Crea un server in un cloud privato virtuale - AWS Transfer Family
Crea un endpoint server accessibile solo nel tuo VPCCrea un endpoint con accesso a InternetCambia il tipo di endpointInterruzione dell'uso di VPC_ENDPOINTLimitazione dell'accesso agli endpoint VPCFunzionalità di rete aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un server in un cloud privato virtuale

Puoi ospitare l'endpoint del tuo server all'interno di un cloud privato virtuale (VPC) da utilizzare per il trasferimento di dati da e verso un bucket Amazon S3 o un file system Amazon EFS senza passare dalla rete Internet pubblica.

Nota

Dopo il 19 maggio 2021, non potrai creare un server utilizzando il tuo AWS account se quest'EndpointType=VPC_ENDPOINTultimo non l'ha già fatto prima del 19 maggio 2021. Se hai già creato dei server con EndpointType=VPC_ENDPOINT il tuo AWS account entro il 21 febbraio 2021, non subirai alcuna modifica. Dopo questa data, usa EndpointType =VPC. Per ulteriori informazioni, consulta Interruzione dell'uso di VPC_ENDPOINT.

Se utilizzi Amazon Virtual Private Cloud (Amazon VPC) per ospitare AWS le tue risorse, puoi stabilire una connessione privata tra il tuo VPC e un server. È quindi possibile utilizzare questo server per trasferire dati tramite client da e verso il bucket Amazon S3 senza utilizzare indirizzi IP pubblici o richiedere un gateway Internet.

Utilizzando Amazon VPC, puoi avviare AWS risorse in una rete virtuale personalizzata. Puoi utilizzare un VPC per controllare le impostazioni di rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Per ulteriori informazioni VPCs, consulta What Is Amazon VPC? nella Guida per l'utente di Amazon VPC.

Nelle sezioni successive, trova le istruzioni su come creare e connettere il tuo VPC a un server. In sintesi, procedi nel modo seguente:

  1. Configura un server utilizzando un endpoint VPC.

  2. Connettiti al tuo server utilizzando un client che si trova all'interno del tuo VPC tramite l'endpoint VPC. In questo modo puoi trasferire i dati archiviati nel tuo bucket Amazon S3 tramite il client utilizzando. AWS Transfer Family Puoi eseguire questo trasferimento anche se la rete è disconnessa dalla rete Internet pubblica.

  3. Inoltre, se scegli di rendere l'endpoint del tuo server rivolto a Internet, puoi associare indirizzi IP elastici all'endpoint. In questo modo i client esterni al tuo VPC si connettono al tuo server. Puoi utilizzare i gruppi di sicurezza VPC per controllare l'accesso agli utenti autenticati le cui richieste provengono solo da indirizzi consentiti.

Nota

AWS Transfer Family supporta gli endpoint dual-stack, permettendo al server di comunicare su entrambi e. IPv4 IPv6 Per abilitare il supporto dual-stack, seleziona l'opzione Abilita endpoint DNS dual-stack durante la creazione dell'endpoint VPC. Tieni presente che sia il VPC che le sottoreti devono essere configurati per il supporto IPv6 prima di poter utilizzare questa funzionalità. Il supporto dual-stack è particolarmente utile quando si dispone di client che devono connettersi utilizzando entrambi i protocolli.

Per informazioni sugli endpoint dual-stack (IPv4 e IPv6) server, consulta. IPv6 supporto per i server Transfer Family

Argomenti

Crea un endpoint server accessibile solo all'interno del tuo VPC

Nella procedura seguente, crei un endpoint server accessibile solo alle risorse all'interno del tuo VPC.

Per creare un endpoint server all'interno di un VPC

  1. Apri la AWS Transfer Family console all'indirizzo. https://console.aws.amazon.com/transfer/

  2. Dal pannello di navigazione, seleziona Server, quindi scegli Crea server.

  3. In Scegli i protocolli, seleziona uno o più protocolli, quindi scegli Avanti. Per ulteriori informazioni sui protocolli, consultaFase 2: Creare un server compatibile con SFTP.

  4. In Scegli un provider di identità, scegli Servizio gestito per archiviare le identità e le chiavi degli utenti AWS Transfer Family, quindi scegli Avanti.

    Questa procedura utilizza l'opzione gestita dal servizio. Se scegli Custom, fornisci un endpoint Amazon API Gateway e un ruolo AWS Identity and Access Management (IAM) per accedere all'endpoint. In questo modo, puoi integrare il tuo servizio di directory per autenticare e autorizzare i tuoi utenti. Per ulteriori informazioni sull'utilizzo di provider di identità personalizzati, consulta Lavorare con provider di identità personalizzati.

  5. In Scegli un endpoint, procedi come segue:

    1. Per Tipo di endpoint, scegli il tipo di endpoint ospitato da VPC per ospitare l'endpoint del tuo server.

    2. Per Access, scegli Interno per rendere l'endpoint accessibile solo ai client che utilizzano gli indirizzi IP privati dell'endpoint.

      Per i dettagli sull'opzione Connessione Internet, consulta. Crea un endpoint con accesso a Internet per il tuo server Un server creato in un VPC solo per l'accesso interno non supporta nomi host personalizzati.

    3. Per VPC, scegli un ID VPC esistente o scegli Crea un VPC per creare un nuovo VPC.

    4. Nella sezione Zone di disponibilità, scegli fino a tre zone di disponibilità e sottoreti associate.

    5. Nella sezione Gruppi di sicurezza, scegli un ID del gruppo di sicurezza esistente IDs oppure scegli Crea un gruppo di sicurezza per creare un nuovo gruppo di sicurezza. Per ulteriori informazioni sui gruppi di sicurezza, consulta la sezione Gruppi di sicurezza per il tuo VPC nella Guida per l'utente di Amazon Virtual Private Cloud. Per creare un gruppo di sicurezza, consulta Creazione di un gruppo di sicurezza nella Amazon Virtual Private Cloud User Guide.

      Nota

      Il tuo VPC include automaticamente un gruppo di sicurezza predefinito. Se non specifichi uno o più gruppi di sicurezza diversi all'avvio del server, associamo il gruppo di sicurezza predefinito al tuo server.

      • Per le regole in entrata per il gruppo di sicurezza, puoi configurare il traffico SSH per utilizzare le porte 22, 2222, 22000 o qualsiasi combinazione. La porta 22 è configurata per impostazione predefinita. Per utilizzare la porta 2222 o la porta 22000, aggiungi una regola in entrata al tuo gruppo di sicurezza. Per il tipo, scegli TCP personalizzato, quindi inserisci uno 2222 o 22000 per Intervallo di porte e, per l'origine, inserisci lo stesso intervallo CIDR che hai utilizzato per la regola della porta SSH 22.

      • Per le regole in entrata per il gruppo di sicurezza, configura il traffico FTP e FTPS in modo che utilizzi Port range 21 per il canale di controllo e per il canale dati. 8192-8200

      Nota

      Puoi anche utilizzare la porta 2223 per i client che richiedono il «piggy-back» ACKs TCP o la possibilità per il pack finale dell'handshake TCP a 3 vie di contenere anche dati.

      Alcuni software client potrebbero essere incompatibili con la porta 2223, ad esempio un client che richiede al server di inviare la stringa di identificazione SFTP prima che il client lo faccia.

      Le regole in entrata per un gruppo di sicurezza di esempio, che mostrano una regola per SSH sulla porta 22 e Custom TCP sulla porta 2222.

    6. (Facoltativo) Per FIPS Enabled, selezionate la casella di controllo FIPS Enabled Endpoint per assicurarvi che l'endpoint sia conforme ai Federal Information Processing Standards (FIPS).

      Nota

      Gli endpoint compatibili con FIPS sono disponibili solo nelle regioni del Nord America. AWS Per le regioni disponibili, consulta gli AWS Transfer Family endpoint e le quote nel. Riferimenti generali di AWS Per ulteriori informazioni su FIPS, vedere Federal Information Processing Standard (FIPS) 140-2.

    7. Scegli Next (Successivo).

  6. In Configura dettagli aggiuntivi, procedi come segue:

    1. Per la CloudWatch registrazione, scegli una delle seguenti opzioni per abilitare la CloudWatch registrazione Amazon dell'attività dell'utente:

      • Crea un nuovo ruolo per consentire a Transfer Family di creare automaticamente il ruolo IAM, purché tu disponga delle autorizzazioni giuste per creare un nuovo ruolo. Viene chiamato AWSTransferLoggingAccess il ruolo IAM creato.

      • Scegli un ruolo esistente per scegliere un ruolo IAM esistente dal tuo account. In Ruolo di registrazione, scegli il ruolo. Questo ruolo IAM dovrebbe includere una politica di fiducia con Service impostato transfer.amazonaws.com su.

        Per ulteriori informazioni sulla CloudWatch registrazione, vedereConfigura il CloudWatch ruolo di registrazione.

      Nota

      • Non è possibile visualizzare l'attività dell'utente finale CloudWatch se non si specifica un ruolo di registrazione.

      • Se non desideri impostare un ruolo di CloudWatch registrazione, seleziona Scegli un ruolo esistente, ma non selezionare un ruolo di registrazione.

    2. Per le opzioni relative agli algoritmi crittografici, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso da parte del tuo server.

      Nota

      Per impostazione predefinita, la politica TransferSecurityPolicy-2024-01 di sicurezza è collegata al server a meno che non ne scelga una diversa.

      Per ulteriori informazioni sulle policy di sicurezza, consulta Politiche di sicurezza per AWS Transfer Family i server.

    3. (Facoltativo: questa sezione riguarda solo la migrazione degli utenti da un server compatibile con SFTP esistente.) Per Server Host Key, inserite una chiave privata RSA o ECDSA che verrà utilizzata per identificare il server quando i client si connettono ad esso tramite SFTP. ED25519

    4. (Facoltativo) Per Tag, per Chiave e Valore, inserite uno o più tag come coppie chiave-valore, quindi scegliete Aggiungi tag.

    5. Scegli Next (Successivo).

  7. In Rivedi e crea, rivedi le tue scelte. Se:

    • Se desideri modificarne una, scegli Modifica accanto al passaggio.

      Nota

      Dovrai rivedere ogni passaggio dopo il passaggio che hai scelto di modificare.

    • Non apporti modifiche, scegli Crea server per creare il tuo server. Viene visualizzata la pagina Servers (Server), mostrata di seguito, in cui è elencato il nuovo server.

Possono essere necessari un paio di minuti prima che lo stato del nuovo server passi a Online. A quel punto, il server sarà in grado di eseguire operazioni sui file, ma dovrai prima creare un utente. Per informazioni dettagliate sulla creazione di utenti, consultaGestione degli utenti per gli endpoint del server.

Crea un endpoint con accesso a Internet per il tuo server

Nella procedura seguente, si crea un endpoint server. Questo endpoint è accessibile via Internet solo ai client i cui indirizzi IP di origine sono consentiti nel gruppo di sicurezza predefinito del tuo VPC. Inoltre, utilizzando indirizzi IP elastici per rendere l'endpoint rivolto a Internet, i clienti possono utilizzare l'indirizzo IP elastico per consentire l'accesso all'endpoint tramite i loro firewall.

Nota

È possibile utilizzare solo SFTP e FTPS su un endpoint ospitato in VPC con accesso a Internet.

Per creare un endpoint con accesso a Internet

  1. Apri la console all'indirizzo. AWS Transfer Family https://console.aws.amazon.com/transfer/

  2. Dal pannello di navigazione, seleziona Server, quindi scegli Crea server.

  3. In Scegli i protocolli, seleziona uno o più protocolli, quindi scegli Avanti. Per ulteriori informazioni sui protocolli, consultaFase 2: Creare un server compatibile con SFTP.

  4. In Scegli un provider di identità, scegli Servizio gestito per archiviare le identità e le chiavi degli utenti AWS Transfer Family, quindi scegli Avanti.

    Questa procedura utilizza l'opzione gestita dal servizio. Se scegli Custom, fornisci un endpoint Amazon API Gateway e un ruolo AWS Identity and Access Management (IAM) per accedere all'endpoint. In questo modo, puoi integrare il tuo servizio di directory per autenticare e autorizzare i tuoi utenti. Per ulteriori informazioni sull'utilizzo di provider di identità personalizzati, consulta Lavorare con provider di identità personalizzati.

  5. In Scegli un endpoint, procedi come segue:

    1. Per Tipo di endpoint, scegli il tipo di endpoint ospitato da VPC per ospitare l'endpoint del tuo server.

    2. Per Access, scegli Internet Facing per rendere il tuo endpoint accessibile ai client su Internet.

      Nota

      Quando scegli Internet Facing, puoi scegliere un indirizzo IP elastico esistente in ogni sottorete o sottoreti. Oppure puoi andare alla console VPC (https://console.aws.amazon.com/vpc/) per allocare uno o più nuovi indirizzi IP elastici. Questi indirizzi possono essere di proprietà dell'utente AWS o dell'utente. Non puoi associare indirizzi IP elastici già in uso al tuo endpoint.

    3. (Facoltativo) Per Nome host personalizzato, scegli una delle seguenti opzioni:

      Nota

      I clienti AWS GovCloud (US) devono connettersi direttamente tramite l'indirizzo IP elastico o creare un record di nome host all'interno di Commercial Route 53 che punti al proprio EIP. Per ulteriori informazioni sull'uso di Route 53 per gli GovCloud endpoint, consulta Configurare Amazon Route 53 con AWS GovCloud (US) le tue risorse nella Guida per l'AWS GovCloud (US) utente.

      • Alias DNS Amazon Route 53: se il nome host che desideri utilizzare è registrato con Route 53. Puoi quindi inserire il nome host.

      • Altro DNS: se il nome host che desideri utilizzare è registrato con un altro provider DNS. È quindi possibile inserire il nome host.

      • Nessuno: per utilizzare l'endpoint del server e non utilizzare un nome host personalizzato. Il nome host del server ha il formato server-id.server.transfer.region.amazonaws.com.

        Nota

        Per i clienti che utilizzano AWS GovCloud (US), selezionando Nessuno non viene creato un nome host in questo formato.

      Per ulteriori informazioni sull'utilizzo di nomi host personalizzati, consulta. Lavorare con nomi host personalizzati

    4. Per VPC, scegli un ID VPC esistente o scegli Crea un VPC per creare un nuovo VPC.

    5. Nella sezione Zone di disponibilità, scegli fino a tre zone di disponibilità e sottoreti associate. Per IPv4Indirizzi, scegli un indirizzo IP elastico per ogni sottorete. Questo è l'indirizzo IP che i tuoi clienti possono utilizzare per consentire l'accesso all'endpoint nei loro firewall.

      Suggerimento: è necessario utilizzare una sottorete pubblica per le zone di disponibilità o configurare prima un gateway Internet se si desidera utilizzare una sottorete privata.

    6. Nella sezione Gruppi di sicurezza, scegli un ID di gruppo di sicurezza esistente IDs oppure scegli Crea un gruppo di sicurezza per creare un nuovo gruppo di sicurezza. Per ulteriori informazioni sui gruppi di sicurezza, consulta la sezione Gruppi di sicurezza per il tuo VPC nella Guida per l'utente di Amazon Virtual Private Cloud. Per creare un gruppo di sicurezza, consulta Creazione di un gruppo di sicurezza nella Amazon Virtual Private Cloud User Guide.

      Nota

      Il tuo VPC include automaticamente un gruppo di sicurezza predefinito. Se non specifichi uno o più gruppi di sicurezza diversi all'avvio del server, associamo il gruppo di sicurezza predefinito al tuo server.

      • Per le regole in entrata per il gruppo di sicurezza, puoi configurare il traffico SSH per utilizzare le porte 22, 2222, 22000 o qualsiasi combinazione. La porta 22 è configurata per impostazione predefinita. Per utilizzare la porta 2222 o la porta 22000, aggiungi una regola in entrata al tuo gruppo di sicurezza. Per il tipo, scegli TCP personalizzato, quindi inserisci uno 2222 o 22000 per Intervallo di porte e, per l'origine, inserisci lo stesso intervallo CIDR che hai utilizzato per la regola della porta SSH 22.

      • Per le regole in entrata per il gruppo di sicurezza, configura il traffico FTPS in modo che utilizzi Port range 21 per il canale di controllo e 8192-8200 per il canale dati.

      Nota

      Puoi anche utilizzare la porta 2223 per i client che richiedono il «piggy-back» ACKs TCP o la possibilità che il pack finale dell'handshake TCP a 3 vie contenga anche dati.

      Alcuni software client potrebbero essere incompatibili con la porta 2223, ad esempio un client che richiede al server di inviare la stringa di identificazione SFTP prima che il client lo faccia.

      Le regole in entrata per un gruppo di sicurezza di esempio, che mostrano una regola per SSH sulla porta 22 e Custom TCP sulla porta 2222.

    7. (Facoltativo) Per FIPS Enabled, selezionate la casella di controllo FIPS Enabled Endpoint per assicurarvi che l'endpoint sia conforme ai Federal Information Processing Standards (FIPS).

      Nota

      Gli endpoint compatibili con FIPS sono disponibili solo nelle regioni del Nord America. AWS Per le regioni disponibili, consulta gli AWS Transfer Family endpoint e le quote nel. Riferimenti generali di AWS Per ulteriori informazioni su FIPS, vedere Federal Information Processing Standard (FIPS) 140-2.

    8. Scegli Next (Successivo).

  6. In Configura dettagli aggiuntivi, procedi come segue:

    1. Per la CloudWatch registrazione, scegli una delle seguenti opzioni per abilitare la CloudWatch registrazione Amazon dell'attività dell'utente:

      • Crea un nuovo ruolo per consentire a Transfer Family di creare automaticamente il ruolo IAM, purché tu disponga delle autorizzazioni giuste per creare un nuovo ruolo. Viene chiamato AWSTransferLoggingAccess il ruolo IAM creato.

      • Scegli un ruolo esistente per scegliere un ruolo IAM esistente dal tuo account. In Ruolo di registrazione, scegli il ruolo. Questo ruolo IAM dovrebbe includere una politica di fiducia con Service impostato transfer.amazonaws.com su.

        Per ulteriori informazioni sulla CloudWatch registrazione, vedereConfigura il CloudWatch ruolo di registrazione.

      Nota

      • Non è possibile visualizzare l'attività dell'utente finale CloudWatch se non si specifica un ruolo di registrazione.

      • Se non desideri impostare un ruolo di CloudWatch registrazione, seleziona Scegli un ruolo esistente, ma non selezionare un ruolo di registrazione.

    2. Per le opzioni relative agli algoritmi crittografici, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso da parte del tuo server.

      Nota

      Per impostazione predefinita, la politica TransferSecurityPolicy-2024-01 di sicurezza è collegata al server a meno che non ne scelga una diversa.

      Per ulteriori informazioni sulle policy di sicurezza, consulta Politiche di sicurezza per AWS Transfer Family i server.

    3. (Facoltativo: questa sezione riguarda solo la migrazione degli utenti da un server compatibile con SFTP esistente.) Per Server Host Key, inserite una chiave privata RSA o ECDSA che verrà utilizzata per identificare il server quando i client si connettono ad esso tramite SFTP. ED25519

    4. (Facoltativo) Per Tag, per Chiave e Valore, inserite uno o più tag come coppie chiave-valore, quindi scegliete Aggiungi tag.

    5. Scegli Next (Successivo).

    6. (Facoltativo) Per i flussi di lavoro gestiti, scegliete il flusso di lavoro IDs (e il ruolo corrispondente) che Transfer Family deve assumere durante l'esecuzione del flusso di lavoro. È possibile scegliere un flusso di lavoro da eseguire dopo un caricamento completo e un altro da eseguire dopo un caricamento parziale. Per ulteriori informazioni sull'elaborazione dei file utilizzando flussi di lavoro gestiti, consultaAWS Transfer Family flussi di lavoro gestiti.

      La sezione Console dei flussi di lavoro gestiti.

  7. In Rivedi e crea, esamina le tue scelte. Se:

    • Se desideri modificarne una, scegli Modifica accanto al passaggio.

      Nota

      Dovrai rivedere ogni passaggio dopo il passaggio che hai scelto di modificare.

    • Non apporti modifiche, scegli Crea server per creare il tuo server. Viene visualizzata la pagina Servers (Server), mostrata di seguito, in cui è elencato il nuovo server.

Puoi scegliere l'ID del server per vedere le impostazioni dettagliate del server che hai appena creato. Dopo che la colonna IPv4 Indirizzo pubblico è stata compilata, gli indirizzi IP elastici che hai fornito vengono associati correttamente all'endpoint del tuo server.

Nota

Quando il server in un VPC è online, solo le sottoreti possono essere modificate e solo tramite l'API. UpdateServer È necessario interrompere il server per aggiungere o modificare gli indirizzi IP elastici dell'endpoint del server.

Cambia il tipo di endpoint per il tuo server

Se disponi di un server esistente accessibile tramite Internet (ovvero con un tipo di endpoint pubblico), puoi cambiarne l'endpoint in un endpoint VPC.

Nota

Se hai un server esistente in un VPC visualizzato comeVPC_ENDPOINT, ti consigliamo di modificarlo con il nuovo tipo di endpoint VPC. Con questo nuovo tipo di endpoint, non è più necessario utilizzare un Network Load Balancer (NLB) per associare gli indirizzi IP elastici all'endpoint del server. Inoltre, puoi utilizzare i gruppi di sicurezza VPC per limitare l'accesso all'endpoint del tuo server. Tuttavia, puoi continuare a utilizzare il tipo di VPC_ENDPOINT endpoint secondo necessità.

La procedura seguente presuppone che si disponga di un server che utilizza il tipo di endpoint pubblico corrente o il tipo precedente. VPC_ENDPOINT

Per modificare il tipo di endpoint per il server

  1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/.

  2. Nel riquadro di navigazione, selezionare Servers (Server).

  3. Seleziona la casella di controllo del server di cui desideri modificare il tipo di endpoint.

    Importante

    È necessario arrestare il server prima di poter modificare l'endpoint.

  4. In Actions (Operazioni), scegliere Stop (Arresta).

  5. Nella finestra di dialogo di conferma che appare, scegli Stop per confermare che desideri arrestare il server.

    Nota

    Prima di procedere al passaggio successivo, nella sezione Dettagli dell'endpoint, attendi che lo stato del server passi a Offline; l'operazione può richiedere un paio di minuti. Potrebbe essere necessario scegliere Aggiorna nella pagina Server per visualizzare la modifica dello stato.

    Non potrai apportare modifiche finché il server non sarà offline.

  6. Nei dettagli dell'endpoint, scegli Modifica.

  7. In Modifica configurazione dell'endpoint, procedi come segue:

    1. Per Modifica tipo di endpoint, scegli VPC ospitato.

    2. Per Access, scegli una delle seguenti opzioni:

      • Interno per rendere l'endpoint accessibile solo ai client che utilizzano gli indirizzi IP privati dell'endpoint.

      • Internet Facing per rendere l'endpoint accessibile ai clienti sulla rete Internet pubblica.

        Nota

        Quando scegli Internet Facing, puoi scegliere un indirizzo IP elastico esistente in ogni sottorete o sottoreti. In alternativa, puoi accedere alla console VPC (https://console.aws.amazon.com/vpc/) per allocare uno o più nuovi indirizzi IP elastici. Questi indirizzi possono essere di proprietà dell'utente AWS o dell'utente. Non puoi associare indirizzi IP elastici già in uso al tuo endpoint.

    3. (Facoltativo solo per l'accesso tramite Internet) Per Nome host personalizzato, scegli una delle seguenti opzioni:

      • Alias DNS Amazon Route 53: se il nome host che desideri utilizzare è registrato con Route 53. Puoi quindi inserire il nome host.

      • Altro DNS: se il nome host che desideri utilizzare è registrato con un altro provider DNS. È quindi possibile inserire il nome host.

      • Nessuno: per utilizzare l'endpoint del server e non utilizzare un nome host personalizzato. Il nome host del server ha il formato serverId.server.transfer.regionId.amazonaws.com.

        Per ulteriori informazioni sull'utilizzo di nomi host personalizzati, consulta. Lavorare con nomi host personalizzati

    4. Per VPC, scegli un ID VPC esistente oppure scegli Crea un VPC per creare un nuovo VPC.

    5. Nella sezione Zone di disponibilità, seleziona fino a tre zone di disponibilità e le sottoreti associate. Se scegli Internet Facing, scegli anche un indirizzo IP elastico per ogni sottorete.

      Nota

      Se desideri il massimo di tre zone di disponibilità, ma non ce ne sono abbastanza, creale nella console VPC () https://console.aws.amazon.com/vpc/.

      Se modifichi le sottoreti o gli indirizzi IP elastici, l'aggiornamento del server impiega alcuni minuti. Non è possibile salvare le modifiche fino al completamento dell'aggiornamento del server.

    6. Scegli Save (Salva).

  8. Per Azioni, scegli Avvia e attendi che lo stato del server passi a Online; l'operazione può richiedere un paio di minuti.

    Nota

    Se hai cambiato un tipo di endpoint pubblico in un tipo di endpoint VPC, nota che il tipo di endpoint per il tuo server è cambiato in VPC.

Il gruppo di sicurezza predefinito è collegato all'endpoint. Per modificare o aggiungere gruppi di sicurezza aggiuntivi, vedere Creazione di gruppi di sicurezza.

Interruzione dell'uso di VPC_ENDPOINT

AWS Transfer Family ha interrotto la possibilità di creare server con nuovi account. EndpointType=VPC_ENDPOINT AWS A partire dal 19 maggio 2021, AWS gli account che non possiedono AWS Transfer Family server con un tipo di endpoint di non VPC_ENDPOINT saranno in grado di creare nuovi server con. EndpointType=VPC_ENDPOINT Se possiedi già server che utilizzano il tipo di VPC_ENDPOINT endpoint, ti consigliamo di iniziare a utilizzarli EndpointType=VPC il prima possibile. Per i dettagli, consulta Aggiornare il tipo di endpoint AWS Transfer Family del server da VPC_ENDPOINT a VPC.

Abbiamo lanciato il nuovo tipo di endpoint all'inizio del 2020VPC. Per ulteriori informazioni, vedere AWS Transfer Family perché SFTP supporta i gruppi di sicurezza VPC e gli indirizzi IP elastici. Questo nuovo endpoint è più ricco di funzionalità e conveniente e non prevede costi. PrivateLink Per ulteriori informazioni, consulta Prezzi di AWS PrivateLink .

Questo tipo di endpoint è funzionalmente equivalente al tipo di endpoint precedente (). VPC_ENDPOINT È possibile collegare gli indirizzi IP elastici direttamente all'endpoint per renderlo accessibile a Internet e utilizzare i gruppi di sicurezza per il filtraggio degli IP di origine. Per ulteriori informazioni, consulta il post sul blog Use IP allow to secure your AWS Transfer Family for SFTP servers.

Puoi anche ospitare questo endpoint in un ambiente VPC condiviso. Per ulteriori informazioni, vedi AWS Transfer Family ora supporta gli ambienti VPC con servizi condivisi.

Oltre a SFTP, puoi utilizzare il EndpointType VPC per abilitare FTPS e FTP. Non abbiamo intenzione di aggiungere queste funzionalità e questo supporto a. FTPS/FTP EndpointType=VPC_ENDPOINT Abbiamo anche rimosso questo tipo di endpoint come opzione dalla AWS Transfer Family console.

Puoi modificare il tipo di endpoint per il tuo server utilizzando la console Transfer Family AWS CLI SDKs, l'API o AWS CloudFormation. Per modificare il tipo di endpoint del server, consulta. Aggiornamento del tipo di endpoint AWS Transfer Family del server da VPC_ENDPOINT a VPC

In caso di domande, contatta Supporto AWS o contatta il team addetto AWS all'account.

Nota

Non abbiamo intenzione di aggiungere queste funzionalità e il supporto FTPS o FTP a =VPC_ENDPOINT. EndpointType Non lo offriamo più come opzione sulla console. AWS Transfer Family

Se hai altre domande, puoi contattarci tramite Supporto AWS il team del tuo account.

Limitazione dell'accesso agli endpoint VPC per i server Transfer Family

Quando si crea un AWS Transfer Family server con un tipo di endpoint VPC, gli utenti e i responsabili IAM necessitano delle autorizzazioni per creare ed eliminare endpoint VPC. Tuttavia, le politiche di sicurezza della tua organizzazione possono limitare queste autorizzazioni. Puoi utilizzare le policy IAM per consentire la creazione e l'eliminazione di endpoint VPC specificamente per Transfer Family mantenendo le restrizioni per altri servizi.

Importante

La seguente policy IAM consente agli utenti di creare ed eliminare endpoint VPC solo per i server Transfer Family, negando queste operazioni per altri servizi:

{
    "Effect": "Deny",
    "Action": [
        "ec2:CreateVpcEndpoint",
        "ec2:DeleteVpcEndpoints"
    ],
    "Resource": ["*"],
    "Condition": {
        "ForAnyValue:StringNotLike": {
            "ec2:VpceServiceName": [
                "com.amazonaws.INPUT-YOUR-REGION.transfer.server.*"
            ]
        },
        "StringNotLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/INPUT-YOUR-ROLE"
            ]
        }
    }
}

Sostituiscila INPUT-YOUR-REGION con la tua AWS regione (ad esempious-east-1) e INPUT-YOUR-ROLE con il ruolo IAM a cui desideri concedere queste autorizzazioni.

Funzionalità di rete aggiuntive

AWS Transfer Family offre diverse funzionalità di rete avanzate che migliorano la sicurezza e la flessibilità quando si utilizzano configurazioni VPC: