornisce un meccanismo per riprendere o condividere una chiave segreta negoziata tra il controllo e la connessione dati per una sessione FTPS. Per ulteriori dettagli, consultate la documentazione nell'argomento. `TlsSessionResumptionMode` [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
+ **IP passivo**: indica la modalità passiva, per i protocolli FTP e FTPS. Inserisci un IPv4 indirizzo singolo, ad esempio l'indirizzo IP pubblico di un firewall, un router o un sistema di bilanciamento del carico. Per ulteriori dettagli, consulta la `PassiveIp` documentazione nell'[ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)argomento.
![\[La schermata di configurazione aggiuntiva che mostra i SetStat parametri, ripresa della sessione TLS e IP passivo.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/create-server-configure-additional-items-all.png)
1. In **Rivedi e crea**, esamina le tue scelte.
+ Se desideri modificarne una, scegli **Modifica** accanto al passaggio.
**Nota**
Devi rivedere ogni passaggio dopo quello che hai scelto di modificare.
+ Se non hai apportato modifiche, scegli **Crea server** per creare il tuo server. Viene visualizzata la pagina **Servers (Server)**, mostrata di seguito, in cui è elencato il nuovo server.
Possono essere necessari un paio di minuti prima che lo stato del nuovo server passi a **Online**. A questo punto, il server può eseguire operazioni sui file per gli utenti.
**Passaggi successivi**: per il passaggio successivo, continua con [Lavorare con provider di identità personalizzati](custom-idp-intro.md) la configurazione degli utenti.
# Crea un server in un cloud privato virtuale
Puoi ospitare l'endpoint del tuo server all'interno di un cloud privato virtuale (VPC) da utilizzare per il trasferimento di dati da e verso un bucket Amazon S3 o un file system Amazon EFS senza passare dalla rete Internet pubblica.
**Nota**
Dopo il 19 maggio 2021, non potrai creare un server utilizzando il tuo AWS account se quest'`EndpointType=VPC_ENDPOINT`ultimo non l'ha già fatto prima del 19 maggio 2021. Se hai già creato dei server con `EndpointType=VPC_ENDPOINT` il tuo AWS account entro il 21 febbraio 2021, non subirai alcuna modifica. Dopo questa data, usa `EndpointType` =**VPC**. Per ulteriori informazioni, consulta [Interruzione dell'uso di VPC\$1ENDPOINT](#deprecate-vpc-endpoint).
Se utilizzi Amazon Virtual Private Cloud (Amazon VPC) per ospitare AWS le tue risorse, puoi stabilire una connessione privata tra il tuo VPC e un server. È quindi possibile utilizzare questo server per trasferire dati tramite client da e verso il bucket Amazon S3 senza utilizzare indirizzi IP pubblici o richiedere un gateway Internet.
Utilizzando Amazon VPC, puoi avviare AWS risorse in una rete virtuale personalizzata. Puoi utilizzare un VPC per controllare le impostazioni di rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Per ulteriori informazioni VPCs, consulta [What Is Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)? nella Guida per l'*utente di Amazon VPC*.
Nelle sezioni successive, trova le istruzioni su come creare e connettere il tuo VPC a un server. In sintesi, procedi nel modo seguente:
1. Configura un server utilizzando un endpoint VPC.
1. Connettiti al tuo server utilizzando un client che si trova all'interno del tuo VPC tramite l'endpoint VPC. In questo modo puoi trasferire i dati archiviati nel tuo bucket Amazon S3 tramite il client utilizzando. AWS Transfer Family Puoi eseguire questo trasferimento anche se la rete è disconnessa dalla rete Internet pubblica.
1. Inoltre, se scegli di rendere l'endpoint del tuo server rivolto a Internet, puoi associare indirizzi IP elastici all'endpoint. In questo modo i client esterni al tuo VPC si connettono al tuo server. Puoi utilizzare i gruppi di sicurezza VPC per controllare l'accesso agli utenti autenticati le cui richieste provengono solo da indirizzi consentiti.
**Nota**
AWS Transfer Family supporta gli endpoint dual-stack, permettendo al server di comunicare su entrambi e. IPv4 IPv6 Per abilitare il supporto dual-stack, seleziona l'opzione **Abilita endpoint DNS dual-stack durante la creazione dell'endpoint** VPC. Tieni presente che sia il VPC che le sottoreti devono essere configurati per il supporto IPv6 prima di poter utilizzare questa funzionalità. Il supporto dual-stack è particolarmente utile quando si dispone di client che devono connettersi utilizzando entrambi i protocolli.
Per informazioni sugli endpoint dual-stack (IPv4 e IPv6) server, consulta. [IPv6 supporto per i server Transfer Family](ipv6-support.md)
**Topics**
+ [Crea un endpoint server accessibile solo all'interno del tuo VPC](#create-server-endpoint-in-vpc)
+ [Crea un endpoint con accesso a Internet per il tuo server](#create-internet-facing-endpoint)
+ [Cambia il tipo di endpoint per il tuo server](#change-server-endpoint-type)
+ [Interruzione dell'uso di VPC\$1ENDPOINT](#deprecate-vpc-endpoint)
+ [Limitazione dell'accesso agli endpoint VPC per i server Transfer Family](#limit-vpc-endpoint-access)
+ [Funzionalità di rete aggiuntive](#additional-networking-features)
+ [Aggiornamento del tipo di endpoint AWS Transfer Family del server da VPC\$1ENDPOINT a VPC](update-endpoint-type-vpc.md)
## Crea un endpoint server accessibile solo all'interno del tuo VPC
Nella procedura seguente, crei un endpoint server accessibile solo alle risorse all'interno del tuo VPC.
**Per creare un endpoint server all'interno di un VPC**
1. Apri la AWS Transfer Family console all'indirizzo. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)
1. Dal pannello di navigazione, seleziona **Server**, quindi scegli **Crea server**.
1. In **Scegli i protocolli**, seleziona uno o più protocolli, quindi scegli **Avanti**. Per ulteriori informazioni sui protocolli, consulta[Fase 2: Creare un server compatibile con SFTP](getting-started.md#getting-started-server).
1. In **Scegli un provider di identità**, scegli **Servizio gestito** per archiviare le identità e le chiavi degli utenti AWS Transfer Family, quindi scegli **Avanti**.
Questa procedura utilizza l'opzione gestita dal servizio. Se scegli **Custom**, fornisci un endpoint Amazon API Gateway e un ruolo AWS Identity and Access Management (IAM) per accedere all'endpoint. In questo modo, puoi integrare il tuo servizio di directory per autenticare e autorizzare i tuoi utenti. Per ulteriori informazioni sull'utilizzo di provider di identità personalizzati, consulta [Lavorare con provider di identità personalizzati](custom-idp-intro.md).
1. In **Scegli un endpoint**, procedi come segue:
1. Per Tipo di **endpoint, scegli il tipo** di endpoint ospitato da **VPC** per ospitare l'endpoint del tuo server.
1. Per **Access**, scegli **Interno** per rendere l'endpoint accessibile solo ai client che utilizzano gli indirizzi IP privati dell'endpoint.
Per i dettagli sull'opzione **Connessione Internet, consulta**. [Crea un endpoint con accesso a Internet per il tuo server](#create-internet-facing-endpoint) Un server creato in un VPC solo per l'accesso interno non supporta nomi host personalizzati.
1. Per **VPC**, scegli un ID VPC esistente o scegli Crea un VPC per creare **un nuovo VPC**.
1. Nella sezione **Zone di disponibilità, scegli fino a tre zone** di disponibilità e sottoreti associate.
1. Nella sezione **Gruppi di sicurezza**, scegli un ID del gruppo di sicurezza esistente IDs oppure scegli **Crea un gruppo di sicurezza per creare un nuovo gruppo** di sicurezza. Per ulteriori informazioni sui gruppi di sicurezza, consulta la sezione [Gruppi di sicurezza per il tuo VPC nella Guida](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) per l'*utente di Amazon Virtual Private Cloud*. Per creare un gruppo di sicurezza, consulta [Creazione di un gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) nella *Amazon Virtual Private Cloud User Guide*.
**Nota**
Il tuo VPC include automaticamente un gruppo di sicurezza predefinito. Se non specifichi uno o più gruppi di sicurezza diversi all'avvio del server, associamo il gruppo di sicurezza predefinito al tuo server.
+ Per le regole in entrata per il gruppo di sicurezza, puoi configurare il traffico SSH per utilizzare le porte 22, 2222, 22000 o qualsiasi combinazione. La porta 22 è configurata per impostazione predefinita. Per utilizzare la porta 2222 o la porta 22000, aggiungi una regola in entrata al tuo gruppo di sicurezza. Per il tipo, scegli **TCP personalizzato**, quindi inserisci uno **2222** o **22000** per **Intervallo di porte** e, per l'origine, inserisci lo stesso intervallo CIDR che hai utilizzato per la regola della porta SSH 22.
+ Per le regole in entrata per il gruppo di sicurezza, configura il traffico FTP e FTPS in modo che utilizzi **Port range** **21** per il canale di controllo e per il canale dati. **8192-8200**
**Nota**
Puoi anche utilizzare la porta 2223 per i client che richiedono il «piggy-back» ACKs TCP o la possibilità per il pack finale dell'handshake TCP a 3 vie di contenere anche dati.
Alcuni software client potrebbero essere incompatibili con la porta 2223, ad esempio un client che richiede al server di inviare la stringa di identificazione SFTP prima che il client lo faccia.
![\[Le regole in entrata per un gruppo di sicurezza di esempio, che mostrano una regola per SSH sulla porta 22 e Custom TCP sulla porta 2222.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/alternate-port-rule.png)
1. (Facoltativo) Per **FIPS Enabled**, selezionate la casella di controllo **FIPS Enabled Endpoint per assicurarvi che l'endpoint** sia conforme ai Federal Information Processing Standards (FIPS).
**Nota**
Gli endpoint compatibili con FIPS sono disponibili solo nelle regioni del Nord America. AWS Per le regioni disponibili, consulta gli [AWS Transfer Family endpoint](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) e le quote nel. *Riferimenti generali di AWS* Per ulteriori informazioni su FIPS, vedere [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
1. Scegli **Next (Successivo)**.
1. In **Configura dettagli aggiuntivi, procedi** come segue:
1. Per la **CloudWatch registrazione**, scegli una delle seguenti opzioni per abilitare la CloudWatch registrazione Amazon dell'attività dell'utente:
+ **Crea un nuovo ruolo** per consentire a Transfer Family di creare automaticamente il ruolo IAM, purché tu disponga delle autorizzazioni giuste per creare un nuovo ruolo. Viene chiamato `AWSTransferLoggingAccess` il ruolo IAM creato.
+ **Scegli un ruolo esistente** per scegliere un ruolo IAM esistente dal tuo account. In **Ruolo di registrazione**, scegli il ruolo. Questo ruolo IAM dovrebbe includere una politica di fiducia con **Service** impostato `transfer.amazonaws.com` su.
Per ulteriori informazioni sulla CloudWatch registrazione, vedere[Configura il CloudWatch ruolo di registrazione](configure-cw-logging-role.md).
**Nota**
Non è possibile visualizzare l'attività dell'utente finale CloudWatch se non si specifica un ruolo di registrazione.
Se non desideri impostare un ruolo di CloudWatch registrazione, seleziona **Scegli un ruolo esistente, ma non selezionare un ruolo** di registrazione.
1. Per **le opzioni relative agli algoritmi crittografici**, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso da parte del tuo server.
**Nota**
Per impostazione predefinita, la politica `TransferSecurityPolicy-2024-01` di sicurezza è collegata al server a meno che non ne scelga una diversa.
Per ulteriori informazioni sulle policy di sicurezza, consulta [Politiche di sicurezza per i server AWS Transfer Family](security-policies.md).
1. (Facoltativo: questa sezione riguarda solo la migrazione degli utenti da un server compatibile con SFTP esistente.) Per **Server Host Key, inserite una chiave** privata RSA o ECDSA che verrà utilizzata per identificare il server quando i client si connettono ad esso tramite SFTP. ED25519
1. **(Facoltativo) Per **Tag**, per **Chiave** e **Valore**, inserite uno o più tag come coppie chiave-valore, quindi scegliete Aggiungi tag.**
1. Scegli **Next (Successivo)**.
1. In **Rivedi e crea**, rivedi le tue scelte. Se:
+ Se desideri modificarne una, scegli **Modifica** accanto al passaggio.
**Nota**
Dovrai rivedere ogni passaggio dopo il passaggio che hai scelto di modificare.
+ Non apporti modifiche, scegli **Crea server** per creare il tuo server. Viene visualizzata la pagina **Servers (Server)**, mostrata di seguito, in cui è elencato il nuovo server.
Possono essere necessari un paio di minuti prima che lo stato del nuovo server passi a **Online**. A quel punto, il server sarà in grado di eseguire operazioni sui file, ma dovrai prima creare un utente. Per informazioni dettagliate sulla creazione di utenti, consulta[Gestione degli utenti per gli endpoint del server](create-user.md).
## Crea un endpoint con accesso a Internet per il tuo server
Nella procedura seguente, si crea un endpoint server. Questo endpoint è accessibile via Internet solo ai client i cui indirizzi IP di origine sono consentiti nel gruppo di sicurezza predefinito del tuo VPC. Inoltre, utilizzando indirizzi IP elastici per rendere l'endpoint rivolto a Internet, i clienti possono utilizzare l'indirizzo IP elastico per consentire l'accesso all'endpoint tramite i loro firewall.
**Nota**
È possibile utilizzare solo SFTP e FTPS su un endpoint ospitato in VPC con accesso a Internet.
**Per creare un endpoint con accesso a Internet**
1. Apri la console all'indirizzo. AWS Transfer Family [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)
1. Dal pannello di navigazione, seleziona **Server**, quindi scegli **Crea server**.
1. In **Scegli i protocolli**, seleziona uno o più protocolli, quindi scegli **Avanti**. Per ulteriori informazioni sui protocolli, consulta[Fase 2: Creare un server compatibile con SFTP](getting-started.md#getting-started-server).
1. In **Scegli un provider di identità**, scegli **Servizio gestito** per archiviare le identità e le chiavi degli utenti AWS Transfer Family, quindi scegli **Avanti**.
Questa procedura utilizza l'opzione gestita dal servizio. Se scegli **Custom**, fornisci un endpoint Amazon API Gateway e un ruolo AWS Identity and Access Management (IAM) per accedere all'endpoint. In questo modo, puoi integrare il tuo servizio di directory per autenticare e autorizzare i tuoi utenti. Per ulteriori informazioni sull'utilizzo di provider di identità personalizzati, consulta [Lavorare con provider di identità personalizzati](custom-idp-intro.md).
1. In **Scegli un endpoint**, procedi come segue:
1. Per Tipo di **endpoint, scegli il tipo** di endpoint ospitato da **VPC** per ospitare l'endpoint del tuo server.
1. Per **Access**, scegli **Internet Facing** per rendere il tuo endpoint accessibile ai client su Internet.
**Nota**
Quando scegli **Internet Facing**, puoi scegliere un indirizzo IP elastico esistente in ogni sottorete o sottoreti. Oppure puoi andare alla console VPC ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) per allocare uno o più nuovi indirizzi IP elastici. Questi indirizzi possono essere di proprietà dell'utente AWS o dell'utente. Non puoi associare indirizzi IP elastici già in uso al tuo endpoint.
1. (Facoltativo) Per **Nome host personalizzato**, scegli una delle seguenti opzioni:
**Nota**
I clienti AWS GovCloud (US) devono connettersi direttamente tramite l'indirizzo IP elastico o creare un record di nome host all'interno di Commercial Route 53 che punti al proprio EIP. Per ulteriori informazioni sull'uso di Route 53 per gli GovCloud endpoint, consulta [Configurare Amazon Route 53 con AWS GovCloud (US) le tue risorse](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-route53.html) nella *Guida per l'AWS GovCloud (US) utente*.
+ **Alias DNS Amazon Route 53**: se il nome host che desideri utilizzare è registrato con Route 53. Puoi quindi inserire il nome host.
+ **Altro DNS**: se il nome host che desideri utilizzare è registrato con un altro provider DNS. È quindi possibile inserire il nome host.
+ **Nessuno**: per utilizzare l'endpoint del server e non utilizzare un nome host personalizzato. Il nome host del server ha il formato `server-id.server.transfer.region.amazonaws.com`.
**Nota**
Per i clienti che utilizzano AWS GovCloud (US), selezionando **Nessuno** non viene creato un nome host in questo formato.
Per ulteriori informazioni sull'utilizzo di nomi host personalizzati, consulta. [Lavorare con nomi host personalizzati](requirements-dns.md)
1. Per **VPC**, scegli un ID VPC esistente o scegli Crea un VPC per creare **un nuovo VPC**.
1. Nella sezione **Zone di disponibilità, scegli fino a tre zone** di disponibilità e sottoreti associate. Per **IPv4Indirizzi**, scegli un **indirizzo IP elastico** per ogni sottorete. Questo è l'indirizzo IP che i tuoi clienti possono utilizzare per consentire l'accesso all'endpoint nei loro firewall.
**Suggerimento:** è necessario utilizzare una sottorete pubblica per le zone di disponibilità o configurare prima un gateway Internet se si desidera utilizzare una sottorete privata.
1. Nella sezione **Gruppi di sicurezza**, scegli un ID di gruppo di sicurezza esistente IDs oppure scegli **Crea un gruppo di sicurezza per creare un nuovo gruppo** di sicurezza. Per ulteriori informazioni sui gruppi di sicurezza, consulta la sezione [Gruppi di sicurezza per il tuo VPC nella Guida](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) per l'*utente di Amazon Virtual Private Cloud*. Per creare un gruppo di sicurezza, consulta [Creazione di un gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) nella *Amazon Virtual Private Cloud User Guide*.
**Nota**
Il tuo VPC include automaticamente un gruppo di sicurezza predefinito. Se non specifichi uno o più gruppi di sicurezza diversi all'avvio del server, associamo il gruppo di sicurezza predefinito al tuo server.
+ Per le regole in entrata per il gruppo di sicurezza, puoi configurare il traffico SSH per utilizzare le porte 22, 2222, 22000 o qualsiasi combinazione. La porta 22 è configurata per impostazione predefinita. Per utilizzare la porta 2222 o la porta 22000, aggiungi una regola in entrata al tuo gruppo di sicurezza. Per il tipo, scegli **TCP personalizzato**, quindi inserisci uno **2222** o **22000** per **Intervallo di porte** e, per l'origine, inserisci lo stesso intervallo CIDR che hai utilizzato per la regola della porta SSH 22.
+ Per le regole in entrata per il gruppo di sicurezza, configura il traffico FTPS in modo che utilizzi **Port range** **21** per il canale di controllo e **8192-8200** per il canale dati.
**Nota**
Puoi anche utilizzare la porta 2223 per i client che richiedono il «piggy-back» ACKs TCP o la possibilità che il pack finale dell'handshake TCP a 3 vie contenga anche dati.
Alcuni software client potrebbero essere incompatibili con la porta 2223, ad esempio un client che richiede al server di inviare la stringa di identificazione SFTP prima che il client lo faccia.
![\[Le regole in entrata per un gruppo di sicurezza di esempio, che mostrano una regola per SSH sulla porta 22 e Custom TCP sulla porta 2222.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/alternate-port-rule.png)
1. (Facoltativo) Per **FIPS Enabled**, selezionate la casella di controllo **FIPS Enabled Endpoint per assicurarvi che l'endpoint** sia conforme ai Federal Information Processing Standards (FIPS).
**Nota**
Gli endpoint compatibili con FIPS sono disponibili solo nelle regioni del Nord America. AWS Per le regioni disponibili, consulta gli [AWS Transfer Family endpoint](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) e le quote nel. *Riferimenti generali di AWS* Per ulteriori informazioni su FIPS, vedere [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
1. Scegli **Next (Successivo)**.
1. In **Configura dettagli aggiuntivi, procedi** come segue:
1. Per la **CloudWatch registrazione**, scegli una delle seguenti opzioni per abilitare la CloudWatch registrazione Amazon dell'attività dell'utente:
+ **Crea un nuovo ruolo** per consentire a Transfer Family di creare automaticamente il ruolo IAM, purché tu disponga delle autorizzazioni giuste per creare un nuovo ruolo. Viene chiamato `AWSTransferLoggingAccess` il ruolo IAM creato.
+ **Scegli un ruolo esistente** per scegliere un ruolo IAM esistente dal tuo account. In **Ruolo di registrazione**, scegli il ruolo. Questo ruolo IAM dovrebbe includere una politica di fiducia con **Service** impostato `transfer.amazonaws.com` su.
Per ulteriori informazioni sulla CloudWatch registrazione, vedere[Configura il CloudWatch ruolo di registrazione](configure-cw-logging-role.md).
**Nota**
Non è possibile visualizzare l'attività dell'utente finale CloudWatch se non si specifica un ruolo di registrazione.
Se non desideri impostare un ruolo di CloudWatch registrazione, seleziona **Scegli un ruolo esistente, ma non selezionare un ruolo** di registrazione.
1. Per **le opzioni relative agli algoritmi crittografici**, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso da parte del tuo server.
**Nota**
Per impostazione predefinita, la politica `TransferSecurityPolicy-2024-01` di sicurezza è collegata al server a meno che non ne scelga una diversa.
Per ulteriori informazioni sulle policy di sicurezza, consulta [Politiche di sicurezza per i server AWS Transfer Family](security-policies.md).
1. (Facoltativo: questa sezione riguarda solo la migrazione degli utenti da un server compatibile con SFTP esistente.) Per **Server Host Key, inserite una chiave** privata RSA o ECDSA che verrà utilizzata per identificare il server quando i client si connettono ad esso tramite SFTP. ED25519
1. **(Facoltativo) Per **Tag**, per **Chiave** e **Valore**, inserite uno o più tag come coppie chiave-valore, quindi scegliete Aggiungi tag.**
1. Scegli **Next (Successivo)**.
1. (Facoltativo) Per i **flussi di lavoro gestiti**, scegliete il flusso di lavoro IDs (e il ruolo corrispondente) che Transfer Family deve assumere durante l'esecuzione del flusso di lavoro. È possibile scegliere un flusso di lavoro da eseguire dopo un caricamento completo e un altro da eseguire dopo un caricamento parziale. Per ulteriori informazioni sull'elaborazione dei file utilizzando flussi di lavoro gestiti, consulta[AWS Transfer Family flussi di lavoro gestiti](transfer-workflows.md).
![\[La sezione Console dei flussi di lavoro gestiti.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/workflows-addtoserver.png)
1. In **Rivedi e crea**, esamina le tue scelte. Se:
+ Se desideri modificarne una, scegli **Modifica** accanto al passaggio.
**Nota**
Dovrai rivedere ogni passaggio dopo il passaggio che hai scelto di modificare.
+ Non apporti modifiche, scegli **Crea server** per creare il tuo server. Viene visualizzata la pagina **Servers (Server)**, mostrata di seguito, in cui è elencato il nuovo server.
Puoi scegliere l'ID del server per vedere le impostazioni dettagliate del server che hai appena creato. Dopo che la colonna ** IPv4 Indirizzo pubblico** è stata compilata, gli indirizzi IP elastici che hai fornito vengono associati correttamente all'endpoint del tuo server.
**Nota**
Quando il server in un VPC è online, solo le sottoreti possono essere modificate e solo tramite l'API. [UpdateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html) È necessario [interrompere il server](edit-server-config.md#edit-online-offline) per aggiungere o modificare gli indirizzi IP elastici dell'endpoint del server.
## Cambia il tipo di endpoint per il tuo server
Se disponi di un server esistente accessibile tramite Internet (ovvero con un tipo di endpoint pubblico), puoi cambiarne l'endpoint in un endpoint VPC.
**Nota**
Se hai un server esistente in un VPC visualizzato come`VPC_ENDPOINT`, ti consigliamo di modificarlo con il nuovo tipo di endpoint VPC. Con questo nuovo tipo di endpoint, non è più necessario utilizzare un Network Load Balancer (NLB) per associare gli indirizzi IP elastici all'endpoint del server. Inoltre, puoi utilizzare i gruppi di sicurezza VPC per limitare l'accesso all'endpoint del tuo server. Tuttavia, puoi continuare a utilizzare il tipo di `VPC_ENDPOINT` endpoint secondo necessità.
La procedura seguente presuppone che si disponga di un server che utilizza il tipo di endpoint pubblico corrente o il tipo precedente. `VPC_ENDPOINT`
**Per modificare il tipo di endpoint per il server**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Nel riquadro di navigazione, selezionare **Servers (Server)**.
1. Seleziona la casella di controllo del server di cui desideri modificare il tipo di endpoint.
**Importante**
È necessario arrestare il server prima di poter modificare l'endpoint.
1. In **Actions (Operazioni)**, scegliere **Stop (Arresta)**.
1. Nella finestra di dialogo di conferma che appare, scegli **Stop** per confermare che desideri arrestare il server.
**Nota**
Prima di procedere al passaggio successivo, nella sezione **Dettagli dell'endpoint**, attendi che lo **stato** del server passi a **Offline; l'**operazione può richiedere un paio di minuti. Potrebbe essere necessario scegliere **Aggiorna** nella pagina **Server** per visualizzare la modifica dello stato.
**Non potrai apportare modifiche finché il server non sarà offline.**
1. **Nei **dettagli dell'endpoint**, scegli Modifica.**
1. In **Modifica configurazione dell'endpoint, procedi** come segue:
1. Per **Modifica tipo di endpoint**, scegli **VPC ospitato**.
1. Per **Access**, scegli una delle seguenti opzioni:
+ **Interno** per rendere l'endpoint accessibile solo ai client che utilizzano gli indirizzi IP privati dell'endpoint.
+ **Internet Facing** per rendere l'endpoint accessibile ai clienti sulla rete Internet pubblica.
**Nota**
Quando scegli **Internet Facing**, puoi scegliere un indirizzo IP elastico esistente in ogni sottorete o sottoreti. In alternativa, puoi accedere alla console VPC ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) per allocare uno o più nuovi indirizzi IP elastici. Questi indirizzi possono essere di proprietà dell'utente AWS o dell'utente. Non puoi associare indirizzi IP elastici già in uso al tuo endpoint.
1. (Facoltativo solo per l'accesso tramite Internet) Per **Nome host personalizzato**, scegli una delle seguenti opzioni:
+ **Alias DNS Amazon Route 53**: se il nome host che desideri utilizzare è registrato con Route 53. Puoi quindi inserire il nome host.
+ **Altro DNS**: se il nome host che desideri utilizzare è registrato con un altro provider DNS. È quindi possibile inserire il nome host.
+ **Nessuno**: per utilizzare l'endpoint del server e non utilizzare un nome host personalizzato. Il nome host del server ha il formato `serverId.server.transfer.regionId.amazonaws.com`.
Per ulteriori informazioni sull'utilizzo di nomi host personalizzati, consulta. [Lavorare con nomi host personalizzati](requirements-dns.md)
1. Per **VPC**, scegli un ID VPC esistente oppure scegli Crea un VPC per creare **un nuovo VPC**.
1. Nella sezione **Zone di disponibilità, seleziona fino a tre zone** di disponibilità e le sottoreti associate. Se scegli **Internet Facing**, scegli anche un indirizzo IP elastico per ogni sottorete.
**Nota**
Se desideri il massimo di tre zone di disponibilità, ma non ce ne sono abbastanza, creale nella console VPC () [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
Se modifichi le sottoreti o gli indirizzi IP elastici, l'aggiornamento del server impiega alcuni minuti. Non è possibile salvare le modifiche fino al completamento dell'aggiornamento del server.
1. Scegli **Save** (Salva).
1. Per **Azioni**, scegli **Avvia** e attendi che lo stato del server passi a **Online**; l'operazione può richiedere un paio di minuti.
**Nota**
**Se hai cambiato un tipo di endpoint pubblico in un tipo di endpoint VPC, nota **che il tipo di endpoint** per il tuo server è cambiato in VPC.**
Il gruppo di sicurezza predefinito è collegato all'endpoint. Per modificare o aggiungere gruppi di sicurezza aggiuntivi, vedere [Creazione di gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups).
## Interruzione dell'uso di VPC\$1ENDPOINT
AWS Transfer Family ha interrotto la possibilità di creare server con nuovi account. `EndpointType=VPC_ENDPOINT` AWS A partire dal 19 maggio 2021, AWS gli account che non possiedono AWS Transfer Family server con un tipo di endpoint di non `VPC_ENDPOINT` saranno in grado di creare nuovi server con. `EndpointType=VPC_ENDPOINT` Se possiedi già server che utilizzano il tipo di `VPC_ENDPOINT` endpoint, ti consigliamo di iniziare a utilizzarli `EndpointType=VPC` il prima possibile. Per i dettagli, consulta [Aggiornare il tipo di endpoint AWS Transfer Family del server da VPC\$1ENDPOINT a VPC](https://aws.amazon.com/blogs/storage/update-your-aws-transfer-family-server-endpoint-type-from-vpc_endpoint-to-vpc/).
Abbiamo lanciato il nuovo tipo di endpoint all'inizio del 2020`VPC`. Per ulteriori informazioni, vedere [AWS Transfer Family perché SFTP supporta i gruppi di sicurezza VPC e gli indirizzi IP elastici](https://aws.amazon.com/about-aws/whats-new/2020/01/aws-transfer-for-sftp-supports-vpc-security-groups-and-elastic-ip-addresses/). Questo nuovo endpoint è più ricco di funzionalità e conveniente e non prevede costi. PrivateLink Per ulteriori informazioni, consultare [Prezzi di AWS PrivateLink ](https://aws.amazon.com/privatelink/pricing/).
Questo tipo di endpoint è funzionalmente equivalente al tipo di endpoint precedente (). `VPC_ENDPOINT` È possibile collegare gli indirizzi IP elastici direttamente all'endpoint per renderlo accessibile a Internet e utilizzare i gruppi di sicurezza per il filtraggio degli IP di origine. Per ulteriori informazioni, consulta il post sul [blog Use IP allow to secure your AWS Transfer Family for SFTP servers](https://aws.amazon.com/blogs/storage/use-ip-whitelisting-to-secure-your-aws-transfer-for-sftp-servers/).
Puoi anche ospitare questo endpoint in un ambiente VPC condiviso. Per ulteriori informazioni, vedi [AWS Transfer Family ora supporta gli ambienti VPC con servizi condivisi](https://aws.amazon.com/about-aws/whats-new/2020/11/aws-transfer-family-now-supports-shared-services-vpc-environments/).
Oltre a SFTP, puoi utilizzare il `EndpointType` VPC per abilitare FTPS e FTP. Non abbiamo intenzione di aggiungere queste funzionalità e questo supporto a. FTPS/FTP `EndpointType=VPC_ENDPOINT` Abbiamo anche rimosso questo tipo di endpoint come opzione dalla AWS Transfer Family console.
Puoi modificare il tipo di endpoint per il tuo server utilizzando la console Transfer Family AWS CLI SDKs, l'API o CloudFormation. Per modificare il tipo di endpoint del server, consulta. [Aggiornamento del tipo di endpoint AWS Transfer Family del server da VPC\$1ENDPOINT a VPC](update-endpoint-type-vpc.md)
In caso di domande, contatta Supporto AWS o contatta il team addetto AWS all'account.
**Nota**
Non abbiamo intenzione di aggiungere queste funzionalità e il supporto FTPS o FTP a =VPC\$1ENDPOINT. EndpointType Non lo offriamo più come opzione sulla console. AWS Transfer Family
Se hai altre domande, puoi contattarci tramite Supporto AWS il team del tuo account.
## Limitazione dell'accesso agli endpoint VPC per i server Transfer Family
Quando si crea un AWS Transfer Family server con un tipo di endpoint VPC, gli utenti e i responsabili IAM necessitano delle autorizzazioni per creare ed eliminare endpoint VPC. Tuttavia, le politiche di sicurezza della tua organizzazione possono limitare queste autorizzazioni. Puoi utilizzare le policy IAM per consentire la creazione e l'eliminazione di endpoint VPC specificamente per Transfer Family mantenendo le restrizioni per altri servizi.
**Importante**
La seguente policy IAM consente agli utenti di creare ed eliminare endpoint VPC solo per i server Transfer Family, negando queste operazioni per altri servizi:
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DeleteVpcEndpoints"
],
"Resource": ["*"],
"Condition": {
"ForAnyValue:StringNotLike": {
"ec2:VpceServiceName": [
"com.amazonaws.INPUT-YOUR-REGION.transfer.server.*"
]
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/INPUT-YOUR-ROLE"
]
}
}
}
```
Sostituiscila *INPUT-YOUR-REGION* con la tua AWS regione (ad esempio**us-east-1**) e *INPUT-YOUR-ROLE* con il ruolo IAM a cui desideri concedere queste autorizzazioni.
## Funzionalità di rete aggiuntive
AWS Transfer Family offre diverse funzionalità di rete avanzate che migliorano la sicurezza e la flessibilità quando si utilizzano configurazioni VPC:
+ **Supporto per l'ambiente VPC condiviso**: puoi ospitare l'endpoint del server Transfer Family in un ambiente VPC condiviso. Per ulteriori informazioni, consulta [Utilizzo di endpoint ospitati in VPC in modalità condivisa](https://aws.amazon.com/blogs/storage/using-vpc-hosted-endpoints-in-shared-vpcs-with-aws-transfer-family/) con. VPCs AWS Transfer Family
+ **Autenticazione e sicurezza**: puoi utilizzare un AWS Web Application Firewall per proteggere il tuo endpoint Amazon API Gateway. Per ulteriori informazioni, consulta [Proteggere AWS Transfer Family con AWS Web Application Firewall e Amazon API Gateway](https://aws.amazon.com/blogs/storage/securing-aws-transfer-family-with-aws-web-application-firewall-and-amazon-api-gateway/).
# Aggiornamento del tipo di endpoint AWS Transfer Family del server da VPC\$1ENDPOINT a VPC
Puoi utilizzare Console di gestione AWS CloudFormation, o l'API Transfer Family per aggiornare un server `EndpointType` da `VPC_ENDPOINT` a`VPC`. Nelle sezioni seguenti sono disponibili procedure ed esempi dettagliati per l'utilizzo di ciascuno di questi metodi per aggiornare un tipo di endpoint del server. Se disponi di server in più AWS regioni e in più AWS account, puoi utilizzare lo script di esempio fornito nella sezione seguente, con le modifiche, per identificare i server utilizzando il `VPC_ENDPOINT` tipo che dovrai aggiornare.
**Topics**
+ [Identificazione dei server utilizzando il tipo di `VPC_ENDPOINT` endpoint](#id-servers)
+ [Aggiornamento del tipo di endpoint del server utilizzando il Console di gestione AWS](#update-endpoint-console)
+ [Aggiornamento del tipo di endpoint del server tramite CloudFormation](#update-endpoint-cloudformation)
+ [Aggiornamento del server EndpointType tramite l'API](#update-endpoint-cli)
## Identificazione dei server utilizzando il tipo di `VPC_ENDPOINT` endpoint
È possibile identificare quali server `VPC_ENDPOINT` utilizzano il Console di gestione AWS.
**Per identificare i server utilizzando il tipo di `VPC_ENDPOINT` endpoint utilizzando la console**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Scegli **Server** nel riquadro di navigazione per visualizzare l'elenco dei server del tuo account in quella regione.
1. Ordina l'elenco dei server in base al **tipo di endpoint** per visualizzare tutti i server utilizzati`VPC_ENDPOINT`.
**Per identificare i server che utilizzano più `VPC_ENDPOINT` AWS regioni e account**
Se disponi di server in più AWS regioni e in più AWS account, puoi utilizzare il seguente script di esempio, con modifiche, per identificare i server che utilizzano il tipo di `VPC_ENDPOINT` endpoint. Lo script di esempio utilizza le operazioni delle [https://docs.aws.amazon.com/transfer/latest/APIReference/API_ListServers.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ListServers.html)API Amazon EC2 [DescribeRegions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRegions.html)e Transfer Family. Se disponi di molti AWS account, puoi eseguire l'autenticazione utilizzando i profili di sessione utilizzando un ruolo IAM con accesso da revisore in sola lettura se esegui l'autenticazione utilizzando i profili di sessione presso il tuo provider di identità.
1. Di seguito è riportato un semplice esempio.
```
import boto3
profile = input("Enter the name of the AWS account you'll be working in: ")
session = boto3.Session(profile_name=profile)
ec2 = session.client("ec2")
regions = ec2.describe_regions()
for region in regions['Regions']:
region_name = region['RegionName']
if region_name=='ap-northeast-3': #https://github.com/boto/boto3/issues/1943
continue
transfer = session.client("transfer", region_name=region_name)
servers = transfer.list_servers()
for server in servers['Servers']:
if server['EndpointType']=='VPC_ENDPOINT':
print(server['ServerId'], region_name)
```
1. Dopo aver ottenuto l'elenco dei server da aggiornare, è possibile utilizzare uno dei metodi descritti nelle sezioni seguenti per `EndpointType` aggiornare il file`VPC`.
## Aggiornamento del tipo di endpoint del server utilizzando il Console di gestione AWS
1. Aprire la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Nel riquadro di navigazione, selezionare **Servers (Server)**.
1. Seleziona la casella di controllo del server di cui desideri modificare il tipo di endpoint.
**Importante**
È necessario arrestare il server prima di poter modificare l'endpoint.
1. In **Actions (Operazioni)**, scegliere **Stop (Arresta)**.
1. Nella finestra di dialogo di conferma che appare, scegli **Stop** per confermare che desideri arrestare il server.
**Nota**
Prima di procedere al passaggio successivo, attendi che lo **stato** del server passi a **Offline; l'**operazione può richiedere un paio di minuti. Potrebbe essere necessario scegliere **Aggiorna** nella pagina **Server** per vedere la modifica dello stato.
1. Dopo che lo stato è passato a **Offline**, scegli il server per visualizzare la pagina dei dettagli del server.
1. Nella sezione **Dettagli dell'endpoint**, scegli **Modifica**.
1. Scegli **VPC ospitato** per il tipo di **endpoint**.
1. Seleziona **Salva**
1. Per **Azioni**, scegli **Avvia** e attendi che lo stato del server passi a **Online**; l'operazione può richiedere un paio di minuti.
## Aggiornamento del tipo di endpoint del server tramite CloudFormation
Questa sezione descrive come utilizzare CloudFormation per aggiornare un server `EndpointType` a`VPC`. Usa questa procedura per i server Transfer Family che hai distribuito utilizzando CloudFormation. In questo esempio, il CloudFormation modello originale utilizzato per distribuire il server Transfer Family è illustrato come segue:
```
AWS TemplateFormatVersion: '2010-09-09'
Description: 'Create AWS Transfer Server with VPC_ENDPOINT endpoint type'
Parameters:
SecurityGroupId:
Type: AWS::EC2::SecurityGroup::Id
SubnetIds:
Type: List
VpcId:
Type: AWS::EC2::VPC::Id
Resources:
TransferServer:
Type: AWS::Transfer::Server
Properties:
Domain: S3
EndpointDetails:
VpcEndpointId: !Ref VPCEndpoint
EndpointType: VPC_ENDPOINT
IdentityProviderType: SERVICE_MANAGED
Protocols:
- SFTP
VPCEndpoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: com.amazonaws.us-east-1.transfer.server
SecurityGroupIds:
- !Ref SecurityGroupId
SubnetIds:
- !Select [0, !Ref SubnetIds]
- !Select [1, !Ref SubnetIds]
- !Select [2, !Ref SubnetIds]
VpcEndpointType: Interface
VpcId: !Ref VpcId
```
Il modello viene aggiornato con le seguenti modifiche:
+ `EndpointType`È stato modificato in`VPC`.
+ La `AWS::EC2::VPCEndpoint` risorsa viene rimossa.
+ I `SecurityGroupId``SubnetIds`, e `VpcId` sono stati spostati nella `EndpointDetails` sezione della `AWS::Transfer::Server` risorsa,
+ La `VpcEndpointId` proprietà di `EndpointDetails` è stata rimossa.
Il modello aggiornato ha il seguente aspetto:
```
AWS TemplateFormatVersion: '2010-09-09'
Description: 'Create AWS Transfer Server with VPC endpoint type'
Parameters:
SecurityGroupId:
Type: AWS::EC2::SecurityGroup::Id
SubnetIds:
Type: List
VpcId:
Type: AWS::EC2::VPC::Id
Resources:
TransferServer:
Type: AWS::Transfer::Server
Properties:
Domain: S3
EndpointDetails:
SecurityGroupIds:
- !Ref SecurityGroupId
SubnetIds:
- !Select [0, !Ref SubnetIds]
- !Select [1, !Ref SubnetIds]
- !Select [2, !Ref SubnetIds]
VpcId: !Ref VpcId
EndpointType: VPC
IdentityProviderType: SERVICE_MANAGED
Protocols:
- SFTP
```
**Per aggiornare il tipo di endpoint dei server Transfer Family distribuiti utilizzando CloudFormation**
1. Arresta il server che desideri aggiornare utilizzando i seguenti passaggi.
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Nel riquadro di navigazione, selezionare **Servers (Server)**.
1. Seleziona la casella di controllo del server di cui desideri modificare il tipo di endpoint.
**Importante**
È necessario arrestare il server prima di poter modificare l'endpoint.
1. In **Actions (Operazioni)**, scegliere **Stop (Arresta)**.
1. Nella finestra di dialogo di conferma che appare, scegli **Stop** per confermare che desideri arrestare il server.
**Nota**
Prima di procedere al passaggio successivo, attendi che lo **stato** del server passi a **Offline; l'**operazione può richiedere un paio di minuti. Potrebbe essere necessario scegliere **Aggiorna** nella pagina **Server** per vedere la modifica dello stato.
1. Aggiorna lo stack CloudFormation
1. Apri la CloudFormation console in [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Scegli lo stack utilizzato per creare il server Transfer Family.
1. Scegliere **Aggiorna**.
1. Scegli **Sostituisci il modello corrente**
1. Carica il nuovo modello. CloudFormation I set di modifiche ti aiutano a capire in che modo le modifiche ai modelli influiranno sulle risorse in esecuzione prima di implementarle. In questo esempio, la risorsa del server di trasferimento verrà modificata e la VPCEndpoint risorsa verrà rimossa. Il server di tipo endpoint VPC crea un endpoint VPC per tuo conto, sostituendo la risorsa originale. `VPCEndpoint`
Dopo aver caricato il nuovo modello, il set di modifiche sarà simile al seguente:
![\[Mostra la pagina di anteprima del set di modifiche per la sostituzione del CloudFormation modello corrente.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/vpc-endpoint-update-cfn.png)
1. Aggiornare lo stack.
1. Una volta completato l'aggiornamento dello stack, accedi alla console di gestione di Transfer Family all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Riavvia il server. Scegli il server in cui hai eseguito l'aggiornamento CloudFormation, quindi scegli **Avvia** dal menu **Azioni**.
## Aggiornamento del server EndpointType tramite l'API
È possibile utilizzare il comando [describe-server](https://docs.aws.amazon.com/cli/latest/reference/transfer/update-server.html) o AWS CLI il [UpdateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html)comando API. Lo script di esempio seguente arresta il server Transfer Family, aggiorna EndpointType, rimuove VPC\$1ENDPOINT e avvia il server.
```
import boto3
import time
profile = input("Enter the name of the AWS account you'll be working in: ")
region_name = input("Enter the AWS Region you're working in: ")
server_id = input("Enter the AWS Transfer Server Id: ")
session = boto3.Session(profile_name=profile)
ec2 = session.client("ec2", region_name=region_name)
transfer = session.client("transfer", region_name=region_name)
group_ids=[]
transfer_description = transfer.describe_server(ServerId=server_id)
if transfer_description['Server']['EndpointType']=='VPC_ENDPOINT':
transfer_vpc_endpoint = transfer_description['Server']['EndpointDetails']['VpcEndpointId']
transfer_vpc_endpoint_descriptions = ec2.describe_vpc_endpoints(VpcEndpointIds=[transfer_vpc_endpoint])
for transfer_vpc_endpoint_description in transfer_vpc_endpoint_descriptions['VpcEndpoints']:
subnet_ids=transfer_vpc_endpoint_description['SubnetIds']
group_id_list=transfer_vpc_endpoint_description['Groups']
vpc_id=transfer_vpc_endpoint_description['VpcId']
for group_id in group_id_list:
group_ids.append(group_id['GroupId'])
if transfer_description['Server']['State']=='ONLINE':
transfer_stop = transfer.stop_server(ServerId=server_id)
print(transfer_stop)
time.sleep(300) #safe
transfer_update = transfer.update_server(ServerId=server_id,EndpointType='VPC',EndpointDetails={'SecurityGroupIds':group_ids,'SubnetIds':subnet_ids,'VpcId':vpc_id})
print(transfer_update)
time.sleep(10)
transfer_start = transfer.start_server(ServerId=server_id)
print(transfer_start)
delete_vpc_endpoint = ec2.delete_vpc_endpoints(VpcEndpointIds=[transfer_vpc_endpoint])
```
# Lavorare con nomi host personalizzati
Il *nome host del server* è il nome host che gli utenti inseriscono nei loro client quando si connettono al server. Quando lavori, puoi utilizzare un dominio personalizzato che hai registrato come nome host del server. AWS Transfer Family Ad esempio, potresti usare un hostname personalizzato come. `mysftpserver.mysubdomain.domain.com`
Per reindirizzare il traffico dal tuo dominio personalizzato registrato all'endpoint del server, puoi utilizzare Amazon Route 53 o qualsiasi provider DNS (Domain Name System). Route 53 è il servizio DNS che supporta nativamente. AWS Transfer Family
**Topics**
+ [Usa Amazon Route 53 come provider DNS](#requirements-use-r53)
+ [Usa altri provider DNS](#requirements-use-alt-dns)
+ [Nomi host personalizzati per server non creati da console](#tag-custom-hostname-cdk)
Sulla console, puoi scegliere una di queste opzioni per configurare un nome host personalizzato:
+ **Alias DNS Amazon Route 53**: se il nome host che desideri utilizzare è registrato con Route 53. Puoi quindi inserire il nome host.
+ **Altro DNS**: se il nome host che desideri utilizzare è registrato con un altro provider DNS. È quindi possibile inserire il nome host.
+ **Nessuno**: per utilizzare l'endpoint del server e non utilizzare un nome host personalizzato.
Questa opzione viene impostata quando si crea un nuovo server o si modifica la configurazione di un server esistente. Per ulteriori informazioni sulla creazione di un nuovo server, vedere[Fase 2: Creare un server compatibile con SFTP](getting-started.md#getting-started-server). Per ulteriori informazioni sulla modifica della configurazione di un server esistente, vedere[Modifica i dettagli del server](edit-server-config.md).
Per ulteriori dettagli sull'utilizzo del proprio dominio per il nome host del server e sull' AWS Transfer Family utilizzo di Route 53, consulta le seguenti sezioni.
## Usa Amazon Route 53 come provider DNS
Quando crei un server, puoi utilizzare Amazon Route 53 come provider DNS. Prima di utilizzare un dominio con Route 53, devi registrare il dominio. Per ulteriori informazioni, consulta [Come funziona la registrazione del dominio](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-domain-registration.html) nella *Amazon Route 53 Developer Guide*.
Quando utilizzi Route 53 per fornire il routing DNS al tuo server, AWS Transfer Family utilizza il nome host personalizzato che hai inserito per estrarre la zona ospitata. Quando si AWS Transfer Family estrae una zona ospitata, possono succedere tre cose:
1. Se non conosci Route 53 e non hai una zona ospitata, AWS Transfer Family aggiunge una nuova zona ospitata e un `CNAME` record. Il valore di questo `CNAME` record è il nome host dell'endpoint per il tuo server. Un *CNAME *è un nome di dominio alternativo.
1. Se hai una zona ospitata in Route 53 senza `CNAME` record, AWS Transfer Family aggiunge un `CNAME` record alla zona ospitata.
1. Se il servizio rileva che un record `CNAME` esiste già nella zona ospitata, viene visualizzato un errore che indica che un record `CNAME` esiste già. In questo caso, modifica il valore del `CNAME` record con il nome host del server.
Per ulteriori informazioni sulle zone ospitate in Route 53, consulta [Hosted zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) nella *Amazon Route 53 Developer Guide*.
## Usa altri provider DNS
Quando crei un server, puoi utilizzare anche provider DNS diversi da Amazon Route 53. Se utilizzi un provider DNS alternativo, devi accertarti che il traffico dal tuo dominio sia indirizzato all'endpoint del server .
A tale scopo, imposta il dominio sull'hostname dell'endpoint per il server.
+ Per gli IPv4 endpoint, il nome host ha il seguente aspetto nella console:
`serverid.server.transfer.region.amazonaws.com`
+ Per gli endpoint dual-stack, il nome host ha il seguente aspetto nella console:
`serverid.transfer-server.region.on.aws`
**Nota**
Se il server dispone di un endpoint VPC, il formato del nome host è diverso da quelli descritti sopra. Per trovare il tuo endpoint VPC, seleziona il VPC nella pagina dei dettagli del server, quindi seleziona l'ID dell'**endpoint VPC nella dashboard VPC**. L'endpoint è il primo nome DNS tra quelli elencati.
## Nomi host personalizzati per server non creati da console
Quando si crea un server utilizzando AWS Cloud Development Kit (AWS CDK) o tramite la CLI, è necessario aggiungere un tag se si desidera che il server abbia un nome host personalizzato. CloudFormation Quando si crea un server Transfer Family utilizzando la console, l'etichettatura viene eseguita automaticamente.
**Nota**
È inoltre necessario creare un record DNS per reindirizzare il traffico dal dominio all'endpoint del server. Per i dettagli, consulta [Lavorare con i record](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html) nella *Amazon Route 53 Developer Guide*.
Usa le seguenti chiavi per il tuo nome host personalizzato:
+ Aggiungi `transfer:customHostname` per visualizzare il nome host personalizzato nella console.
+ Se utilizzi Route 53 come provider DNS, aggiungi. `transfer:route53HostedZoneId` Questo tag collega il nome host personalizzato all'ID della zona ospitata della Route 53.
Per aggiungere il nome host personalizzato, emettete il seguente comando CLI.
```
aws transfer tag-resource --arn arn:aws:transfer:region:Account AWS:server/server-ID --tags Key=transfer:customHostname,Value="custom-host-name"
```
Esempio:
```
aws transfer tag-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0 --tags Key=transfer:customHostname,Value="abc.example.com"
```
Se utilizzi Route 53, esegui il seguente comando per collegare il tuo hostname personalizzato al tuo ID della zona ospitata di Route 53.
```
aws transfer tag-resource --arn server-ARN:server/server-ID --tags Key=transfer:route53HostedZoneId,Value=HOSTED-ZONE-ID
```
Esempio:
```
aws transfer tag-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0 --tags Key=transfer:route53HostedZoneId,Value=ABCDE1111222233334444
```
Supponendo i valori di esempio del comando precedente, esegui il comando seguente per visualizzare i tag:
```
aws transfer list-tags-for-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0
```
```
"Tags": [
{
"Key": "transfer:route53HostedZoneId",
"Value": "/hostedzone/ABCDE1111222233334444"
},
{
"Key": "transfer:customHostname",
"Value": "abc.example.com"
}
]
```
**Nota**
Le tue zone pubbliche ospitate e le relative zone IDs sono disponibili su Amazon Route 53.
Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).
## Considerazioni su FTP e FTPS Network Load Balancer
Sebbene consigliamo di evitare i Network Load Balancer davanti ai AWS Transfer Family server, se l'implementazione FTP o FTPS richiede un NLB o NAT nel percorso di comunicazione del client, segui questi consigli:
+ Per un NLB, utilizzate la porta 21 per i controlli sanitari, anziché le porte 8192-8200.
+ Per il AWS Transfer Family server, abilita la ripresa della sessione TLS impostando. `TlsSessionResumptionMode = ENFORCED`
**Nota**
Questa è la modalità consigliata, in quanto offre una maggiore sicurezza:
Richiede ai client di utilizzare la ripresa della sessione TLS per le connessioni successive.
Fornisce garanzie di sicurezza più solide garantendo parametri di crittografia coerenti.
Aiuta a prevenire potenziali attacchi di downgrade.
Mantiene la conformità agli standard di sicurezza ottimizzando al contempo le prestazioni.
+ Se possibile, abbandona l'utilizzo di un NLB per sfruttare appieno i limiti di AWS Transfer Family prestazioni e connessione.
Per ulteriori indicazioni sulle alternative NLB, contatta il team di gestione dei AWS Transfer Family prodotti tramite Support AWS . Per ulteriori informazioni su come migliorare il livello di sicurezza, consulta il post sul blog [Sei suggerimenti per migliorare la sicurezza del](https://aws.amazon.com/blogs/security/six-tips-to-improve-the-security-of-your-aws-transfer-family-server/) tuo server. AWS Transfer Family
Le linee guida sulla sicurezza per NLBs sono fornite in[Evita NLBs di posizionarlo NATs davanti AWS Transfer Family ai server](infrastructure-security.md#nlb-considerations).
# Trasferimento di file su un endpoint server utilizzando un client
I file vengono trasferiti tramite il AWS Transfer Family servizio specificando l'operazione di trasferimento in un client. AWS Transfer Family supporta i seguenti client:
+ Supportiamo la versione 3 del protocollo SFTP.
+ OpenSSH (macOS e Linux)
**Nota**
Questo client funziona solo con server abilitati per Secure Shell (SSH) File Transfer Protocol (SFTP).
+ WinSCP (solo Microsoft Windows)
+ Cyberduck (Windows, macOS e Linux)
+ FileZilla (Windows, macOS e Linux)
Le seguenti limitazioni si applicano a tutti i client:
+ Il protocollo SCP non è supportato, in quanto considerato non sicuro. È possibile utilizzare il comando `scp` OpenSSH come descritto in. [Utilizzo del comando `scp`](#openssh-scp)
+ Il numero massimo di sessioni SFTP simultanee multiplex per connessione è 10.
+ Per le connessioni inattive, il valore di timeout è 1800 secondi (30 minuti) per tutti i protocolli (). SFTP/FTP/FTPS Se non vi è alcuna attività dopo questo periodo, il client potrebbe essere disconnesso. Per le connessioni che non rispondono:
+ SFTP ha un timeout di 300 secondi (5 minuti) quando un client non risponde completamente.
+ FTPS e FTP hanno un timeout di non risposta di circa 10 minuti gestito dalla libreria sottostante.
+ Amazon S3 e Amazon EFS (a causa del NFSv4 protocollo) richiedono che i nomi dei file abbiano la codifica UTF-8. L'utilizzo di codifiche diverse può portare a risultati imprevisti. Per Amazon S3, consulta le linee guida per la [denominazione delle chiavi degli oggetti](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-keys.html#object-key-guidelines).
+ Per File Transfer Protocol over SSL (FTPS), è supportata solo la modalità Explicit. La modalità implicita non è supportata.
+ Per File Transfer Protocol (FTP) e FTPS, è supportata solo la modalità Passiva.
+ Per FTP e FTPS, è supportata solo la modalità STREAM.
+ Per FTP e FTPS, è supportata solo Image/Binary la modalità.
+ Per FTP e FTPS, TLS - PROT C (non protetto) TLS per la connessione dati è l'impostazione predefinita, ma PROT C non è supportato nel protocollo FTPS. AWS Transfer Family Quindi, per FTPS, è necessario emettere PROT P affinché le operazioni relative ai dati vengano accettate.
+ Se utilizzi Amazon S3 per lo storage del tuo server e se il tuo client contiene un'opzione per utilizzare più connessioni per un singolo trasferimento, assicurati di disabilitare l'opzione. Altrimenti, i caricamenti di file di grandi dimensioni possono fallire in modi imprevedibili. Tieni presente che se utilizzi Amazon EFS come backend di storage, EFS *supporta* più connessioni per un singolo trasferimento.
Di seguito è riportato un elenco di comandi disponibili per FTP e FTPS:
| Comandi disponibili |
| --- |
| LABOR | PRODEZZA | MAGGIOR PARTE | PASSARE | RETR | STORMO |
| AUTENTICAZIONE | LANG | MKD | PASV | RMD | STOU |
| COPPA | LIST | MODE | PBSZ | RNFR | STRU |
| CWD | MDTM | NST | PORTO | AFFITTARE | CISTI |
| DELE | MFMT | NOOP | PWD | SIZE | TYPE |
| EPSV | MLSD | OPTA | QUIT | SUBITO | UTENTE |
**Nota**
APPE non è supportato.
Per SFTP, le seguenti operazioni non sono attualmente supportate per gli utenti che utilizzano la home directory logica su server che utilizzano Amazon Elastic File System (Amazon EFS).
| Comandi SFTP non supportati |
| --- |
| LINK SSH\$1FXP\$1READ | SSH\$1FXP\$1LINK | SSH\$1FXP\$1STAT quando il file richiesto è un collegamento simbolico | SSH\$1FXP\$1REALPATH quando il percorso richiesto contiene componenti symlink |
**Genera una coppia di chiavi pubblica-privata**
Prima di poter trasferire un file, è necessario disporre di una coppia di chiavi pubblica-privata. Se non hai mai generato una key pair in precedenza, vedi[Genera chiavi SSH per utenti gestiti dal servizio](sshkeygen.md).
**Topics**
+ [SFTP/FTPS/FTPComandi disponibili](#transfer-sftp-commands)
+ [Trova il tuo endpoint Amazon VPC](#find-vpc-endpoint)
+ [`setstat`Evita gli errori](#avoid-set-stat)
+ [Usa OpenSSH](#openssh)
+ [Usa WinSCP](#winscp)
+ [Usa Cyberduck](#cyberduck)
+ [Usa FileZilla](#filezilla)
+ [Usa un client Perl](#using-clients-with-perl-modules)
+ [Usa LFTP](#using-client-lftp)
+ [Elaborazione successiva al caricamento](#post-processing-upload)
+ [Messaggi SFTP](#sftp-transfer-activity-types)
## SFTP/FTPS/FTPComandi disponibili
La tabella seguente descrive i comandi disponibili per AWS Transfer Family, per i protocolli SFTP, FTPS e FTP.
**Nota**
La tabella menziona *file* e *directory* per Amazon S3, che supporta solo bucket e oggetti: non esiste una gerarchia. Tuttavia, puoi utilizzare prefissi nei nomi delle chiavi degli oggetti per implicare una gerarchia e organizzare i dati in modo simile alle cartelle. Questo comportamento è descritto in [Utilizzo dei metadati degli oggetti](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingMetadata.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
**Comandi SFTP/FTPS/FTP**
| Comando | Simple Storage Service (Amazon S3) | Amazon EFS |
| --- | --- | --- |
| cd | Supportata | Supportata |
| chgrp | Non supportata | Supportato (rooto owner solo) |
| chmod | Non supportata | Supportato (rootsolo) |
| chmtime | Non supportata | Supportata |
| chown | Non supportata | Supportato (rootsolo) |
| get | Supportata | Supportato (inclusa la risoluzione dei link simbolici) |
| ln -s | Non supportata | Supportato |
| ls/dir | Supportato | Supportato |
| mkdir | Supportato | Supportato |
| put | Supportato | Supportato |
| pwd | Supportato | Supportata |
| rename | Supportato solo per i file La ridenominazione che sovrascriverebbe un file esistente non è supportata. | Supportata La ridenominazione che sovrascriverebbe un file o una directory esistente non è supportata. |
| rm | Supportata | Supportata |
| rmdir | Supportato (solo cartelle vuote) | Supportata |
| version | Supportato | Supportata |
## Trova il tuo endpoint Amazon VPC
Se il tipo di endpoint per il server Transfer Family è VPC, identificare l'endpoint da utilizzare per il trasferimento dei file non è semplice. In questo caso, usa la seguente procedura per trovare il tuo endpoint Amazon VPC.
**Per trovare il tuo endpoint Amazon VPC**
1. Vai alla pagina dei dettagli del tuo server.
1. Nel riquadro dei **dettagli dell'endpoint**, seleziona il **VPC.**
![\[\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/server-details-endpoint-vpc.png)
1. Nella dashboard di Amazon VPC, seleziona l'ID dell'endpoint **VPC**.
1. Nell'elenco dei **nomi DNS**, l'endpoint del server è il primo elencato.
![\[\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/server-details-endpoint-vpc-2.png)
## `setstat`Evita gli errori
Alcuni client di trasferimento di file SFTP possono tentare di modificare gli attributi dei file remoti, inclusi timestamp e autorizzazioni, utilizzando comandi come SETSTAT durante il caricamento del file. Tuttavia, questi comandi non sono compatibili con i sistemi di archiviazione degli oggetti, come Amazon S3. A causa di questa incompatibilità, i caricamenti di file da questi client possono causare errori anche quando il file viene caricato correttamente.
+ Quando chiami l'`UpdateServer`API `CreateServer` o, utilizza l'`ProtocolDetails`opzione `SetStatOption` per ignorare l'errore generato quando il client tenta di utilizzare SETSTAT su un file che stai caricando in un bucket S3.
+ Impostare il valore su `ENABLE_NO_OP` per fare in modo che il server Transfer Family ignori il comando SETSTAT e carichi i file senza che sia necessario modificare il client SFTP.
+ *Tieni presente che, sebbene l'`SetStatOption``ENABLE_NO_OP`impostazione ignori l'errore, genera una voce di registro in CloudWatch Logs, in modo da poter determinare quando il client sta effettuando una chiamata SETSTAT.*
Per i dettagli dell'API per questa opzione, consulta. [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
## Usa OpenSSH
Questa sezione contiene le istruzioni per trasferire file dalla riga di comando utilizzando OpenSSH.
**Nota**
Questo client funziona solo con un server compatibile con SFTP.
**Topics**
+ [Utilizzo di OpenSSH](#openssh-use)
+ [Utilizzo del comando `scp`](#openssh-scp)
### Utilizzo di OpenSSH
**Per trasferire file AWS Transfer Family utilizzando l'utilità da riga di comando OpenSSH**
1. Su Linux, macOS o Windows, apri un terminale di comando.
1. Al prompt, inserisci il seguente comando:
`sftp -i transfer-key sftp_user@service_endpoint`
Nel comando precedente, `sftp_user` è il nome utente e la chiave `transfer-key` privata SSH. Qui `service_endpoint` è l'endpoint del server come mostrato nella AWS Transfer Family console per il server selezionato.
**Nota**
Questo comando utilizza le impostazioni presenti nel `ssh_config` file predefinito. A meno che non abbiate precedentemente modificato questo file, SFTP utilizza la porta 22. È possibile specificare una porta diversa (ad esempio 2222) aggiungendo un **-P** flag al comando, come segue.
```
sftp -P 2222 -i transfer-key sftp_user@service_endpoint
```
In alternativa, se desideri utilizzare sempre la porta 2222 o la porta 22000, puoi aggiornare la porta predefinita nel `ssh_config` file.
Viene visualizzato un prompt `sftp`.
1. (Facoltativo) Per visualizzare la home directory dell'utente, immettete il seguente comando al `sftp` prompt:
`pwd`
1. Per caricare un file dal tuo file system al server Transfer Family, usa il `put` comando. Ad esempio, per caricare `hello.txt` (supponendo che il file si trovi nella directory corrente del file system), esegui il comando seguente al `sftp` prompt:
`put hello.txt`
Viene visualizzato un messaggio simile al seguente, che indica che il trasferimento del file è in corso o completato.
`Uploading hello.txt to /amzn-s3-demo-bucket/home/sftp_user/hello.txt`
`hello.txt 100% 127 0.1KB/s 00:00`
**Nota**
Dopo la creazione del server, possono essere necessari alcuni minuti prima che il nome host dell'endpoint del server sia risolvibile dal servizio DNS dell'ambiente in uso.
### Utilizzo del comando `scp`
Transfer Family non supporta il protocollo SCP. Tuttavia, puoi usare il comando `scp` OpenSSH se hai bisogno di questa funzionalità.
Il consiglio per usare SCP su SFTP è di usare OpenSSH versione 9.0 o successiva. In OpenSSH versione 9 e successive, `scp` il comando utilizza per impostazione predefinita il protocollo SFTP per i trasferimenti di file anziché il protocollo SCP legacy.
**Importante**
Assicurati che il tuo server Transfer Family sia configurato per utilizzare l'accesso alle directory ottimizzato per S3.
## Usa WinSCP
Utilizza le istruzioni che seguono per trasferire i file dalla riga di comando tramite WinSCP.
**Nota**
Se utilizzi WinSCP 5.19, puoi connetterti direttamente ad Amazon S3 utilizzando le tue credenziali e i tuoi file. AWS upload/download Per ulteriori dettagli, consulta [Connessione al servizio Amazon S3](https://winscp.net/eng/docs/guide_amazon_s3).
**Per trasferire file AWS Transfer Family tramite WinSCP**
1. Aprire il client WinSCP.
1. **Nella finestra di dialogo di **accesso**, per **File protocol, scegli un protocollo**: **SFTP o FTP**.**
Se avete scelto FTP, per la **crittografia** scegliete una delle seguenti opzioni:
+ **Nessuna crittografia per FTP**
+ **TLS/SSL** Crittografia esplicita per FTPS
1. Per **Host name (Nome host)**, immettere l'endpoint del server. **L'endpoint del server si trova nella pagina dei dettagli del server.** Per ulteriori informazioni, consulta [Visualizza i dettagli dei server SFTP, FTPS e FTP](configuring-servers-view-info.md).
Se il tuo server utilizza un endpoint VPC, vedi. [Trova il tuo endpoint Amazon VPC](#find-vpc-endpoint)
1. Per **Numero di porta**, inserisci quanto segue:
+ **22**per SFTP
+ **21**per FTP/FTPS
1. Per **Nome utente**, inserisci il nome dell'utente che hai creato per il tuo provider di identità specifico.
**Suggerimento:** il nome utente deve essere uno degli utenti che hai creato o configurato per il tuo provider di identità. AWS Transfer Family fornisce i seguenti provider di identità:
+ [Lavorare con utenti gestiti dal servizio](service-managed-users.md)
+ [Utilizzo di AWS Directory Service per Microsoft Active Directory](directory-services-users.md)
+ [Lavorare con provider di identità personalizzati](custom-idp-intro.md)
1. Scegliete **Avanzate** per aprire la finestra di dialogo **Impostazioni avanzate del sito**. Nella sezione **SSH**, scegli **Autenticazione**.
1. Per il **file della chiave privata**, cerca e scegli il file della chiave privata SSH dal tuo file system.
**Se WinSCP offre la possibilità di convertire la chiave privata SSH nel formato PPK, scegliete OK.**
1. Scegliere **OK** per tornare alla finestra di dialogo **Login (Accesso)**, quindi selezionare **Save (Salva)**.
1. Nella finestra di dialogo **Salva sessione come sito**, scegliete **OK** per completare la configurazione della connessione.
1. Nella finestra di dialogo di **accesso**, scegliete **Strumenti**, quindi scegliete **Preferenze**.
1. Nella finestra di dialogo **Preferenze**, per **Trasferimento**, scegliete **Resistenza**.
**Per l'opzione **Abilita il trasferimento resume/transfer al nome di file temporaneo per, scegliete Disabilita**.**
**Importante**
Se lasci questa opzione abilitata, aumenta i costi di caricamento, diminuendo notevolmente le prestazioni di caricamento. Inoltre, può causare errori nel caricamento di file di grandi dimensioni.
1. Per **Trasferimento**, scegliete **Sfondo** e deselezionate la casella di controllo **Usa più connessioni per un singolo trasferimento**.
**Suggerimento:** se lasci selezionata questa opzione, i caricamenti di file di grandi dimensioni possono fallire in modi imprevedibili. Ad esempio, è possibile creare caricamenti multiparte orfani che prevedono costi per Amazon S3. Può verificarsi anche un danneggiamento silenzioso dei dati.
1. Esegui il trasferimento dei file.
È possibile utilizzare drag-and-drop metodi per copiare i file tra la finestra di destinazione e quella di origine. È possibile utilizzare le icone della barra degli strumenti per caricare, scaricare, eliminare, modificare o modificare le proprietà dei file in WinSCP.
**Nota**
Questa nota non si applica se utilizzi Amazon EFS per lo storage.
I comandi che tentano di modificare gli attributi dei file remoti, inclusi i timestamp, non sono compatibili con i sistemi di storage di oggetti come Amazon S3. Pertanto, se utilizzi Amazon S3 per lo storage, assicurati di disabilitare le impostazioni del timestamp WinSCP (o di utilizzarle `SetStatOption` come descritto in) prima di eseguire i trasferimenti di file. [`setstat`Evita gli errori](#avoid-set-stat) A tale scopo, nella finestra di dialogo delle impostazioni di **WinSCP Transfer**, disabilitate **l'opzione di caricamento Set permissions e **l'****opzione comune Preserve timestamp.
## Usa Cyberduck
Utilizza le istruzioni che seguono per trasferire i file dalla riga di comando tramite Cyberduck.
**Per trasferire file tramite Cyberduck AWS Transfer Family**
1. Apri il client [Cyberduck](https://cyberduck.io/download/).
1. Scegli **Apri** connessione.
1. **Nella finestra di dialogo **Apri connessione**, scegliete un protocollo: **SFTP (SSH File Transfer Protocol)**, **FTP-SSL (Explicit AUTH TLS) o FTP (File Transfer Protocol)**.**
1. **Per Server, inserite l'endpoint del server.** L'endpoint del server si trova nella pagina dei **dettagli del server**. Per ulteriori informazioni, consulta [Visualizza i dettagli dei server SFTP, FTPS e FTP](configuring-servers-view-info.md).
Se il tuo server utilizza un endpoint VPC, vedi. [Trova il tuo endpoint Amazon VPC](#find-vpc-endpoint)
1. Per **Numero di porta**, inserisci quanto segue:
+ **22**per SFTP
+ **21**per FTP/FTPS
1. Per **Username (Nome utente)**, immettere il nome per l'utente creato in [Gestione degli utenti per gli endpoint del server](create-user.md).
1. Se è selezionato SFTP, per **Chiave privata SSH, scegli o inserisci la chiave privata** SSH.
1. Scegli **Connetti**.
1. Esegui il trasferimento dei file.
In base alla posizione dei file, eseguire una delle seguenti operazioni:
+ Nella tua directory locale (l'origine), scegli i file che desideri trasferire e trascinali nella directory Amazon S3 (la destinazione).
+ Nella directory Amazon S3 (l'origine), scegli i file che desideri trasferire e trascinali nella tua directory locale (la destinazione).
## Usa FileZilla
Usa le istruzioni che seguono per trasferire file utilizzando FileZilla.
**FileZilla Per configurare un trasferimento di file**
1. Apri il FileZilla client.
1. Scegli **File**, quindi scegli **Site Manager**.
1. Nella finestra di dialogo **Gestione siti**, scegliete **Nuovo sito**.
1. Nella scheda **Generale**, per **Protocollo**, scegliete un protocollo: **SFTP** o **FTP**.
Se avete scelto FTP, per la **crittografia** scegliete una delle seguenti opzioni:
+ **Usa solo FTP semplice (non sicuro)**, per FTP
+ **Utilizzate l'FTP esplicito su TLS**, se disponibile, per FTPS
1. Come **nome host**, inserisci il protocollo che stai utilizzando, seguito dall'endpoint del server. L'endpoint del server si trova nella pagina dei **dettagli del server**. Per ulteriori informazioni, consulta [Visualizza i dettagli dei server SFTP, FTPS e FTP](configuring-servers-view-info.md).
+ Se utilizzi SFTP, inserisci: `sftp://hostname`
+ Se utilizzi FTPS, inserisci: `ftps://hostname`
Assicurati di sostituirlo *hostname* con l'endpoint del server attuale.
Se il tuo server utilizza un endpoint VPC, vedi. [Trova il tuo endpoint Amazon VPC](#find-vpc-endpoint)
1. Per **Numero di porta**, inserisci quanto segue:
+ **22**per SFTP
+ **21**per FTP/FTPS
1. **Se è selezionato SFTP, per **Tipo di accesso, scegliete File chiave**.**
Per **File chiave**, scegli o inserisci la chiave privata SSH.
1. Per **Utente**, inserisci il nome dell'utente in [Gestione degli utenti per gli endpoint del server](create-user.md) cui hai creato.
1. Scegli **Connetti**.
1. Esegui il trasferimento del file.
**Nota**
Se interrompi un trasferimento di file in corso, AWS Transfer Family potresti scrivere un oggetto parziale nel tuo bucket Amazon S3. Se interrompi un caricamento, verifica che la dimensione del file nel bucket Amazon S3 corrisponda alla dimensione del file dell'oggetto sorgente prima di continuare.
## Usa un client Perl
Se si utilizza il client NET::SFTP::Foreign perl, è necessario impostare su. `queue_size` `1` Esempio:
`my $sftp = Net::SFTP::Foreign->new('user@s-12345.server.transfer.us-east-2.amazonaws.com', queue_size => 1);`
**Nota**
[Questa soluzione alternativa è necessaria per le revisioni `Net::SFTP::Foreign` precedenti alla 1.92.02.](https://metacpan.org/changes/release/SALVA/Net-SFTP-Foreign-1.93#L12)
## Usa LFTP
LFTP è un client FTP gratuito che consente agli utenti di eseguire trasferimenti di file tramite l'interfaccia a riga di comando dalla maggior parte delle macchine Linux.
Per i download di file di grandi dimensioni, LFTP presenta un problema noto con i pacchetti non funzionanti, che causa il fallimento del trasferimento dei file.
## Elaborazione successiva al caricamento
Puoi visualizzare le informazioni di elaborazione post-caricamento, inclusi i metadati degli oggetti Amazon S3 e le notifiche degli eventi.
**Topics**
+ [Metadati degli oggetti Amazon S3](#post-processing-S3-object-metadata)
+ [Notifiche di eventi Amazon S3](#post-processing-S3-event-notifications)
### Metadati degli oggetti Amazon S3
Come parte dei metadati del tuo oggetto, vedi una chiave chiamata `x-amz-meta-user-agent` il cui valore è `AWSTransfer` e `x-amz-meta-user-agent-id` il cui valore è. `username@server-id` `username`È l'utente Transfer Family che ha caricato il file ed `server-id` è il server utilizzato per il caricamento. È possibile accedere a queste informazioni utilizzando l'[HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectHEAD.html)operazione sull'oggetto S3 all'interno della funzione Lambda.
![\[La schermata Metadati che mostra informazioni sui metadati degli oggetti Amazon S3 per. AWS Transfer Family\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/s3-object-metadata.png)
### Notifiche di eventi Amazon S3
Quando un oggetto viene caricato nel tuo bucket S3 utilizzando Transfer Family, `RoleSessionName` è contenuto nel campo Requester nella struttura di notifica degli [eventi S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/notification-content-structure.html) come. `[AWS:Role Unique Identifier]/username.sessionid@server-id` Ad esempio, di seguito sono riportati i contenuti di un campo Requester di esempio da un log di accesso S3 per un file che è stato copiato nel bucket S3.
`arn:aws:sts::AWS-Account-ID:assumed-role/IamRoleName/username.sessionid@server-id`
Nel campo Requester riportato sopra, mostra il ruolo IAM chiamato. `IamRoleName` Per ulteriori informazioni sulla configurazione delle notifiche degli eventi S3, consulta la sezione [Configurazione delle notifiche degli eventi di Amazon S3 nella Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/dev/NotificationHowTo.html) *Storage Service Developer Guide*. *Per ulteriori informazioni sugli identificatori univoci dei ruoli AWS Identity and Access Management (IAM), consulta Identificatori univoci nella Guida per l'[utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids).AWS Identity and Access Management *
## Messaggi SFTP
Questa sezione descrive i messaggi lato client che è possibile ricevere durante o dopo i trasferimenti di file SFTP quando si utilizza un server Transfer Family. Per ulteriori informazioni su qualsiasi evento SFTP, controllate i log del client SFTP. È possibile utilizzare tali informazioni per risolvere eventuali errori o inoltrare tali informazioni al team di rete per aiutarlo a identificare il problema.
**Messaggi SFTP lato client**
| Attività | Description |
| --- | --- |
| AUTH\$1FAILURE | L'utente non è riuscito a eseguire l'autenticazione. Può trattarsi di qualsiasi tipo di errore causato da un provider di identità personalizzato o da un utente gestito dal servizio. I dettagli dell'evento aiutano a chiarire la causa principale dell'errore. |
| CLOSE | Indica che un file o una directory aperti sono stati chiusi correttamente. |
| CONNESSO/DISCONNESSO | Indica il normale successo della connessione e le disconnessioni. |
| CREATE\$1SYMLINK | È stato creato un collegamento simbolico (con successo o meno). |
| DELETE | Un file è stato eliminato (con successo o meno). |
| ERRORE | Un errore generale e imprevisto. La descrizione associata contiene informazioni che possono aiutare l'utente o gli amministratori di rete a identificare il problema specifico. |
| EXIT\$1REASON | Emesso quando un errore imprevisto ha causato l'interruzione della sessione SFTP. Il messaggio associato all'evento descrive la causa. |
| MKDIR | È stata creata una cartella (con successo o meno). |
| APERTO | Un file è stato aperto per la lettura o la scrittura (con successo o senza successo) |
| CHIUSURA\$1PARZIALE | Il client si è disconnesso dal server mentre un file era ancora aperto senza ricevere alcun messaggio CLOSE. Transfer Family archivia la parte ricevuta del file (che potrebbe in effetti essere il file completo) ed emette l'evento PARTIAL\$1CLOSE per avvisare il cliente del problema. L'integrazione dei flussi di lavoro riceve anche un onPartialClose evento per gestire il file in modo appropriato. |
| RENAME | Un file è stato rinominato (con successo o meno) |
| RMDIR | Una directory è stata eliminata (con successo o meno) |
| SETSTAT | Gli attributi di un file vengono modificati (con successo o meno). Transfer Family non supporta SETSTAT se utilizzi Amazon S3 per lo storage. La [`setstat`Evita gli errori](#avoid-set-stat) sezione fornisce dettagli su come evitare `SetStat` errori disattivando l'impostazione. In questo modo si evita di ricevere un messaggio`fail unsupported error`: invece, si riceve un `success but do nothing` messaggio. |
| TLS\$1RESUME\$1FAILURE | Il server è configurato per imporre la ripresa della sessione TLS e il client non la supporta. |
# Gestione degli utenti per gli endpoint del server
Nelle sezioni seguenti, puoi trovare informazioni su come aggiungere utenti utilizzando AWS Transfer Family AWS Directory Service for Microsoft Active Directory o un provider di identità personalizzato.
Come parte delle proprietà di ogni utente, puoi anche archiviare la chiave pubblica SSH (Secure Shell) dell'utente. Questa operazione è necessaria per l'autenticazione basata su chiavi. La chiave privata viene archiviata localmente sul computer dell'utente. Quando l'utente invia una richiesta di autenticazione al server utilizzando un client, il server conferma innanzitutto che l'utente ha accesso alla chiave privata SSH associata. Il server quindi autentica correttamente l'utente.
**Nota**
Per la distribuzione e la gestione automatizzate degli utenti con più chiavi SSH, vedere. [Moduli Transfer Family Terraform](terraform.md)
Inoltre, si specifica la home directory o la directory di destinazione di un utente e si assegna un ruolo AWS Identity and Access Management (IAM) all'utente. Facoltativamente, puoi fornire una politica di sessione per limitare l'accesso degli utenti solo alla home directory del tuo bucket Amazon S3.
**Importante**
AWS Transfer Family impedisce ai nomi utente di 1 o 2 caratteri di autenticarsi sui server SFTP. Inoltre, blocchiamo anche il nome utente. `root`
Il motivo alla base di ciò è dovuto all'elevato volume di tentativi di accesso malevoli da parte degli scanner di password.
## Confronto tra Amazon EFS e Amazon S3
Caratteristiche di ciascuna opzione di storage:
+ Per limitare l'accesso: Amazon S3 supporta le policy di sessione; Amazon EFS supporta utenti, gruppi e gruppi secondari POSIX IDs
+ Entrambi i tasti di supporto public/private
+ Entrambi supportano le home directory
+ Entrambi supportano le directory logiche
**Nota**
Per Amazon S3, la maggior parte del supporto per le directory logiche avviene tramite API/CLI. Puoi utilizzare la casella di controllo **Restricted** nella console per bloccare un utente nella sua home directory, ma non puoi specificare una struttura di directory virtuale.
## Directory logiche
Se si specificano valori di directory logica per l'utente, il parametro utilizzato dipende dal tipo di utente.
+ Per gli utenti gestiti dal servizio, fornisci i valori della directory logica in. `HomeDirectoryMappings`
+ Per gli utenti di provider di identità personalizzati, fornisci i valori della directory logica in. `HomeDirectoryDetails`
AWS Transfer Family supporta la specificazione di un HomeDirectory valore quando si utilizza HomeDirectoryType LOGICAL. Ciò si applica agli utenti di Service Managed, all'accesso ad Active Directory e alle implementazioni di Custom Identity Provider, laddove HomeDirectoryDetails siano forniti nella risposta.
**Importante**
Quando si specifica un HomeDirectory con LOGICAL HomeDirectoryType, il valore deve essere mappato a una delle mappature delle directory logiche. Il servizio lo convalida sia durante la creazione degli utenti che durante gli aggiornamenti per evitare configurazioni che non funzionerebbero.
### Comportamento predefinito
Per impostazione predefinita, se non viene specificato, HomeDirectory è impostato su «/» per la modalità LOGICAL. Questo comportamento rimane invariato e rimane compatibile con le definizioni utente esistenti.
+ Assicurati di associare il tuo nome HomeDirectory a un *Entry* e non a un *Target*. Per ulteriori dettagli, consultare [Regole per l'utilizzo delle directory logiche](logical-dir-mappings.md#logical-dir-rules).
+ Per i dettagli su come è strutturata una directory virtuale, vedi[Struttura delle directory virtuali](implement-log-dirs.md#virtual-dirs).
### Considerazioni relative a Custom Identity Provider
Quando si utilizza un provider di identità personalizzato, ora è possibile specificare un HomeDirectory nella risposta mentre si utilizza HomeDirectoryType LOGICAL. La chiamata TestIdentityProvider API produrrà risultati corretti quando l'IDP personalizzato specifica un HomeDirectory in modalità LOGICAL.
Esempio di risposta IDP personalizzata con HomeDirectory e LOGICAL: HomeDirectoryType
```
{
"Role": "arn:aws:iam::123456789012:role/transfer-user-role",
"HomeDirectoryType": "LOGICAL",
"HomeDirectory": "/marketing",
"HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}
```
## Quote di gruppo Active Directory
AWS Transfer Family ha un limite predefinito di 100 gruppi di Active Directory per server. Se il tuo caso d'uso richiede più di 100 gruppi, prendi in considerazione l'utilizzo di una soluzione di provider di identità personalizzata, come descritto in [Semplificare l'autenticazione di Active Directory con un provider di identità personalizzato per AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/).
Questo limite si applica ai server che utilizzano i seguenti provider di identità:
+ AWS Directory Service per Microsoft Active Directory
+ AWS Directory Service per Entra ID Domain Services
Se devi richiedere un aumento del limite di servizio, consulta le [Servizio AWS quote](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) nel *Riferimenti generali di AWS*. Se il tuo caso d'uso richiede più di 100 gruppi, prendi in considerazione l'utilizzo di una soluzione di provider di identità personalizzata, come descritto in [Semplificare l'autenticazione di Active Directory con un provider di identità personalizzato per AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/).
Per informazioni sulla risoluzione dei problemi relative ai limiti dei gruppi di Active Directory, consulta[I limiti dei gruppi di Active Directory sono stati superati](auth-issues.md#managed-ad-group-limits).
**Topics**
+ [Confronto tra Amazon EFS e Amazon S3](#efs-vs-s3-users)
+ [Directory logiche](#logical-dir-users)
+ [Quote di gruppo Active Directory](#ad-group-quotas)
+ [Lavorare con utenti gestiti dal servizio](service-managed-users.md)
+ [Lavorare con provider di identità personalizzati](custom-idp-intro.md)
+ [Utilizzo di AWS Directory Service per Microsoft Active Directory](directory-services-users.md)
+ [Utilizzo di AWS Directory Service per Entra ID Domain Services](azure-sftp.md)
# Lavorare con utenti gestiti dal servizio
**Puoi aggiungere utenti gestiti dal servizio Amazon S3 o Amazon EFS al tuo server, a seconda dell'impostazione del dominio del server.** Per ulteriori informazioni, consulta [Configurazione di un endpoint server SFTP, FTPS o FTP](tf-server-endpoint.md).
Se utilizzi un tipo di identità gestita dal servizio, aggiungi utenti al tuo server abilitato al protocollo di trasferimento file. In tal caso, ogni nome utente deve essere univoco sul server.
Per aggiungere un utente gestito dal servizio a livello di codice, consulta l'[esempio](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html#API_CreateUser_Examples) relativo all'API. [CreateUser](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html)
**Nota**
Per gli utenti gestiti dal servizio è previsto un limite di 2.000 voci della directory logica. Per informazioni sull'utilizzo delle directory logiche, vedere. [Utilizzo di directory logiche per semplificare le strutture di directory Transfer Family](logical-dir-mappings.md)
**Topics**
+ [Aggiungere utenti gestiti dal servizio Amazon S3](#add-s3-user)
+ [Aggiungere utenti gestiti dal servizio Amazon EFS](#add-efs-user)
+ [Gestione degli utenti gestiti dal servizio](#managing-service-managed-users)
## Aggiungere utenti gestiti dal servizio Amazon S3
**Nota**
Se desideri configurare un bucket Amazon S3 con più account, segui i passaggi indicati in questo articolo del Knowledge Center: [Come posso configurare il mio AWS Transfer Family server per utilizzare un bucket Amazon Simple Storage Service che](https://aws.amazon.com/premiumsupport/knowledge-center/sftp-cross-account-s3-bucket/) si trova in un altro account? AWS .
**Per aggiungere un utente gestito dal servizio Amazon S3 al tuo server**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/), quindi seleziona **Server dal pannello** di navigazione.
1. Nella pagina **Server**, seleziona la casella di controllo del server a cui desideri aggiungere un utente.
1. Scegli **Add user** (Aggiungi utente).
1. Nella sezione **Configurazione utente**, per **Nome utente**, inserisci il nome utente. Questo nome utente deve contenere un minimo di 3 e un massimo di 100 caratteri. È possibile utilizzare i seguenti caratteri nel nome utente: a—z, A-Z, 0—9, carattere di sottolineatura '\$1', trattino '-', punto '.' e al segno '@'. Il nome utente non può iniziare con un trattino '-', punto '.' o dal segno '@'.
1. Per **Access**, scegli il ruolo IAM che hai creato in precedenza che fornisce l'accesso al tuo bucket Amazon S3.
Questo ruolo IAM è stato creato utilizzando la procedura in [Crea un ruolo e una policy IAM](requirements-roles.md). Tale ruolo IAM include una policy IAM che fornisce l'accesso al tuo bucket Amazon S3. Include anche una relazione di fiducia con il AWS Transfer Family servizio, definita in un'altra policy IAM. Se hai bisogno di un controllo granulare degli accessi per i tuoi utenti, consulta il post del blog [Enhance data access control with and Amazon AWS Transfer Family S3](https://aws.amazon.com/blogs/storage/enhance-data-access-control-with-aws-transfer-family-and-amazon-s3-access-points/).
1. (Facoltativo) Per **Policy**, seleziona una delle seguenti opzioni:
+ **Nessuno**
+ **Politica esistente**
+ **Seleziona una policy da IAM**: ti permette di scegliere una policy di sessione esistente. Scegli **Visualizza** per vedere un oggetto JSON contenente i dettagli della policy.
+ **Genera automaticamente una politica basata sulla home directory**: genera automaticamente una politica di sessione. Scegli **Visualizza per visualizzare** un oggetto JSON contenente i dettagli della politica.
**Nota**
Se scegli la **politica di generazione automatica in base alla cartella home**, non selezionare **Restricted** per questo utente.
Per ulteriori informazioni sui criteri di sessione, consulta [Crea un ruolo e una policy IAM](requirements-roles.md)[Creazione di una politica di sessione per un bucket Amazon S3](users-policies-session.md), o[Approcci di gestione dinamica delle autorizzazioni](dynamic-permission-management.md).
1. Per la **directory Home**, scegli il bucket Amazon S3 in cui archiviare i dati da trasferire. AWS Transfer Family Inserisci il percorso della `home` directory in cui l'utente atterra quando accede utilizzando il suo client.
Se lasci vuoto questo parametro, viene utilizzata la `root` directory del tuo bucket Amazon S3. In questo caso, assicurarsi che il ruolo IAM fornisca l'accesso a questa directory `root`.
**Nota**
Ti consigliamo di scegliere un percorso di directory che contenga il nome utente dell'utente, che ti consenta di utilizzare in modo efficace una politica di sessione. La policy di sessione limita l'accesso degli utenti nel bucket Amazon S3 alla directory di quell'utente. `home`
1. (Facoltativo) Per **Restricted**, seleziona la casella di controllo in modo che i tuoi utenti non possano accedere a nulla al di fuori di quella cartella e non possano vedere il bucket o il nome della cartella Amazon S3.
**Nota**
L'assegnazione all'utente di una home directory e la limitazione dell'utente a tale directory dovrebbero essere sufficienti per bloccare l'accesso dell'utente alla cartella designata. Se è necessario applicare ulteriori controlli, utilizzare una politica di sessione.
Se si seleziona **Limitato** per questo utente, non è possibile selezionare **Genera automaticamente criteri in base alla cartella home**, poiché la cartella principale non è un valore definito per gli utenti con restrizioni.
1. Per la **chiave pubblica SSH**, inserisci la parte della chiave SSH pubblica della coppia di chiavi SSH.
La chiave viene convalidata dal servizio prima di aggiungere il nuovo utente.
**Nota**
Per istruzioni su come generare una coppia di chiavi SSH, consulta [Genera chiavi SSH per utenti gestiti dal servizio](sshkeygen.md).
1. **(Facoltativo) Per **Chiave** e **Valore**, inserite uno o più tag come coppie chiave-valore e scegliete Aggiungi tag.**
1. Scegliere **Add (Aggiungi)** per aggiungere il nuovo utente al server scelto.
Il nuovo utente viene visualizzato nella sezione **Utenti** della pagina dei **dettagli del server**.
**Passaggi successivi**: per il passaggio successivo, continua con[Trasferimento di file su un endpoint server utilizzando un client](transfer-file.md).
## Aggiungere utenti gestiti dal servizio Amazon EFS
Amazon EFS utilizza il modello di autorizzazione dei file POSIX (Portable Operating System Interface) per rappresentare la proprietà dei file.
+ Per ulteriori dettagli sulla proprietà dei file di Amazon EFS, consulta la pagina Proprietà [dei file di Amazon EFS](configure-storage.md#efs-file-ownership).
+ Per ulteriori dettagli sulla configurazione delle directory per gli utenti EFS, vedere[Configurazione degli utenti Amazon EFS per Transfer Family](configure-storage.md#configure-efs-users-permissions).
**Per aggiungere un utente gestito dal servizio Amazon EFS al tuo server**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/), quindi seleziona **Server** dal pannello di navigazione.
1. Nella pagina **Server**, seleziona il server Amazon EFS a cui desideri aggiungere un utente.
1. Scegli **Aggiungi utente** per visualizzare la pagina **Aggiungi utente**.
1. Nella sezione **Configurazione utente**, utilizza le seguenti impostazioni.
1. Il **nome utente** deve contenere un minimo di 3 e un massimo di 100 caratteri. È possibile utilizzare i seguenti caratteri nel nome utente: a—z, A-Z, 0—9, trattino basso '\$1', trattino '-', punto ' . ', e al segno «@». Il nome utente non può iniziare con un trattino '-', punto ' . ', o al segno «@».
1. Per **ID utente** e **ID gruppo**, tieni presente quanto segue:
+ Per il primo utente che crei, ti consigliamo di inserire un valore sia **0** per l'ID del **gruppo che per l'ID** **utente**. Ciò concede all'utente i privilegi di amministratore per Amazon EFS.
+ Per utenti aggiuntivi, inserisci l'ID utente POSIX e l'ID del gruppo dell'utente. IDs Vengono utilizzati per tutte le operazioni di Amazon Elastic File System eseguite dall'utente.
+ Per **ID utente** e **ID gruppo**, non utilizzare zeri iniziali. Ad esempio, **12345** è accettabile, non lo **012345** è.
1. (Facoltativo) Per **Gruppo secondario IDs**, inserite uno o più gruppi POSIX aggiuntivi IDs per ogni utente, separati da virgole.
1. Per **Access**, scegli il ruolo IAM che:
+ Fornisce all'utente l'accesso solo alle risorse Amazon EFS (file system) a cui desideri che acceda.
+ Definisce quali operazioni sul file system l'utente può e non può eseguire.
Ti consigliamo di utilizzare il ruolo IAM per la selezione del file system Amazon EFS con accesso e read/write autorizzazioni di montaggio. Ad esempio, la combinazione delle seguenti due politiche AWS gestite, sebbene piuttosto permissiva, concede le autorizzazioni necessarie all'utente:
+ AmazonElasticFileSystemClientFullAccess
+ AWSTransferConsoleFullAccess
Per ulteriori informazioni, consulta il post di blog dedicato al [AWS Transfer Family supporto per Amazon Elastic File System](https://aws.amazon.com/blogs/aws/new-aws-transfer-family-support-for-amazon-elastic-file-system/).
1. Per la **directory Home**, procedi come segue:
+ Scegli il file system Amazon EFS che desideri utilizzare per archiviare i dati da trasferire AWS Transfer Family.
+ Decidi se impostare la home directory su **Restricted**. L'impostazione della home directory su **Restricted** ha i seguenti effetti:
+ Gli utenti di Amazon EFS non possono accedere a file o directory al di fuori di quella cartella.
+ Gli utenti di Amazon EFS non possono vedere il nome del file system Amazon EFS (**fs-xxxxxxx**).
**Nota**
Quando selezioni l'opzione **Restricted**, i collegamenti simbolici non si risolvono per gli utenti di Amazon EFS.
+ (Facoltativo) Inserisci il percorso della home directory in cui desideri che si trovino gli utenti quando accedono utilizzando il loro client.
Se non si specifica una directory home, viene utilizzata la directory principale del file system Amazon EFS. In questo caso, assicurati che il tuo ruolo IAM fornisca l'accesso a questa directory principale.
1. Per la **chiave pubblica SSH**, inserisci la parte della chiave SSH pubblica della coppia di chiavi SSH.
La chiave viene convalidata dal servizio prima di aggiungere il nuovo utente.
**Nota**
Per istruzioni su come generare una coppia di chiavi SSH, consulta [Genera chiavi SSH per utenti gestiti dal servizio](sshkeygen.md).
1. (Facoltativo) Immettete i tag per l'utente. Per **Chiave** e **Valore**, inserite uno o più tag come coppie chiave-valore e scegliete **Aggiungi** tag.
1. Scegliere **Add (Aggiungi)** per aggiungere il nuovo utente al server scelto.
Il nuovo utente viene visualizzato nella sezione **Utenti** della pagina dei **dettagli del server**.
Problemi che potresti riscontrare quando esegui per la prima volta un SFTP sul tuo server Transfer Family:
+ Se si esegue il `sftp` comando e il prompt non viene visualizzato, è possibile che venga visualizzato il seguente messaggio:
`Couldn't canonicalize: Permission denied`
`Need cwd`
In questo caso, è necessario aumentare le autorizzazioni relative alle policy per il ruolo dell'utente. È possibile aggiungere una politica AWS gestita, ad esempio`AmazonElasticFileSystemClientFullAccess`.
+ Se si immette `pwd` al `sftp` prompt di visualizzare la home directory dell'utente, è possibile che venga visualizzato il seguente messaggio, *USER-HOME-DIRECTORY* dov'è la directory principale dell'utente SFTP:
`remote readdir("/USER-HOME-DIRECTORY"): No such file or directory`
In questo caso, dovreste essere in grado di accedere alla directory principale (`cd ..`) e creare la home directory dell'utente (`mkdir username`).
**Passaggi successivi**: per il passaggio successivo, continua con[Trasferimento di file su un endpoint server utilizzando un client](transfer-file.md).
## Gestione degli utenti gestiti dal servizio
In questa sezione, puoi trovare informazioni su come visualizzare un elenco di utenti, come modificare i dettagli degli utenti e come aggiungere una chiave pubblica SSH.
+ [Visualizza un elenco di utenti](#list-users)
+ [Visualizza o modifica i dettagli dell'utente](#view-user-details)
+ [Eliminazione di un utente](#delete-user)
+ [Aggiungi la chiave pubblica SSH](#add-user-ssh-key)
+ [Elimina la chiave pubblica SSH](#delete-user-ssh-key)
**Per trovare un elenco dei tuoi utenti**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Seleziona **Server** dal riquadro di navigazione per visualizzare la pagina **Server**.
1. Scegli l'identificatore nella colonna **Server ID** per visualizzare la pagina dei **dettagli del server**.
1. In **Utenti**, visualizza un elenco di utenti.
**Per visualizzare o modificare i dettagli dell'utente**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Seleziona **Server** dal riquadro di navigazione per visualizzare la pagina **Server**.
1. Scegli l'identificatore nella colonna **Server ID** per visualizzare la pagina dei **dettagli del server**.
1. In **Utenti**, scegli un nome utente per visualizzare la pagina dei **dettagli dell'utente**.
Puoi modificare le proprietà dell'utente in questa pagina scegliendo **Modifica**.
1. Nella pagina dei **dettagli degli utenti**, scegli **Modifica** accanto a **Configurazione utente**.
![\[Immagine che mostra la schermata per la modifica della configurazione di un utente\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/edit-user-details-page-user-config.png)
1. Nella pagina **Modifica configurazione**, per **Access**, scegli il ruolo IAM creato in precedenza che fornisce l'accesso al tuo bucket Amazon S3.
Questo ruolo IAM è stato creato utilizzando la procedura in [Crea un ruolo e una policy IAM](requirements-roles.md). Tale ruolo IAM include una policy IAM che fornisce l'accesso al tuo bucket Amazon S3. Include anche una relazione di fiducia con il AWS Transfer Family servizio, definita in un'altra policy IAM.
1. (Facoltativo) Per **Policy**, scegli una delle seguenti opzioni:
+ **Nessuno**
+ **Politica esistente**
+ **Seleziona una policy da IAM** per scegliere una policy esistente. Scegli **Visualizza** per vedere un oggetto JSON contenente i dettagli della policy.
Per ulteriori informazioni sulle politiche di sessione, consulta[Crea un ruolo e una policy IAM](requirements-roles.md). Per ulteriori informazioni sulla creazione di una politica di sessione, consulta[Creazione di una politica di sessione per un bucket Amazon S3](users-policies-session.md).
1. Per la **directory Home**, scegli il bucket Amazon S3 in cui archiviare i dati da trasferire. AWS Transfer Family Inserisci il percorso della `home` directory in cui l'utente atterra quando accede utilizzando il suo client.
Se lasci vuoto questo parametro, viene utilizzata la `root` directory del tuo bucket Amazon S3. In questo caso, assicurarsi che il ruolo IAM fornisca l'accesso a questa directory `root`.
**Nota**
Ti consigliamo di scegliere un percorso di directory che contenga il nome utente dell'utente, che ti consenta di utilizzare in modo efficace una politica di sessione. La policy di sessione limita l'accesso degli utenti nel bucket Amazon S3 alla directory di quell'utente. `home`
1. (Facoltativo) Per **Restricted**, seleziona la casella di controllo in modo che i tuoi utenti non possano accedere a nulla al di fuori di quella cartella e non possano vedere il bucket o il nome della cartella Amazon S3.
**Nota**
Quando si assegna all'utente una home directory e si limita l'utente a tale directory, ciò dovrebbe essere sufficiente per bloccare l'accesso dell'utente alla cartella designata. Utilizza una politica di sessione quando devi applicare ulteriori controlli.
1. Scegli **Salva** per salvare le modifiche.
**Come eliminare un utente**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Seleziona **Server** dal riquadro di navigazione per visualizzare la pagina **Server**.
1. Scegli l'identificatore nella colonna **Server ID** per visualizzare la pagina dei **dettagli del server**.
1. In **Utenti**, scegli un nome utente per visualizzare la pagina dei **dettagli dell'utente**.
1. Nella pagina dei **dettagli degli utenti**, scegli **Elimina** a destra del nome utente.
1. Nella finestra di dialogo di conferma che appare, inserisci la parola**delete**, quindi scegli **Elimina** per confermare che desideri eliminare l'utente.
L'utente viene eliminato dall'elenco degli **utenti**.
**Per aggiungere una chiave pubblica SSH per un utente**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Nel riquadro di navigazione, selezionare **Servers (Server)**.
1. Scegli l'identificatore nella colonna **Server ID** per visualizzare la pagina dei **dettagli del server**.
1. In **Utenti**, scegli un nome utente per visualizzare la pagina dei **dettagli dell'utente**.
1. Scegliere **Add SSH public key (Aggiungi chiave pubblica SSH)** per aggiungere una nuova chiave pubblica SSH a un utente.
**Nota**
Le chiavi SSH vengono utilizzate solo dai server abilitati per Secure Shell (SSH) File Transfer Protocol (SFTP). Per informazioni su come generare una coppia di chiavi SSH, vedere[Genera chiavi SSH per utenti gestiti dal servizio](sshkeygen.md).
1. Per **SSH public key (Chiave pubblica SSH)**, immettere la parte di chiave pubblica SSH della coppia di chiavi SSH.
La chiave viene convalidata dal servizio prima di aggiungere il nuovo utente. Il formato della chiave SSH è `ssh-rsa string`. Per generare una coppia di chiavi SSH, vedere[Genera chiavi SSH per utenti gestiti dal servizio](sshkeygen.md).
1. Scegliere **Add key (Aggiungi chiave)**.
**Per eliminare una chiave pubblica SSH per un utente**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Nel riquadro di navigazione, selezionare **Servers (Server)**.
1. Scegli l'identificatore nella colonna **Server ID** per visualizzare la pagina dei **dettagli del server**.
1. In **Utenti**, scegli un nome utente per visualizzare la pagina dei **dettagli dell'utente**.
1. Per eliminare una chiave pubblica, seleziona la casella di controllo della relativa chiave SSH e scegli **Elimina**.
# Lavorare con provider di identità personalizzati
AWS Transfer Family offre diverse opzioni ai provider di identità personalizzati per autenticare e autorizzare gli utenti a trasferimenti sicuri di file. Ecco gli approcci principali:
+ [Soluzione personalizzata per provider di identità](custom-idp-toolkit.md)—Questo argomento descrive la soluzione di provider di identità personalizzato Transfer Family, utilizzando un toolkit ospitato in. GitHub
**Nota**
Per la maggior parte dei casi d'uso, questa è l'opzione consigliata. In particolare, se è necessario supportare più di 100 gruppi Active Directory, la soluzione di provider di identità personalizzata offre un'alternativa scalabile senza limitazioni di gruppo. Questa soluzione è descritta nel post del blog, [Simplify Active Directory authentication with a custom identity provider for AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/).
+ [Utilizzo di Amazon API Gateway per integrare il tuo provider di identità](authentication-api-gateway.md)—Questo argomento descrive come utilizzare una AWS Lambda funzione per supportare un metodo Amazon API Gateway.
Puoi fornire RESTful un'interfaccia con un unico metodo Amazon API Gateway. Transfer Family utilizza questo metodo per connettersi al tuo provider di identità, che autentica e autorizza gli utenti ad accedere ad Amazon S3 o Amazon EFS. Utilizza questa opzione se hai bisogno di un' RESTful API per integrare il tuo provider di identità o se desideri utilizzarla per sfruttarne le funzionalità per il blocco AWS WAF geografico o le richieste di limitazione della velocità. Per informazioni dettagliate, vedi [Utilizzo di Amazon API Gateway per integrare il tuo provider di identità](authentication-api-gateway.md).
+ [Approcci di gestione dinamica delle autorizzazioni](dynamic-permission-management.md): questo argomento descrive gli approcci per la gestione dinamica delle autorizzazioni degli utenti utilizzando le policy di sessione.
Per autenticare gli utenti, puoi utilizzare il tuo provider di identità esistente con. AWS Transfer Family Integri il tuo provider di identità utilizzando una AWS Lambda funzione che autentica e autorizza gli utenti ad accedere ad Amazon S3 o Amazon Elastic File System (Amazon EFS). Per informazioni dettagliate, vedi [Utilizzo AWS Lambda per integrare il tuo provider di identità](custom-lambda-idp.md). Puoi anche accedere a CloudWatch grafici per metriche come il numero di file e byte trasferiti nella Console di AWS Transfer Family gestione, offrendoti un unico pannello di controllo per monitorare i trasferimenti di file utilizzando una dashboard centralizzata.
+ Transfer Family offre un post sul blog e un workshop che ti guidano nella creazione di una soluzione per il trasferimento di file. Questa soluzione sfrutta gli SFTP/FTPS endpoint gestiti e Amazon Cognito e DynamoDB AWS Transfer Family per la gestione degli utenti.
Il post del blog è disponibile in [Utilizzo di Amazon Cognito come provider di identità con AWS Transfer Family Amazon S3](https://aws.amazon.com/blogs/storage/using-amazon-cognito-as-an-identity-provider-with-aws-transfer-family-and-amazon-s3/). [Puoi visualizzare i dettagli del workshop qui.](https://catalog.workshops.aws/transfer-family-sftp/en-US)
**Nota**
Per i provider di identità personalizzati, il nome utente deve contenere da un minimo di 3 a un massimo di 100 caratteri. È possibile utilizzare i seguenti caratteri nel nome utente: a—z, A-Z, 0—9, carattere di sottolineatura '\$1', trattino '-', punto '.' e nel segno '@'. Il nome utente non può iniziare con un trattino '-', punto '.' o dal segno '@'.
Quando implementi un provider di identità personalizzato, prendi in considerazione le seguenti best practice:
+ Implementa la soluzione nella stessa Account AWS area geografica dei tuoi server Transfer Family.
+ Implementa il principio del privilegio minimo durante la configurazione dei ruoli e delle policy IAM.
+ Utilizza funzionalità come l'elenco degli indirizzi IP consentiti e la registrazione standardizzata per una maggiore sicurezza.
+ Testa a fondo il tuo provider di identità personalizzato in un ambiente non di produzione prima della distribuzione.
**Topics**
+ [Soluzione personalizzata per provider di identità](custom-idp-toolkit.md)
+ [Utilizzo AWS Lambda per integrare il tuo provider di identità](custom-lambda-idp.md)
+ [Utilizzo di Amazon API Gateway per integrare il tuo provider di identità](authentication-api-gateway.md)
+ [Utilizzo di più metodi di autenticazione](custom-idp-mfa.md)
+ [IPv6 supporto per provider di identità personalizzati](custom-idp-ipv6.md)
# Soluzione personalizzata per provider di identità
La soluzione AWS Transfer Family Custom Identity Provider è una soluzione modulare per provider di identità personalizzati che risolve molti casi d'uso comuni di autenticazione e autorizzazione delle aziende durante l'implementazione del servizio. Questa soluzione fornisce una base riutilizzabile per l'implementazione di provider di identità personalizzati con configurazione granulare delle sessioni per utente e separa la logica di autenticazione e autorizzazione, offrendo una base flessibile per vari casi d'uso. easy-to-maintain
Con la soluzione AWS Transfer Family Custom Identity Provider, è possibile risolvere i casi d'uso comuni di autenticazione e autorizzazione aziendali. Questa soluzione modulare offre:
+ Una base riutilizzabile per l'implementazione di provider di identità personalizzati
+ Configurazione granulare della sessione per utente
+ Logica di autenticazione e autorizzazione separate
## Dettagli di implementazione per il toolkit di identità personalizzato
La soluzione fornisce una base flessibile e gestibile per vari casi d'uso. [Per iniziare, consulta il toolkit su [https://github.com/aws-samples/toolkit-for-aws-transfer-family](https://github.com/aws-samples/toolkit-for-aws-transfer-family), quindi segui le istruzioni di distribuzione nella sezione Guida introduttiva.](https://github.com/aws-samples/toolkit-for-aws-transfer-family/tree/main/solutions/custom-idp#getting-started)
![\[Diagramma di architettura per il toolkit personalizzato per provider di identità disponibile in. GitHub\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/custom-idp-solution-high-level-architecture.png)
**Nota**
Se in precedenza hai utilizzato modelli ed esempi di provider di identità personalizzati, prendi in considerazione l'adozione di questa soluzione. In futuro, i moduli specifici del provider si standardizzeranno su questa soluzione. La manutenzione continua e i miglioramenti delle funzionalità verranno applicati a questa soluzione.
Questa soluzione contiene modelli standard per l'implementazione di un provider personalizzato che tenga conto dei dettagli, inclusa la registrazione, e della posizione in cui archiviare i metadati di sessione aggiuntivi necessari AWS Transfer Family, come il parametro. `HomeDirectoryDetails` Questa soluzione fornisce una base riutilizzabile per l'implementazione di provider di identità personalizzati con una configurazione granulare della sessione per utente e disaccoppia la logica di autenticazione del provider di identità dalla logica riutilizzabile che crea una configurazione che viene restituita a Transfer Family per completare l'autenticazione e stabilire le impostazioni per la sessione.
[Il codice e le risorse di supporto per questa soluzione sono disponibili su -family. https://github.com/aws-samples/ toolkit-for-aws-transfer](https://github.com/aws-samples/toolkit-for-aws-transfer-family)
Il toolkit contiene le seguenti funzionalità:
+ Un [AWS Serverless Application Model](https://aws.amazon.com/serverless/sam)modello che fornisce le risorse necessarie. Facoltativamente, distribuisci e configura Amazon API Gateway da incorporare AWS WAF, come descritto nel post del blog [Securing AWS Transfer Family with AWS Web Application Firewall and Amazon](https://aws.amazon.com/blogs/storage/securing-aws-transfer-family-with-aws-web-application-firewall-and-amazon-api-gateway/) API Gateway.
+ Uno schema [Amazon DynamoDB](https://aws.amazon.com/dynamodb) per archiviare i metadati di configurazione sui provider di identità, incluse le impostazioni delle sessioni utente come`HomeDirectoryDetails`, e. `Role` `Policy`
+ Un approccio modulare che consente di aggiungere nuovi provider di identità alla soluzione in futuro, sotto forma di moduli.
+ Recupero degli attributi: recupera facoltativamente gli attributi del ruolo IAM e del profilo POSIX (UID e GID) dai provider di identità supportati, tra cui AD, LDAP e Okta.
+ Supporto per più provider di identità connessi a un singolo server Transfer Family e a più server Transfer Family utilizzando la stessa implementazione della soluzione.
+ Controllo integrato degli elenchi di indirizzi IP consentiti, ad esempio gli elenchi di indirizzi IP consentiti che possono essere configurati facoltativamente per utente o per provider di identità.
+ Registrazione dettagliata con supporto configurabile a livello di registro e tracciamento per facilitare la risoluzione dei problemi.
Prima di iniziare a implementare la soluzione personalizzata per un provider di identità, è necessario disporre delle seguenti risorse. AWS
+ Un Amazon Virtual Private Cloud (VPC) con sottoreti private, con connettività Internet tramite un gateway NAT o un endpoint gateway DynamoDB.
+ Autorizzazioni IAM appropriate per eseguire le seguenti attività:
+ Implementa il modello, `custom-idp.yaml` CloudFormation
+ Crea progetti AWS CodePipeline
+ Crea AWS CodeBuild progetti
+ Crea ruoli e politiche IAM
**Importante**
È necessario distribuire la soluzione sullo stesso Account AWS server Transfer Family Regione AWS che contiene i server Transfer Family di destinazione.
## Provider di identità supportati
L'elenco seguente contiene i dettagli dei provider di identità supportati per la soluzione di provider di identità personalizzata.
| Provider | Flussi di password | Flussi a chiave pubblica | Multifattoriale | Recupero degli attributi | Informazioni |
| --- | --- | --- | --- | --- | --- |
| Active Directory e LDAP | Sì | Sì | No | Sì | La verifica degli utenti può essere eseguita come parte del flusso di autenticazione a chiave pubblica. |
| Argon2 (hash locale) | Sì | No | No | No | Gli hash Argon2 vengono memorizzati nel record utente per i casi d'uso di autenticazione «locale» basata su password. |
| Amazon Cognito | Sì | No | Sì\$1 | No | Solo autenticazione a più fattori basata su Time-based One-Time Password (TOTP). \$1La MFA basata su SMS non è supportata. |
| Entra ID (in precedenza Azure AD) | Sì | No | No | No | |
| Okta | Sì | Sì | Sì\$1 | Sì | Solo MFA basata su TOTP. |
| Chiavi pubbliche | No | Sì | No | No | Le chiavi pubbliche sono archiviate nel record utente in DynamoDB. |
| Secrets Manager | Sì | Sì | No | No | |
# Utilizzo AWS Lambda per integrare il tuo provider di identità
Questo argomento descrive come creare una AWS Lambda funzione che si connetta al provider di identità personalizzato. Puoi utilizzare qualsiasi provider di identità personalizzato, come Okta, Secrets Manager OneLogin, o un data store personalizzato che includa la logica di autorizzazione e autenticazione.
Nella maggior parte dei casi d'uso, il modo consigliato per configurare un provider di identità personalizzato consiste nell'utilizzare il[Soluzione personalizzata per provider di identità](custom-idp-toolkit.md).
**Nota**
Prima di creare un server Transfer Family che utilizza Lambda come provider di identità, è necessario creare la funzione. Per un esempio di funzione Lambda, consulta [Esempi di funzioni Lambda](#lambda-auth-examples). In alternativa, puoi distribuire uno CloudFormation stack che utilizza uno dei. [Modelli di funzioni Lambda](#lambda-idp-templates) Inoltre, assicurati che la tua funzione Lambda utilizzi una politica basata sulle risorse che si affidi a Transfer Family. Per un esempio di policy, consulta [Policy Lambda basata sulle risorse](#lambda-resource-policy).
1. Apri la [AWS Transfer Family console](https://console.aws.amazon.com/transfer/).
1. **Scegli **Crea server per** aprire la pagina Crea server.** Per **Scegli un provider di identità**, scegli **Custom Identity Provider**, come mostrato nella schermata seguente.
![\[La sezione Scegli una console con provider di identità con Provider di identità personalizzato selezionato. È inoltre selezionato il valore predefinito, ovvero che gli utenti possono autenticarsi utilizzando la password o la chiave.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/custom-lambda-console.png)
**Nota**
La scelta dei metodi di autenticazione è disponibile solo se abiliti SFTP come uno dei protocolli per il tuo server Transfer Family.
1. Assicurati che il valore predefinito, **Usa AWS Lambda per connettere il tuo provider di identità**, sia selezionato.
1. Per **AWS Lambda la funzione**, scegli il nome della tua funzione Lambda.
1. Compila le caselle rimanenti, quindi scegli **Crea server**. Per i dettagli sui passaggi rimanenti per la creazione di un server, consulta[Configurazione di un endpoint server SFTP, FTPS o FTP](tf-server-endpoint.md).
## Policy Lambda basata sulle risorse
È necessario disporre di una politica che faccia riferimento al server Transfer Family e a ARNs Lambda. Ad esempio, puoi utilizzare la seguente politica con la funzione Lambda che si connette al tuo provider di identità. La policy viene salvata in formato JSON come stringa.
****
```
"Policy":
"{\"Version\":\"2012-10-17\",
\"Id\":\"default\",
\"Statement\":[
{\"Sid\":\"AllowTransferInvocation\",
\"Effect\":\"Allow\",
\"Principal\":{\"Service\":\"transfer.amazonaws.com\"},
\"Action\":\"lambda:InvokeFunction\",
\"Resource\":\"arn:aws:lambda:region:123456789012:function:my-lambda-auth-function\",
\"Condition\":{\"ArnLike\":{\"AWS:SourceArn\":\"arn:aws:transfer:region:123456789012:server/server-id\"}}}
]}"
```
**Nota**
Nella politica di esempio precedente, sostituisci ciascuna di esse *user input placeholder* con le tue informazioni.
## Struttura del messaggio di evento
La struttura dei messaggi di evento dal server SFTP inviati alla funzione di autorizzazione Lambda per un IDP personalizzato è la seguente.
```
{
"username": "value",
"password": "value",
"protocol": "SFTP",
"serverId": "s-abcd123456",
"sourceIp": "192.168.0.100"
}
```
Dove `username` e `password` sono i valori per le credenziali di accesso inviate al server.
Ad esempio, si immette il seguente comando per connettersi:
```
sftp bobusa@server_hostname
```
Ti viene quindi richiesto di inserire la password:
```
Enter password:
mysecretpassword
```
Puoi verificarlo dalla tua funzione Lambda stampando l'evento passato dall'interno della funzione Lambda. Dovrebbe essere simile al seguente blocco di testo.
```
{
"username": "bobusa",
"password": "mysecretpassword",
"protocol": "SFTP",
"serverId": "s-abcd123456",
"sourceIp": "192.168.0.100"
}
```
La struttura degli eventi è simile per FTP e FTPS: l'unica differenza è che i valori vengono utilizzati per il `protocol` parametro, anziché SFTP.
## Funzioni Lambda per l'autenticazione
Per implementare diverse strategie di autenticazione, modifica la funzione Lambda. Per aiutarti a soddisfare le esigenze della tua applicazione, puoi implementare uno CloudFormation stack. Per ulteriori informazioni su Lambda, consulta la [AWS Lambda Developer Guide o Building](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) [Lambda functions with Node.js](https://docs.aws.amazon.com/lambda/latest/dg/lambda-nodejs.html).
**Topics**
+ [Valori Lambda validi](#lambda-valid-values)
+ [Esempi di funzioni Lambda](#lambda-auth-examples)
+ [Verifica della configurazione](#authentication-test-configuration)
+ [Modelli di funzioni Lambda](#lambda-idp-templates)
### Valori Lambda validi
La tabella seguente descrive i dettagli dei valori che Transfer Family accetta per le funzioni Lambda utilizzate per i provider di identità personalizzati.
| Valore | Description | Richiesto |
| --- | --- | --- |
| `Role` | Speciifica l'Amazon Resource Name (ARN) del ruolo IAM che controlla l'accesso degli utenti al bucket Amazon S3 o al file system Amazon EFS. Le policy associate a questo ruolo determinano il livello di accesso che desideri fornire ai tuoi utenti durante il trasferimento di file da e verso il tuo file system Amazon S3 o Amazon EFS. Il ruolo IAM deve contenere anche una relazione di trust che consente al server di accedere alle proprie risorse durante la manutenzione delle richieste di trasferimento degli utenti. Per i dettagli su come stabilire una relazione di fiducia, consulta. [Per stabilire una relazione di trust](requirements-roles.md#establish-trust-transfer) | Richiesto |
| `PosixProfile` | L'identità POSIX completa, inclusi ID utente (`Uid`), ID gruppo (`Gid`) ed eventuali gruppi secondari IDs (`SecondaryGids`), che controlla l'accesso degli utenti ai file system Amazon EFS. Le autorizzazioni POSIX impostate su file e directory nel file system determinano il livello di accesso che gli utenti ottengono durante il trasferimento dei file da e verso i file system Amazon EFS. | Necessario per lo storage di backup di Amazon EFS |
| `PublicKeys` | Un elenco di valori di chiave pubblica SSH validi per questo utente. Un elenco vuoto implica che non si tratta di un accesso valido. Non deve essere restituito durante l'autenticazione della password. | Facoltativo |
| `Policy` | Una politica di sessione per il tuo utente in modo da poter utilizzare lo stesso ruolo IAM su più utenti. Questa policy definisce gli ambiti di accesso degli utenti alle porzioni dei loro bucket di Amazon S3. Per ulteriori informazioni sull'utilizzo delle policy di sessione con provider di identità personalizzati, consulta gli esempi di policy di sessione in questo argomento. | Facoltativo |
| `HomeDirectoryType` | Il tipo di directory (cartella) di destinazione in cui deve trovarsi la directory home degli utenti quando accedono al server. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/custom-lambda-idp.html) | Facoltativo |
| `HomeDirectoryDetails` | Mappature di directory logiche che specificano quali percorsi e chiavi di Amazon S3 o Amazon EFS devono essere visibili all'utente e in che modo desideri renderli visibili. È necessario specificare la `Target` coppia `Entry` and, dove `Entry` mostra come il percorso viene reso visibile ed `Target` è il percorso effettivo di Amazon S3 o Amazon EFS. | Obbligatorio se `HomeDirectoryType` ha un valore di `LOGICAL` |
| `HomeDirectory` | La directory di destinazione di un utente quando accede al server utilizzando il client. Il formato dipende dal backend di archiviazione: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/custom-lambda-idp.html) Il nome del bucket o l'ID del file system Amazon EFS devono essere inclusi nel percorso. L'omissione di queste informazioni comporterà l'errore «File non trovato» durante i trasferimenti di file. | Facoltativo |
**Nota**
`HomeDirectoryDetails`è una rappresentazione in formato stringa di una mappa JSON. Ciò è in contrasto con`PosixProfile`, che è un vero oggetto della mappa JSON e `PublicKeys` che è un array di stringhe JSON. Vedi gli esempi di codice per i dettagli specifici della lingua.
**HomeDirectory Requisiti di formato**
Quando utilizzate il `HomeDirectory` parametro, assicuratevi di includere il formato completo del percorso:
**Per lo storage Amazon S3:** includi sempre il nome del bucket nel formato `/bucket-name/path`
**Per lo storage Amazon EFS:** includi sempre l'ID del file system nel formato `/fs-12345/path`
Una causa comune degli errori «File not found» è l'omissione del nome del bucket o dell'ID del file system EFS dal `HomeDirectory` percorso. Se `HomeDirectory` si imposta su «Solo `/` senza l'identificatore di archiviazione», l'autenticazione avrà esito positivo, ma le operazioni sui file falliranno.
### Esempi di funzioni Lambda
Questa sezione presenta alcuni esempi di funzioni Lambda, sia in NodeJS che in Python.
**Nota**
In questi esempi, i dettagli relativi all'utente, al ruolo, al profilo POSIX, alla password e alla home directory sono tutti esempi e devono essere sostituiti con i valori effettivi.
------
#### [ Logical home directory, NodeJS ]
[La seguente funzione di esempio NodeJS fornisce i dettagli per un utente che dispone di una home directory logica.](https://docs.aws.amazon.com/transfer/latest/userguide/logical-dir-mappings.html)
```
// GetUserConfig Lambda
exports.handler = (event, context, callback) => {
console.log("Username:", event.username, "ServerId: ", event.serverId);
var response;
// Check if the username presented for authentication is correct. This doesn't check the value of the server ID, only that it is provided.
if (event.serverId !== "" && event.username == 'example-user') {
var homeDirectoryDetails = [
{
Entry: "/",
Target: "/fs-faa1a123"
}
];
response = {
Role: 'arn:aws:iam::123456789012:role/transfer-access-role', // The user is authenticated if and only if the Role field is not blank
PosixProfile: {"Gid": 65534, "Uid": 65534}, // Required for EFS access, but not needed for S3
HomeDirectoryDetails: JSON.stringify(homeDirectoryDetails),
HomeDirectoryType: "LOGICAL",
};
// Check if password is provided
if (!event.password) {
// If no password provided, return the user's SSH public key
response['PublicKeys'] = [ "ssh-rsa abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789" ];
// Check if password is correct
} else if (event.password !== 'Password1234') {
// Return HTTP status 200 but with no role in the response to indicate authentication failure
response = {};
}
} else {
// Return HTTP status 200 but with no role in the response to indicate authentication failure
response = {};
}
callback(null, response);
};
```
------
#### [ Path-based home directory, NodeJS ]
La seguente funzione di esempio NodeJS fornisce i dettagli per un utente che dispone di una home directory basata su percorsi.
```
// GetUserConfig Lambda
exports.handler = (event, context, callback) => {
console.log("Username:", event.username, "ServerId: ", event.serverId);
var response;
// Check if the username presented for authentication is correct. This doesn't check the value of the server ID, only that it is provided.
// There is also event.protocol (one of "FTP", "FTPS", "SFTP") and event.sourceIp (e.g., "127.0.0.1") to further restrict logins.
if (event.serverId !== "" && event.username == 'example-user') {
response = {
Role: 'arn:aws:iam::123456789012:role/transfer-access-role', // The user is authenticated if and only if the Role field is not blank
Policy: '', // Optional, JSON stringified blob to further restrict this user's permissions
// HomeDirectory format depends on your storage backend:
// For S3: '/bucket-name/user-home-directory' (e.g., '/my-transfer-bucket/users/john')
// For EFS: '/fs-12345/user-home-directory' (e.g., '/fs-faa1a123/users/john')
HomeDirectory: '/my-transfer-bucket/users/example-user' // S3 example - replace with your bucket name
// HomeDirectory: '/fs-faa1a123/users/example-user' // EFS example - uncomment for EFS
};
// Check if password is provided
if (!event.password) {
// If no password provided, return the user's SSH public key
response['PublicKeys'] = [ "ssh-rsa abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789" ];
// Check if password is correct
} else if (event.password !== 'Password1234') {
// Return HTTP status 200 but with no role in the response to indicate authentication failure
response = {};
}
} else {
// Return HTTP status 200 but with no role in the response to indicate authentication failure
response = {};
}
callback(null, response);
};
```
------
#### [ Logical home directory, Python ]
La seguente funzione di esempio in Python fornisce i dettagli per un utente che ha una [home directory logica](https://docs.aws.amazon.com/transfer/latest/userguide/logical-dir-mappings.html).
```
# GetUserConfig Python Lambda with LOGICAL HomeDirectoryDetails
import json
def lambda_handler(event, context):
print("Username: {}, ServerId: {}".format(event['username'], event['serverId']))
response = {}
# Check if the username presented for authentication is correct. This doesn't check the value of the server ID, only that it is provided.
if event['serverId'] != '' and event['username'] == 'example-user':
homeDirectoryDetails = [
{
'Entry': '/',
'Target': '/fs-faa1a123'
}
]
response = {
'Role': 'arn:aws:iam::123456789012:role/transfer-access-role', # The user will be authenticated if and only if the Role field is not blank
'PosixProfile': {"Gid": 65534, "Uid": 65534}, # Required for EFS access, but not needed for S3
'HomeDirectoryDetails': json.dumps(homeDirectoryDetails),
'HomeDirectoryType': "LOGICAL"
}
# Check if password is provided
if event.get('password', '') == '':
# If no password provided, return the user's SSH public key
response['PublicKeys'] = [ "ssh-rsa abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789" ]
# Check if password is correct
elif event['password'] != 'Password1234':
# Return HTTP status 200 but with no role in the response to indicate authentication failure
response = {}
else:
# Return HTTP status 200 but with no role in the response to indicate authentication failure
response = {}
return response
```
------
#### [ Path-based home directory, Python ]
La seguente funzione di esempio in Python fornisce i dettagli per un utente che dispone di una home directory basata su percorsi.
```
# GetUserConfig Python Lambda with PATH HomeDirectory
def lambda_handler(event, context):
print("Username: {}, ServerId: {}".format(event['username'], event['serverId']))
response = {}
# Check if the username presented for authentication is correct. This doesn't check the value of the server ID, only that it is provided.
# There is also event.protocol (one of "FTP", "FTPS", "SFTP") and event.sourceIp (e.g., "127.0.0.1") to further restrict logins.
if event['serverId'] != '' and event['username'] == 'example-user':
response = {
'Role': 'arn:aws:iam::123456789012:role/transfer-access-role', # The user will be authenticated if and only if the Role field is not blank
'Policy': '', # Optional, JSON stringified blob to further restrict this user's permissions
# HomeDirectory format depends on your storage backend:
# For S3: '/bucket-name/user-home-directory' (e.g., '/my-transfer-bucket/users/john')
# For EFS: '/fs-12345/user-home-directory' (e.g., '/fs-faa1a123/users/john')
'HomeDirectory': '/my-transfer-bucket/users/example-user', # S3 example - replace with your bucket name
# 'HomeDirectory': '/fs-faa1a123/users/example-user', # EFS example - uncomment for EFS
'HomeDirectoryType': "PATH" # Not strictly required, defaults to PATH
}
# Check if password is provided
if event.get('password', '') == '':
# If no password provided, return the user's SSH public key
response['PublicKeys'] = [ "ssh-rsa abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789" ]
# Check if password is correct
elif event['password'] != 'Password1234':
# Return HTTP status 200 but with no role in the response to indicate authentication failure
response = {}
else:
# Return HTTP status 200 but with no role in the response to indicate authentication failure
response = {}
return response
```
------
### Verifica della configurazione
Dopo aver creato il tuo provider di identità personalizzato, dovresti testare la configurazione.
------
#### [ Console ]
**Per testare la configurazione utilizzando la AWS Transfer Family console**
1. Apri la [AWS Transfer Family console](https://console.aws.amazon.com/transfer/).
1. Nella pagina **Server**, scegli il tuo nuovo server, scegli **Azioni**, quindi scegli **Test**.
1. Inserisci il testo per **nome utente** e **password** che hai impostato quando hai distribuito lo CloudFormation stack. Se hai mantenuto le opzioni predefinite, il nome utente è `myuser` e la password è. `MySuperSecretPassword`
1. Scegli il **protocollo Server** e inserisci l'indirizzo IP per l'**IP di origine**, se lo hai impostato quando hai distribuito lo CloudFormation stack.
------
#### [ CLI ]
**Per testare la configurazione utilizzando la AWS CLI**
1. Esegui il comando [test-identity-provider](https://docs.aws.amazon.com/cli/latest/reference/transfer/test-identity-provider.html). Sostituisci ognuna `user input placeholder` con le tue informazioni, come descritto nei passaggi successivi.
```
aws transfer test-identity-provider --server-id s-1234abcd5678efgh --user-name myuser --user-password MySuperSecretPassword --server-protocol FTP --source-ip 127.0.0.1
```
1. Inserisci l'ID del server.
1. Inserisci il nome utente e la password che hai impostato quando hai distribuito lo CloudFormation stack. Se hai mantenuto le opzioni predefinite, il nome utente è `myuser` e la password è. `MySuperSecretPassword`
1. Inserisci il protocollo del server e l'indirizzo IP di origine, se li hai impostati quando hai distribuito lo CloudFormation stack.
------
Se l'autenticazione dell'utente ha esito positivo, il test restituisce una risposta `StatusCode: 200` HTTP, una stringa vuota `Message: ""` (che altrimenti conterrebbe un motivo dell'errore) e un campo. `Response`
**Nota**
Nell'esempio di risposta riportato di seguito, il `Response` campo è un oggetto JSON che è stato «stringato» (convertito in una stringa JSON flat che può essere utilizzata all'interno di un programma) e contiene i dettagli dei ruoli e delle autorizzazioni dell'utente.
```
{
"Response":"{\"Policy\":\"{\\\"Version\\\":\\\"2012-10-17\\\",\\\"Statement\\\":[{\\\"Sid\\\":\\\"ReadAndListAllBuckets\\\",\\\"Effect\\\":\\\"Allow\\\",\\\"Action\\\":[\\\"s3:ListAllMybuckets\\\",\\\"s3:GetBucketLocation\\\",\\\"s3:ListBucket\\\",\\\"s3:GetObjectVersion\\\",\\\"s3:GetObjectVersion\\\"],\\\"Resource\\\":\\\"*\\\"}]}\",\"Role\":\"arn:aws:iam::000000000000:role/MyUserS3AccessRole\",\"HomeDirectory\":\"/\"}",
"StatusCode": 200,
"Message": ""
}
```
### Modelli di funzioni Lambda
È possibile distribuire uno CloudFormation stack che utilizza una funzione Lambda per l'autenticazione. Forniamo diversi modelli che autenticano e autorizzano gli utenti utilizzando le credenziali di accesso. Puoi modificare questi modelli o AWS Lambda codici per personalizzare ulteriormente l'accesso degli utenti.
**Nota**
È possibile creare un AWS Transfer Family server compatibile con FIPS CloudFormation specificando una politica di sicurezza compatibile con FIPS nel modello. Le politiche di sicurezza disponibili sono descritte in [Politiche di sicurezza per i server AWS Transfer Family](security-policies.md)
**Per creare uno CloudFormation stack da utilizzare per l'autenticazione**
1. Apri la CloudFormation console in [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. *Segui le istruzioni per distribuire uno CloudFormation stack da un modello esistente in [Selezione di un modello di stack nella Guida](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-using-console-create-stack-template.html) per l'utente.AWS CloudFormation *
1. Utilizza uno dei seguenti modelli per creare una funzione Lambda da utilizzare per l'autenticazione in Transfer Family.
+ [Modello di pila classico (Amazon Cognito)](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-basic-lambda-cognito-s3.template.yml)
Un modello di base per la creazione di un AWS Lambda file da utilizzare come provider di identità personalizzato in. AWS Transfer Family Si autentica con Amazon Cognito per l'autenticazione basata su password e le chiavi pubbliche vengono restituite da un bucket Amazon S3 se viene utilizzata l'autenticazione basata su chiave pubblica. Dopo la distribuzione, puoi modificare il codice della funzione Lambda per fare qualcosa di diverso.
+ [Gestione dei segreti AWS modello di pila](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-secrets-manager-lambda.template.yml)
Un modello di base che si utilizza AWS Lambda con un AWS Transfer Family server per integrare Secrets Manager come provider di identità. Si autentica in base a una voce Gestione dei segreti AWS del formato. `aws/transfer/server-id/username` Inoltre, il segreto deve contenere le coppie chiave-valore per tutte le proprietà utente restituite a Transfer Family. Dopo la distribuzione, puoi modificare il codice della funzione Lambda per fare qualcosa di diverso.
+ Modello [stack Okta: un modello](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-okta-lambda.template.yml) di base che utilizza AWS Lambda un AWS Transfer Family server per integrare Okta come provider di identità personalizzato.
+ Modello di [stack Okta-MFA: un modello](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-okta-mfa-lambda.template.yml) di base che viene utilizzato AWS Lambda con un AWS Transfer Family server per integrare Okta, con autenticazione a più fattori, come provider di identità personalizzato.
+ [Modello Azure Active Directory](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-basic-lambda-azure-ad.template.yml)[: i dettagli per questo stack sono descritti nel post del blog Authenticating to with Azure Active Directory and. AWS Transfer FamilyAWS Lambda](https://aws.amazon.com/blogs/storage/authenticating-to-aws-transfer-family-with-azure-active-directory-and-aws-lambda/)
**Dopo aver distribuito lo stack, puoi visualizzarne i dettagli nella scheda Output della console.** CloudFormation
L'implementazione di uno di questi stack è il modo più semplice per integrare un provider di identità personalizzato nel flusso di lavoro Transfer Family.
# Utilizzo di Amazon API Gateway per integrare il tuo provider di identità
Questo argomento descrive come utilizzare una AWS Lambda funzione per supportare un metodo API Gateway. Utilizza questa opzione se hai bisogno di un' RESTful API per integrare il tuo provider di identità o se desideri AWS WAF utilizzarla per sfruttare le sue funzionalità per il blocco geografico o le richieste di limitazione della velocità.
Nella maggior parte dei casi d'uso, il modo consigliato per configurare un provider di identità personalizzato consiste nell'utilizzare il. [Soluzione personalizzata per provider di identità](custom-idp-toolkit.md)
**Limitazioni relative all'utilizzo di un API Gateway per l'integrazione del provider di identità**
+ Questa configurazione non supporta domini personalizzati.
+ Questa configurazione non supporta un URL API Gateway privato.
Se hai bisogno di uno di questi, puoi usare Lambda come provider di identità, senza API Gateway. Per informazioni dettagliate, vedi [Utilizzo AWS Lambda per integrare il tuo provider di identità](custom-lambda-idp.md).
## Autenticazione tramite un metodo API Gateway
Puoi creare un metodo API Gateway da utilizzare come provider di identità per Transfer Family. Questo approccio offre un modo estremamente sicuro per creare e fornire APIs. Con API Gateway, puoi creare un endpoint HTTPS in modo che tutte le operazioni API in entrata vengano trasmesse con maggiore sicurezza. Per ulteriori dettagli sul servizio API Gateway, consulta la [API Gateway Developer Guide](https://docs.aws.amazon.com/apigateway/latest/developerguide/welcome.html).
API Gateway offre un metodo di autorizzazione denominato`AWS_IAM`, che offre la stessa autenticazione basata su AWS Identity and Access Management (IAM) AWS utilizzata internamente. Se abiliti l'autenticazione con`AWS_IAM`, solo i chiamanti con autorizzazioni esplicite per chiamare un'API possono raggiungere il metodo API Gateway dell'API.
Per utilizzare il tuo metodo API Gateway come provider di identità personalizzato per Transfer Family, abilita IAM per il tuo metodo API Gateway. Come parte di questo processo, fornisci a un ruolo IAM le autorizzazioni affinché Transfer Family utilizzi il tuo gateway.
**Nota**
Per migliorare la sicurezza, puoi configurare un firewall per applicazioni Web. AWS WAF è un firewall per applicazioni Web che consente di monitorare le richieste HTTP e HTTPS inoltrate a un Amazon API Gateway. Per informazioni dettagliate, vedi [Aggiungi un firewall per applicazioni Web](web-application-firewall.md).
**Non abilitare la memorizzazione nella cache dell'API Gateway**
Non abilitate la memorizzazione nella cache per il metodo API Gateway quando lo utilizzate come provider di identità personalizzato per Transfer Family. La memorizzazione nella cache è inappropriata e non valida per le richieste di autenticazione perché:
Ogni richiesta di autenticazione è unica e richiede una risposta in tempo reale, non una risposta memorizzata nella cache
La memorizzazione nella cache non offre vantaggi poiché Transfer Family non invia mai richieste duplicate o ripetute all'API Gateway.
L'attivazione della memorizzazione nella cache farà sì che l'API Gateway risponda con dati non corrispondenti, con conseguenti risposte non valide alle richieste di autenticazione
**Per utilizzare il metodo API Gateway per l'autenticazione personalizzata con Transfer Family**
1. Crea uno CloudFormation stack. Per farlo:
**Nota**
I modelli dello stack sono stati aggiornati per utilizzare password con BASE64 codifica: per i dettagli, consulta. [Miglioramenti ai modelli CloudFormation](#base64-templates)
1. [Apri la console in CloudFormation /cloudformazione. https://console.aws.amazon.com](https://console.aws.amazon.com/cloudformation/)
1. *Segui le istruzioni per distribuire uno CloudFormation stack da un modello esistente in [Selezione di un modello di stack nella Guida](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-using-console-create-stack-template.html) per l'utente.AWS CloudFormation *
1. Utilizza uno dei seguenti modelli di base per creare un metodo API Gateway AWS Lambda supportato da utilizzare come provider di identità personalizzato in Transfer Family.
+ [Modello di stack di base](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-basic-apig.template.yml)
Per impostazione predefinita, il metodo API Gateway viene utilizzato come provider di identità personalizzato per autenticare un singolo utente in un singolo server utilizzando una chiave o una password SSH (Secure Shell) codificata. Dopo la distribuzione, puoi modificare il codice della funzione Lambda per fare qualcosa di diverso.
+ [Gestione dei segreti AWS modello di pila](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-secrets-manager-apig.template.yml)
Per impostazione predefinita, il metodo API Gateway si autentica con una voce in Secrets Manager del formato. `aws/transfer/server-id/username` Inoltre, il segreto deve contenere le coppie chiave-valore per tutte le proprietà utente restituite a Transfer Family. Dopo la distribuzione, puoi modificare il codice della funzione Lambda per fare qualcosa di diverso. Per ulteriori informazioni, consulta il post del blog [Abilita l'autenticazione tramite password per l' AWS Transfer Family utilizzo Gestione dei segreti AWS](https://aws.amazon.com/blogs/storage/enable-password-authentication-for-aws-transfer-family-using-aws-secrets-manager-updated/).
+ [Modello di stack Okta](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-okta-apig.template.yml)
Il tuo metodo API Gateway si integra con Okta come provider di identità personalizzato in Transfer Family. Per ulteriori informazioni, consulta il post del blog [Utilizzo di Okta come provider di identità](https://aws.amazon.com/blogs/storage/using-okta-as-an-identity-provider-with-aws-transfer-for-sftp/) con. AWS Transfer Family
L'implementazione di uno di questi stack è il modo più semplice per integrare un provider di identità personalizzato nel flusso di lavoro Transfer Family. Ogni stack utilizza la funzione Lambda per supportare il metodo API basato su API Gateway. Puoi quindi utilizzare il tuo metodo API come provider di identità personalizzato in Transfer Family. Per impostazione predefinita, la funzione Lambda autentica un singolo utente chiamato `myuser` con una password di. `MySuperSecretPassword` Dopo la distribuzione, puoi modificare queste credenziali o aggiornare il codice della funzione Lambda per fare qualcosa di diverso.
**Importante**
Ti consigliamo di modificare le credenziali utente e password predefinite.
Dopo aver distribuito lo stack, puoi visualizzarne i dettagli nella scheda **Output** della console. CloudFormation Questi dettagli includono l'Amazon Resource Name (ARN) dello stack, l'ARN del ruolo IAM creato dallo stack e l'URL del nuovo gateway.
**Nota**
Se utilizzi l'opzione provider di identità personalizzato per abilitare l'autenticazione basata su password per i tuoi utenti e abiliti la registrazione di richieste e risposte fornita da API Gateway, API Gateway registra le password degli utenti nei tuoi Amazon Logs. CloudWatch Non è consigliabile utilizzare questo registro nel tuo ambiente di produzione. Per ulteriori informazioni, consulta [Configurare la registrazione delle CloudWatch API in API Gateway nella API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html) *Developer Guide*.
1. Controlla la configurazione del metodo API Gateway per il tuo server. Per farlo:
1. Apri la console API Gateway all'indirizzo [https://console.aws.amazon.com/apigateway/](https://console.aws.amazon.com/apigateway/).
1. Scegli l'**API del modello di base di Transfer Custom Identity Provider** generata dal CloudFormation modello. Potrebbe essere necessario selezionare la regione per visualizzare i gateway.
1. Nel riquadro **Risorse**, scegli **GET**. La schermata seguente mostra la configurazione corretta del metodo.
![\[Dettagli di configurazione dell'API, che mostrano i parametri di configurazione del metodo per Request Paths e per la URL Query String.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/apig-config-method-fields.png)
A questo punto, il gateway API è pronto per essere distribuito.
1. Per **Azioni**, scegli **Deploy API.** **Per la **fase di distribuzione**, scegli **prod**, quindi scegli Deploy.**
Dopo che il metodo API Gateway è stato distribuito correttamente, visualizzane le prestazioni in **Stages** > **Stage details**, come mostrato nella schermata seguente.
**Nota**
Copia l'indirizzo **URL di Invoke** visualizzato nella parte superiore dello schermo. Potresti averne bisogno per il passaggio successivo.
![\[Dettagli dello stage con l'URL Invoke evidenziato.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/apig-config-method-invoke.png)
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Una Transfer Family avrebbe dovuto essere creata per te quando hai creato lo stack. In caso contrario, configura il tuo server seguendo questi passaggi.
1. Scegli **Crea server** per aprire la pagina **Crea server**. Per **Scegli un provider di identità**, scegli **Personalizzato**, quindi seleziona **Usa Amazon API Gateway per connetterti al tuo provider di identità**, come mostrato nella schermata seguente.
![\[La schermata del provider di identità con Custom Identity Provider selezionato e con l'API Gateway scelto per la connessione al provider di identità.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/create-server-choose-idp-custom.png)
1. Nella casella di testo **Fornisci un URL di Amazon API Gateway**, incolla l'indirizzo **URL Invoke** dell'endpoint API Gateway che hai creato nel passaggio 3 di questa procedura.
1. Per **Ruolo**, scegli il ruolo IAM creato dal CloudFormation modello. Questo ruolo consente a Transfer Family di richiamare il metodo del gateway API.
Il ruolo di invocazione contiene il nome CloudFormation dello stack selezionato per lo stack creato nel passaggio 1. Ha il seguente formato:. `CloudFormation-stack-name-TransferIdentityProviderRole-ABC123DEF456GHI`
1. Compila le caselle rimanenti, quindi scegli **Crea server**. Per i dettagli sui passaggi rimanenti per la creazione di un server, consulta[Configurazione di un endpoint server SFTP, FTPS o FTP](tf-server-endpoint.md).
## Implementazione del metodo API Gateway
Per creare un provider di identità personalizzato per Transfer Family, il metodo API Gateway deve implementare un unico metodo con un percorso di risorse di`/servers/serverId/users/username/config`. I `username` valori `serverId` and provengono dal percorso delle RESTful risorse. Inoltre, aggiungete `sourceIp` e `protocol` come **parametri della stringa di query URL** nella **richiesta del metodo**, come mostrato nell'immagine seguente.
![\[La schermata Risorse dell'API Gateway che mostra i dettagli del GET metodo.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/apig-config-method-request.png)
**Nota**
Il nome utente deve contenere un minimo di 3 e un massimo di 100 caratteri. È possibile utilizzare i seguenti caratteri nel nome utente: a—z, A-Z, 0—9, trattino basso '\$1', trattino '-', punto '.' e al segno '@'. Il nome utente non può iniziare con un trattino '-', punto '.' o dal segno '@'.
Se Transfer Family tenta l'autenticazione tramite password per l'utente, il servizio fornisce un campo di `Password:` intestazione. In assenza di un'`Password:`intestazione, Transfer Family tenta l'autenticazione a chiave pubblica per autenticare l'utente.
Quando utilizzi un provider di identità per autenticare e autorizzare gli utenti finali, oltre a convalidare le loro credenziali, puoi consentire o negare le richieste di accesso in base agli indirizzi IP dei client utilizzati dagli utenti finali. Puoi utilizzare questa funzionalità per assicurarti che i dati archiviati nei bucket S3 o nel file system Amazon EFS siano accessibili tramite i protocolli supportati solo da indirizzi IP che hai specificato come affidabili. Per abilitare questa funzionalità, devi includerla `sourceIp` nella stringa Query.
Se hai abilitato più protocolli per il tuo server e desideri fornire l'accesso utilizzando lo stesso nome utente su più protocolli, puoi farlo purché le credenziali specifiche per ogni protocollo siano state configurate nel tuo provider di identità. Per abilitare questa funzionalità, è necessario includere il `protocol` valore nel percorso della RESTful risorsa.
Il metodo API Gateway deve sempre restituire il codice di stato HTTP`200`. Qualsiasi altro codice di stato HTTP indica che si è verificato un errore durante l'accesso all'API.
**Esempio di risposta di Amazon S3**
Il corpo della risposta di esempio è un documento JSON del seguente modulo per Amazon S3.
```
{
"Role": "IAM role with configured S3 permissions",
"PublicKeys": [
"ssh-rsa public-key1",
"ssh-rsa public-key2"
],
"Policy": "STS Assume role session policy",
"HomeDirectory": "/amzn-s3-demo-bucket/path/to/home/directory"
}
```
**Nota**
La policy viene salvata in formato JSON come stringa. Esempio:
****
```
"Policy":
"{
\"Version\": \"2012-10-17\",
\"Statement\":
[
{\"Condition\":
{\"StringLike\":
{\"s3:prefix\":
[\"user/*\", \"user/\"]}},
\"Resource\": \"arn:aws:s3:::amzn-s3-demo-bucket\",
\"Action\": \"s3:ListBucket\",
\"Effect\": \"Allow\",
\"Sid\": \"ListHomeDir\"},
{\"Resource\": \"arn:aws:s3:::*\",
\"Action\": [\"s3:PutObject\",
\"s3:GetObject\",
\"s3:DeleteObjectVersion\",
\"s3:DeleteObject\",
\"s3:GetObjectVersion\",
\"s3:GetObjectACL\",
\"s3:PutObjectACL\"],
\"Effect\": \"Allow\",
\"Sid\": \"HomeDirObjectAccess\"}]
}"
```
Il seguente esempio di risposta mostra che un utente ha un tipo di home directory logica.
```
{
"Role": "arn:aws:iam::123456789012:role/transfer-access-role-s3",
"HomeDirectoryType":"LOGICAL",
"HomeDirectoryDetails":"[{\"Entry\":\"/\",\"Target\":\"/amzn-s3-demo-bucket1\"}]",
"PublicKeys":[""]
}
```
**Esempio di risposta Amazon EFS**
Il corpo della risposta di esempio è un documento JSON del seguente modulo per Amazon EFS.
```
{
"Role": "IAM role with configured EFS permissions",
"PublicKeys": [
"ssh-rsa public-key1",
"ssh-rsa public-key2"
],
"PosixProfile": {
"Uid": "POSIX user ID",
"Gid": "POSIX group ID",
"SecondaryGids": [Optional list of secondary Group IDs],
},
"HomeDirectory": "/fs-id/path/to/home/directory"
}
```
Il `Role` campo mostra che l'autenticazione è avvenuta con successo. Quando si esegue l'autenticazione con password (quando si fornisce un'`Password:`intestazione), non è necessario fornire chiavi pubbliche SSH. Se un utente non può essere autenticato, ad esempio, se la password non è corretta, il metodo dovrebbe restituire una risposta senza set. `Role` Un esempio di tale risposta è un oggetto JSON vuoto.
Il seguente esempio di risposta mostra un utente con un tipo di home directory logica.
```
{
"Role": "arn:aws:iam::123456789012:role/transfer-access-role-efs",
"HomeDirectoryType": "LOGICAL",
"HomeDirectoryDetails":"[{\"Entry\":\"/\",\"Target\":\"/faa1a123\"}]",
"PublicKeys":[""],
"PosixProfile":{"Uid":65534,"Gid":65534}
}
```
È possibile includere politiche utente nella funzione Lambda in formato JSON. Per ulteriori informazioni sulla configurazione delle politiche utente in Transfer Family, vedere[Gestione dei controlli di accesso](users-policies.md).
## Funzione Lambda predefinita
Per implementare diverse strategie di autenticazione, modifica la funzione Lambda utilizzata dal gateway. Per aiutarti a soddisfare le esigenze della tua applicazione, puoi utilizzare le funzioni Lambda di esempio seguenti in Node.js. Per ulteriori informazioni su Lambda, consulta la [AWS Lambda Developer Guide o Building](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) [Lambda functions with Node.js](https://docs.aws.amazon.com/lambda/latest/dg/lambda-nodejs.html).
L'esempio seguente della funzione Lambda utilizza il nome utente, la password (se si esegue l'autenticazione tramite password), l'ID del server, il protocollo e l'indirizzo IP del client. Puoi utilizzare una combinazione di questi input per cercare il tuo provider di identità e determinare se l'accesso deve essere accettato.
**Nota**
Se hai abilitato più protocolli per il tuo server e desideri fornire l'accesso utilizzando lo stesso nome utente su più protocolli, puoi farlo purché le credenziali specifiche del protocollo siano state configurate nel tuo provider di identità.
Per File Transfer Protocol (FTP), consigliamo di mantenere credenziali separate da Secure Shell (SSH) File Transfer Protocol (SFTP) e File Transfer Protocol over SSL (FTPS). Consigliamo di mantenere credenziali separate per FTP perché, a differenza di SFTP e FTPS, FTP trasmette le credenziali in testo non crittografato. Isolando le credenziali FTP da SFTP o FTPS, se le credenziali FTP sono condivise o esposte, i carichi di lavoro che utilizzano SFTP o FTPS rimangono sicuri.
Questa funzione di esempio restituisce il ruolo e i dettagli logici della home directory, insieme alle chiavi pubbliche (se esegue l'autenticazione a chiave pubblica).
Quando si creano utenti gestiti dai servizi, si imposta la loro home directory, logica o fisica. Allo stesso modo, abbiamo bisogno dei risultati della funzione Lambda per comunicare la struttura di directory fisica o logica desiderata dall'utente. I parametri impostati dipendono dal valore del campo. [https://docs.aws.amazon.com//transfer/latest/APIReference/API_CreateUser.html#TransferFamily-CreateUser-request-HomeDirectoryType](https://docs.aws.amazon.com//transfer/latest/APIReference/API_CreateUser.html#TransferFamily-CreateUser-request-HomeDirectoryType)
+ `HomeDirectoryType`impostato su`PATH`: il `HomeDirectory` campo deve quindi essere un prefisso assoluto del bucket Amazon S3 o un percorso assoluto di Amazon EFS visibile ai tuoi utenti.
+ `HomeDirectoryType`impostato su `LOGICAL` — *Non* impostare un campo. `HomeDirectory` Invece, impostiamo un `HomeDirectoryDetails` campo che fornisce le Entry/Target mappature desiderate, simili ai valori descritti nel [https://docs.aws.amazon.com//transfer/latest/APIReference/API_CreateUser.html#TransferFamily-CreateUser-request-HomeDirectoryMappings](https://docs.aws.amazon.com//transfer/latest/APIReference/API_CreateUser.html#TransferFamily-CreateUser-request-HomeDirectoryMappings)parametro per gli utenti gestiti dal servizio.
Le funzioni di esempio sono elencate in. [Esempi di funzioni Lambda](custom-lambda-idp.md#lambda-auth-examples)
## Funzione Lambda da utilizzare con Gestione dei segreti AWS
Per Gestione dei segreti AWS utilizzarla come provider di identità, puoi utilizzare la funzione Lambda nel modello di esempio CloudFormation . La funzione Lambda interroga il servizio Secrets Manager con le tue credenziali e, in caso di successo, restituisce un segreto designato. Per ulteriori informazioni su Secrets Manager, consultare la [Guida per l'utente di Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html).
Per scaricare un CloudFormation modello di esempio che utilizza questa funzione Lambda, vai al bucket [Amazon S3 fornito](https://s3.amazonaws.com/aws-transfer-resources/custom-idp-templates/aws-transfer-custom-idp-secrets-manager-apig.template.yml) da. AWS Transfer Family
## Miglioramenti ai modelli CloudFormation
Sono stati apportati miglioramenti all'interfaccia API Gateway ai CloudFormation modelli pubblicati. I modelli ora utilizzano password BASE64 codificate con API Gateway. Le distribuzioni esistenti continuano a funzionare senza questo miglioramento, ma non consentono l'utilizzo di password con caratteri al di fuori del set di caratteri US-ASCII di base.
Le modifiche nel modello che abilitano questa funzionalità sono le seguenti:
+ La `GetUserConfigRequest AWS::ApiGateway::Method` risorsa deve avere questo `RequestTemplates` codice (la riga in corsivo è la riga aggiornata)
```
RequestTemplates:
application/json: |
{
"username": "$util.urlDecode($input.params('username'))",
"password": "$util.escapeJavaScript($util.base64Decode($input.params('PasswordBase64'))).replaceAll("\\'","'")",
"protocol": "$input.params('protocol')",
"serverId": "$input.params('serverId')",
"sourceIp": "$input.params('sourceIp')"
}
```
+ Il comando `RequestParameters` for the `GetUserConfig` resource deve cambiare per utilizzare l'`PasswordBase64`header (la riga in corsivo è la riga aggiornata):
```
RequestParameters:
method.request.header.PasswordBase64: false
method.request.querystring.protocol: false
method.request.querystring.sourceIp: false
```
**Per verificare se il modello per il tuo stack è il più recente**
1. Apri la CloudFormation console in [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Dall'elenco degli stack, scegli il tuo stack.
1. Dal pannello dei dettagli, scegli la scheda **Modello**.
1. Cerca quanto segue:
+ Cerca `RequestTemplates` e assicurati di avere questa riga:
```
"password": "$util.escapeJavaScript($util.base64Decode($input.params('PasswordBase64'))).replaceAll("\\'","'")",
```
+ Cerca `RequestParameters` e assicurati di avere questa riga:
```
method.request.header.PasswordBase64: false
```
Se non vedi le righe aggiornate, modifica lo stack. *Per i dettagli su come aggiornare lo CloudFormation stack, consulta [Modificare un modello di stack](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-get-template.html) nella; Guida per l'AWS CloudFormation utente.*
# Utilizzo di più metodi di autenticazione
Il server Transfer Family controlla la logica AND quando si utilizzano più metodi di autenticazione. Transfer Family considera queste richieste come due richieste separate al tuo provider di identità personalizzato: tuttavia, il loro effetto è combinato.
Entrambe le richieste devono restituire correttamente la risposta corretta per consentire il completamento dell'autenticazione. Transfer Family richiede che le due risposte siano complete, il che significa che contengono tutti gli elementi richiesti (ruolo, home directory, policy e profilo POSIX se utilizzi Amazon EFS per lo storage). Transfer Family richiede inoltre che la risposta alla password non includa chiavi pubbliche.
La richiesta di chiave pubblica deve avere una risposta separata dal provider di identità. Tale comportamento rimane invariato quando si utilizza **Password OR Key o** **Password AND Key**.
Il protocollo SSH/SFTP sfida il client software prima con un'autenticazione a chiave pubblica, quindi richiede un'autenticazione con password. Questa operazione richiede che entrambe abbiano esito positivo prima che l'utente possa completare l'autenticazione.
Per le opzioni personalizzate del provider di identità, puoi specificare una delle seguenti opzioni per l'autenticazione.
+ **Password O chiave**: gli utenti possono autenticarsi con la propria password o la propria chiave. Si tratta del valore di default.
+ **SOLO password**: gli utenti devono fornire la propria password per connettersi.
+ **SOLO chiave**: gli utenti devono fornire la propria chiave privata per connettersi.
+ **Password E chiave**: gli utenti devono fornire sia la chiave privata che la password per connettersi. Il server controlla prima la chiave e poi, se la chiave è valida, il sistema richiede una password. Se la chiave privata fornita non corrisponde alla chiave pubblica archiviata, l'autenticazione fallisce.
# IPv6 supporto per provider di identità personalizzati
AWS Transfer Family i provider di identità personalizzati supportano completamente IPv6 le connessioni. Quando si implementa un provider di identità personalizzato, la funzione Lambda può ricevere ed elaborare le richieste di autenticazione da entrambi IPv4 IPv6 i client senza alcuna configurazione aggiuntiva. La funzione Lambda riceve l'indirizzo IP del client nel `sourceIp` campo della richiesta, che può essere un IPv4 indirizzo (ad esempio,`203.0.113.42`) o un IPv6 indirizzo (ad esempio,`2001:db8:85a3:8d3:1319:8a2e:370:7348`). L'implementazione del provider di identità personalizzato deve gestire entrambi i formati di indirizzi in modo appropriato.
**Importante**
Se il tuo provider di identità personalizzato esegue la convalida o la registrazione basata su IP, assicurati che l'implementazione gestisca correttamente i formati di indirizzi. IPv6 IPv6 gli indirizzi sono più lunghi IPv4 degli indirizzi e utilizzano un formato di notazione diverso.
**Nota**
Quando gestisci IPv6 gli indirizzi nel tuo provider di identità personalizzato, assicurati di utilizzare funzioni di analisi IPv6 degli indirizzi corrette anziché semplici confronti di stringhe. IPv6gli indirizzi possono essere rappresentati in vari formati canonici (ad esempio o). `fd00:b600::ec2` `fd00:b600:0:0:0:0:0:ec2` Utilizza le librerie o le funzioni di IPv6 indirizzi appropriate nel tuo linguaggio di implementazione per convalidare e confrontare correttamente gli indirizzi. IPv6
**Example Gestione di entrambi IPv4 gli IPv6 indirizzi in un provider di identità personalizzato**
```
def lambda_handler(event, context):
# Extract the source IP address from the request
source_ip = event.get('sourceIp', '')
# Log the client IP address (works for both IPv4 and IPv6)
print(f"Authentication request from: {source_ip}")
# Example of IP-based validation that works with both IPv4 and IPv6
if is_ip_allowed(source_ip):
# Continue with authentication
# ...
else:
# Reject the authentication request
return {
"Role": "",
"HomeDirectory": "",
"Status": "DENIED"
}
```
Per ulteriori informazioni sull'implementazione di provider di identità personalizzati, vedere[Utilizzo AWS Lambda per integrare il tuo provider di identità](custom-lambda-idp.md).
# Utilizzo di AWS Directory Service per Microsoft Active Directory
Puoi utilizzarlo AWS Transfer Family per autenticare gli utenti finali che effettuano il trasferimento di file utilizzando AWS Directory Service for Microsoft Active Directory. Consente la migrazione senza interruzioni dei flussi di lavoro di trasferimento di file che si basano sull'autenticazione di Active Directory senza modificare le credenziali degli utenti finali o richiedere un'autorizzazione personalizzata.
Con AWS Managed Microsoft AD, puoi fornire a Directory Service utenti e gruppi l'accesso sicuro tramite SFTP, FTPS e FTP ai dati archiviati in Amazon Simple Storage Service (Amazon S3) o Amazon Elastic File System (Amazon EFS). Se utilizzi Active Directory per archiviare le credenziali degli utenti, ora disponi di un modo più semplice per abilitare i trasferimenti di file per questi utenti.
Puoi fornire l'accesso ai gruppi di Active Directory AWS Managed Microsoft AD nel tuo ambiente locale o nel AWS cloud utilizzando i connettori Active Directory. Puoi consentire agli utenti già configurati nel tuo ambiente Microsoft Windows, nel AWS cloud o nella loro rete locale, l'accesso a un AWS Transfer Family server che utilizza AWS Managed Microsoft AD l'identità. Il blog AWS sullo storage contiene un post che descrive in dettaglio una soluzione per l'utilizzo di Active Directory with Transfer Family: [Simplify Active Directory authentication with a identity provider personalizzato per AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/).
**Nota**
AWS Transfer Family non supporta Simple AD.
Transfer Family non supporta configurazioni Active Directory interregionali: supportiamo solo le integrazioni di Active Directory che si trovano nella stessa regione di quella del server Transfer Family.
Transfer Family non supporta l'utilizzo né di AD AWS Managed Microsoft AD Connector per abilitare l'autenticazione a più fattori (MFA) per l'infrastruttura MFA esistente basata su RADIUS.
AWS Transfer Family non supporta le regioni replicate di Managed Active Directory.
Per utilizzarlo AWS Managed Microsoft AD, è necessario eseguire le seguenti operazioni:
1. Crea una o più AWS Managed Microsoft AD directory utilizzando la Directory Service console.
1. Usa la console Transfer Family per creare un server che utilizzi AWS Managed Microsoft AD come provider di identità.
1. Configura AWS Directory utilizzando un connettore Active Directory.
1. Aggiungi l'accesso da uno o più dei tuoi Directory Service gruppi.
1. Sebbene non sia obbligatorio, ti consigliamo di testare e verificare l'accesso degli utenti.
**Topics**
+ [Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory](#managed-ad-prereq)
+ [Utilizzo dei realm di Active Directory](#managed-ad-realms)
+ [Scelta AWS Managed Microsoft AD come provider di identità](#managed-ad-identity-provider)
+ [Connessione a Microsoft Active Directory locale](#on-prem-ad)
+ [Concessione dell'accesso ai gruppi](#directory-services-grant-access)
+ [Test degli utenti](#directory-services-test-user)
+ [Eliminazione dell'accesso al server per un gruppo](#directory-services-misc)
+ [Connessione al server tramite SSH (Secure Shell)](#directory-services-ssh-procedure)
+ [Connessione AWS Transfer Family a un Active Directory autogestito utilizzando foreste e trust](#directory-services-ad-trust)
## Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory
**Nota**
AWS Transfer Family ha un limite predefinito di 100 gruppi di Active Directory per server. Se il tuo caso d'uso richiede più di 100 gruppi, prendi in considerazione l'utilizzo di una soluzione di provider di identità personalizzata, come descritto in [Semplificare l'autenticazione di Active Directory con un provider di identità personalizzato per AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/).
### Fornisci un identificatore univoco per i tuoi gruppi AD
Prima di poter utilizzare AWS Managed Microsoft AD, è necessario fornire un identificatore univoco per ogni gruppo nella directory Microsoft AD. A tale scopo, è possibile utilizzare l'identificatore di sicurezza (SID) per ogni gruppo. Gli utenti del gruppo che associ hanno accesso alle tue risorse Amazon S3 o Amazon EFS tramite i protocolli abilitati utilizzando AWS Transfer Family.
Usa il seguente PowerShell comando di Windows per recuperare il SID di un gruppo, sostituendolo *YourGroupName* con il nome del gruppo.
```
Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
```
**Nota**
Se lo utilizzi AWS Directory Service come provider di identità `userPrincipalName` e `SamAccountName` hai valori diversi, AWS Transfer Family accetta il valore in. `SamAccountName` Transfer Family non accetta il valore specificato in`userPrincipalName`.
### Aggiungi Directory Service autorizzazioni al tuo ruolo
Ti servono anche le autorizzazioni Directory Service API da utilizzare AWS Directory Service come provider di identità. Le seguenti autorizzazioni sono obbligatorie o suggerite:
+ `ds:DescribeDirectories`è necessario per consentire a Transfer Family di cercare l'elenco
+ `ds:AuthorizeApplication`è necessario aggiungere l'autorizzazione per Transfer Family
+ `ds:UnauthorizeApplication`si consiglia di rimuovere tutte le risorse create provvisoriamente, nel caso in cui qualcosa vada storto durante il processo di creazione del server
Aggiungi queste autorizzazioni al ruolo che stai utilizzando per creare i tuoi server Transfer Family. Per maggiori dettagli su queste autorizzazioni, consulta [Autorizzazioni Directory Service API: riferimento alle azioni, alle risorse e alle condizioni](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/UsingWithDS_IAM_ResourcePermissions.html).
## Utilizzo dei realm di Active Directory
Quando state valutando come fare in modo che gli utenti di Active Directory accedano ai AWS Transfer Family server, tenete presente l'area dell'utente e quella del gruppo. Idealmente, l'area dell'utente e quella del gruppo dovrebbero corrispondere. Cioè, sia l'utente che il gruppo si trovano nel realm predefinito o entrambi si trovano nell'area di fiducia. In caso contrario, l'utente non può essere autenticato da Transfer Family.
Puoi testare l'utente per assicurarti che la configurazione sia corretta. Per informazioni dettagliate, vedi [Test degli utenti](#directory-services-test-user). Se c'è un problema con il user/group realm, viene visualizzato l'errore Nessun accesso associato trovato per i gruppi di utenti.
## Scelta AWS Managed Microsoft AD come provider di identità
Questa sezione descrive come utilizzarlo AWS Directory Service for Microsoft Active Directory con un server.
**Da usare AWS Managed Microsoft AD con Transfer Family**
1. Accedi a Console di gestione AWS e apri la Directory Service console all'indirizzo [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
Usa la Directory Service console per configurare una o più directory gestite. Per ulteriori informazioni, consulta [AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) nella *Guida per gli amministratori Directory Service *.
![\[La console Directory Service che mostra un elenco di directory e i relativi dettagli.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/directory-services-AD-list.png)
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)e scegli **Crea server**.
1. Nella pagina **Scegli i protocolli**, scegli uno o più protocolli dall'elenco.
**Nota**
Se si seleziona **FTPS**, è necessario fornire il AWS Certificate Manager certificato.
1. Per **Scegli un provider di identità**, scegli **AWS Directory Service**.
![\[Schermata della console che mostra la sezione Scegli il provider di identità con Directory Service selezionato.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/create-server-choose-idp-directory-services.png)
1. L'elenco delle **directory** contiene tutte le directory gestite che hai configurato. Scegliete una directory dall'elenco e scegliete **Avanti**.
**Nota**
Le directory Cross-Account e Shared non sono supportate per. AWS Managed Microsoft AD
Per configurare un server con Directory Service come provider di identità, è necessario aggiungere alcune Directory Service autorizzazioni. Per informazioni dettagliate, vedi [Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory](#managed-ad-prereq).
1. Per completare la creazione del server, utilizzare una delle seguenti procedure:
+ [Crea un server compatibile con SFTP](create-server-sftp.md)
+ [Creare un server compatibile con FTPS](create-server-ftps.md)
+ [Crea un server abilitato all'FTP](create-server-ftp.md)
In queste procedure, continua con il passaggio successivo alla scelta di un provider di identità.
**Importante**
Non puoi eliminare una directory Microsoft AD Directory Service se l'hai usata in un server Transfer Family. È necessario prima eliminare il server, quindi è possibile eliminare la directory.
## Connessione a Microsoft Active Directory locale
Questa sezione descrive come configurare una AWS directory utilizzando un AD Connector.
**Per configurare la tua AWS directory utilizzando AD Connector**
1. Apri la console [Directory Service](https://console.aws.amazon.com/directoryservicev2/) e seleziona **Directory**.
1. Seleziona **Configura la directory**.
1. Per il tipo di directory, scegli **AD Connector**.
1. Seleziona la dimensione della directory, seleziona **Avanti**, quindi seleziona il tuo VPC e le sottoreti.
1. Seleziona **Avanti**, quindi compila i campi come segue:
+ **Nome DNS della directory**: inserisci il nome di dominio che stai utilizzando per Microsoft Active Directory.
+ **Indirizzi IP DNS: inserisci gli indirizzi** IP di Microsoft Active Directory.
+ **Nome utente e **password** dell'account del server**: inserisci i dettagli dell'account di servizio da utilizzare.
1. Completa le schermate per creare il servizio di directory.
Il passaggio successivo consiste nel creare un server Transfer Family con il protocollo SFTP e il tipo di provider di identità **AWS Directory Service**. Dall'elenco a discesa **Directory**, selezionate la directory aggiunta nella procedura precedente.
## Concessione dell'accesso ai gruppi
Dopo aver creato il server, è necessario scegliere i gruppi della directory che devono avere accesso al caricamento e al download di file tramite AWS Transfer Family i protocolli abilitati. A tale scopo, è necessario creare un *accesso*.
**Nota**
AWS Transfer Family ha un limite predefinito di 100 gruppi di Active Directory per server. Se il tuo caso d'uso richiede più di 100 gruppi, prendi in considerazione l'utilizzo di una soluzione di provider di identità personalizzata, come descritto in [Semplificare l'autenticazione di Active Directory con un provider di identità personalizzato per AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/).
**Nota**
Gli utenti devono appartenere *direttamente* al gruppo a cui concedi l'accesso. Ad esempio, supponiamo che Bob sia un utente e appartenga al gruppo A e che lo stesso gruppo A sia incluso nel gruppo B.
Se concedi l'accesso a GroupA, a Bob viene concesso l'accesso.
Se concedi l'accesso a GroupB (e non a GroupA), Bob non ha accesso.
**Per concedere l'accesso a un gruppo**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Vai alla pagina dei dettagli del server.
1. Nella sezione **Accessi**, scegli **Aggiungi accesso**.
1. Inserisci il SID per la AWS Managed Microsoft AD directory a cui desideri che acceda a questo server.
**Nota**
Per informazioni su come trovare il SID per il gruppo, consulta. [Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory](#managed-ad-prereq)
1. Per **Access**, scegli un ruolo AWS Identity and Access Management (IAM) per il gruppo.
1. Nella sezione **Politica**, scegli una politica. L'impostazione predefinita è **Nessuna**.
1. Per la **directory Home**, scegli un bucket Amazon S3 che corrisponda alla home directory del gruppo.
**Nota**
Puoi limitare le porzioni del bucket visualizzate dagli utenti creando una policy di sessione. Ad esempio, per limitare gli utenti alla propria cartella all'interno della `/filetest` directory, inserisci il seguente testo nella casella.
```
/filetest/${transfer:UserName}
```
Per ulteriori informazioni sulla creazione di una politica di sessione, consulta[Creazione di una politica di sessione per un bucket Amazon S3](users-policies-session.md).
1. Scegli **Aggiungi** per creare l'associazione.
1. Scegli il tuo server.
1. Scegli **Aggiungi accesso**.
1. Inserisci il SID per il gruppo.
**Nota**
Per informazioni su come trovare il SID, vedere. [Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory](#managed-ad-prereq)
1. Scegli **Aggiungi accesso**.
Nella sezione **Accessi**, sono elencati gli accessi per il server.
![\[Console che mostra la sezione Accessi con gli accessi al server elencati.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/accesses-list.png)
## Test degli utenti
Puoi verificare se un utente ha accesso alla AWS Managed Microsoft AD directory del tuo server.
**Nota**
Un utente deve appartenere esattamente a un gruppo (un ID esterno) elencato nella sezione **Accesso** della pagina di **configurazione dell'endpoint**. Se l'utente non fa parte di alcun gruppo o fa parte di più di un singolo gruppo, a quell'utente non viene concesso l'accesso.
**Per verificare se un utente specifico ha accesso**
1. Nella pagina dei dettagli del server, scegli **Azioni**, quindi scegli **Test**.
1. Per il **test del provider di identità**, inserisci le credenziali di accesso per un utente che fa parte di uno dei gruppi con accesso.
1. Scegli **Test (Esegui test)**.
Viene visualizzato un test del provider di identità riuscito, che dimostra che all'utente selezionato è stato concesso l'accesso al server.
![\[Schermata della console dell'esito positivo del test del provider di identità.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/identity-provider-test-success.png)
Se l'utente appartiene a più di un gruppo con accesso, riceverai la seguente risposta.
```
"Response":"",
"StatusCode":200,
"Message":"More than one associated access found for user's groups."
```
## Eliminazione dell'accesso al server per un gruppo
**Per eliminare l'accesso al server per un gruppo**
1. Nella pagina dei dettagli del server, scegli **Azioni**, quindi scegli **Elimina accesso**.
1. Nella finestra di dialogo, conferma che desideri rimuovere l'accesso per questo gruppo.
Quando si torna alla pagina dei dettagli del server, si nota che l'accesso per questo gruppo non è più elencato.
## Connessione al server tramite SSH (Secure Shell)
Dopo aver configurato il server e gli utenti, è possibile connettersi al server tramite SSH e utilizzare il nome utente completo per un utente che ha accesso.
```
sftp user@active-directory-domain@vpc-endpoint
```
Ad esempio: `transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com`.
Questo formato è destinato alla ricerca della federazione, limitando la ricerca di un Active Directory potenzialmente grande.
**Nota**
È possibile specificare il nome utente semplice. Tuttavia, in questo caso, il codice di Active Directory deve cercare in tutte le directory della federazione. Ciò potrebbe limitare la ricerca e l'autenticazione potrebbe non riuscire anche se l'utente dovesse avere accesso.
Dopo l'autenticazione, l'utente si trova nella home directory specificata al momento della configurazione dell'utente.
## Connessione AWS Transfer Family a un Active Directory autogestito utilizzando foreste e trust
Directory Service dispone delle seguenti opzioni per connettersi a un Active Directory autogestito:
+ L'attendibilità unidirezionale delle foreste (in uscita AWS Managed Microsoft AD e in entrata per Active Directory locale) funziona solo per il dominio radice.
+ Per i domini secondari, puoi utilizzare uno dei seguenti:
+ Utilizza l'attendibilità bidirezionale tra Active Directory locale AWS Managed Microsoft AD e viceversa
+ Utilizza la fiducia esterna unidirezionale per ogni dominio figlio.
Quando si connette al server utilizzando un dominio affidabile, l'utente deve specificare il dominio affidabile, ad esempio`transferuserexample@mycompany.com`.
# Utilizzo di AWS Directory Service per Entra ID Domain Services
Per i clienti che necessitano solo di SFTP Transfer e non desiderano gestire un dominio, è disponibile Simple Active Directory. In alternativa, i clienti che desiderano i vantaggi di Active Directory e l'elevata disponibilità in un servizio completamente gestito possono utilizzare AWS Managed Microsoft AD. Infine, per i clienti che desiderano sfruttare la foresta Active Directory esistente per il trasferimento SFTP, è disponibile Active Directory Connector.
Tenere presente quanto segue:
+ Per sfruttare la foresta Active Directory esistente per le esigenze di trasferimento SFTP, è possibile utilizzare [Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html) Connector.
+ Se desideri i vantaggi di Active Directory e l'elevata disponibilità in un servizio completamente gestito, puoi utilizzare AWS Directory Service for Microsoft Active Directory. Per informazioni dettagliate, vedi [Utilizzo di AWS Directory Service per Microsoft Active Directory](directory-services-users.md).
Questo argomento descrive come usare un connettore Active Directory e i [servizi di dominio Entra ID (precedentemente Azure AD)](https://azure.microsoft.com/en-us/services/active-directory-ds/) per autenticare gli utenti di SFTP Transfer con Entra ID.
**Topics**
+ [Prima di iniziare a utilizzare AWS Directory Service per Entra ID Domain Services](#azure-prereq)
+ [Fase 1: aggiunta dei servizi di dominio Entra ID](#azure-add-adds)
+ [Fase 2: Creazione di un account di servizio](#azure-create-service-acct)
+ [Fase 3: Configurazione della AWS directory tramite AD Connector](#azure-setup-directory)
+ [Fase 4: Configurazione AWS Transfer Family del server](#azure-setup-transfer-server)
+ [Fase 5: Concessione dell'accesso ai gruppi](#azure-grant-access)
+ [Fase 6: Test degli utenti](#azure-test)
## Prima di iniziare a utilizzare AWS Directory Service per Entra ID Domain Services
**Nota**
AWS Transfer Family ha un limite predefinito di 100 gruppi Active Directory per server. Se il tuo caso d'uso richiede più di 100 gruppi, prendi in considerazione l'utilizzo di una soluzione di provider di identità personalizzata, come descritto in [Semplificare l'autenticazione di Active Directory con un provider di identità personalizzato per AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/).
Perché AWS, hai bisogno di quanto segue:
+ Un cloud privato virtuale (VPC) in una AWS regione in cui utilizzi i server Transfer Family
+ Almeno due sottoreti private nel tuo VPC
+ Il VPC deve disporre di connettività Internet
+ Un gateway per i clienti e un gateway privato virtuale per la connessione site-to-site VPN con Microsoft Entra
Per Microsoft Entra, è necessario quanto segue:
+ Un ID Entra e un servizio di dominio Active Directory
+ Un gruppo di risorse Entra
+ Una rete virtuale Entra
+ Connettività VPN tra Amazon VPC e il gruppo di risorse Entra
**Nota**
Ciò può avvenire tramite tunnel IPSEC nativi o utilizzando dispositivi VPN. In questo argomento, utilizziamo i tunnel IPSEC tra un gateway di rete Entra Virtual e un gateway di rete locale. I tunnel devono essere configurati per consentire il traffico tra gli endpoint del servizio di dominio Entra e le sottoreti che ospitano il VPC. AWS
+ Un gateway per i clienti e un gateway privato virtuale per la connessione site-to-site VPN con Microsoft Entra
Il diagramma seguente mostra la configurazione necessaria prima di iniziare.
![\[Entra/Azure AD e diagramma dell'architettura. AWS Transfer Family Un AWS VPC che si connette a una rete virtuale Entra tramite Internet, utilizzando un connettore AWS Directory Service al servizio di dominio Entra.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-architecture.png)
## Fase 1: aggiunta dei servizi di dominio Entra ID
Per impostazione predefinita, Entra ID non supporta le istanze di aggiunta al dominio. Per eseguire azioni come Domain Join e utilizzare strumenti come Group Policy, gli amministratori devono abilitare Entra ID Domain Services. Se non hai già aggiunto Entra DS o l'implementazione esistente non è associata al dominio che desideri venga utilizzato dal server di trasferimento SFTP, devi aggiungere una nuova istanza.
Per informazioni sull'attivazione di Entra ID Domain Services, vedere [Tutorial: Creare e configurare un dominio gestito di Microsoft Entra Domain Services](https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-getting-started).
**Nota**
Quando abiliti Entra DS, assicurati che sia configurato per il gruppo di risorse e il dominio Entra a cui stai connettendo il tuo server di trasferimento SFTP.
![\[Entra nella schermata dei servizi di dominio che mostra il gruppo di risorse bob.us in esecuzione.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-ad-add-instance.png)
## Fase 2: Creazione di un account di servizio
Entra deve disporre di un account di servizio che faccia parte di un gruppo di amministratori in Entra DS. Questo account viene utilizzato con il connettore AWS Active Directory. Assicurati che questo account sia sincronizzato con Entra DS.
![\[Entra nella schermata che mostra il profilo di un utente.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-service-acct.png)
**Suggerimento**
L'autenticazione a più fattori per Entra ID non è supportata per i server Transfer Family che utilizzano il protocollo SFTP. Il server Transfer Family non può fornire il token MFA dopo che un utente si è autenticato su SFTP. Assicurati di disabilitare l'MFA prima di provare a connetterti.
![\[Inserisci i dettagli dell'autenticazione a più fattori, mostrando lo stato MFA come disabilitato per due utenti.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-ad-mfa-disable.png)
## Fase 3: Configurazione della AWS directory tramite AD Connector
Dopo aver configurato Entra DS e creato un account di servizio con tunnel VPN IPSEC tra il tuo AWS VPC e la rete Entra Virtual, puoi testare la connettività eseguendo il ping dell'indirizzo IP DNS Entra DS da qualsiasi istanza EC2. AWS
Dopo aver verificato che la connessione sia attiva, puoi continuare qui sotto.
**Per configurare la tua AWS directory utilizzando AD Connector**
1. Apri la console [Directory Service](https://console.aws.amazon.com/directoryservicev2/) e seleziona **Directory**.
1. Seleziona **Configura la directory**.
1. Per il tipo di directory, scegli **AD Connector**.
1. Seleziona la dimensione della directory, seleziona **Avanti**, quindi seleziona il tuo VPC e le sottoreti.
1. Seleziona **Avanti**, quindi compila i campi come segue:
+ **Nome DNS della directory**: inserisci il nome di dominio che stai utilizzando per Entra DS.
+ **Indirizzi IP DNS: inserisci i tuoi indirizzi** IP Entra DS.
+ **Nome utente e **password** dell'account del server**: inserisci i dettagli dell'account di servizio che hai creato nel *Passaggio 2: Crea un account di servizio*.
1. Completa le schermate per creare il servizio di directory.
Ora lo stato della directory dovrebbe essere **Attivo** ed è pronto per essere utilizzato con un server di trasferimento SFTP.
![\[La schermata Directory Services mostra una directory con lo stato Attivo, come richiesto.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-connector-ready.png)
## Fase 4: Configurazione AWS Transfer Family del server
Crea un server Transfer Family con il protocollo SFTP e il tipo di provider di identità **AWS Directory Service**. Dall'elenco a discesa **Directory**, seleziona la directory che hai aggiunto nel *Passaggio 3: Configurazione della AWS directory utilizzando AD Connector*.
**Nota**
Non puoi eliminare una directory Microsoft AD in AWS Directory Service se l'hai usata in un server Transfer Family. È necessario prima eliminare il server, quindi è possibile eliminare la directory.
## Fase 5: Concessione dell'accesso ai gruppi
Dopo aver creato il server, è necessario scegliere quali gruppi della directory devono avere accesso al caricamento e al download di file tramite AWS Transfer Family i protocolli abilitati. A tale scopo, è necessario creare un *accesso*.
**Nota**
Gli utenti devono appartenere *direttamente* al gruppo a cui si concede l'accesso. Ad esempio, supponiamo che Bob sia un utente e appartenga al gruppo A e che lo stesso gruppo A sia incluso nel gruppo B.
Se concedi l'accesso a GroupA, a Bob viene concesso l'accesso.
Se concedi l'accesso a GroupB (e non a GroupA), Bob non ha accesso.
Per concedere l'accesso è necessario recuperare il SID del gruppo.
Utilizzate il seguente PowerShell comando di Windows per recuperare il SID di un gruppo, sostituendolo *YourGroupName* con il nome del gruppo.
```
Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
```
![\[Windows PowerShell che mostra un SID dell'oggetto in fase di recupero.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-grant-access.png)
**Concedi l'accesso ai gruppi**
1. Aprire [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Vai alla pagina dei dettagli del server e nella sezione **Accessi**, scegli **Aggiungi accesso**.
1. Inserisci il SID ricevuto dall'output della procedura precedente.
1. Per **Access**, scegli un AWS Identity and Access Management ruolo per il gruppo.
1. Nella sezione **Politica**, scegli una politica. Il valore predefinito è **None (Nessuna)**.
1. Per la **directory Home**, scegli un bucket Amazon S3 che corrisponda alla home directory del gruppo.
1. Scegli **Aggiungi** per creare l'associazione.
I dettagli del server di trasferimento dovrebbero essere simili ai seguenti:
![\[Una parte della schermata dei dettagli del server Transfer Family, che mostra un esempio di Directory ID per il provider di identità.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-assoc-1.png)
![\[Una parte della schermata dei dettagli del server Transfer Family, che mostra l'ID esterno di Active Directory nella parte Accesses della schermata.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/azure-assoc-2.png)
## Fase 6: Test degli utenti
Puoi verificare ([Test degli utenti](directory-services-users.md#directory-services-test-user)) se un utente ha accesso alla AWS Managed Microsoft AD directory del tuo server. Un utente deve appartenere esattamente a un gruppo (un ID esterno) elencato nella sezione **Accesso** della pagina di **configurazione dell'endpoint**. Se l'utente non fa parte di alcun gruppo o fa parte di più di un singolo gruppo, a quell'utente non viene concesso l'accesso.
# Utilizzo di directory logiche per semplificare le strutture di directory Transfer Family
Le directory logiche semplificano la struttura delle directory del server. AWS Transfer Family Con le directory logiche, puoi creare una struttura di directory virtuale con nomi intuitivi che gli utenti utilizzano quando si connettono al tuo bucket Amazon S3 o al file system Amazon EFS. Ciò impedisce agli utenti di visualizzare i percorsi delle directory, i nomi dei bucket e i nomi dei file system effettivi.
**Nota**
È necessario utilizzare i criteri di sessione in modo che gli utenti finali possano eseguire solo le operazioni che gli consentite di eseguire.
È necessario utilizzare le directory logiche per creare una directory virtuale intuitiva per gli utenti finali e astrarre i nomi dei bucket. Le mappature delle directory logiche consentono solo agli utenti di accedere ai percorsi logici e alle sottodirectory designati e vietano i percorsi relativi che attraversano le radici logiche.
Transfer Family convalida ogni percorso che potrebbe includere elementi relativi e blocca attivamente la risoluzione di questi percorsi prima di trasferirli ad Amazon S3; questo impedisce agli utenti di andare oltre le loro mappature logiche.
Anche se Transfer Family impedisce agli utenti finali di accedere a directory al di fuori della loro directory logica, ti consigliamo di utilizzare anche ruoli o policy di sessione unici per applicare il privilegio minimo a livello di storage.
## Comprendere chroot e la struttura delle cartelle
Un'operazione **chroot** consente di impostare la directory principale di un utente in qualsiasi posizione nella gerarchia di archiviazione. Ciò limita gli utenti alla directory principale o principale configurata, impedendo l'accesso alle directory di livello superiore.
Prendi in considerazione un caso in cui un utente Amazon S3 è limitato a. `amzn-s3-demo-bucket/home/${transfer:UserName}` Senza **chroot**, alcuni client potrebbero consentire agli utenti di passare a /amzn-s3-demo-bucket/home, richiedendo un logout e un login per tornare alla directory corretta. **L'esecuzione di un'operazione chroot previene questo problema.**
È possibile creare strutture di directory personalizzate su più bucket e prefissi. Ciò è utile se il flusso di lavoro richiede un layout di directory specifico che i prefissi dei bucket da soli non sono in grado di fornire. Puoi anche collegarti a più posizioni non contigue all'interno di Amazon S3, in modo simile alla creazione di un collegamento simbolico in un file system Linux in cui il percorso della directory fa riferimento a una posizione diversa nel file system.
## Regole per l'utilizzo delle directory logiche
Questa sezione descrive alcune regole e altre considerazioni per l'utilizzo delle directory logiche.
### Limiti di mappatura
+ È consentita una sola mappatura quando lo `Entry` è `"/"` (non sono consentiti percorsi sovrapposti).
+ Le directory logiche supportano mappature fino a 2,1 MB per utenti IDP e AD personalizzati e 2.000 voci per utenti gestiti dal servizio. È possibile calcolare la dimensione delle mappature come segue:
1. Scrivi una mappatura tipica nel formato`{"Entry":"/entry-path","Target":"/target-path"}`, dove `entry-path` e dove `target-path` sono i valori effettivi che utilizzerai.
1. Conta i caratteri in quella stringa, quindi aggiungine uno (1).
1. Moltiplica quel numero per il numero approssimativo di mappature che hai per il tuo server.
Se il numero stimato nel passaggio 3 è inferiore a 2,1 MB, le mappature rientrano nel limite accettabile.
### Requisiti del percorso di destinazione
+ Usa la `${transfer:UserName}` variabile se il bucket o il percorso del file system sono stati parametrizzati in base al nome utente.
+ Le destinazioni possono essere configurate in modo che puntino a diversi bucket o file system di Amazon S3, purché il ruolo IAM associato disponga delle autorizzazioni necessarie per accedere a tali posizioni di storage.
+ Tutti gli obiettivi devono iniziare con una barra in avanti (`/`) ma non possono terminare con una. Ad esempio, `/amzn-s3-demo-bucket/images` è corretto, mentre non `amzn-s3-demo-bucket/images ` lo `/amzn-s3-demo-bucket/images/` è.
### Considerazioni sullo storage
+ Amazon S3 è un archivio di oggetti in cui le cartelle esistono solo come concetto virtuale. Quando si utilizza lo storage Amazon S3, Transfer Family riporta i prefissi come directory nelle operazioni STAT, anche se non esiste un oggetto a zero byte con una barra finale. Un oggetto a zero byte appropriato con una barra finale viene inoltre riportato come directory nelle operazioni STAT. Questo comportamento è descritto in [Organizzazione degli oggetti nella console Amazon S3 utilizzando le cartelle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) nella Guida per l'*utente di Amazon Simple Storage Service*.
+ Per le applicazioni che devono distinguere tra file e cartelle, usa Amazon Elastic File System (Amazon EFS) come opzione di storage Transfer Family.
+ Se stai specificando i valori della directory logica per il tuo utente, il parametro che usi dipende dal tipo di utente:
+ Per gli utenti gestiti dal servizio, fornisci i valori della directory logica in. `HomeDirectoryMappings`
+ Per gli utenti di provider di identità personalizzati, fornisci i valori della directory logica in. `HomeDirectoryDetails`
### Valori delle directory utente
+ Il parametro per specificare i valori delle directory logiche dipende dal tipo di utente:
+ Per gli utenti gestiti dal servizio, fornisci i valori della directory logica in. `HomeDirectoryMappings`
+ Per gli utenti di provider di identità personalizzati, fornisci i valori della directory logica in. `HomeDirectoryDetails`
+ Quando si utilizza LOGICAL HomeDirectoryType, è possibile specificare un HomeDirectory valore per gli utenti di Service Managed, l'accesso ad Active Directory e le implementazioni di Custom Identity Provider, laddove HomeDirectoryDetails forniti nella risposta. Se non specificato, il HomeDirectory valore predefinito è. `/`
Per informazioni dettagliate su come implementare le directory logiche, vedere. [Implementazione di directory logiche](implement-log-dirs.md)
# Implementazione di directory logiche
**Importante**
**Requisiti della directory principale**
Se non utilizzi le impostazioni di ottimizzazione delle prestazioni di Amazon S3, la directory principale deve esistere all'avvio.
Per Amazon S3, ciò significa creare un oggetto a zero byte che termina con una barra (). `/`
Per evitare questo requisito, valuta la possibilità di abilitare l'ottimizzazione delle prestazioni di Amazon S3 quando crei o aggiorni il tuo server.
Quando si specifica un HomeDirectory con LOGICAL HomeDirectoryType, il valore deve essere mappato a una delle mappature di directory logiche. Il servizio lo convalida sia durante la creazione degli utenti che durante gli aggiornamenti per evitare configurazioni che non funzionerebbero.
**Configurazione logica della home directory**
Quando si utilizza LOGICAL come impostazione HomeDirectoryType predefinita, tenere presente quanto segue:
Il HomeDirectory valore deve corrispondere a una delle mappature di directory logiche esistenti.
Il sistema lo convalida automaticamente durante la creazione e gli aggiornamenti degli utenti.
Questa convalida impedisce configurazioni che potrebbero causare problemi di accesso.
## Abilita le directory logiche
Per utilizzare le directory logiche per un utente, imposta il `HomeDirectoryType` parametro su. `LOGICAL` Esegui questa operazione quando crei un nuovo utente o aggiorni un utente esistente.
```
"HomeDirectoryType": "LOGICAL"
```
## Abilita `chroot` per gli utenti
Per**chroot**, crea una struttura di directory composta da una singola `Entry` `Target` combinazione per ogni utente. La voce**/**rappresenta la cartella principale, mentre **Target** specifica la posizione effettiva nel bucket o nel file system.
------
#### [ Example for Amazon S3 ]
```
[{"Entry": "/", "Target": "/amzn-s3-demo-bucket/jane"}]
```
------
#### [ Example for Amazon EFS ]
```
[{"Entry": "/", "Target": "/fs-faa1a123/jane"}]
```
------
È possibile utilizzare un percorso assoluto come nell'esempio precedente oppure utilizzare una sostituzione dinamica del nome utente con`${transfer:UserName}`, come nell'esempio seguente.
```
[{"Entry": "/", "Target":
"/amzn-s3-demo-bucket/${transfer:UserName}"}]
```
Nell'esempio precedente, l'utente è bloccato nella propria directory principale e non può spostarsi più in alto nella gerarchia.
## Struttura delle directory virtuali
Per una struttura di directory virtuale, puoi creare più `Entry` `Target` abbinamenti, con destinazioni ovunque nei bucket S3 o nei file system EFS, anche su più bucket o file system, purché la mappatura dei ruoli IAM dell'utente disponga delle autorizzazioni per accedervi.
Nel seguente esempio di struttura virtuale, quando l'utente accede a AWS SFTP, si trova nella directory principale con le sottodirectory di,, e. `/pics` `/doc` `/reporting` `/anotherpath/subpath/financials`
**Nota**
A meno che tu non scelga di ottimizzare le prestazioni per le tue directory Amazon S3 (quando crei o aggiorni un server), l'utente o un amministratore devono creare le directory se non esistono già. Evitare questo problema è un motivo per prendere in considerazione l'ottimizzazione delle prestazioni di Amazon S3.
Per Amazon EFS, è comunque necessario che l'amministratore crei le mappature logiche o la `/` directory.
```
[
{"Entry": "/pics", "Target": "/amzn-s3-demo-bucket1/pics"},
{"Entry": "/doc", "Target": "/amzn-s3-demo-bucket1/anotherpath/docs"},
{"Entry": "/reporting", "Target": "/amzn-s3-demo-bucket2/Q1"},
{"Entry": "/anotherpath/subpath/financials", "Target": "/amzn-s3-demo-bucket2/financials"}]
```
**Nota**
Puoi caricare file solo nelle cartelle specifiche che mappi. Ciò significa che nell'esempio precedente non è possibile caricare `/anotherpath` solo `anotherpath/subpath` `anotherpath/subpath/financials` nelle nostre directory. Inoltre, non è possibile eseguire la mappatura diretta su tali percorsi, poiché non sono consentiti percorsi sovrapposti.
Ad esempio, si supponga di creare le seguenti mappature:
```
{
"Entry": "/pics",
"Target": "/amzn-s3-demo-bucket/pics"
},
{
"Entry": "/doc",
"Target": "/amzn-s3-demo-bucket/mydocs"
},
{
"Entry": "/temp",
"Target": "/amzn-s3-demo-bucket2/temporary"
}
```
Puoi caricare file solo in quei bucket. La prima volta che ti connetti`sftp`, verrai inserito nella directory principale,`/`. Se tenti di caricare un file in quella directory, il caricamento non riesce. I comandi seguenti mostrano una sequenza di esempio:
```
sftp> pwd
Remote working directory: /
sftp> put file
Uploading file to /file
remote open("/file"): No such file or directory
```
Per eseguire il caricamento su qualsiasi`directory/sub-directory`, è necessario mappare in modo esplicito il percorso a. `sub-directory`
Per ulteriori informazioni sulla configurazione delle directory logiche e **chroot** per gli utenti, incluso un AWS CloudFormation modello da scaricare e utilizzare, consulta [Semplifica la struttura AWS SFTP con chroot e directory logiche](https://aws.amazon.com/blogs/storage/simplify-your-aws-sftp-structure-with-chroot-and-logical-directories/) nello Storage Blog. AWS
# Esempi di configurazioni di directory logiche
In questo esempio, creiamo un utente e assegniamo due directory logiche. Il comando seguente crea un nuovo utente (per un server Transfer Family esistente) con directory logiche `pics` e`doc`.
```
aws transfer create-user \
--user-name marymajor \
--server-id s-11112222333344445 \
--role arn:aws:iam::1234abcd5678:role/marymajor-role \
--home-directory-type LOGICAL \
--home-directory-mappings "[{\"Entry\":\"/pics\", \"Target\":\"/amzn-s3-demo-bucket1/pics\"}, {\"Entry\":\"/doc\", \"Target\":\"/amzn-s3-demo-bucket2/test/mydocs\"}]" \
--ssh-public-key-body file://~/.ssh/id_rsa.pub
```
Se **marymajor** è un utente esistente e il suo tipo di home directory è`PATH`, puoi cambiarlo `LOGICAL` con un comando simile a quello precedente.
```
aws transfer update-user \
--user-name marymajor \
--server-id s-11112222333344445 \
--role arn:aws:iam::1234abcd5678:role/marymajor-role \
--home-directory-type LOGICAL \
--home-directory-mappings "[{\"Entry\":\"/pics\", \"Target\":\"/amzn-s3-demo-bucket1/pics\"}, {\"Entry\":\"/doc\", \"Target\":\"/amzn-s3-demo-bucket2/test/mydocs\"}]"
```
Tenere presente quanto segue:
+ Se le directory `/amzn-s3-demo-bucket1/pics` e `/amzn-s3-demo-bucket2/test/mydocs` io non esistono già, l'utente (o un amministratore) deve crearle.
**Nota**
Queste directory vengono create automaticamente dal server Transfer Family se sono state configurate directory ottimizzate.
+ Quando **marymajor** si connette al server ed esegue il `ls -l` comando, Mary vede quanto segue:
```
drwxr--r-- 1 - - 0 Mar 17 15:42 doc
drwxr--r-- 1 - - 0 Mar 17 16:04 pics
```
+ **marymajor**non può creare file o directory a questo livello. Tuttavia, all'interno di `pics` and`doc`, può aggiungere sottodirectory.
+ File che Mary aggiunge `pics` e che `doc` vengono aggiunti rispettivamente ai percorsi `/amzn-s3-demo-bucket1/pics` di Amazon S3. `/amzn-s3-demo-bucket2/test/mydocs`
+ In questo esempio, specifichiamo due diversi bucket per illustrare questa possibilità. Tuttavia, è possibile utilizzare lo stesso bucket per diverse o tutte le directory logiche specificate per l'utente.
Questo esempio fornisce una configurazione alternativa per un percorso home logico.
```
aws transfer create-user \
--user-name marymajor \
--server-id s-11112222333344445 \
--role arn:aws:iam::1234abcd5678:role/marymajor-role \
--home-directory-type LOGICAL \
--home-directory /home/marymajor \
--home-directory-mappings "[{\"Entry\":\"/home/marymajor/pics\", \"Target\":\"/amzn-s3-demo-bucket1/pics\"}, {\"Entry\":\"/home/marymajor/doc\", \"Target\":\"/amzn-s3-demo-bucket2/test/mydocs\"}]" \
--ssh-public-key-body file://~/.ssh/id_rsa.pub
```
Tenere presente quanto segue:
+ Le mappature forniscono un percorso comune`/home/marymajor`, che è la prima parte dei due percorsi logici. I file possono quindi essere aggiunti alle cartelle `pics` and`doc`.
+ Come nell'esempio precedente, la home directory`/home/marymajor`, è di sola lettura.
## Configurazione di directory logiche per Amazon EFS
Se il tuo server Transfer Family utilizza Amazon EFS, la home directory dell'utente deve essere creata con accesso in lettura e scrittura prima che l'utente possa lavorare nella sua home directory logica. L'utente non può creare questa directory da solo, poiché non avrebbe le autorizzazioni per la `mkdir` sua home directory logica.
Se la directory home dell'utente non esiste e l'utente esegue un `ls` comando, il sistema risponde come segue:
```
sftp> ls
remote readdir ("/"): No such file or directory
```
Un utente con accesso amministrativo alla directory principale deve creare la home directory logica dell'utente.
## AWS Lambda Risposta personalizzata
Puoi utilizzare le directory logiche con una funzione Lambda che si connette al tuo provider di identità personalizzato. A tale scopo, nella funzione Lambda, si specificano i `Target` valori `HomeDirectoryType` as **LOGICAL** e add `Entry` and per il `HomeDirectoryDetails` parametro. Esempio:
```
HomeDirectoryType: "LOGICAL"
HomeDirectoryDetails: "[{\"Entry\": \"/\", \"Target\": \"/amzn-s3-demo-bucket/theRealFolder"}]"
```
Il codice seguente è un esempio di risposta riuscita da una chiamata di autenticazione Lambda personalizzata.
```
aws transfer test-identity-provider \
--server-id s-1234567890abcdef0 \
--user-name myuser
{
"Url": "https://a1b2c3d4e5.execute-api.us-east-2.amazonaws.com/prod/servers/s-1234567890abcdef0/users/myuser/config",
"Message": "",
"Response": "{\"Role\": \"arn:aws:iam::123456789012:role/bob-usa-role\",
\"HomeDirectoryType\": \"LOGICAL\",
\"HomeDirectoryDetails\": \"[{\\\"Entry\\\":\\\"/myhome\\\",\\\"Target\\\":\\\"/amzn-s3-demo-bucket/theRealFolder\\\"}]\",
\"PublicKeys\": \"[ssh-rsa myrsapubkey]\"}",
"StatusCode": 200
}
```
**Nota**
La `"Url":` riga viene restituita solo se si utilizza un metodo API Gateway come provider di identità personalizzato.
# Accedi ai tuoi file system FSx for NetApp ONTAP con Transfer Family
**Contents**
+ [Panoramica di](#fsx-overview)
+ [Prerequisiti](#fsx-prerequisites)
+ [FSx per i NetApp requisiti ONTAP](#fsx-ontap-requirements)
+ [Autorizzazioni IAM richieste](#required-iam-permissions)
+ [Come funziona FSx lo storage con Transfer Family](#how-fsx-storage-works)
+ [Identità dell'utente del file system](#file-system-user-identity)
+ [Creazione di un punto di accesso S3 per FSx](#creating-s3-access-point)
+ [Denominazione dei punti di accesso](#access-point-naming)
+ [Creazione di un punto di accesso per ONTAP FSx NetApp](#creating-access-point-ontap)
+ [Configurazione delle autorizzazioni del file system](#configuring-file-system-permissions)
+ [Utilizzo degli alias dei punti di accesso S3 con FSx](#using-s3-access-point-aliases)
+ [Informazioni sugli alias dei punti di accesso](#about-access-point-aliases)
+ [Individuazione dell'alias del punto di accesso](#finding-access-point-alias)
+ [Configurazione di Transfer Family per lo storage FSx](#configuring-transfer-family-fsx)
+ [Creazione di un ruolo IAM](#creating-iam-role-fsx)
+ [Gestione degli utenti per FSx lo storage](#managing-users-fsx)
+ [Creazione di un utente](#creating-user-fsx)
+ [Configurazione di più mappature di directory](#multiple-directory-mappings)
+ [Configurazione dei client per il trasferimento di file](#configuring-file-transfer-clients)
+ [Configurazione WinSCP](#winscp-configuration)
+ [Altri client SFTP](#other-sftp-clients)
+ [Risoluzione dei problemi FSx di archiviazione](#troubleshooting-fsx-storage)
+ [Problemi relativi al funzionamento dei file](#file-operation-issues)
## Panoramica di
Transfer Family supporta Amazon FSx for NetApp ONTAP tramite punti di accesso S3. Amazon FSx for NetApp ONTAP è un servizio completamente gestito che fornisce uno storage di file altamente affidabile, scalabile, ad alte prestazioni e ricco di funzionalità basato sul NetApp popolare file system ONTAP. Quando configuri Transfer Family con un FSx file system, i tuoi utenti si connettono agli endpoint Transfer Family utilizzando client di trasferimento file standard. Transfer Family indirizza le operazioni sui file tramite un punto di accesso S3 collegato al FSx volume, mentre i dati rimangono nel FSx file system. Per ulteriori informazioni su FSx NetApp ONTAP, consulta [What is Amazon FSx for NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html)?
Questa integrazione ti consente di:
+ Trasferisci file utilizzando i protocolli SFTP, FTPS o FTP su uno storage di file di livello aziendale
+ Accedi agli stessi dati tramite più protocolli (SFTP, NFS, SMB)
+ Utilizza FSx funzionalità come istantanee, backup e suddivisione dei dati su più livelli
**Importante**
Alcune operazioni sui file non sono supportate quando si utilizzano FSx file system con Transfer Family, incluse le operazioni di ridenominazione e aggiunta. Per le operazioni di caricamento, le dimensioni dei file sono limitate a 5 GB. Per un elenco completo delle limitazioni, consulta [Compatibilità con i punti di accesso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-object-api-support.html).
## Prerequisiti
Prima di configurare Transfer Family con Amazon FSx, devi soddisfare i seguenti requisiti.
### FSx per i NetApp requisiti ONTAP
FSx Per utilizzare NetApp ONTAP con Transfer Family, devi:
+ E FSx per il file system NetApp ONTAP che esegue ONTAP versione 9.17.1 o successiva
+ Il file system e il punto di accesso S3 nella stessa regione AWS
+ Lo stesso AWS account che possiede sia il file system che il punto di accesso
Per ulteriori informazioni, consulta la pagina [Guida introduttiva ad Amazon FSx for NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/getting-started.html).
### Autorizzazioni IAM richieste
Puoi configurare ogni punto di accesso S3 con autorizzazioni e controlli di rete distinti che S3 applica per qualsiasi richiesta effettuata utilizzando quel punto di accesso. I punti di accesso S3 supportano le policy delle risorse IAM che puoi utilizzare per controllare l'uso del punto di accesso in base alla risorsa, all'utente o ad altre condizioni. Affinché un'applicazione o un utente possa accedere ai file tramite un punto di accesso, sia il punto di accesso che il volume sottostante devono consentire la richiesta. Per ulteriori informazioni, consulta le [politiche dei punti di accesso IAM](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/s3-ap-manage-access-fsxn.html).
Punti di accesso Amazon S3 per l' FSx utilizzo di un modello di autorizzazione a doppio livello che combina le autorizzazioni IAM con le autorizzazioni a livello di file system. Questo approccio garantisce che le richieste di accesso ai dati siano autorizzate correttamente sia a livello di AWS servizio che a livello di file system sottostante.
Affinché un'applicazione o un utente possa accedere correttamente ai dati tramite un punto di accesso, sia la policy del punto di accesso S3 che il FSx volume sottostante devono consentire la richiesta.
Per creare e configurare questa integrazione, sono necessarie le seguenti autorizzazioni:
+ `fsx:CreateAndAttachS3AccessPoint`
+ `s3:CreateAccessPoint`
+ `s3:GetAccessPoint`
+ `s3:PutAccessPointPolicy`(se si crea una policy opzionale per i punti di accesso)
## Come funziona FSx lo storage con Transfer Family
Quando si configura Transfer Family con un FSx file system, i seguenti componenti interagiscono per abilitare i trasferimenti di file:
1. Un utente si connette al server Transfer Family utilizzando un client SFTP, FTPS o FTP.
1. Transfer Family autentica l'utente utilizzando identità gestite dal servizio, un provider di identità personalizzato o. AWS Directory Service for Microsoft Active Directory Una volta autenticata, Transfer Family assume il ruolo IAM associato all'utente.
1. Per ogni operazione sui file, Transfer Family funge da client API S3 standard, inoltra richieste all'Access Point S3 utilizzando il ruolo IAM presunto dell'utente e verifica le autorizzazioni rispetto alla policy del punto di accesso S3.
1. Il FSx file system verifica che l'utente del file system associato al punto di accesso sia autorizzato a eseguire l'operazione richiesta. L'operazione sul file viene quindi eseguita sul FSx volume.
Affinché un'operazione sui file abbia esito positivo, entrambi i livelli di autorizzazione devono consentire la richiesta.
**Nota**
Il collegamento di un punto di accesso S3 a un FSx volume non modifica il comportamento del volume in caso di accesso diretto tramite NFS o SMB. L'accesso al protocollo di file esistente continua a funzionare invariato.
### Identità dell'utente del file system
Ogni punto di accesso utilizza un'identità utente del file system specificata durante la creazione del punto di accesso. Questa identità autorizza tutte le richieste di accesso ai file effettuate tramite quel punto di accesso. L'utente del file system è un account utente sul FSx file system Amazon sottostante. Se l'utente del file system ha accesso in sola lettura, vengono autorizzate solo le richieste di lettura effettuate utilizzando il punto di accesso e le richieste di scrittura vengono bloccate. Se l'utente del file system dispone di accesso in lettura/scrittura, sono autorizzate sia le richieste di lettura che quelle di scrittura al volume allegato effettuate utilizzando il punto di accesso.
## Creazione di un punto di accesso S3 per FSx
Prima di configurare Transfer Family, devi creare un punto di accesso S3 collegato al tuo FSx volume. I punti di accesso S3 sono endpoint di rete denominati collegati a un'origine dati come un bucket o un volume Amazon FSx for ONTAP. Puoi creare e collegare un punto di accesso a un FSx for NetApp ONTAP utilizzando la FSx console Amazon, la AWS CLI o l'API. Una volta collegato, puoi utilizzare l'oggetto S3 APIs per accedere ai dati del file. I tuoi dati continuano a risiedere nel FSx file system Amazon e continuano ad essere direttamente accessibili per i carichi di lavoro esistenti. Continui a gestire lo storage utilizzando tutte le funzionalità FSx di gestione dello storage di NetApp ONTAP, inclusi backup, istantanee, quote di utenti e gruppi e compressione.
Per ulteriori informazioni, consulta [Creazione dei punti di accesso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/create-access-points.html).
### Denominazione dei punti di accesso
Quando assegnate un nome al punto di accesso, seguite queste linee guida:
+ I nomi dei punti di accesso devono essere univoci all'interno del tuo AWS account e della tua regione.
+ I nomi non possono terminare con `-ext-s3alias` (riservato agli alias).
+ Evita di includere informazioni sensibili nei nomi perché sono pubblicati nel DNS.
Per un elenco completo delle regole di denominazione, consulta Regole[, restrizioni e limitazioni di denominazione dei punti di accesso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-point-for-fsxn-restrictions-limitations-naming-rules.html).
### Creazione di un punto di accesso per ONTAP FSx NetApp
Usa la seguente procedura per creare un punto di accesso S3 per un volume FSx for NetApp ONTAP.
**Per creare un punto di accesso (console)**
1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Nel riquadro di navigazione, scegli **File system**.
1. Scegli il tuo file system FSx per NetApp ONTAP.
1. Scegli la scheda **Volumi**.
1. Seleziona il volume che desideri allegare.
1. Per **Azioni**, scegli **Crea punto di accesso S3**.
1. Per il **nome del punto di accesso**, inserisci un nome descrittivo (ad esempio,`transfer-family-ap`).
1. Per **Tipo di identità utente del file system**, scegliete una delle seguenti opzioni:
+ **Identità UNIX**: per volumi con stile di sicurezza UNIX
+ **Identità Windows**: per volumi con stile di sicurezza NTFS
1. (Facoltativo) Per la **policy dei punti di accesso**, inserisci una policy IAM che definisca quali presidi IAM possono eseguire quali operazioni sugli oggetti a cui si accede tramite questo punto di accesso. Per ulteriori informazioni, consulta [Gestione dell'accesso ai punti di accesso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/s3-ap-manage-access-fsxn.html).
1. Scegli **Create** (Crea).
1. Dopo la creazione, annota l'alias del punto di accesso da utilizzare nella configurazione Transfer Family.
**Nota**
Quando AWS Transfer Family accede alle risorse S3 per conto dei tuoi SFTP/FTPS utenti connessi, le richieste provengono dall' AWS Transfer Family infrastruttura, non dal tuo VPC. Per questo motivo, gli access point S3 configurati con un'origine di rete VPC negheranno queste richieste. Tuttavia, anche se si utilizza un Access Point configurato con un'origine di rete Internet, tutto il traffico tra Transfer Family e l'Access Point rimane privato e viaggia sulla rete AWS dorsale, senza attraversare la rete Internet pubblica.
### Configurazione delle autorizzazioni del file system
L'utente del file system specificato determina le operazioni che gli utenti di Transfer Family possono eseguire. È necessario configurare le autorizzazioni appropriate sul FSx volume.
**Esempio UNIX:**
```
# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users
# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users
# Set permissions
chmod 755 /vol1/transfer-users
```
**Esempio di Windows:**
```
# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory
# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T
# Verify permissions
icacls "D:\vol1\transfer-users"
```
## Utilizzo degli alias dei punti di accesso S3 con FSx
Quando si utilizzano FSx file system con Transfer Family, è necessario utilizzare gli alias dei punti di accesso S3. Transfer Family non supporta l'utilizzo di punti di accesso ARNs o altri metodi di riferimento per l' FSx archiviazione.
**Importante**
AWS Transfer Family supporta solo gli alias dei punti di accesso S3 quando si utilizzano FSx file system. Non è possibile utilizzare il punto ARNs di accesso o. virtual-hosted-style URIs
**Importante**
Il punto di accesso deve trovarsi nella stessa regione del volume.
### Informazioni sugli alias dei punti di accesso
Quando crei un punto di accesso S3 collegato a un FSx volume, Amazon S3 genera automaticamente un alias del punto di accesso. Questo alias è un identificatore univoco che puoi usare ovunque utilizzi un nome di bucket S3.
Per i punti di accesso collegati ai FSx volumi, l'alias utilizza il seguente formato:
```
access-point-name-metadata-ext-s3alias
```
**Alias di esempio:**
```
my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
```
**Nota**
Il `-ext-s3alias` suffisso è riservato agli alias dei punti di FSx accesso. Non è possibile utilizzare questo suffisso nei nomi dei punti di accesso.
### Individuazione dell'alias del punto di accesso
È possibile trovare l'alias del punto di accesso dopo averlo creato.
**Per trovare l'alias del punto di accesso (console)**
1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Nel riquadro di navigazione, scegli **File system**.
1. Scegli il tuo file system.
1. Scegli la scheda **Volumi** e seleziona il volume per cui hai creato il punto di accesso.
1. Vai alla colonna dei **dettagli del punto di accesso S3**.
1. L'alias viene visualizzato nella colonna **Alias**.
**Per trovare l'alias del punto di accesso (CLI)**
Utilizza il comando `describe-s3-access-point-attachments`.
```
aws fsx describe-s3-access-point-attachments \
--filters Name=file-system-id,Values=fs-0123456789abcdef0
```
La risposta include l'alias:
```
{
"S3AccessPointAttachments": [
{
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
"Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
}
}
]
}
```
Quando configuri gli utenti Transfer Family, usa l'alias del punto di accesso nelle mappature delle home directory.
**Formato della home directory:**
```
/access-point-alias/path/to/directory
```
**Esempio**:
```
/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith
```
## Configurazione di Transfer Family per lo storage FSx
Dopo aver creato il punto di accesso S3, configura un server Transfer Family per utilizzarlo.
### Creazione di un ruolo IAM
Devi creare un ruolo IAM che conceda a Transfer Family l'accesso al punto di accesso S3.
**Importante**
Le policy IAM richiedono il formato Access Point ARN, non l'alias. Utilizza il formato `arn:aws:s3:region:account-id:accesspoint/access-point-name` nelle dichiarazioni relative alle risorse relative alla policy IAM. L'alias del punto di accesso (che termina con`-ext-s3alias`) viene utilizzato solo per le mappature delle home directory.
**Per creare il ruolo IAM**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. **Nel riquadro di navigazione, scegli **Ruoli**, quindi scegli Crea ruolo.**
1. Per **Tipo di entità attendibile**, scegli **Servizio AWS **.
1. Per **Caso d'uso**, scegli **Trasferisci**.
1. Scegli **Next (Successivo)**.
1. Scegli **Crea politica** e inserisci la tua politica (vedi esempio di politica di seguito).
1. Allega la politica al ruolo e scegli **Crea ruolo**.
**Esempio di policy IAM:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowFileOperations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectTagging",
"s3:PutObjectTagging"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
},
{
"Sid": "AllowDirectoryOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
}
]
}
```
## Gestione degli utenti per FSx lo storage
Crea utenti Transfer Family con mappature della home directory che utilizzano l'alias del punto di accesso S3.
### Creazione di un utente
Quando crei un utente per l' FSx archiviazione, usa l'alias del punto di accesso nelle mappature delle home directory.
**Per creare un utente Service Managed (console)**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Nel riquadro di navigazione, selezionare **Servers (Server)**.
1. Scegli il tuo server.
1. Nella sezione Utenti, scegli **Aggiungi utente**.
1. Per **Nome utente**, inserisci un nome utente.
1. Per **Ruolo**, scegli il ruolo IAM che hai creato.
1. Per **Home directory**, scegli **Restricted**.
1. Per i **mapping della home directory, aggiungi una mappatura** utilizzando l'alias del punto di accesso:
```
[{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]
```
**Per creare un utente (CLI)**
Utilizza il comando `create-user`. Sostituisci l'alias del punto di accesso con il tuo alias.
```
aws transfer create-user \
--server-id s-0123456789abcdef0 \
--user-name jsmith \
--role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
--home-directory-type LOGICAL \
--home-directory-mappings '[
{
"Entry": "/",
"Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
}
]'
```
### Configurazione di più mappature di directory
È possibile mappare più directory virtuali su percorsi diversi sul volume. FSx
**Esempio: directory di caricamento e download separate**
```
aws transfer create-user \
--server-id s-0123456789abcdef0 \
--user-name jsmith \
--role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
--home-directory-type LOGICAL \
--home-directory-mappings '[
{
"Entry": "/inbox",
"Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
},
{
"Entry": "/outbox",
"Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
}
]'
```
## Configurazione dei client per il trasferimento di file
Quando si utilizzano FSx file system con Transfer Family, è necessario configurare i client di trasferimento file per disabilitare le funzionalità non supportate.
### Configurazione WinSCP
Per impostazione predefinita, WinSCP utilizza una funzionalità di ridenominazione temporanea che non è supportata con i punti di accesso S3 per. FSx
**avvertimento**
Se non si disattiva la funzionalità di ridenominazione temporanea in WinSCP, il caricamento dei file avrà esito negativo.
**Per disabilitare la ridenominazione temporanea in WinSCP**
1. Apri WinSCP.
1. Nella finestra di dialogo di accesso, scegli **Modifica** per modificare le impostazioni della sessione.
1. Scegli **Avanzato**.
1. Nella barra di navigazione a sinistra, in **Trasferimento**, scegli **Resistenza**.
1. **Per **Abilita il trasferimento resume/transfer al nome di file temporaneo, scegli** Disabilita.**
1. Scegliete **OK** per salvare le impostazioni.
In alternativa, puoi disabilitare questa impostazione per una sessione esistente:
1. Connect al server Transfer Family.
1. Scegli **Opzioni**, quindi **Preferenze**.
1. Scegli **Trasferimento**, quindi **Resistenza**.
1. **Per **Abilita il trasferimento resume/transfer al nome di file temporaneo, scegli** Disabilita.**
1. Scegli **OK**.
### Altri client SFTP
Per altri client SFTP, disabilitate le seguenti funzionalità, se disponibili:
+ Caricamenti temporanei di file (caricamento su file temporaneo, quindi ridenominazione)
+ Riprendi i trasferimenti utilizzando file temporanei
+ Caricamenti atomici utilizzando operazioni di ridenominazione
+ Modalità di aggiunta per i caricamenti
Consultate la documentazione del cliente per i passaggi di configurazione specifici.
## Risoluzione dei problemi FSx di archiviazione
Questa sezione descrive come identificare e risolvere i problemi più comuni quando si utilizza Transfer Family con i FSx file system.
### Problemi relativi al funzionamento dei file
**Autorizzazione negata**
Se ricevi errori relativi all'autorizzazione negata:
1. Verifica che il ruolo IAM disponga delle autorizzazioni corrette per l'alias del punto di accesso. Puoi farlo testando direttamente con S3. APIs
1. Verifica che la policy del punto di accesso consenta il ruolo IAM.
1. Verifica che l'utente del file system disponga delle autorizzazioni sul percorso di destinazione.
1. Conferma che la mappatura della home directory utilizzi l'alias corretto del punto di accesso.
**Il caricamento non riesce con WinSCP**
Se il caricamento dei file fallisce con WinSCP, disabilita la ridenominazione temporanea:
1. **In WinSCP, **scegliete Opzioni, quindi Preferenze**.**
1. **Scegli **Trasferimento**, quindi Resistenza.**
1. **Per **Abilita il trasferimento resume/transfer al nome di file temporaneo, scegli** Disabilita.**
Per ulteriori informazioni, consulta [Configurazione dei client per il trasferimento di file](#configuring-file-transfer-clients).
**Il caricamento del file non riesce**
Se il caricamento dei file fallisce:
1. Verifica che la dimensione del file sia inferiore a 5 GB.
1. Verifica che sul FSx volume sia disponibile spazio di archiviazione sufficiente.
1. Monitora le CloudWatch metriche relative alla limitazione.