As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # AWS Transfer Family Conectores SFTP Um conector AWS Transfer Family SFTP estabelece uma conexão com um servidor SFTP remoto para transferir arquivos entre o armazenamento da Amazon e um servidor remoto, usando o protocolo SFTP. Você pode enviar arquivos do Amazon S3 para um servidor SFTP externo de propriedade do parceiro, recuperar arquivos do servidor SFTP de um parceiro para o Amazon S3 ou listar, excluir, renomear ou mover arquivos no servidor remoto. Os conectores SFTP oferecem suporte a dois tipos de saída: serviço gerenciado (usando infraestrutura AWS gerenciada) e VPC (roteamento pela sua VPC usando o Amazon VPC Lattice). Usando conectores SFTP, você pode criar fluxos de trabalho de transferência de arquivos automatizados e orientados por eventos no. AWS O vídeo a seguir fornece uma breve introdução aos conectores STFP do Transfer Family. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Gm-FMGrVpAg/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Gm-FMGrVpAg) **Topics** + [Criação de conectores SFTP](configure-sftp-connector.md) + [Conectividade VPC para conectores SFTP](sftp-connectors-vpc-overview.md) + [Usando conectores SFTP](transfer-sftp-connectors.md) + [Monitorando conectores SFTP](track-connector-progress.md) + [Gerenciando conectores SFTP](manage-sftp-connectors.md) + [Dimensionamento e cotas para conectores SFTP](scale-and-limits-sftp-connector.md) + [Arquiteturas de referência usando conectores SFTP](reference-architectures.md) # Criação de conectores SFTP Este tópico descreve como criar conectores SFTP. Cada conector oferece a capacidade de se conectar a um servidor SFTP remoto. Você executa as seguintes tarefas de alto nível para configurar um conector SFTP. **nota** Para conectores baseados em VPC que roteiam o tráfego por meio de sua nuvem privada virtual, consulte. [Crie um conector SFTP com saída baseada em VPC](create-vpc-sftp-connector-procedure.md) 1. Armazene as credenciais de autenticação do conector em AWS Secrets Manager. 1. Crie o conector especificando o ARN secreto, a URL do servidor remoto ou o ARN de configuração de recursos, a política de segurança contendo os algoritmos que serão suportados pelo conector e outras definições de configuração. 1. Depois de criar o conector, você pode testá-lo para garantir que ele possa estabelecer conexões com o servidor SFTP remoto. ## Escolhendo o tipo de saída do conector SFTP Ao criar um conector SFTP, você escolhe o tipo de saída entre “Serviço gerenciado” e “VPC Lattice”. + **Serviço gerenciado** (padrão): o conector usa gateways NAT e endereços IP de propriedade da AWS Transfer Family para rotear conexões pela Internet pública. O serviço fornece três endereços IP estáticos para seus conectores que precisam estar na lista de permissões nos servidores remotos para estabelecer conexões. + **VPC Lattice**: o conector roteia o tráfego pelo seu ambiente VPC usando o Amazon VPC Lattice. Use a conectividade VPC para conectores SFTP nesses cenários: + Servidores **SFTP privados: conecte-se a servidores** SFTP que só podem ser acessados pela sua VPC + **Conectividade local**: conecte-se a servidores SFTP locais por meio de conexões AWS Direct Connect AWS Virtual Private Network + **Endereços IP personalizados**: apresente seus próprios gateways NAT e endereços IP elásticos ao servidor remoto + **Controles de segurança centralizados**: direcione as transferências de arquivos pelos controles centrais ingress/egress da sua organização A matriz a seguir ajuda você a escolher o tipo de conector certo para seus casos de uso. **Matriz do tipo de saída do conector SFTP** | Recurso | Tipo de saída = Serviço gerenciado | Tipo de saída = VPC Lattice | | --- | --- | --- | | Conectividade com servidores SFTP hospedados publicamente (acessíveis pela Internet) | Compatível | Suportado 1 | | Conectividade com servidores SFTP hospedados de forma privada (no local) | Não compatível | Suportado 2 | | Conectividade com servidores SFTP hospedados de forma privada (em VPC) | Não compatível | Compatível | | Endereços IP estáticos apresentados ao servidor SFTP remoto | Compatível por meio de endereços IP estáticos fornecidos pelo serviço | Compatível por meio de endereços IP estáticos de propriedade do cliente | | Largura de banda disponível | 50 MBPS por conta | Maior largura de banda, conforme disponível no Resource Gateway e no NAT Gateway de propriedade do cliente | | Roteamento de tráfego para a Internet por meio de gateways NAT e firewalls de rede de propriedade do cliente | Sem compatibilidade. Os gateways NAT são de propriedade e gerenciados pelo serviço Transfer Family. | Compatível | 1 *Com Tipo de saída = VPC Lattice, a conectividade com servidores hospedados publicamente é suportada usando a configuração da infraestrutura de saída (NAT Gateways) em sua* saída. VPCs 2 *Com Tipo de saída = VPC Lattice, a conectividade com servidores hospedados de forma privada é suportada usando redes existentes em sua VPC*, como VPN. AWS Direct Connect **Topics** + [Escolhendo o tipo de saída do conector SFTP](#choosing-egress-type) + [Armazene credenciais de autenticação para conectores SFTP no Secrets Manager](sftp-connector-secret-procedure.md) + [Crie um conector SFTP com saída gerenciada por serviços](create-sftp-connector-procedure.md) + [Crie um conector SFTP com saída baseada em VPC](create-vpc-sftp-connector-procedure.md) + [Testar um conector SFTP](test-sftp-connector.md) # Armazene credenciais de autenticação para conectores SFTP no Secrets Manager É possível usar o Secrets Manager para armazenar as credenciais do usuário para seus conectores SFTP. Ao criar seu segredo, forneça um nome de usuário. Além disso, é possível fornecer uma senha, uma chave privada ou ambas. Para obter detalhes, consulte [Cotas da para conectores SFTP](scale-and-limits-sftp-connector.md#limits-sftp-connector). **nota** Quando você armazena segredos no Secrets Manager, você Conta da AWS incorre em cobranças. Para obter mais informações sobre preços consulte [AWS Secrets Manager Pricing](https://aws.amazon.com/secrets-manager/pricing). **É possível usar o Secrets Manager para armazenar as credenciais do usuário para um conector SFTP.** 1. Faça login no Console de gerenciamento da AWS e abra o AWS Secrets Manager console em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/). 1. No painel de navegação à esquerda, selecione **Segredos**. 1. Na página **Segredos**, escolha **Armazenar um novo segredo**. 1. Na página **Escolher tipo de segredo**, em **Tipo de segredo**, escolha **Outro tipo de segredo**. 1. Forneça as key/value informações do seu segredo: você precisa fornecer o nome de usuário e uma chave privada ou uma senha. 1. Na seção **Pares de chave/valor**, escolha a guia **Chave/valor**. + **Chave** — Insira **Username**. + **valor** — insira o nome do usuário autorizado a se conectar ao servidor do parceiro. 1. Se você quiser fornecer um par de chaves, escolha **Adicionar linha** e, na seção **Pares de chave/valor**, escolha a guia **Chave/valor**. + **Chave** — Insira **PrivateKey**. + **valor** — cole sua chave privada. **Dica**: Os dados da chave privada inseridos devem corresponder à chave pública armazenada para esse usuário no servidor SFTP remoto. **nota** Não é possível usar uma chave privada protegida por senha para autenticação com um conector SFTP. AWS Transfer Family Para obter detalhes sobre como gerar um public/private key pair, consulte[Criação de chaves SSH no macOS, Linux ou Unix](macOS-linux-unix-ssh.md). 1. Se você quiser fornecer uma senha, escolha **Adicionar linha** e, na seção **Pares de chave/valor**, escolha a guia **Chave/valor**. + **Chave** — Insira **Password**. + **valor** – Insira uma senha para o usuário. 1. Escolha **Próximo**. 1. Na página **Configurar segredo**, insira um nome e uma descrição para seu segredo. Recomendamos utilizar o prefixo **aws/transfer/** para o nome. Por exemplo, é possível dar ao seu segredo o nome de **aws/transfer/connector-1**. 1. Escolha **Próximo** e aceite os padrões na página **Configurar alternância**. Em seguida, escolha **Próximo**. 1. Na página **Revisão**, escolha **Armazenar** para criar e armazenar o segredo. # Crie um conector SFTP com saída gerenciada por serviços Este procedimento explica como criar conectores SFTP usando o AWS Transfer Family console ou. AWS CLI ------ #### [ Console ] **Para criar um conector STFP** 1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). 1. No painel de navegação esquerdo, escolha **Conectores SFTP e, em seguida, escolha **Criar** conector** SFTP. 1. Na seção **Configuração do conector**, em **Tipo de saída**, escolha **Serviço gerenciado**. Essa opção usa infraestrutura de saída AWS Transfer Family gerenciada. O serviço Transfer Family fornece e gerencia endereços IP estáticos para cada conector SFTP. 1. Na seção **Configuração do conector**, forneça as seguintes informações: ![\[O console do conector SFTP Transfer Family, mostrando as configurações do Connector.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/create-connector-example-config.png) + Para **URL**, insira o URL de um servidor SFTP remoto. Esse URL deve ser formatado como `sftp://partner-SFTP-server-url`, por exemplo, `sftp://AnyCompany.com`. **nota** Como opção, é possível fornecer um número de porta no seu URL. O formato é `sftp://partner-SFTP-server-url:port-number`. O número da porta padrão (quando nenhuma porta é especificada) é a porta 22. + Para a **função Access**, escolha o Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) a ser usada. + **Assegure que esta função forneça acesso de leitura e gravação** ao diretório principal do local do arquivo usado na solicitação do `StartFileTransfer`. + **Essa função deve dar permissão** para `secretsmanager:GetSecretValue` para acessar o segredo. **nota** Na política, você deve especificar o ARN para o segredo. O ARN contém o nome secreto, mas acrescenta ao nome seis caracteres alfanuméricos aleatórios. Um ARN para um segredo tem o seguinte formato. ``` arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters ``` + **Certifique-se de que essa função contenha uma relação de confiança** que permite que o conector acesse os recursos quando estiver atendendo ás solicitações de transferência dos seus usuários. Para obter informações sobre como estabelecer um relacionamento de confiança, consulte [Estabelecer um relacionamento de confiança](requirements-roles.md#establish-trust-transfer). **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "HomeDirObjectAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectVersion", "s3:GetObjectACL", "s3:PutObjectACL" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" }, { "Sid": "GetConnectorSecretValue", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters" } ] } ``` **nota** Para a função de acesso, o exemplo concede acesso a um único segredo. Porém, é possível usar um caractere curinga, que pode poupar trabalho se você quiser reutilizar o mesmo perfil do IAM para vários usuários e segredos. Por exemplo, a declaração de recurso a seguir concede permissões para todos os segredos que têm nomes começando com `aws/transfer`. ``` "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*" ``` Você também pode armazenar segredos contendo suas credenciais de SFTP em outra Conta da AWS. Para obter detalhes sobre como ativar o acesso secreto entre contas, consulte [Permissões para AWS Secrets Manager segredos para usuários em uma conta diferente](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html). 1. Conclua a configuração do conector: + (Opcional) Para a **função Logging**, escolha a função do IAM para o conector usar para enviar eventos aos seus CloudWatch registros. O exemplo de política a seguir lista as permissões necessárias para registrar eventos para conectores SFTP. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` 1. No painel **Configuração do SFTP**, forneça as seguintes informações: ![\[O console do conector SFTP Transfer Family, mostrando as configurações do SFTP.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/create-connector-example-sftp-config.png) + Para **credenciais do Connector**, na lista suspensa, escolha o nome de um segredo AWS Secrets Manager que contenha a chave privada ou a senha do usuário do SFTP. Você precisa criar um segredo e armazená-lo de uma maneira específica. Para obter detalhes, consulte [Armazene credenciais de autenticação para conectores SFTP no Secrets Manager](sftp-connector-secret-procedure.md). + (Opcional) Você tem a opção de criar seu conector deixando o `TrustedHostKeys` parâmetro vazio. No entanto, seu conector não poderá transferir arquivos com o servidor remoto até que você forneça esse parâmetro na configuração do conector. Você pode inserir as chaves de host confiáveis no momento da criação do conector ou atualizá-lo posteriormente usando as informações da chave do host retornadas pela ação do `TestConnection` console ou pelo comando da API. Ou seja, para a caixa de texto **Chaves de host confiáveis**, você pode fazer o seguinte: + **Forneça as chaves de host confiáveis no momento da criação do conector.** Cole a parte pública da chave do host usada para identificar o servidor externo. É possível adicionar mais de uma chave escolhendo **Adicionar chave de host confiável** para adicionar uma chave adicional. Você pode usar o comando `ssh-keyscan` no servidor SFTP para recuperar a chave necessária. Para obter detalhes sobre o formato e o tipo de chaves de host confiáveis compatíveis com o Transfer Family, consulte [https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html](https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html). + *Deixe a caixa de texto Trusted Host Key (s) vazia ao criar seu conector e atualize-o posteriormente com essas informações.* Se você não tiver as informações da chave do host no momento da criação do conector, deixe esse parâmetro vazio por enquanto e continue com a criação do conector. Depois que o conector for criado, use o ID do novo conector para executar o `TestConnection` comando, na página de detalhes do conector AWS CLI ou a partir dela. Se for bem-sucedido, `TestConnection` retornará as informações necessárias da chave do host. Em seguida, você pode editar seu conector usando o console (ou executando o `UpdateConnector` AWS CLI comando) e adicionar as informações da chave do host que foram retornadas quando você executou`TestConnection`. **Importante** Se você recuperar a chave do host do servidor remoto executando`TestConnection`, certifique-se de realizar a out-of-band validação na chave retornada. Você deve aceitar a nova chave como confiável ou verificar a impressão digital apresentada com uma impressão digital conhecida anteriormente que você recebeu do proprietário do servidor SFTP remoto ao qual está se conectando. + (Opcional) Para **Máximo de conexões simultâneas**, na lista suspensa, escolha o número de conexões simultâneas que seu conector cria com o servidor remoto. A seleção padrão no console é **5**. Essa configuração especifica o número de conexões ativas que seu conector pode estabelecer com o servidor remoto ao mesmo tempo. A criação de conexões simultâneas pode melhorar o desempenho do conector ao permitir operações paralelas. 1. Na seção **Opções de algoritmo criptográfico**, escolha uma **política de segurança** na lista suspensa no campo Política de **segurança**. A política de segurança permite que você selecione os algoritmos criptográficos que seu conector suporta. Para obter detalhes sobre as políticas e algoritmos de segurança disponíveis, consulte[Políticas de segurança para conectores AWS Transfer Family SFTP](security-policies-connectors.md). 1. (Opcional) Na seção **Tags** para **Chave** e **Valor**, insira uma ou mais tags como pares de chave/valor. 1. Depois de confirmar todas as configurações, escolha **Criar conector SFTP para criar o conector** SFTP. Se o conector for criado com sucesso, uma tela será exibida com uma lista dos endereços IP estáticos atribuídos e um botão **Testar conexão**. Use o botão para testar a configuração do seu novo conector. ![\[A tela de criação do conector que aparece quando um conector SFTP é criado com sucesso. Ele contém um botão para testar a conexão e uma lista dos endereços IP estáticos gerenciados pelo serviço desse conector.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/connector-success-ip.png) A página **Conectores** é exibida, com o ID do seu novo conector SFTP adicionado à lista. Para visualizar os detalhes de seus conectores, consulte [Exibir detalhes do conector SFTP](manage-sftp-connectors.md#sftp-connectors-view-info). ------ #### [ CLI ] Você usa o comando [https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html) para criar um conector. Para usar esse comando para criar um conector SFTP, forneça as seguintes informações. + O URL de um servidor SFTP remoto. Esse URL deve ser formatado como `sftp://partner-SFTP-server-url`, por exemplo, `sftp://AnyCompany.com` + A função de acesso. O nome do recurso da Amazon (ARN) do perfil do (IAM) AWS Identity and Access Management a ser usado. + **Assegure que esta função forneça acesso de leitura e gravação** ao diretório principal do local do arquivo usado na solicitação do `StartFileTransfer`. + **Essa função deve dar permissão** para `secretsmanager:GetSecretValue` para acessar o segredo. **nota** Na política, você deve especificar o ARN para o segredo. O ARN contém o nome secreto, mas acrescenta ao nome seis caracteres alfanuméricos aleatórios. Um ARN para um segredo tem o seguinte formato. ``` arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters ``` + **Certifique-se de que essa função contenha uma relação de confiança** que permite que o conector acesse os recursos quando estiver atendendo ás solicitações de transferência dos seus usuários. Para obter informações sobre como estabelecer um relacionamento de confiança, consulte [Estabelecer um relacionamento de confiança](requirements-roles.md#establish-trust-transfer). **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "HomeDirObjectAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectVersion", "s3:GetObjectACL", "s3:PutObjectACL" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" }, { "Sid": "GetConnectorSecretValue", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters" } ] } ``` **nota** Para a função de acesso, o exemplo concede acesso a um único segredo. Porém, é possível usar um caractere curinga, que pode poupar trabalho se você quiser reutilizar o mesmo perfil do IAM para vários usuários e segredos. Por exemplo, a declaração de recurso a seguir concede permissões para todos os segredos que têm nomes começando com `aws/transfer`. ``` "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*" ``` Você também pode armazenar segredos contendo suas credenciais de SFTP em outra Conta da AWS. Para obter detalhes sobre como ativar o acesso secreto entre contas, consulte [Permissões para AWS Secrets Manager segredos para usuários em uma conta diferente](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html). + (Opcional) Escolha a função do IAM que o conector usará para enviar eventos aos seus CloudWatch registros. O exemplo de política a seguir lista as permissões necessárias para registrar eventos para conectores SFTP. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` + Forneça as seguintes informações de configuração do SFTP. + O ARN de um segredo AWS Secrets Manager que contém a chave privada ou a senha do usuário do SFTP. + A parte pública da chave do host que é usada para identificar o servidor externo. É possível fornecer várias chaves de host confiáveis, se quiser. A maneira mais fácil de fornecer as informações do SFTP é salvá-las em um arquivo. Por exemplo, copie o texto de exemplo a seguir em um arquivo chamado `testSFTPConfig.json`. ``` // Listing for testSFTPConfig.json { "UserSecretId": "arn:aws::secretsmanager:us-east-2:123456789012:secret:aws/transfer/example-username-key", "TrustedHostKeys": [ "sftp.example.com ssh-rsa AAAAbbbb...EEEE=" ] } ``` + Especifique uma política de segurança para seu conector, inserindo o nome da política de segurança. **nota** `SecretId`Pode ser o ARN inteiro ou o nome do segredo (*example-username-key*na lista anterior). Em seguida, execute o comando a seguir para criar o conector: ``` aws transfer create-connector --url "sftp://partner-SFTP-server-url" \ --access-role your-IAM-role-for-bucket-access \ --logging-role arn:aws:iam::your-account-id:role/service-role/AWSTransferLoggingAccess \ --sftp-config file:///path/to/testSFTPConfig.json \ --security-policy-name security-policy-name \ --maximum-concurrent-connections integer-from-1-to-5 ``` Quando você descreve um conector do tipo de saída VPC, a resposta inclui os novos campos: ``` { "Connector": { "AccessRole": "arn:aws:iam::123456789012:role/connector-role", "Arn": "arn:aws:transfer:us-east-1:123456789012:connector/c-1234567890abcdef0", "ConnectorId": "c-1234567890abcdef0", "Status": "ACTIVE", "EgressConfig": { "VpcLattice": { "ResourceConfigurationArn": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-12345678", "PortNumber": 22 } }, "EgressType": "VPC", "ServiceManagedEgressIpAddresses": null, "SftpConfig": { "TrustedHostKeys": [ "ssh-rsa AAAAB3NzaC..." ], "UserSecretId": "aws/transfer/connector-secret" }, "Url": "sftp://my.sftp.server.com:22" } } ``` Observe que isso `ServiceManagedEgressIpAddresses` é nulo para conectores do tipo de saída de VPC, pois o tráfego é roteado por sua VPC em vez da infraestrutura gerenciada. AWS ------ # Crie um conector SFTP com saída baseada em VPC Este tópico fornece step-by-step instruções para criar conectores SFTP com conectividade VPC. Os conectores habilitados para VPC\$1Lattice usam o Amazon VPC Lattice para rotear o tráfego por meio de sua nuvem privada virtual, permitindo conexões seguras com endpoints privados ou usando seus próprios gateways NAT para acesso à Internet. **Quando usar a conectividade VPC** Use a conectividade VPC para conectores SFTP nesses cenários: + **Servidores SFTP privados**: conecte-se a servidores SFTP que só podem ser acessados pela sua VPC. + **Conectividade local**: conecte-se a servidores SFTP locais por meio de conexões Direct AWS Connect ou AWS Site-to-Site VPN. + **Endereços IP personalizados**: use seus próprios gateways NAT e endereços IP elásticos, incluindo cenários de BYOIP. + **Controles de segurança centralizados**: encaminhe as transferências de arquivos pelos ingress/egress controles centrais da sua organização. ![\[Diagrama de arquitetura mostrando a saída baseada em VPC para conectores SFTP, ilustrando como o acesso a recursos entre VPCs permite conexões seguras por meio de sua nuvem privada virtual.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/vpc-egress-diagram.png) ## Pré-requisitos para conectores SFTP habilitados para VPC\$1Lattice Antes de criar um conector SFTP habilitado para VPC\$1Lattice, você deve preencher os seguintes pré-requisitos: **Como funciona a conectividade baseada em VPC** O VPC Lattice permite que você compartilhe com segurança os recursos do VPC com outros serviços. AWS AWS Transfer Family usa uma rede de serviços para simplificar o processo de compartilhamento de recursos. Os principais componentes são: + **Resource Gateway**: serve como ponto de acesso à sua VPC. Você cria isso em sua VPC com no mínimo duas zonas de disponibilidade. + **Configuração de recursos**: contém o endereço IP privado ou o nome DNS público do servidor SFTP ao qual você deseja se conectar. Quando você cria um conector habilitado para VPC\$1Lattice, AWS Transfer Family usa o Forward Access Session (FAS) para obter temporariamente suas credenciais e associar sua configuração de recursos à nossa rede de serviços. **Etapas de configuração necessárias** 1. **Infraestrutura de VPC**: certifique-se de ter uma VPC configurada adequadamente com as sub-redes, tabelas de rotas e grupos de segurança necessários para os requisitos de conectividade do servidor SFTP. 1. **Resource Gateway**: crie um Resource Gateway em sua VPC usando o comando VPC Lattice. `create-resource-gateway` O Resource Gateway deve estar associado a sub-redes em pelo menos duas zonas de disponibilidade. Para obter mais informações, consulte [Resource gateways no Guia](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-gateway.html) do usuário do *Amazon VPC Lattice*. 1. **Configuração de recursos**: crie uma configuração de recursos que represente o servidor SFTP de destino usando o comando VPC `create-resource-configuration` Lattice. Você pode especificar: + Um endereço IP privado para endpoints privados + Um nome DNS público para endpoints públicos (endereços IP não são compatíveis com endpoints públicos) 1. **Credenciais de autenticação**: armazene as credenciais do usuário do SFTP AWS Secrets Manager conforme descrito em. [Armazene credenciais de autenticação para conectores SFTP no Secrets Manager](sftp-connector-secret-procedure.md) **Importante** O gateway de recursos e a configuração de recursos devem ser criados na mesma AWS conta. Ao criar uma configuração de recursos, você deve primeiro ter um gateway de recursos instalado. Para obter mais informações sobre configurações de recursos de VPC, consulte Configurações de [recursos no Guia do usuário](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) do Amazon *VPC Lattice*. **nota** A conectividade VPC para conectores SFTP está disponível onde os recursos do Regiões da AWS Amazon VPC Lattice estão disponíveis. Para obter mais informações, consulte [VPC](https://aws.amazon.com/vpc/lattice/faqs/#topic-0) Lattice. FAQs O suporte à zona de disponibilidade varia de acordo com a região, e os gateways de recursos exigem no mínimo duas zonas de disponibilidade. ## Crie um conector SFTP habilitado para VPC\$1Lattice Depois de concluir os pré-requisitos, você pode criar um conector SFTP com conectividade VPC usando o AWS CLI Management Console ou. AWS AWS SDKs ------ #### [ Console ] **Para criar um conector SFTP habilitado para VPC\$1Lattice** 1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). 1. No painel de navegação esquerdo, escolha **Conectores SFTP e, em seguida, escolha **Criar** conector** SFTP. 1. Na seção **Configuração do conector**, em **Tipo de saída**, escolha **VPC Lattice**. Essa opção roteia o tráfego pela sua VPC usando o Amazon VPC Lattice para acesso a recursos entre VPCs. Você pode usar essa opção para se conectar a endpoints de servidores hospedados de forma privada, rotear o tráfego por meio dos controles de segurança da sua VPC ou usar seus próprios gateways NAT e endereços IP elásticos. O endereço do servidor SFTP remoto é representado como uma configuração de recursos em sua VPC. Para obter mais informações sobre configurações de recursos, consulte [Configurações de recursos para recursos de VPC no Guia do usuário do Amazon VPC](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) Lattice. 1. Conclua a configuração do conector: + Para a **função Access**, escolha o Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) a ser usada. + **Assegure que esta função forneça acesso de leitura e gravação** ao diretório principal do local do arquivo usado na solicitação do `StartFileTransfer`. + **Essa função deve dar permissão** para `secretsmanager:GetSecretValue` para acessar o segredo. **nota** Na política, você deve especificar o ARN para o segredo. O ARN contém o nome secreto, mas acrescenta ao nome seis caracteres alfanuméricos aleatórios. Um ARN para um segredo tem o seguinte formato. ``` arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters ``` + **Certifique-se de que essa função contenha uma relação de confiança** que permite que o conector acesse os recursos quando estiver atendendo ás solicitações de transferência dos seus usuários. Para obter informações sobre como estabelecer um relacionamento de confiança, consulte [Estabelecer um relacionamento de confiança](requirements-roles.md#establish-trust-transfer). **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowListingOfUserFolder", "Action": [ "s3:ListBucket", "s3:GetBucketLocation" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket" ] }, { "Sid": "HomeDirObjectAccess", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObjectVersion", "s3:GetObjectACL", "s3:PutObjectACL" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*" }, { "Sid": "GetConnectorSecretValue", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters" } ] } ``` **nota** Para a função de acesso, o exemplo concede acesso a um único segredo. Porém, é possível usar um caractere curinga, que pode poupar trabalho se você quiser reutilizar o mesmo perfil do IAM para vários usuários e segredos. Por exemplo, a declaração de recurso a seguir concede permissões para todos os segredos que têm nomes começando com `aws/transfer`. ``` "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*" ``` Você também pode armazenar segredos contendo suas credenciais de SFTP em outra Conta da AWS. Para obter detalhes sobre como ativar o acesso secreto entre contas, consulte [Permissões para AWS Secrets Manager segredos para usuários em uma conta diferente](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html). + Em **Resource Configuration ARN**, insira o ARN da configuração de recursos VPC Lattice que aponta para seu servidor SFTP: ``` arn:aws:vpc-lattice:region:account-id:resourceconfiguration/rcfg-12345678 ``` + (Opcional) Para a **função Logging**, escolha a função do IAM que o conector usará para enviar eventos aos seus CloudWatch registros. **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:CreateLogGroup", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*" } ] } ``` 1. No painel **Configuração do SFTP**, forneça as seguintes informações: + Para **credenciais do Connector**, escolha o nome de um segredo AWS Secrets Manager que contenha a chave privada ou a senha do usuário do SFTP. + Para **chaves de host confiáveis**, cole a parte pública da chave de host usada para identificar o servidor externo ou deixe em branco para configurar posteriormente usando o `TestConnection` comando. Como essa chave de host é para um conector VPC\$1LATTICE, remova o nome do host na chave + (Opcional) Em **Máximo de conexões simultâneas**, escolha o número de conexões simultâneas que seu conector cria com o servidor remoto (o padrão é 5). 1. Na seção **Opções de algoritmo criptográfico**, escolha uma **política de segurança** na lista suspensa. 1. (Opcional) Na seção **Tags**, adicione tags como pares de valores-chave. 1. Escolha **Criar conector SFTP para criar o conector** SFTP habilitado para VPC\$1Lattice. O conector será criado com o status de `PENDING` enquanto a associação de recursos está sendo provisionada, o que normalmente leva alguns minutos. Quando o status mudar para`ACTIVE`, o conector estará pronto para uso. ------ #### [ CLI ] Use o comando a seguir para criar um conector SFTP habilitado para VPC\$1Lattice: ``` aws transfer create-connector \ --url "sftp://my.sftp.server.com:22" \ --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \ --sftp-config UserSecretId=my-secret-id,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0} \ --security-policy-name TransferSecurityPolicy-2024-01 ``` O principal parâmetro para conectividade VPC é`--egress-config`, que especifica o ARN de configuração de recursos que define o destino do seu servidor SFTP. ------ ## Monitorando o status do conector VPC Os conectores habilitados para VPC\$1Lattice têm um processo de configuração assíncrono. Após a criação, monitore o status do conector: + **PENDENTE**: O conector está sendo provisionado. O provisionamento da rede de serviços está em andamento, o que normalmente leva vários minutos. + **ATIVO**: O conector está pronto para uso e pode transferir arquivos. + **ERRO: Falha** no provisionamento do conector. Verifique os detalhes do erro para obter informações sobre solução de problemas. Verifique o status do conector usando o `describe-connector` comando: ``` aws transfer describe-connector --connector-id c-1234567890abcdef0 ``` Durante o estado PENDENTE, a `test-connection` API retornará “Conector não disponível” até que o provisionamento seja concluído. ## Limitações e considerações + **Endpoints públicos**: ao se conectar a endpoints públicos por meio da VPC, você deve fornecer um nome DNS na Configuração de recursos. Endereços IP públicos não são suportados. + **Disponibilidade regional**: a conectividade VPC está disponível em select. Regiões da AWS O compartilhamento de recursos entre regiões não é suportado. + **Requisitos da zona de disponibilidade: os** gateways de recursos devem estar associados a sub-redes em pelo menos duas zonas de disponibilidade. Nem todas as zonas de disponibilidade oferecem suporte ao VPC Lattice em todas as regiões. + **Limites de conexão**: máximo de 350 conexões por recurso com um tempo limite de inatividade de 350 segundos para conexões TCP. ## Considerações sobre custos Não há cobranças adicionais AWS Transfer Family além das taxas de serviço regulares. No entanto, os clientes podem estar sujeitos a cobranças adicionais da Amazon VPC Lattice associadas ao compartilhamento de seus recursos da Amazon Virtual Private Cloud e cobranças de gateway NAT se usarem seus próprios gateways NAT para acessar a Internet. Para obter informações completas sobre AWS Transfer Family preços, consulte a [página AWS Transfer Family de preços](https://aws.amazon.com/aws-transfer-family/pricing/). ## Exemplos de conectividade VPC para conectores SFTP Esta seção fornece exemplos de criação de conectores SFTP com conectividade VPC para vários cenários. Antes de usar esses exemplos, certifique-se de ter concluído a configuração da infraestrutura da VPC conforme descrito na documentação de conectividade da VPC. ### Exemplo: conexão de endpoint privada Este exemplo mostra como criar um conector SFTP que se conecta a um servidor SFTP privado acessível somente pela sua VPC. **Pré-requisitos** 1. Crie um gateway de recursos em sua VPC: ``` aws vpc-lattice create-resource-gateway \ --name my-private-server-gateway \ --vpc-identifier vpc-1234567890abcdef0 \ --subnet-ids subnet-1234567890abcdef0 subnet-0987654321fedcba0 ``` 1. Crie uma configuração de recursos para seu servidor SFTP privado: ``` aws vpc-lattice create-resource-configuration \ --name my-private-server-config \ --resource-gateway-identifier rgw-1234567890abcdef0 \ --resource-configuration-definition ipResource={ipAddress="10.0.1.100"} \ --port-ranges 22 ``` **Crie o conector habilitado para VPC\$1Lattice** 1. Crie o conector SFTP com conectividade VPC: ``` aws transfer create-connector \ --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \ --sftp-config UserSecretId=my-private-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22} ``` 1. Monitore o status do conector até que ele se torne`ACTIVE`: ``` aws transfer describe-connector --connector-id c-1234567890abcdef0 ``` O servidor SFTP remoto verá as conexões provenientes do endereço IP do Resource Gateway dentro do intervalo CIDR da sua VPC. ### Exemplo: endpoint público via VPC Este exemplo mostra como rotear conexões para um servidor SFTP público por meio de sua VPC para aproveitar os controles de segurança centralizados e usar seus próprios endereços IP do NAT Gateway. **Pré-requisitos** 1. Crie um Resource Gateway em sua VPC (o mesmo exemplo de endpoint privado). 1. Crie uma configuração de recursos para o servidor SFTP público usando seu nome DNS: ``` aws vpc-lattice create-resource-configuration \ --name my-public-server-config \ --resource-gateway-identifier rgw-1234567890abcdef0 \ --resource-configuration-definition dnsResource={domainName="sftp.example.com"} \ --port-ranges 22 ``` **nota** Para endpoints públicos, você deve usar um nome DNS, não um endereço IP. **Criar o conector** + Crie o conector SFTP: ``` aws transfer create-connector \ --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \ --sftp-config UserSecretId=my-public-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0987654321fedcba0,PortNumber=22} ``` O tráfego fluirá do conector para o Resource Gateway e, em seguida, pelo NAT Gateway para chegar ao servidor SFTP público. O servidor remoto verá o endereço IP elástico do seu NAT Gateway como a origem. ### Exemplo: endpoint privado entre contas Este exemplo mostra como se conectar a um servidor SFTP privado em uma AWS conta diferente usando o compartilhamento de recursos. **nota** Se você já tem o compartilhamento de recursos entre VPCs habilitado por meio de outros mecanismos, como AWS Transit Gateway, por exemplo, não é necessário configurar o compartilhamento de recursos descrito aqui. Os mecanismos de roteamento existentes, como as tabelas de rotas do Transit Gateway, são usados automaticamente pelos conectores SFTP. Você só precisa criar uma configuração de recursos na mesma conta em que está criando o conector SFTP. **Conta A (provedor de recursos) - Compartilhe a configuração do recurso** 1. Crie o gateway de recursos e a configuração de recursos na Conta A (igual aos exemplos anteriores). 1. Compartilhe a configuração do recurso com a conta B usando o AWS Resource Access Manager: ``` aws ram create-resource-share \ --name cross-account-sftp-share \ --resource-arns arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0 \ --principals 222222222222 ``` **Conta B (consumidor de recursos) - Aceite e use o compartilhamento** 1. Aceite o convite de compartilhamento de recursos: ``` aws ram accept-resource-share-invitation \ --resource-share-invitation-arn arn:aws:ram:us-east-1:111111111111:resource-share-invitation/invitation-id ``` 1. Crie o conector SFTP na Conta B: ``` aws transfer create-connector \ --access-role arn:aws:iam::222222222222:role/TransferConnectorRole \ --sftp-config UserSecretId=cross-account-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \ --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22} ``` O conector na Conta B agora pode acessar o servidor SFTP privado na Conta A por meio da Configuração de Recursos compartilhada. ### Cenários comuns de solução de problemas Aqui estão as soluções para problemas comuns ao criar conectores habilitados para VPC\$1Lattice: + **Conector preso no status PENDENTE**: verifique se o Resource Gateway está ATIVO e tem sub-redes em zonas de disponibilidade suportadas. Se o conector ainda estiver preso com o status PENDENTE, chame `UpdateConnector` usando os mesmos parâmetros de configuração que você usou inicialmente. Isso aciona um novo evento de status que pode resolver o problema. + **Tempos limite de conexão**: verifique se as regras do grupo de segurança permitem tráfego na porta 22 e se o roteamento da VPC está correto. + **Problemas de resolução de DNS**: para endpoints públicos, certifique-se de que sua VPC tenha conectividade com a Internet por meio de um NAT Gateway ou Internet Gateway. + **Acesso entre contas negado**: verifique se o compartilhamento de recursos foi aceito e se o ARN de configuração de recursos está correto. Se a política de permissão adequada estiver anexada à configuração do recurso quando a conta de origem criar o compartilhamento de recursos, essas permissões serão necessárias:`vpc-lattice:AssociateViaAWSService`,`vpc-lattice:AssociateViaAWSService-EventsAndStates`,`vpc-lattice:CreateServiceNetworkResourceAssociation`,`vpc-lattice:GetResourceConfiguration`. # Testar um conector SFTP Depois de criar um conector SFTP, recomendamos que você o teste antes de tentar transferir qualquer arquivo usando o novo conector. **Para testar um conector SFTP** 1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). 1. No painel de navegação esquerdo, escolha **Conectores SFTP e selecione um conector**. 1. No menu **Ações**, selecione **Testar conexões**. ![\[O console do Transfer Family, mostrando um conector SFTP selecionado, e a ação Testar conexão destacada.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/connector-test-choose.png) O sistema retorna uma mensagem indicando se o teste foi aprovado ou reprovado. Se o teste falhar, o sistema enviará uma mensagem de erro com base no motivo pelo qual o teste falhou. ![\[O painel de conexão de teste do conector SFTP mostrando um teste bem-sucedido.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/connector-test-success.png) ![\[O painel de conexão de teste do conector SFTP mostrando uma falha no teste: a mensagem de erro indica que a função de acesso do conector está incorreta.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/connector-test-fail-role.png) **nota** Para usar a API para testar seu conector, consulte a documentação da API [https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection](https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection). # Conectividade VPC para conectores SFTP AWS Transfer Family Os conectores SFTP oferecem suporte à conectividade com servidores SFTP remotos por meio de seus ambientes VPC usando o Amazon VPC Lattice. Isso permite que você se conecte a servidores SFTP hospedados de forma privada ou roteie o tráfego da Internet por meio dos controles de segurança da sua VPC e use seus próprios gateways NAT e endereços IP elásticos. **Tipos de saída** Os conectores SFTP podem usar um dos dois tipos de saída: + **Serviço gerenciado** (padrão): o conector usa gateways NAT e endereços IP de propriedade da AWS Transfer Family para rotear conexões pela Internet pública. + **VPC\$1LATTICE**: o conector roteia o tráfego pelo seu ambiente de VPC usando o acesso a recursos entre VPCs. **Quando usar a conectividade VPC** Use a conectividade VPC para conectores SFTP nesses cenários: + **Servidores SFTP privados**: conecte-se a servidores SFTP que só podem ser acessados pela sua VPC. + **Conectividade local**: conecte-se a servidores SFTP locais por meio de conexões Direct AWS Connect ou AWS Site-to-Site VPN. + **Endereços IP personalizados**: use seus próprios gateways NAT e endereços IP elásticos, incluindo cenários de BYOIP. + **Controles de segurança centralizados**: encaminhe as transferências de arquivos pelos ingress/egress controles centrais da sua organização. **Requisitos** Antes de criar um conector SFTP habilitado para VPC\$1Lattice, você precisa: + VPC e infraestrutura relacionada (sub-redes, tabelas de rotas, grupos de segurança) + Resource Gateway em sua VPC (mínimo de duas zonas de disponibilidade) + Configuração de recursos especificando o servidor SFTP de destino Para obter instruções detalhadas de configuração, consulte[Crie um conector SFTP habilitado para VPC\$1Lattice](create-vpc-sftp-connector-procedure.md#create-vpc-connector-procedure). E, para exemplos, consulte[Exemplos de conectividade VPC para conectores SFTP](create-vpc-sftp-connector-procedure.md#sftp-connectors-vpc-examples). # Usando conectores SFTP Este tópico descreve como realizar as operações de arquivo suportadas usando seu conector SFTP. Você também pode encontrar exemplos de comandos para realizar essas operações selecionando os detalhes do seu conector no AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). Depois de criar um conector SFTP, você pode usá-lo para realizar as seguintes operações de arquivo no servidor SFTP remoto ao qual ele está associado. + Envie arquivos do Amazon S3 para o servidor SFTP remoto. + Recupere arquivos do servidor SFTP remoto para o Amazon S3. + Listar arquivos e subpastas de um diretório no servidor SFTP remoto. + Exclua, renomeie ou mova arquivos e diretórios no servidor SFTP remoto. Consulte [Criação de conectores SFTP](configure-sftp-connector.md) para obter detalhes sobre a criação de conectores. **Topics** + [Transferir arquivos](transfer-files-and-track.md) + [Listar o conteúdo de um diretório remoto](sftp-connector-list-dir.md) + [Mover, renomear ou excluir arquivos ou diretórios no servidor remoto](move-delete-remote-files.md) # Transferir arquivos **Topics** + [Enviar e recuperar arquivos usando um conector SFTP](#send-retrieve-connector-details) ## Enviar e recuperar arquivos usando um conector SFTP Para enviar e recuperar arquivos usando um conector SFTP, você usa a operação de [https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartFileTransfer.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartFileTransfer.html)API e especifica os parâmetros a seguir, dependendo se você está *enviando arquivos* (transferências de saída) ou *recebendo arquivos* (transferências de entrada). Observe que cada `StartFileTransfer` solicitação pode conter 10 caminhos distintos. **nota** Por padrão, os conectores SFTP processam um arquivo por vez, transferindo arquivos sequencialmente. Você tem a opção de acelerar o desempenho da transferência fazendo com que seus conectores criem sessões simultâneas com servidores remotos que suportem sessões simultâneas do mesmo usuário e processem até 5 arquivos em paralelo. Para habilitar conexões simultâneas para qualquer conector, você pode editar a configuração **Máximo de conexões simultâneas** ao criar ou atualizar um conector. Para obter detalhes, consulte [Crie um conector SFTP com saída gerenciada por serviços](create-sftp-connector-procedure.md). + **Transferências de saída** + `send-file-paths` contém de um a dez caminhos de arquivo de origem, para que os arquivos sejam transferidos para o servidor SFTP do parceiro. + `remote-directory-path` é o caminho remoto para o qual enviar um arquivo no servidor SFTP do cliente. + **Transferências de saída** + `retrieve-file-paths` contém de um a dez caminhos remotos. Cada caminho especifica um local para transferir arquivos do servidor SFTP do parceiro para o servidor Transfer Family. + `local-directory-path` é o local do Amazon S3 (bucket e prefixo opcional) onde seus arquivos são armazenados. Para enviar arquivos, você especifica os parâmetros `send-file-paths` e `remote-directory-path`. É possível especificar até 10 arquivos para o parâmetro `send-file-paths`. O comando de exemplo a seguir envia os arquivos nomeados `/amzn-s3-demo-source-bucket/file1.txt` e `/amzn-s3-demo-source-bucket/file2.txt`, localizados no armazenamento do Amazon S3, para o diretório `/tmp` no servidor SFTP do seu parceiro. Para usar este comando de exemplo, substitua `amzn-s3-demo-source-bucket` pelo seu próprio bucket. ``` aws transfer start-file-transfer --send-file-paths /amzn-s3-demo-source-bucket/file1.txt /amzn-s3-demo-source-bucket/file2.txt \ --remote-directory-path /tmp --connector-id c-1111AAAA2222BBBB3 --region us-east-2 ``` Para recuperar arquivos, você especifica os `local-directory-path` parâmetros `retrieve-file-paths` e. O exemplo a seguir recupera os arquivos `/my/remote/file1.txt` e o servidor SFTP do parceiro e os coloca `/my/remote/file2.txt` no local /amzn-s3-demo-bucket/ do Amazon S3. *prefix* Para usar esse exemplo de comando, substitua os `user input placeholders` por suas próprias informações. ``` aws transfer start-file-transfer --retrieve-file-paths /my/remote/file1.txt /my/remote/file2.txt \ --local-directory-path /amzn-s3-demo-bucket/prefix --connector-id c-2222BBBB3333CCCC4 --region us-east-2 ``` Os exemplos anteriores especificam caminhos absolutos no servidor SFTP. É possível também usar caminhos relativos: ou seja, caminhos relativos ao diretório inicial do usuário do SFTP. Por exemplo, se o usuário do SFTP estiver `marymajor` e seu diretório inicial no servidor SFTP for `/users/marymajor/`, o comando a seguir envia `/amzn-s3-demo-source-bucket/file1.txt` para `/users/marymajor/test-connectors/file1.txt` ``` aws transfer start-file-transfer --send-file-paths /amzn-s3-demo-source-bucket/file1.txt \ --remote-directory-path test-connectors --connector-id c-2222BBBB3333CCCC4 --region us-east-2 ``` # Listar o conteúdo de um diretório remoto Antes de recuperar arquivos de um servidor SFTP remoto, você pode recuperar o conteúdo de um diretório no servidor SFTP remoto. Para fazer isso, você usa o [https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartDirectoryListing.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_StartDirectoryListing.html)Operação da API. O exemplo a seguir lista o conteúdo da `home` pasta no servidor SFTP remoto, que é especificado na configuração do conector. Os resultados são colocados no local `/amzn-s3-demo-bucket/connector-files` do Amazon S3 e em um arquivo chamado. `c-AAAA1111BBBB2222C-6666abcd-11aa-22bb-cc33-0000aaaa3333.json` ``` aws transfer start-directory-listing \ --connector-id c-AAAA1111BBBB2222C \ --output-directory-path /amzn-s3-demo-bucket/example/connector-files \ --remote-directory-path /home ``` Esse AWS CLI comando retorna uma ID de listagem e o nome do arquivo que contém os resultados. ``` { "ListingId": "6666abcd-11aa-22bb-cc33-0000aaaa3333", "OutputFileName": "c-AAAA1111BBBB2222C-6666abcd-11aa-22bb-cc33-0000aaaa3333.json" } ``` **nota** A convenção de nomenclatura para o arquivo de saída é`connector-ID-listing-ID.json`. O arquivo JSON contém as seguintes informações: + `filePath`: o caminho completo de um arquivo remoto, relativo ao diretório da solicitação de listagem do seu conector SFTP no servidor remoto. + `modifiedTimestamp`: a última vez em que o arquivo foi modificado, em segundos, no formato UTC (Tempo Universal Coordenado). Esse campo é opcional. Se os atributos do arquivo remoto não contiverem um carimbo de data/hora, ele será omitido da lista de arquivos. + `size`: o tamanho do arquivo, em bytes. Esse campo é opcional. Se os atributos do arquivo remoto não contiverem um tamanho de arquivo, ele será omitido da lista de arquivos. + `path`: o caminho completo de um diretório remoto, relativo ao diretório da solicitação de listagem do seu conector SFTP no servidor remoto. + `truncated`: um sinalizador indicando se a saída da lista contém todos os itens contidos no diretório remoto ou não. Se o valor `truncated` de saída for verdadeiro, você poderá aumentar o valor fornecido no atributo `max-items` de entrada opcional para poder listar mais itens (até o tamanho máximo permitido da lista de 10.000 itens). Veja a seguir um exemplo do conteúdo do arquivo de saída (`c-AAAA1111BBBB2222C-6666abcd-11aa-22bb-cc33-0000aaaa3333.json`), em que o diretório remoto contém dois arquivos e dois subdiretórios (caminhos). ``` { "files": [ { "filePath": "/home/what.txt", "modifiedTimestamp": "2024-01-30T20:34:54Z", "size" : 2323 }, { "filePath": "/home/how.pgp", "modifiedTimestamp": "2024-01-30T20:34:54Z", "size" : 4691 } ], "paths": [ { "path": "/home/magic" }, { "path": "/home/aws" }, ], "truncated": "false" } ``` # Mover, renomear ou excluir arquivos ou diretórios no servidor remoto **Topics** + [Mover ou renomear arquivos ou diretórios no servidor SFTP remoto](#move-remote-file) + [Excluir arquivos ou diretórios no servidor SFTP remoto](#delete-remote-file) ## Mover ou renomear arquivos ou diretórios no servidor SFTP remoto Você pode usar um conector SFTP para mover ou renomear arquivos e diretórios em um servidor SFTP remoto. Observe que o servidor remoto precisa oferecer suporte a essas operações para que o processamento seja bem-sucedido usando conectores. Alguns casos de uso comuns são os seguintes. + Um servidor remoto gera ou recebe um novo arquivo a cada hora, com o mesmo nome de arquivo, mas com um registro de data e hora diferente. Para manter a pasta principal atualizada (para que ela contenha somente o arquivo mais recente), você pode usar um conector para mover arquivos antigos para uma pasta arquivada. + Você usa um conector para listar todos os arquivos em um diretório remoto e, em seguida, transfere todos os arquivos para o armazenamento local. Em seguida, você pode usar um conector para mover os arquivos para uma pasta arquivada no servidor remoto. Você deve usar uma `StartRemoteMove` chamada para cada arquivo ou diretório que deseja processar, pois o comando usa um único arquivo ou diretório de origem e destino como argumentos. No entanto, você pode acelerar o desempenho fazendo com que seus conectores criem sessões simultâneas com servidores remotos que suportam sessões simultâneas do mesmo usuário e move/rename até 5 arquivos em paralelo. O exemplo a seguir move um arquivo no servidor SFTP remoto de `/source/folder/sourceFile` para `/destination/targetFile` e retorna um identificador exclusivo para a operação. ``` aws transfer --connector-id c-AAAA1111BBBB2222C start-remote-move \ --source-path /source/folder/sourceFile --target-path /destination/targetFile ``` **nota** Para as move/rename operações, o Transfer Family usa o `SFTP SSH_FXP_RENAME` comando padrão para fazer a move/rename operação. ## Excluir arquivos ou diretórios no servidor SFTP remoto Você pode usar um conector SFTP para excluir arquivos ou diretórios em um servidor SFTP remoto. Observe que o servidor remoto precisa oferecer suporte a essas operações para que o processamento seja bem-sucedido usando conectores. **nota** As operações de exclusão para diretórios remotos são suportadas somente para diretórios vazios. Alguns casos de uso comuns são os seguintes. + Você usa um conector para recuperar um arquivo de um servidor SFTP remoto, armazená-lo em seu bucket do Amazon S3 e criptografá-lo. Finalmente, você pode usar um conector para excluir o arquivo não criptografado no servidor remoto. + Você usa um conector para listar todos os arquivos em um diretório remoto e, em seguida, transfere todos os arquivos para o armazenamento local. Em seguida, você pode usar um conector para excluir todos os arquivos que você transferiu. Você também pode excluir o diretório remoto, se preferir. Você deve usar uma `StartRemoteDelete` chamada para cada arquivo ou diretório que deseja excluir, pois o comando usa um único arquivo ou diretório como argumento. No entanto, você pode acelerar o desempenho fazendo com que seus conectores criem sessões simultâneas com servidores remotos que suportem sessões simultâneas do mesmo usuário e excluam até 5 em files/directories paralelo. O exemplo a seguir exclui um arquivo no servidor SFTP remoto no caminho `/delete/folder/deleteFile` e retorna um identificador exclusivo para a operação. ``` aws transfer start-remote-delete --connector-id c-AAAA1111BBBB2222C \ --delete-path /delete/folder/deleteFile ``` **nota** Para a operação de exclusão, o Transfer Family usa o `SSH_FXP_REMOVE` comando padrão para excluir um arquivo e `SSH_FXP_RMDIR` excluir um diretório. # Monitorando conectores SFTP Você pode monitorar o status das operações do conector usando qualquer uma das seguintes formas. Escolha a abordagem que atenda às suas necessidades. ## Use a API do conector para consultar o status das solicitações de transferência de arquivos Para acompanhar o progresso de uma operação de transferência de arquivos, você usa a operação de [https://docs.aws.amazon.com//transfer/latest/APIReference/API_ListFileTransferResults.html](https://docs.aws.amazon.com//transfer/latest/APIReference/API_ListFileTransferResults.html)API, que retorna atualizações em tempo real e informações detalhadas sobre o status de cada arquivo individual que está sendo transferido em uma operação específica de transferência de arquivos. Você especifica a transferência do arquivo fornecendo sua ID de conector e sua ID de transferência. O exemplo a seguir retorna uma lista de arquivos para ID do conector `a-11112222333344444` e ID de transferência`aa1b2c3d4-5678-90ab-cdef-EXAMPLE11111`. ``` aws transfer list-file-transfer-results --connector-id a-11112222333344444 --transfer-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 ``` **nota** Os resultados da transferência de arquivos estão disponíveis até 7 dias após você chamar a operação `ListFileTransferResults` da API. Você também pode visualizar registros e eventos de suas solicitações de transferência de arquivos que usam conectores SFTP. EventBridge Os eventos da Amazon para Transfer Family estão descritos em[Eventos do conector SFTP](events-detail-reference.md#event-detail-sftp-connector-events). Para saber como visualizar as entradas do CloudWatch registro do Transfer Family, consulte[Visualizando fluxos de registros do Transfer Family](view-log-entries.md). ## Veja eventos do conector SFTP na Amazon EventBridge Para cada operação realizada por conectores SFTP, o Transfer Family gera e envia eventos automaticamente para o barramento de eventos padrão em sua conta da Amazon EventBridge . Os eventos contêm metadados detalhados sobre a operação, incluindo o status da operação. Você pode se inscrever nesses eventos em EventBridge, aplicar filtros em critérios específicos de eventos, como status da operação, e acionar automaticamente ações posteriores com base no status. Para obter detalhes sobre os eventos gerados pelas operações do conector SFTP, consulte[Eventos do conector SFTP](events-detail-reference.md#event-detail-sftp-connector-events). ## Veja os registros do conector SFTP na Amazon CloudWatch Todas as operações do conector SFTP geram registros CloudWatch detalhados. Por exemplo, entradas de registro geradas por conectores SFTP, consulte. [Exemplo de entradas de registro para conectores SFTP](cw-example-logs.md#example-sftp-connector-logs) ## Monitorando conectores do tipo de saída VPC Os conectores do tipo de saída VPC fornecem recursos e considerações adicionais de monitoramento além dos conectores gerenciados por serviços padrão: ### monitoramento do status do conector Os conectores VPC\$1LATTICE incluem informações adicionais para ajudá-lo a monitorar o provisionamento e o estado operacional: + **EgressType campo**: Mostra os conectores do `VPC` tipo de saída VPC\$1LATTICE + **EgressConfig campo**: contém o ARN de configuração do recurso e as informações da porta Monitore o status do conector usando a `describe-connector` API: ``` aws transfer describe-connector --connector-id c-1234567890abcdef0 ``` ### Monitoramento de custos do VPC Lattice Os conectores do tipo de saída VPC geram cobranças adicionais do VPC Lattice que você deve monitorar: + **Cobranças do provedor de recursos**: você recebe uma cobrança de 0,006/GB pelo processamento de dados como provedor de recursos (cobrado diretamente pela VPC Lattice) + **Cobranças do consumidor de recursos**: a AWS Transfer Family absorve os custos do consumidor de recursos de 0,01/GB (primeiro 1 PB) + **Cobranças do NAT Gateway**: para endpoints públicos acessados via VPC, taxas adicionais de NAT Gateway e transferência de dados podem ser aplicadas + Taxas do **Transfer Family: as taxas** padrão de processamento de dados de 0,40 USD/GB ainda se aplicam Monitore o uso e os custos do VPC Lattice por meio do console AWS Cost and Billing, filtrando pelo serviço VPC Lattice. ### Monitoramento de rede para conectores VPC Monitore a atividade e o desempenho da rede para conectores do tipo de saída VPC: + Registros de **fluxo de VPC: habilite os registros** de fluxo de VPC para monitorar padrões de tráfego de rede entre gateways de recursos e servidores SFTP + Registros de **acesso ao VPC Lattice:** o VPC Lattice fornece registros de acesso que mostram endereços source/destination IP, tempo de conexão e volumes de transferência de dados + **Monitoramento de grupos** de segurança: monitore as regras do grupo de segurança e os padrões de tráfego para garantir controles adequados de acesso à rede + Monitoramento da **resolução de DNS: monitore** os tempos e falhas de resolução de DNS para endpoints de rede de serviços Exemplo de entrada de registro de acesso ao VPC Lattice: ``` { "eventTimestamp": "2025-01-16T20:59:08.531Z", "serviceNetworkArn": "arn:aws:vpc-lattice:us-east-1:123456789012:servicenetwork/sn-1234567890abcdef0", "sourceVpcArn": "arn:aws:ec2:us-east-1:123456789012:vpc/vpc-12345678", "resourceConfigurationArn": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-12345678", "protocol": "tcp", "sourceIpPort": "10.0.1.100:33760", "destinationIpPort": "10.0.2.200:22", "gatewayIpPort": "10.0.1.150:1769", "resourceIpPort": "10.0.2.200:22" } ``` ### Solução de problemas por meio do monitoramento Use dados de monitoramento para solucionar problemas comuns do conector VPC: + **Status PENDENTE**: monitore o progresso da resolução de DNS e aguarde o status ATIVO antes de tentar transferências + **Tempos limite de conexão**: verifique os registros de fluxo da VPC e as regras do grupo de segurança para ver se há tráfego bloqueado na porta 22 + **Falhas de transferência**: revise CloudWatch os registros para obter mensagens de erro detalhadas e os registros de acesso ao VPC Lattice para problemas no nível da rede + **Problemas de desempenho**: monitore os registros de acesso ao VPC Lattice para verificar o tempo de conexão e as métricas de taxa de transferência # Gerenciando conectores SFTP Este tópico descreve como exibir e atualizar conectores SFTP. **nota** Cada conector recebe automaticamente endereços IP estáticos que permanecem inalterados durante a vida útil do conector. Isso permite que você se conecte a servidores SFTP remotos que só aceitam conexões de entrada de endereços IP conhecidos. Seus conectores recebem um conjunto de endereços IP estáticos que são compartilhados por todos os conectores usando o mesmo protocolo (SFTP ou AS2) no seu. Conta da AWS Para conectores habilitados para VPC\$1Lattice, o servidor SFTP remoto verá os endereços IP do seu intervalo CIDR da VPC em vez dos endereços IP gerenciados pelo serviço. AWS Transfer Family ## Atualizar conectores SFTP Para alterar os valores dos parâmetros existentes para seus conectores, é possível executar o comando `update-connector`. O comando a seguir atualiza o segredo do conector `connector-id`, na região `region-id` para `secret-ARN`. Para usar esse exemplo de comando, substitua os `user input placeholders` por suas próprias informações. ``` aws transfer update-connector --sftp-config '{"UserSecretId":"secret-ARN"}' \ --connector-id connector-id --region region-id ``` ### Atualização das configurações de conectividade da VPC Você pode atualizar as configurações de conectividade da VPC para conectores existentes, incluindo alternar entre os tipos de saída de VPC e gerenciados por serviços ou alterar o ARN da configuração de recursos. Para mudar um conector de gerenciamento de serviço para saída de VPC: ``` aws transfer update-connector \ --connector-id connector-id \ --egress-type VPC \ --egress-config ResourceConfigurationArn=resource-configuration-arn ``` Para atualizar o ARN de configuração de recursos para um conector habilitado para VPC\$1Lattice: ``` aws transfer update-connector \ --connector-id connector-id \ --egress-config ResourceConfigurationArn=new-resource-configuration-arn ``` **nota** Ao atualizar as configurações de conectividade da VPC, o status do conector mudará para `PENDING` durante o processo de reconfiguração. Monitore o status do conector usando o `describe-connector` comando. ## Exibir detalhes do conector SFTP É possível encontrar uma lista de detalhes e propriedades de um conector SFTP no console AWS Transfer Family . **Como visualizar detalhes do conector** 1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). 1. No painel de navegação esquerda, escolha **Conectores**. 1. Escolha o identificador na coluna **ID do conector** para ver a página de detalhes do conector selecionado. É possível alterar as propriedades do conector SFTP escolhendo **Editar** na página de detalhes do conector. ### Monitorando o status do conector VPC Os conectores habilitados para VPC\$1Lattice incluem informações adicionais de status para ajudá-lo a monitorar o processo de provisionamento: + **Status**: `PENDING` Mostra`ACTIVE`, ou `ERRORED` + **EgressType**: Shows `VPC` ou `SERVICE_MANAGED` + **EgressConfig**: contém o ARN de configuração de recursos para conectores VPC + **Erro**: fornece informações detalhadas sobre o erro se o conector estiver no `ERRORED` estado Para conectores VPC, o `ServiceManagedEgressIpAddresses` campo será nulo, pois o tráfego usa seus endereços IP de VPC em vez disso. **nota** Você pode obter muitas dessas informações, embora em um formato diferente, executando o seguinte comando AWS Command Line Interface (AWS CLI). Para usar esse exemplo de comando, substitua os `user input placeholders` por suas próprias informações. ``` aws transfer describe-connector --connector-id your-connector-id ``` Para obter mais informações, consulte [https://docs.aws.amazon.com/transfer/latest/APIReference/API_DescribeConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_DescribeConnector.html) na referência da API. # Dimensionamento e cotas para conectores SFTP **Topics** + [Cotas da para conectores SFTP](#limits-sftp-connector) + [Dimensionando seus conectores SFTP](#scaling-sftp-connector) ## Cotas da para conectores SFTP As cotas a seguir estão em vigor para conectores SFTP. **nota** Mais cotas de serviço para conectores SFTP estão listadas em [AWS Transfer Family endpoints e](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html) cotas no. *Referência geral da Amazon Web Services* **Cotas do conector SFTP** | Nome | Padrão | Ajustável | | --- | --- | --- | | Máximo de transações de conexão de teste por segundo (TPS) | 1 solicitação por segundo, por conta | Não | | Tamanho máximo da fila para Transferência de Arquivos pendentes | 1000 | Não | | Tamanho máximo do arquivo | 150 gibibytes (GiB) | Não | | Tempo máximo de transferência por arquivo | 12 horas | Não | | Tempo máximo de espera da solicitação por arquivo | 12 horas | Não | | Largura de banda máxima para conectores por conta (tanto o SFTP quanto os AS2 conectores contribuem para esse valor) | 50 MBps | Não | | Número máximo de itens para operações de listagem de diretórios | 10.000 | Não | **nota** Por padrão, os conectores SFTP processam um arquivo por vez, transferindo arquivos sequencialmente. Você tem a opção de acelerar o desempenho da transferência fazendo com que seus conectores criem sessões simultâneas com servidores remotos que suportem sessões simultâneas do mesmo usuário e processem até 5 arquivos em paralelo. Para habilitar conexões simultâneas para qualquer conector, você pode editar a configuração **Máximo de conexões simultâneas** ao criar ou atualizar um conector. Para obter detalhes, consulte [Crie um conector SFTP com saída gerenciada por serviços](create-sftp-connector-procedure.md). Para armazenar as credenciais dos conectores SFTP, há cotas associadas a cada segredo do Secrets Manager. Se você usar o mesmo segredo para armazenar vários tipos de chaves, para várias finalidades, poderá encontrar essas cotas. + Tamanho total de um único segredo: 12.000 caracteres + Tamanho máximo da **Password** string: 1024 caracteres + Tamanho máximo da **PrivateKey** string: 8192 caracteres + Comprimento máximo da **Username** string: 100 caracteres ## Dimensionando seus conectores SFTP Esta seção descreve considerações sobre como escalar suas cargas de trabalho do conector AWS Transfer Family SFTP. Você precisa levar em consideração as três cotas a seguir que se aplicam quando você deseja escalar suas cargas de trabalho com conectores SFTP. + **O tamanho máximo da fila.** Isso se refere ao número máximo de operações pendentes na fila de um conector que foram solicitadas. Uma operação pendente se refere a qualquer solicitação de transferência enviada anteriormente que ainda não foi concluída, com ou sem sucesso. Atualmente, a profundidade máxima da fila para solicitações pendentes está definida em 1.000 por conector (conforme definido nas [cotas AWS Transfer Family de serviço](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html)). Suas cargas de trabalho podem exceder esse limite de serviço quando você solicita milhares de operações de transferência em um curto período, e você receberá uma mensagem `ThrottlingException` com a mensagem Excedeu o máximo de solicitações pendentes. Se suas cargas de trabalho estiverem sujeitas a essa cota, entre em contato com a equipe de atendimento da Transfer Family AWS Support ou com sua equipe de contas para discutir seus requisitos de escalabilidade. Você também pode realizar uma ou ambas as ações a seguir. + Distribua seus volumes de arquivos em vários conectores. + Faça com que seus conectores criem sessões simultâneas com o servidor remoto para processar várias solicitações da fila em paralelo. + **O número de sessões simultâneas.** Por padrão, um conector SFTP transfere um arquivo por vez, transferindo arquivos sequencialmente de sua fila. Você tem a opção de acelerar o desempenho da transferência fazendo com que seus conectores transfiram vários arquivos em paralelo. Você pode criar sessões simultâneas com servidores remotos que suportam sessões simultâneas do mesmo usuário e processar até 5 arquivos em paralelo. Ao criar um conector SFTP, escolha um valor de até 5 para a configuração **Máximo de conexões simultâneas** ao criar ou atualizar o conector. Para obter detalhes, consulte [Crie um conector SFTP com saída gerenciada por serviços](create-sftp-connector-procedure.md). + **A taxa de `StartFileTransfer` solicitações.** Você pode solicitar até 100 caminhos de arquivo por segundo para transferência com cada conector SFTP. Os caminhos de arquivo solicitados são adicionados à fila de seus conectores para processamento. Você pode usar o `StartFileTransfer` comando recursivamente para solicitar até 100 caminhos de arquivo por segundo por conector, independentemente do número de arquivos fornecidos em um comando individual`StartFileTransfer`. # Arquiteturas de referência usando conectores SFTP Esta seção lista os materiais de referência que estão disponíveis para configurar fluxos de trabalho automatizados de transferência de arquivos usando conectores SFTP. Você pode criar suas próprias arquiteturas orientadas a eventos usando os eventos do conector SFTP na Amazon EventBridge, para orquestrar entre sua ação de transferência de arquivos e as ações de pré e pós-processamento na Amazon. AWS ## Publicações no blog A postagem de blog a seguir fornece uma arquitetura de referência para criar um fluxo de trabalho de MFT usando conectores SFTP, incluindo criptografia de arquivos usando PGP antes de enviá-los para um servidor SFTP remoto usando conectores SFTP: [Arquitetando transferências de arquivos gerenciadas seguras e compatíveis com conectores SFTP e criptografia](https://aws.amazon.com/blogs//storage/architecting-secure-and-compliant-managed-file-transfers-with-aws-transfer-family-sftp-connectors-and-pgp-encryption/) PGP. AWS Transfer Family ## Workshops + O workshop a seguir fornece laboratórios práticos para configurar conectores SFTP e usar seus conectores para enviar ou recuperar arquivos de servidores SFTP remotos: workshop Transfer [Family](https://catalog.workshops.aws/transfer-family-sftp/en-US) - SFTP. + [O workshop a seguir fornece laboratórios práticos para criar fluxos de trabalho totalmente automatizados e orientados por eventos envolvendo transferência de arquivos de ou para servidores SFTP externos para o Amazon S3 e pré-processamento comum desses arquivos: Workshop de MFT orientado a eventos.](https://catalog.us-east-1.prod.workshops.aws/workshops/e55c90e0-bbb0-47e1-be83-6bafa3a59a8a/en-US) Este vídeo fornece um resumo desse workshop. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/oojopisG4lA/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/oojopisG4lA) ## Soluções AWS Transfer Family fornece as seguintes soluções: + A [solução de sincronização de transferência de arquivos](https://github.com/aws-samples/file-transfer-sync-solution) fornece uma arquitetura de referência para automatizar o processo de sincronização de diretórios SFTP remotos, incluindo estruturas de pastas inteiras, com seus buckets locais do Amazon S3 usando um conector SFTP. Ele orquestra o processo de listar diretórios remotos, detectar alterações e transferir arquivos novos ou modificados. + [Serverlessland - A transferência seletiva de arquivos entre o servidor SFTP remoto e o S3; o uso AWS Transfer Family](https://serverlessland.com/patterns/awstransfer-s3-sam?ref=search) fornece um padrão de amostra para listar arquivos armazenados em locais remotos de SFTP e transferir arquivos seletivos para o Amazon S3. ## Arquiteturas de referência de VPC As arquiteturas de referência a seguir mostram padrões comuns para a implantação de conectores SFTP habilitados para VPC\$1Lattice. Esses exemplos ajudam você a entender onde os recursos do VPC Lattice precisam ser criados em sua arquitetura geral. AWS ### Conta única com infraestrutura de saída compartilhada Nessa arquitetura, a infraestrutura de saída (NAT Gateway, túnel VPN ou Direct Connect) é configurada em uma VPC na mesma conta dos conectores SFTP. Todos os conectores podem compartilhar o mesmo Resource Gateway e o NAT Gateway. ![\[Diagrama de arquitetura mostrando conectores SFTP habilitados para VPC_Lattice em uma única conta com infraestrutura de saída compartilhada, incluindo componentes NAT Gateway, Resource Gateway e VPC Lattice.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/vpc-customer-architecture-1.png) Esse padrão é ideal quando: + Todos os conectores SFTP são gerenciados em um único Conta da AWS + A infraestrutura de saída é configurada em uma VPC dentro da mesma conta que seus conectores SFTP ### Conta cruzada com infraestrutura de saída centralizada Nessa arquitetura, a infraestrutura de saída (NAT Gateway, túnel VPN, Direct Connect ou Firewalls B2B) é configurada em uma conta de saída central gerenciada pela equipe de rede. Os conectores SFTP são criados na conta do aplicativo MFT gerenciada pela equipe de administração do MFT. A rede entre contas é estabelecida usando o Transit Gateway para respeitar as regras de rede existentes. ![\[Diagrama de arquitetura mostrando conectores SFTP habilitados para VPC_Lattice em uma configuração entre contas com infraestrutura de saída centralizada gerenciada por uma conta separada da equipe de rede.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/vpc-customer-architecture-2.png) Esse padrão é ideal quando: + A infraestrutura de rede é gerenciada por uma equipe separada em uma conta dedicada + Você tem rotas existentes (como AWS Transit Gateway ) entre a conta em que os conectores SFTP são criados e a conta em que a infraestrutura de saída está configurada. Os conectores SFTP poderão aproveitar suas rotas existentes conectando as duas contas. + Controles de segurança centralizados e firewalls B2B são necessários + Você precisa manter a separação de tarefas entre as equipes de rede e de aplicativos