As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criação de conectores SFTP
Este tópico descreve como criar conectores SFTP. Cada conector oferece a capacidade de se conectar a um servidor SFTP remoto. Você executa as seguintes tarefas de alto nível para configurar um conector SFTP.
**nota**
Para conectores baseados em VPC que roteiam o tráfego por meio de sua nuvem privada virtual, consulte. [Crie um conector SFTP com saída baseada em VPC](create-vpc-sftp-connector-procedure.md)
1. Armazene as credenciais de autenticação do conector em AWS Secrets Manager.
1. Crie o conector especificando o ARN secreto, a URL do servidor remoto ou o ARN de configuração de recursos, a política de segurança contendo os algoritmos que serão suportados pelo conector e outras definições de configuração.
1. Depois de criar o conector, você pode testá-lo para garantir que ele possa estabelecer conexões com o servidor SFTP remoto.
## Escolhendo o tipo de saída do conector SFTP
Ao criar um conector SFTP, você escolhe o tipo de saída entre “Serviço gerenciado” e “VPC Lattice”.
+ **Serviço gerenciado** (padrão): o conector usa gateways NAT e endereços IP de propriedade da AWS Transfer Family para rotear conexões pela Internet pública. O serviço fornece três endereços IP estáticos para seus conectores que precisam estar na lista de permissões nos servidores remotos para estabelecer conexões.
+ **VPC Lattice**: o conector roteia o tráfego pelo seu ambiente VPC usando o Amazon VPC Lattice. Use a conectividade VPC para conectores SFTP nesses cenários:
+ Servidores **SFTP privados: conecte-se a servidores** SFTP que só podem ser acessados pela sua VPC
+ **Conectividade local**: conecte-se a servidores SFTP locais por meio de conexões AWS Direct Connect AWS Virtual Private Network
+ **Endereços IP personalizados**: apresente seus próprios gateways NAT e endereços IP elásticos ao servidor remoto
+ **Controles de segurança centralizados**: direcione as transferências de arquivos pelos controles centrais ingress/egress da sua organização
A matriz a seguir ajuda você a escolher o tipo de conector certo para seus casos de uso.
**Matriz do tipo de saída do conector SFTP**
| Recurso | Tipo de saída = Serviço gerenciado | Tipo de saída = VPC Lattice |
| --- | --- | --- |
| Conectividade com servidores SFTP hospedados publicamente (acessíveis pela Internet) | Compatível | Suportado 1 |
| Conectividade com servidores SFTP hospedados de forma privada (no local) | Não compatível | Suportado 2 |
| Conectividade com servidores SFTP hospedados de forma privada (em VPC) | Não compatível | Compatível |
| Endereços IP estáticos apresentados ao servidor SFTP remoto | Compatível por meio de endereços IP estáticos fornecidos pelo serviço | Compatível por meio de endereços IP estáticos de propriedade do cliente |
| Largura de banda disponível | 50 MBPS por conta | Maior largura de banda, conforme disponível no Resource Gateway e no NAT Gateway de propriedade do cliente |
| Roteamento de tráfego para a Internet por meio de gateways NAT e firewalls de rede de propriedade do cliente | Sem compatibilidade. Os gateways NAT são de propriedade e gerenciados pelo serviço Transfer Family. | Compatível |
1 *Com Tipo de saída = VPC Lattice, a conectividade com servidores hospedados publicamente é suportada usando a configuração da infraestrutura de saída (NAT Gateways) em sua* saída. VPCs
2 *Com Tipo de saída = VPC Lattice, a conectividade com servidores hospedados de forma privada é suportada usando redes existentes em sua VPC*, como VPN. AWS Direct Connect
**Topics**
+ [Escolhendo o tipo de saída do conector SFTP](#choosing-egress-type)
+ [Armazene credenciais de autenticação para conectores SFTP no Secrets Manager](sftp-connector-secret-procedure.md)
+ [Crie um conector SFTP com saída gerenciada por serviços](create-sftp-connector-procedure.md)
+ [Crie um conector SFTP com saída baseada em VPC](create-vpc-sftp-connector-procedure.md)
+ [Testar um conector SFTP](test-sftp-connector.md)
# Armazene credenciais de autenticação para conectores SFTP no Secrets Manager
É possível usar o Secrets Manager para armazenar as credenciais do usuário para seus conectores SFTP. Ao criar seu segredo, forneça um nome de usuário. Além disso, é possível fornecer uma senha, uma chave privada ou ambas. Para obter detalhes, consulte [Cotas da para conectores SFTP](scale-and-limits-sftp-connector.md#limits-sftp-connector).
**nota**
Quando você armazena segredos no Secrets Manager, você Conta da AWS incorre em cobranças. Para obter mais informações sobre preços consulte [AWS Secrets Manager Pricing](https://aws.amazon.com/secrets-manager/pricing).
**É possível usar o Secrets Manager para armazenar as credenciais do usuário para um conector SFTP.**
1. Faça login no Console de gerenciamento da AWS e abra o AWS Secrets Manager console em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. No painel de navegação à esquerda, selecione **Segredos**.
1. Na página **Segredos**, escolha **Armazenar um novo segredo**.
1. Na página **Escolher tipo de segredo**, em **Tipo de segredo**, escolha **Outro tipo de segredo**.
1. Forneça as key/value informações do seu segredo: você precisa fornecer o nome de usuário e uma chave privada ou uma senha.
1. Na seção **Pares de chave/valor**, escolha a guia **Chave/valor**.
+ **Chave** — Insira **Username**.
+ **valor** — insira o nome do usuário autorizado a se conectar ao servidor do parceiro.
1. Se você quiser fornecer um par de chaves, escolha **Adicionar linha** e, na seção **Pares de chave/valor**, escolha a guia **Chave/valor**.
+ **Chave** — Insira **PrivateKey**.
+ **valor** — cole sua chave privada.
**Dica**: Os dados da chave privada inseridos devem corresponder à chave pública armazenada para esse usuário no servidor SFTP remoto.
**nota**
Não é possível usar uma chave privada protegida por senha para autenticação com um conector SFTP. AWS Transfer Family
Para obter detalhes sobre como gerar um public/private key pair, consulte[Criação de chaves SSH no macOS, Linux ou Unix](macOS-linux-unix-ssh.md).
1. Se você quiser fornecer uma senha, escolha **Adicionar linha** e, na seção **Pares de chave/valor**, escolha a guia **Chave/valor**.
+ **Chave** — Insira **Password**.
+ **valor** – Insira uma senha para o usuário.
1. Escolha **Próximo**.
1. Na página **Configurar segredo**, insira um nome e uma descrição para seu segredo. Recomendamos utilizar o prefixo **aws/transfer/** para o nome. Por exemplo, é possível dar ao seu segredo o nome de **aws/transfer/connector-1**.
1. Escolha **Próximo** e aceite os padrões na página **Configurar alternância**. Em seguida, escolha **Próximo**.
1. Na página **Revisão**, escolha **Armazenar** para criar e armazenar o segredo.
# Crie um conector SFTP com saída gerenciada por serviços
Este procedimento explica como criar conectores SFTP usando o AWS Transfer Family console ou. AWS CLI
------
#### [ Console ]
**Para criar um conector STFP**
1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. No painel de navegação esquerdo, escolha **Conectores SFTP e, em seguida, escolha **Criar** conector** SFTP.
1. Na seção **Configuração do conector**, em **Tipo de saída**, escolha **Serviço gerenciado**. Essa opção usa infraestrutura de saída AWS Transfer Family gerenciada. O serviço Transfer Family fornece e gerencia endereços IP estáticos para cada conector SFTP.
1. Na seção **Configuração do conector**, forneça as seguintes informações:
![\[O console do conector SFTP Transfer Family, mostrando as configurações do Connector.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/create-connector-example-config.png)
+ Para **URL**, insira o URL de um servidor SFTP remoto. Esse URL deve ser formatado como `sftp://partner-SFTP-server-url`, por exemplo, `sftp://AnyCompany.com`.
**nota**
Como opção, é possível fornecer um número de porta no seu URL. O formato é `sftp://partner-SFTP-server-url:port-number`. O número da porta padrão (quando nenhuma porta é especificada) é a porta 22.
+ Para a **função Access**, escolha o Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) a ser usada.
+ **Assegure que esta função forneça acesso de leitura e gravação** ao diretório principal do local do arquivo usado na solicitação do `StartFileTransfer`.
+ **Essa função deve dar permissão** para `secretsmanager:GetSecretValue` para acessar o segredo.
**nota**
Na política, você deve especificar o ARN para o segredo. O ARN contém o nome secreto, mas acrescenta ao nome seis caracteres alfanuméricos aleatórios. Um ARN para um segredo tem o seguinte formato.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Certifique-se de que essa função contenha uma relação de confiança** que permite que o conector acesse os recursos quando estiver atendendo ás solicitações de transferência dos seus usuários. Para obter informações sobre como estabelecer um relacionamento de confiança, consulte [Estabelecer um relacionamento de confiança](requirements-roles.md#establish-trust-transfer).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**nota**
Para a função de acesso, o exemplo concede acesso a um único segredo. Porém, é possível usar um caractere curinga, que pode poupar trabalho se você quiser reutilizar o mesmo perfil do IAM para vários usuários e segredos. Por exemplo, a declaração de recurso a seguir concede permissões para todos os segredos que têm nomes começando com `aws/transfer`.
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
Você também pode armazenar segredos contendo suas credenciais de SFTP em outra Conta da AWS. Para obter detalhes sobre como ativar o acesso secreto entre contas, consulte [Permissões para AWS Secrets Manager segredos para usuários em uma conta diferente](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html).
1. Conclua a configuração do conector:
+ (Opcional) Para a **função Logging**, escolha a função do IAM para o conector usar para enviar eventos aos seus CloudWatch registros. O exemplo de política a seguir lista as permissões necessárias para registrar eventos para conectores SFTP.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
1. No painel **Configuração do SFTP**, forneça as seguintes informações:
![\[O console do conector SFTP Transfer Family, mostrando as configurações do SFTP.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/create-connector-example-sftp-config.png)
+ Para **credenciais do Connector**, na lista suspensa, escolha o nome de um segredo AWS Secrets Manager que contenha a chave privada ou a senha do usuário do SFTP. Você precisa criar um segredo e armazená-lo de uma maneira específica. Para obter detalhes, consulte [Armazene credenciais de autenticação para conectores SFTP no Secrets Manager](sftp-connector-secret-procedure.md).
+ (Opcional) Você tem a opção de criar seu conector deixando o `TrustedHostKeys` parâmetro vazio. No entanto, seu conector não poderá transferir arquivos com o servidor remoto até que você forneça esse parâmetro na configuração do conector. Você pode inserir as chaves de host confiáveis no momento da criação do conector ou atualizá-lo posteriormente usando as informações da chave do host retornadas pela ação do `TestConnection` console ou pelo comando da API. Ou seja, para a caixa de texto **Chaves de host confiáveis**, você pode fazer o seguinte:
+ **Forneça as chaves de host confiáveis no momento da criação do conector.** Cole a parte pública da chave do host usada para identificar o servidor externo. É possível adicionar mais de uma chave escolhendo **Adicionar chave de host confiável** para adicionar uma chave adicional. Você pode usar o comando `ssh-keyscan` no servidor SFTP para recuperar a chave necessária. Para obter detalhes sobre o formato e o tipo de chaves de host confiáveis compatíveis com o Transfer Family, consulte [https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html](https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html).
+ *Deixe a caixa de texto Trusted Host Key (s) vazia ao criar seu conector e atualize-o posteriormente com essas informações.* Se você não tiver as informações da chave do host no momento da criação do conector, deixe esse parâmetro vazio por enquanto e continue com a criação do conector. Depois que o conector for criado, use o ID do novo conector para executar o `TestConnection` comando, na página de detalhes do conector AWS CLI ou a partir dela. Se for bem-sucedido, `TestConnection` retornará as informações necessárias da chave do host. Em seguida, você pode editar seu conector usando o console (ou executando o `UpdateConnector` AWS CLI comando) e adicionar as informações da chave do host que foram retornadas quando você executou`TestConnection`.
**Importante**
Se você recuperar a chave do host do servidor remoto executando`TestConnection`, certifique-se de realizar a out-of-band validação na chave retornada.
Você deve aceitar a nova chave como confiável ou verificar a impressão digital apresentada com uma impressão digital conhecida anteriormente que você recebeu do proprietário do servidor SFTP remoto ao qual está se conectando.
+ (Opcional) Para **Máximo de conexões simultâneas**, na lista suspensa, escolha o número de conexões simultâneas que seu conector cria com o servidor remoto. A seleção padrão no console é **5**.
Essa configuração especifica o número de conexões ativas que seu conector pode estabelecer com o servidor remoto ao mesmo tempo. A criação de conexões simultâneas pode melhorar o desempenho do conector ao permitir operações paralelas.
1. Na seção **Opções de algoritmo criptográfico**, escolha uma **política de segurança** na lista suspensa no campo Política de **segurança**. A política de segurança permite que você selecione os algoritmos criptográficos que seu conector suporta. Para obter detalhes sobre as políticas e algoritmos de segurança disponíveis, consulte[Políticas de segurança para conectores AWS Transfer Family SFTP](security-policies-connectors.md).
1. (Opcional) Na seção **Tags** para **Chave** e **Valor**, insira uma ou mais tags como pares de chave/valor.
1. Depois de confirmar todas as configurações, escolha **Criar conector SFTP para criar o conector** SFTP. Se o conector for criado com sucesso, uma tela será exibida com uma lista dos endereços IP estáticos atribuídos e um botão **Testar conexão**. Use o botão para testar a configuração do seu novo conector.
![\[A tela de criação do conector que aparece quando um conector SFTP é criado com sucesso. Ele contém um botão para testar a conexão e uma lista dos endereços IP estáticos gerenciados pelo serviço desse conector.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/connector-success-ip.png)
A página **Conectores** é exibida, com o ID do seu novo conector SFTP adicionado à lista. Para visualizar os detalhes de seus conectores, consulte [Exibir detalhes do conector SFTP](manage-sftp-connectors.md#sftp-connectors-view-info).
------
#### [ CLI ]
Você usa o comando [https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html) para criar um conector. Para usar esse comando para criar um conector SFTP, forneça as seguintes informações.
+ O URL de um servidor SFTP remoto. Esse URL deve ser formatado como `sftp://partner-SFTP-server-url`, por exemplo, `sftp://AnyCompany.com`
+ A função de acesso. O nome do recurso da Amazon (ARN) do perfil do (IAM) AWS Identity and Access Management a ser usado.
+ **Assegure que esta função forneça acesso de leitura e gravação** ao diretório principal do local do arquivo usado na solicitação do `StartFileTransfer`.
+ **Essa função deve dar permissão** para `secretsmanager:GetSecretValue` para acessar o segredo.
**nota**
Na política, você deve especificar o ARN para o segredo. O ARN contém o nome secreto, mas acrescenta ao nome seis caracteres alfanuméricos aleatórios. Um ARN para um segredo tem o seguinte formato.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Certifique-se de que essa função contenha uma relação de confiança** que permite que o conector acesse os recursos quando estiver atendendo ás solicitações de transferência dos seus usuários. Para obter informações sobre como estabelecer um relacionamento de confiança, consulte [Estabelecer um relacionamento de confiança](requirements-roles.md#establish-trust-transfer).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**nota**
Para a função de acesso, o exemplo concede acesso a um único segredo. Porém, é possível usar um caractere curinga, que pode poupar trabalho se você quiser reutilizar o mesmo perfil do IAM para vários usuários e segredos. Por exemplo, a declaração de recurso a seguir concede permissões para todos os segredos que têm nomes começando com `aws/transfer`.
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
Você também pode armazenar segredos contendo suas credenciais de SFTP em outra Conta da AWS. Para obter detalhes sobre como ativar o acesso secreto entre contas, consulte [Permissões para AWS Secrets Manager segredos para usuários em uma conta diferente](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html).
+ (Opcional) Escolha a função do IAM que o conector usará para enviar eventos aos seus CloudWatch registros. O exemplo de política a seguir lista as permissões necessárias para registrar eventos para conectores SFTP.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
+ Forneça as seguintes informações de configuração do SFTP.
+ O ARN de um segredo AWS Secrets Manager que contém a chave privada ou a senha do usuário do SFTP.
+ A parte pública da chave do host que é usada para identificar o servidor externo. É possível fornecer várias chaves de host confiáveis, se quiser.
A maneira mais fácil de fornecer as informações do SFTP é salvá-las em um arquivo. Por exemplo, copie o texto de exemplo a seguir em um arquivo chamado `testSFTPConfig.json`.
```
// Listing for testSFTPConfig.json
{
"UserSecretId": "arn:aws::secretsmanager:us-east-2:123456789012:secret:aws/transfer/example-username-key",
"TrustedHostKeys": [
"sftp.example.com ssh-rsa AAAAbbbb...EEEE="
]
}
```
+ Especifique uma política de segurança para seu conector, inserindo o nome da política de segurança.
**nota**
`SecretId`Pode ser o ARN inteiro ou o nome do segredo (*example-username-key*na lista anterior).
Em seguida, execute o comando a seguir para criar o conector:
```
aws transfer create-connector --url "sftp://partner-SFTP-server-url" \
--access-role your-IAM-role-for-bucket-access \
--logging-role arn:aws:iam::your-account-id:role/service-role/AWSTransferLoggingAccess \
--sftp-config file:///path/to/testSFTPConfig.json \
--security-policy-name security-policy-name \
--maximum-concurrent-connections integer-from-1-to-5
```
Quando você descreve um conector do tipo de saída VPC, a resposta inclui os novos campos:
```
{
"Connector": {
"AccessRole": "arn:aws:iam::123456789012:role/connector-role",
"Arn": "arn:aws:transfer:us-east-1:123456789012:connector/c-1234567890abcdef0",
"ConnectorId": "c-1234567890abcdef0",
"Status": "ACTIVE",
"EgressConfig": {
"VpcLattice": {
"ResourceConfigurationArn": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-12345678",
"PortNumber": 22
}
},
"EgressType": "VPC",
"ServiceManagedEgressIpAddresses": null,
"SftpConfig": {
"TrustedHostKeys": [ "ssh-rsa AAAAB3NzaC..." ],
"UserSecretId": "aws/transfer/connector-secret"
},
"Url": "sftp://my.sftp.server.com:22"
}
}
```
Observe que isso `ServiceManagedEgressIpAddresses` é nulo para conectores do tipo de saída de VPC, pois o tráfego é roteado por sua VPC em vez da infraestrutura gerenciada. AWS
------
# Crie um conector SFTP com saída baseada em VPC
Este tópico fornece step-by-step instruções para criar conectores SFTP com conectividade VPC. Os conectores habilitados para VPC\$1Lattice usam o Amazon VPC Lattice para rotear o tráfego por meio de sua nuvem privada virtual, permitindo conexões seguras com endpoints privados ou usando seus próprios gateways NAT para acesso à Internet.
**Quando usar a conectividade VPC**
Use a conectividade VPC para conectores SFTP nesses cenários:
+ **Servidores SFTP privados**: conecte-se a servidores SFTP que só podem ser acessados pela sua VPC.
+ **Conectividade local**: conecte-se a servidores SFTP locais por meio de conexões Direct AWS Connect ou AWS Site-to-Site VPN.
+ **Endereços IP personalizados**: use seus próprios gateways NAT e endereços IP elásticos, incluindo cenários de BYOIP.
+ **Controles de segurança centralizados**: encaminhe as transferências de arquivos pelos ingress/egress controles centrais da sua organização.
![\[Diagrama de arquitetura mostrando a saída baseada em VPC para conectores SFTP, ilustrando como o acesso a recursos entre VPCs permite conexões seguras por meio de sua nuvem privada virtual.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/vpc-egress-diagram.png)
## Pré-requisitos para conectores SFTP habilitados para VPC\$1Lattice
Antes de criar um conector SFTP habilitado para VPC\$1Lattice, você deve preencher os seguintes pré-requisitos:
**Como funciona a conectividade baseada em VPC**
O VPC Lattice permite que você compartilhe com segurança os recursos do VPC com outros serviços. AWS AWS Transfer Family usa uma rede de serviços para simplificar o processo de compartilhamento de recursos. Os principais componentes são:
+ **Resource Gateway**: serve como ponto de acesso à sua VPC. Você cria isso em sua VPC com no mínimo duas zonas de disponibilidade.
+ **Configuração de recursos**: contém o endereço IP privado ou o nome DNS público do servidor SFTP ao qual você deseja se conectar.
Quando você cria um conector habilitado para VPC\$1Lattice, AWS Transfer Family usa o Forward Access Session (FAS) para obter temporariamente suas credenciais e associar sua configuração de recursos à nossa rede de serviços.
**Etapas de configuração necessárias**
1. **Infraestrutura de VPC**: certifique-se de ter uma VPC configurada adequadamente com as sub-redes, tabelas de rotas e grupos de segurança necessários para os requisitos de conectividade do servidor SFTP.
1. **Resource Gateway**: crie um Resource Gateway em sua VPC usando o comando VPC Lattice. `create-resource-gateway` O Resource Gateway deve estar associado a sub-redes em pelo menos duas zonas de disponibilidade. Para obter mais informações, consulte [Resource gateways no Guia](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-gateway.html) do usuário do *Amazon VPC Lattice*.
1. **Configuração de recursos**: crie uma configuração de recursos que represente o servidor SFTP de destino usando o comando VPC `create-resource-configuration` Lattice. Você pode especificar:
+ Um endereço IP privado para endpoints privados
+ Um nome DNS público para endpoints públicos (endereços IP não são compatíveis com endpoints públicos)
1. **Credenciais de autenticação**: armazene as credenciais do usuário do SFTP AWS Secrets Manager conforme descrito em. [Armazene credenciais de autenticação para conectores SFTP no Secrets Manager](sftp-connector-secret-procedure.md)
**Importante**
O gateway de recursos e a configuração de recursos devem ser criados na mesma AWS conta. Ao criar uma configuração de recursos, você deve primeiro ter um gateway de recursos instalado.
Para obter mais informações sobre configurações de recursos de VPC, consulte Configurações de [recursos no Guia do usuário](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) do Amazon *VPC Lattice*.
**nota**
A conectividade VPC para conectores SFTP está disponível onde os recursos do Regiões da AWS Amazon VPC Lattice estão disponíveis. Para obter mais informações, consulte [VPC](https://aws.amazon.com/vpc/lattice/faqs/#topic-0) Lattice. FAQs O suporte à zona de disponibilidade varia de acordo com a região, e os gateways de recursos exigem no mínimo duas zonas de disponibilidade.
## Crie um conector SFTP habilitado para VPC\$1Lattice
Depois de concluir os pré-requisitos, você pode criar um conector SFTP com conectividade VPC usando o AWS CLI Management Console ou. AWS AWS SDKs
------
#### [ Console ]
**Para criar um conector SFTP habilitado para VPC\$1Lattice**
1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. No painel de navegação esquerdo, escolha **Conectores SFTP e, em seguida, escolha **Criar** conector** SFTP.
1. Na seção **Configuração do conector**, em **Tipo de saída**, escolha **VPC Lattice**.
Essa opção roteia o tráfego pela sua VPC usando o Amazon VPC Lattice para acesso a recursos entre VPCs. Você pode usar essa opção para se conectar a endpoints de servidores hospedados de forma privada, rotear o tráfego por meio dos controles de segurança da sua VPC ou usar seus próprios gateways NAT e endereços IP elásticos. O endereço do servidor SFTP remoto é representado como uma configuração de recursos em sua VPC. Para obter mais informações sobre configurações de recursos, consulte [Configurações de recursos para recursos de VPC no Guia do usuário do Amazon VPC](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) Lattice.
1. Conclua a configuração do conector:
+ Para a **função Access**, escolha o Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) a ser usada.
+ **Assegure que esta função forneça acesso de leitura e gravação** ao diretório principal do local do arquivo usado na solicitação do `StartFileTransfer`.
+ **Essa função deve dar permissão** para `secretsmanager:GetSecretValue` para acessar o segredo.
**nota**
Na política, você deve especificar o ARN para o segredo. O ARN contém o nome secreto, mas acrescenta ao nome seis caracteres alfanuméricos aleatórios. Um ARN para um segredo tem o seguinte formato.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Certifique-se de que essa função contenha uma relação de confiança** que permite que o conector acesse os recursos quando estiver atendendo ás solicitações de transferência dos seus usuários. Para obter informações sobre como estabelecer um relacionamento de confiança, consulte [Estabelecer um relacionamento de confiança](requirements-roles.md#establish-trust-transfer).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**nota**
Para a função de acesso, o exemplo concede acesso a um único segredo. Porém, é possível usar um caractere curinga, que pode poupar trabalho se você quiser reutilizar o mesmo perfil do IAM para vários usuários e segredos. Por exemplo, a declaração de recurso a seguir concede permissões para todos os segredos que têm nomes começando com `aws/transfer`.
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
Você também pode armazenar segredos contendo suas credenciais de SFTP em outra Conta da AWS. Para obter detalhes sobre como ativar o acesso secreto entre contas, consulte [Permissões para AWS Secrets Manager segredos para usuários em uma conta diferente](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html).
+ Em **Resource Configuration ARN**, insira o ARN da configuração de recursos VPC Lattice que aponta para seu servidor SFTP:
```
arn:aws:vpc-lattice:region:account-id:resourceconfiguration/rcfg-12345678
```
+ (Opcional) Para a **função Logging**, escolha a função do IAM que o conector usará para enviar eventos aos seus CloudWatch registros.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
1. No painel **Configuração do SFTP**, forneça as seguintes informações:
+ Para **credenciais do Connector**, escolha o nome de um segredo AWS Secrets Manager que contenha a chave privada ou a senha do usuário do SFTP.
+ Para **chaves de host confiáveis**, cole a parte pública da chave de host usada para identificar o servidor externo ou deixe em branco para configurar posteriormente usando o `TestConnection` comando.
Como essa chave de host é para um conector VPC\$1LATTICE, remova o nome do host na chave
+ (Opcional) Em **Máximo de conexões simultâneas**, escolha o número de conexões simultâneas que seu conector cria com o servidor remoto (o padrão é 5).
1. Na seção **Opções de algoritmo criptográfico**, escolha uma **política de segurança** na lista suspensa.
1. (Opcional) Na seção **Tags**, adicione tags como pares de valores-chave.
1. Escolha **Criar conector SFTP para criar o conector** SFTP habilitado para VPC\$1Lattice.
O conector será criado com o status de `PENDING` enquanto a associação de recursos está sendo provisionada, o que normalmente leva alguns minutos. Quando o status mudar para`ACTIVE`, o conector estará pronto para uso.
------
#### [ CLI ]
Use o comando a seguir para criar um conector SFTP habilitado para VPC\$1Lattice:
```
aws transfer create-connector \
--url "sftp://my.sftp.server.com:22" \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-secret-id,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0} \
--security-policy-name TransferSecurityPolicy-2024-01
```
O principal parâmetro para conectividade VPC é`--egress-config`, que especifica o ARN de configuração de recursos que define o destino do seu servidor SFTP.
------
## Monitorando o status do conector VPC
Os conectores habilitados para VPC\$1Lattice têm um processo de configuração assíncrono. Após a criação, monitore o status do conector:
+ **PENDENTE**: O conector está sendo provisionado. O provisionamento da rede de serviços está em andamento, o que normalmente leva vários minutos.
+ **ATIVO**: O conector está pronto para uso e pode transferir arquivos.
+ **ERRO: Falha** no provisionamento do conector. Verifique os detalhes do erro para obter informações sobre solução de problemas.
Verifique o status do conector usando o `describe-connector` comando:
```
aws transfer describe-connector --connector-id c-1234567890abcdef0
```
Durante o estado PENDENTE, a `test-connection` API retornará “Conector não disponível” até que o provisionamento seja concluído.
## Limitações e considerações
+ **Endpoints públicos**: ao se conectar a endpoints públicos por meio da VPC, você deve fornecer um nome DNS na Configuração de recursos. Endereços IP públicos não são suportados.
+ **Disponibilidade regional**: a conectividade VPC está disponível em select. Regiões da AWS O compartilhamento de recursos entre regiões não é suportado.
+ **Requisitos da zona de disponibilidade: os** gateways de recursos devem estar associados a sub-redes em pelo menos duas zonas de disponibilidade. Nem todas as zonas de disponibilidade oferecem suporte ao VPC Lattice em todas as regiões.
+ **Limites de conexão**: máximo de 350 conexões por recurso com um tempo limite de inatividade de 350 segundos para conexões TCP.
## Considerações sobre custos
Não há cobranças adicionais AWS Transfer Family além das taxas de serviço regulares. No entanto, os clientes podem estar sujeitos a cobranças adicionais da Amazon VPC Lattice associadas ao compartilhamento de seus recursos da Amazon Virtual Private Cloud e cobranças de gateway NAT se usarem seus próprios gateways NAT para acessar a Internet.
Para obter informações completas sobre AWS Transfer Family preços, consulte a [página AWS Transfer Family de preços](https://aws.amazon.com/aws-transfer-family/pricing/).
## Exemplos de conectividade VPC para conectores SFTP
Esta seção fornece exemplos de criação de conectores SFTP com conectividade VPC para vários cenários. Antes de usar esses exemplos, certifique-se de ter concluído a configuração da infraestrutura da VPC conforme descrito na documentação de conectividade da VPC.
### Exemplo: conexão de endpoint privada
Este exemplo mostra como criar um conector SFTP que se conecta a um servidor SFTP privado acessível somente pela sua VPC.
**Pré-requisitos**
1. Crie um gateway de recursos em sua VPC:
```
aws vpc-lattice create-resource-gateway \
--name my-private-server-gateway \
--vpc-identifier vpc-1234567890abcdef0 \
--subnet-ids subnet-1234567890abcdef0 subnet-0987654321fedcba0
```
1. Crie uma configuração de recursos para seu servidor SFTP privado:
```
aws vpc-lattice create-resource-configuration \
--name my-private-server-config \
--resource-gateway-identifier rgw-1234567890abcdef0 \
--resource-configuration-definition ipResource={ipAddress="10.0.1.100"} \
--port-ranges 22
```
**Crie o conector habilitado para VPC\$1Lattice**
1. Crie o conector SFTP com conectividade VPC:
```
aws transfer create-connector \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-private-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22}
```
1. Monitore o status do conector até que ele se torne`ACTIVE`:
```
aws transfer describe-connector --connector-id c-1234567890abcdef0
```
O servidor SFTP remoto verá as conexões provenientes do endereço IP do Resource Gateway dentro do intervalo CIDR da sua VPC.
### Exemplo: endpoint público via VPC
Este exemplo mostra como rotear conexões para um servidor SFTP público por meio de sua VPC para aproveitar os controles de segurança centralizados e usar seus próprios endereços IP do NAT Gateway.
**Pré-requisitos**
1. Crie um Resource Gateway em sua VPC (o mesmo exemplo de endpoint privado).
1. Crie uma configuração de recursos para o servidor SFTP público usando seu nome DNS:
```
aws vpc-lattice create-resource-configuration \
--name my-public-server-config \
--resource-gateway-identifier rgw-1234567890abcdef0 \
--resource-configuration-definition dnsResource={domainName="sftp.example.com"} \
--port-ranges 22
```
**nota**
Para endpoints públicos, você deve usar um nome DNS, não um endereço IP.
**Criar o conector**
+ Crie o conector SFTP:
```
aws transfer create-connector \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-public-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0987654321fedcba0,PortNumber=22}
```
O tráfego fluirá do conector para o Resource Gateway e, em seguida, pelo NAT Gateway para chegar ao servidor SFTP público. O servidor remoto verá o endereço IP elástico do seu NAT Gateway como a origem.
### Exemplo: endpoint privado entre contas
Este exemplo mostra como se conectar a um servidor SFTP privado em uma AWS conta diferente usando o compartilhamento de recursos.
**nota**
Se você já tem o compartilhamento de recursos entre VPCs habilitado por meio de outros mecanismos, como AWS Transit Gateway, por exemplo, não é necessário configurar o compartilhamento de recursos descrito aqui. Os mecanismos de roteamento existentes, como as tabelas de rotas do Transit Gateway, são usados automaticamente pelos conectores SFTP. Você só precisa criar uma configuração de recursos na mesma conta em que está criando o conector SFTP.
**Conta A (provedor de recursos) - Compartilhe a configuração do recurso**
1. Crie o gateway de recursos e a configuração de recursos na Conta A (igual aos exemplos anteriores).
1. Compartilhe a configuração do recurso com a conta B usando o AWS Resource Access Manager:
```
aws ram create-resource-share \
--name cross-account-sftp-share \
--resource-arns arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0 \
--principals 222222222222
```
**Conta B (consumidor de recursos) - Aceite e use o compartilhamento**
1. Aceite o convite de compartilhamento de recursos:
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn arn:aws:ram:us-east-1:111111111111:resource-share-invitation/invitation-id
```
1. Crie o conector SFTP na Conta B:
```
aws transfer create-connector \
--access-role arn:aws:iam::222222222222:role/TransferConnectorRole \
--sftp-config UserSecretId=cross-account-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22}
```
O conector na Conta B agora pode acessar o servidor SFTP privado na Conta A por meio da Configuração de Recursos compartilhada.
### Cenários comuns de solução de problemas
Aqui estão as soluções para problemas comuns ao criar conectores habilitados para VPC\$1Lattice:
+ **Conector preso no status PENDENTE**: verifique se o Resource Gateway está ATIVO e tem sub-redes em zonas de disponibilidade suportadas. Se o conector ainda estiver preso com o status PENDENTE, chame `UpdateConnector` usando os mesmos parâmetros de configuração que você usou inicialmente. Isso aciona um novo evento de status que pode resolver o problema.
+ **Tempos limite de conexão**: verifique se as regras do grupo de segurança permitem tráfego na porta 22 e se o roteamento da VPC está correto.
+ **Problemas de resolução de DNS**: para endpoints públicos, certifique-se de que sua VPC tenha conectividade com a Internet por meio de um NAT Gateway ou Internet Gateway.
+ **Acesso entre contas negado**: verifique se o compartilhamento de recursos foi aceito e se o ARN de configuração de recursos está correto. Se a política de permissão adequada estiver anexada à configuração do recurso quando a conta de origem criar o compartilhamento de recursos, essas permissões serão necessárias:`vpc-lattice:AssociateViaAWSService`,`vpc-lattice:AssociateViaAWSService-EventsAndStates`,`vpc-lattice:CreateServiceNetworkResourceAssociation`,`vpc-lattice:GetResourceConfiguration`.
# Testar um conector SFTP
Depois de criar um conector SFTP, recomendamos que você o teste antes de tentar transferir qualquer arquivo usando o novo conector.
**Para testar um conector SFTP**
1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. No painel de navegação esquerdo, escolha **Conectores SFTP e selecione um conector**.
1. No menu **Ações**, selecione **Testar conexões**.
![\[O console do Transfer Family, mostrando um conector SFTP selecionado, e a ação Testar conexão destacada.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/connector-test-choose.png)
O sistema retorna uma mensagem indicando se o teste foi aprovado ou reprovado. Se o teste falhar, o sistema enviará uma mensagem de erro com base no motivo pelo qual o teste falhou.
![\[O painel de conexão de teste do conector SFTP mostrando um teste bem-sucedido.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/connector-test-success.png)
![\[O painel de conexão de teste do conector SFTP mostrando uma falha no teste: a mensagem de erro indica que a função de acesso do conector está incorreta.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/connector-test-fail-role.png)
**nota**
Para usar a API para testar seu conector, consulte a documentação da API [https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection](https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection).