Crea un connettore SFTP - AWS Transfer Family

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un connettore SFTP

Questa procedura spiega come creare connettori SFTP utilizzando la AWS Transfer Family console o. AWS CLI

Console
Per creare un connettore SFTP

  1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/.

  2. Nel riquadro di navigazione a sinistra, scegli Connettori SFTP, quindi scegli Crea connettore SFTP.

  3. Nella sezione Configurazione del connettore, fornisci le seguenti informazioni:

    La console del connettore SFTP Transfer Family, che mostra le impostazioni di configurazione del connettore.

    • Per l'URL, immettete l'URL di un server SFTP remoto. Questo URL deve essere formattato comesftp://partner-SFTP-server-url, ad esempio. sftp://AnyCompany.com

      Nota

      Facoltativamente, puoi fornire un numero di porta nel tuo URL. Il formato è sftp://partner-SFTP-server-url:port-number. Il numero di porta predefinito (quando non viene specificata alcuna porta) è la porta 22.

    • Per il ruolo Access, scegli l'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) da utilizzare.

      • Assicurati che questo ruolo fornisca l'accesso in lettura e scrittura alla directory principale della posizione del file utilizzata nella StartFileTransfer richiesta.

      • Assicurati che questo ruolo fornisca l'autorizzazione secretsmanager:GetSecretValue per accedere al segreto.

        Nota

        Nella policy, è necessario specificare l'ARN per il segreto. L'ARN contiene il nome segreto, ma aggiunge al nome sei caratteri alfanumerici casuali. Un ARN per un segreto ha il seguente formato.

        arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters

      • Assicurati che questo ruolo contenga una relazione di fiducia che consenta al connettore di accedere alle tue risorse per soddisfare le richieste di trasferimento degli utenti. Per i dettagli su come stabilire una relazione di fiducia, consulta. Per stabilire una relazione di trust

      L'esempio seguente concede le autorizzazioni necessarie per accedere a amzn-s3-demo-bucket in Amazon S3 e al segreto specificato archiviato in Secrets Manager.

      {
  "Version": "2012-10-17",
  "Statement": [
    {
        "Sid": "AllowListingOfUserFolder",
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketLocation"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket"
        ]
    },
    {
        "Sid": "HomeDirObjectAccess",
        "Effect": "Allow",
        "Action": [
            "s3:PutObject",
            "s3:GetObject",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion",
            "s3:GetObjectVersion",
            "s3:GetObjectACL",
            "s3:PutObjectACL"
        ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    },
    {
        "Sid": "GetConnectorSecretValue",
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters"
    }
  ]
}
      Nota

      Per il ruolo di accesso, l'esempio concede l'accesso a un singolo segreto. Tuttavia, puoi utilizzare un carattere jolly, che può far risparmiare lavoro se desideri riutilizzare lo stesso ruolo IAM per più utenti e segreti. Ad esempio, la seguente dichiarazione di risorsa concede le autorizzazioni per tutti i segreti il cui nome inizia con. aws/transfer

      "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"

      È inoltre possibile archiviare i segreti contenenti le credenziali SFTP in un altro. Account AWS Per i dettagli sull'abilitazione dell'accesso segreto tra account, consulta Autorizzazioni ai AWS Secrets Manager segreti per gli utenti di un altro account.

    • (Facoltativo) Per il ruolo di registrazione, scegli il ruolo IAM per il connettore da utilizzare per inviare eventi ai tuoi log. CloudWatch La seguente policy di esempio elenca le autorizzazioni necessarie per registrare gli eventi per i connettori SFTP.

      {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "SFTPConnectorPermissions",
        "Effect": "Allow",
        "Action": [
            "logs:CreateLogStream",
            "logs:DescribeLogStreams",
            "logs:CreateLogGroup",
            "logs:PutLogEvents"
        ],
        "Resource": [
            "arn:aws:logs:*:*:log-group:/aws/transfer/*"
        ]
    }]
}

  4. Nella sezione Configurazione SFTP, fornite le seguenti informazioni:

    La console del connettore SFTP Transfer Family, che mostra le impostazioni di configurazione SFTP.

    • Per le credenziali del connettore, dall'elenco a discesa, scegli il nome di un segreto AWS Secrets Manager che contiene la chiave privata o la password dell'utente SFTP. È necessario creare un segreto e archiviarlo in un modo specifico. Per informazioni dettagliate, consultare Memorizza le credenziali di autenticazione per i connettori SFTP in Secrets Manager .

    • (Facoltativo) È possibile creare il connettore lasciando il TrustedHostKeys parametro vuoto. Tuttavia, il connettore non sarà in grado di trasferire file con il server remoto finché non fornirai questo parametro nella configurazione del connettore. Puoi inserire le chiavi host affidabili al momento della creazione del connettore o aggiornare il connettore in un secondo momento utilizzando le informazioni sulla chiave host restituite dall'azione della TestConnection console o dal comando API. Cioè, per la casella di testo Trusted host keys, puoi effettuare una delle seguenti operazioni:

      • Fornisci le chiavi Trusted Host al momento della creazione del connettore. Incolla la parte pubblica della chiave host utilizzata per identificare il server esterno. Puoi aggiungere più di una chiave, scegliendo Aggiungi chiave host affidabile per aggiungere una chiave aggiuntiva. È possibile utilizzare il ssh-keyscan comando sul server SFTP per recuperare la chiave necessaria. Per informazioni dettagliate sul formato e sul tipo di chiavi host affidabili supportate da Transfer Family, vedere SFTPConnectorConfig.

      • Lascia vuota la casella di testo Trusted Host Key (s) quando crei il connettore e aggiorna il connettore in un secondo momento con queste informazioni. Se non disponi delle informazioni sulla chiave host al momento della creazione del connettore, puoi lasciare questo parametro vuoto per ora e procedere con la creazione del connettore. Dopo aver creato il connettore, utilizza l'ID del nuovo connettore per eseguire il TestConnection comando, nella AWS CLI o dalla pagina dei dettagli del connettore. In caso di successo, TestConnection restituirà le informazioni necessarie sulla chiave host. È quindi possibile modificare il connettore utilizzando la console (o eseguendo il UpdateConnector AWS CLI comando) e aggiungere le informazioni sulla chiave host restituite durante l'esecuzioneTestConnection.

      Importante

      Se recuperate la chiave host del server remoto eseguendoTestConnection, assicuratevi di eseguire la out-of-band convalida sulla chiave restituita.

      È necessario accettare la nuova chiave come attendibile o verificare l'impronta digitale presentata con un'impronta digitale precedentemente nota che avete ricevuto dal proprietario del server SFTP remoto a cui vi state connettendo.

    • (Facoltativo) Per Numero massimo di connessioni simultanee, dall'elenco a discesa, scegliete il numero di connessioni simultanee che il connettore crea al server remoto. La selezione predefinita sulla console è 5.

      Questa impostazione specifica il numero di connessioni attive che il connettore può stabilire contemporaneamente con il server remoto. La creazione di connessioni simultanee può migliorare le prestazioni dei connettori abilitando le operazioni parallele.

  5. Nella sezione Opzioni dell'algoritmo di crittografia, scegli una politica di sicurezza dall'elenco a discesa nel campo Politica di sicurezza. La politica di sicurezza consente di selezionare gli algoritmi crittografici supportati dal connettore. Per i dettagli sulle politiche e sugli algoritmi di sicurezza disponibili, vedere. AWS Transfer Family Politiche di sicurezza per i connettori SFTP

  6. (Facoltativo) Nella sezione Tag, per Chiave e Valore, inserite uno o più tag come coppie chiave-valore.

  7. Dopo aver confermato tutte le impostazioni, scegli Crea connettore SFTP per creare il connettore SFTP. Se il connettore viene creato correttamente, viene visualizzata una schermata con un elenco degli indirizzi IP statici assegnati e un pulsante Test di connessione. Utilizzate il pulsante per testare la configurazione del nuovo connettore.

    La schermata di creazione del connettore che appare quando un connettore SFTP è stato creato con successo. Contiene un pulsante per testare la connessione e un elenco degli indirizzi IP statici gestiti dal servizio di questo connettore.

Viene visualizzata la pagina Connettori, con l'ID del nuovo connettore SFTP aggiunto all'elenco. Per visualizzare i dettagli dei connettori, consultaVisualizza i dettagli del connettore SFTP.

CLI

Il create-connectorcomando viene utilizzato per creare un connettore. Per utilizzare questo comando per creare un connettore SFTP, è necessario fornire le seguenti informazioni.

  • L'URL di un server SFTP remoto. Questo URL deve essere formattato comesftp://partner-SFTP-server-url, ad esempio. sftp://AnyCompany.com

  • Il ruolo di accesso. Scegli l'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) da utilizzare.

    • Assicurati che questo ruolo fornisca l'accesso in lettura e scrittura alla directory principale della posizione del file utilizzata nella StartFileTransfer richiesta.

    • Assicurati che questo ruolo fornisca l'autorizzazione secretsmanager:GetSecretValue per accedere al segreto.

      Nota

      Nella policy, è necessario specificare l'ARN per il segreto. L'ARN contiene il nome segreto, ma aggiunge al nome sei caratteri alfanumerici casuali. Un ARN per un segreto ha il seguente formato.

      arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters

    • Assicurati che questo ruolo contenga una relazione di fiducia che consenta al connettore di accedere alle tue risorse per soddisfare le richieste di trasferimento degli utenti. Per i dettagli su come stabilire una relazione di fiducia, consulta. Per stabilire una relazione di trust

    L'esempio seguente concede le autorizzazioni necessarie per accedere a amzn-s3-demo-bucket in Amazon S3 e al segreto specificato archiviato in Secrets Manager.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
        "Sid": "AllowListingOfUserFolder",
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketLocation"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket"
        ]
    },
    {
        "Sid": "HomeDirObjectAccess",
        "Effect": "Allow",
        "Action": [
            "s3:PutObject",
            "s3:GetObject",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion",
            "s3:GetObjectVersion",
            "s3:GetObjectACL",
            "s3:PutObjectACL"
        ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    },
    {
        "Sid": "GetConnectorSecretValue",
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters"
    }
  ]
}
    Nota

    Per il ruolo di accesso, l'esempio concede l'accesso a un singolo segreto. Tuttavia, puoi utilizzare un carattere jolly, che può far risparmiare lavoro se desideri riutilizzare lo stesso ruolo IAM per più utenti e segreti. Ad esempio, la seguente dichiarazione di risorsa concede le autorizzazioni per tutti i segreti il cui nome inizia con. aws/transfer

    "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"

    È inoltre possibile archiviare i segreti contenenti le credenziali SFTP in un altro. Account AWS Per i dettagli sull'abilitazione dell'accesso segreto tra account, consulta Autorizzazioni ai AWS Secrets Manager segreti per gli utenti di un altro account.

  • (Facoltativo) Scegli il ruolo IAM per il connettore da utilizzare per inviare eventi ai tuoi CloudWatch log. La seguente policy di esempio elenca le autorizzazioni necessarie per registrare gli eventi per i connettori SFTP.

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "SFTPConnectorPermissions",
        "Effect": "Allow",
        "Action": [
            "logs:CreateLogStream",
            "logs:DescribeLogStreams",
            "logs:CreateLogGroup",
            "logs:PutLogEvents"
        ],
        "Resource": [
            "arn:aws:logs:*:*:log-group:/aws/transfer/*"
        ]
    }]
}

  • Fornite le seguenti informazioni di configurazione SFTP.

    • L'ARN di un segreto AWS Secrets Manager che contiene la chiave privata o la password dell'utente SFTP.

    • La parte pubblica della chiave host utilizzata per identificare il server esterno. Se lo desideri, puoi fornire più chiavi host affidabili.

    Il modo più semplice per fornire le informazioni SFTP è salvarle in un file. Ad esempio, copiate il seguente testo di esempio in un file denominatotestSFTPConfig.json.

    // Listing for testSFTPConfig.json
{   
   "UserSecretId": "arn:aws::secretsmanager:us-east-2:123456789012:secret:aws/transfer/example-username-key",
   "TrustedHostKeys": [
      "sftp.example.com ssh-rsa AAAAbbbb...EEEE="
   ]
}

  • Specificate una politica di sicurezza per il connettore, inserendo il nome della politica di sicurezza.

Nota

SecretIdPuò essere l'intero ARN o il nome del segreto (example-username-keynell'elenco precedente).

Quindi esegui il comando seguente per creare il connettore.

aws transfer create-connector --url "sftp://partner-SFTP-server-url" \
--access-role your-IAM-role-for-bucket-access \
--logging-role arn:aws:iam::your-account-id:role/service-role/AWSTransferLoggingAccess \
--sftp-config file:///path/to/testSFTPConfig.json
--security-policy-name security-policy-name
--maximum-concurrent-connections integer-from-1-to-5