Configurar o Nimble Studio File Transfer - Transferência de Arquivos do Nimble Studio

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar o Nimble Studio File Transfer

Antes de usar o Nimble Studio File Transfer pela primeira vez, conclua as tarefas a seguir.

Inscreva-se para um Conta da AWS

Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.

Para se inscrever em um Conta da AWS
  1. Abra https://portal.aws.amazon.com/billing/signup.

  2. Siga as instruções on-line.

    Parte do procedimento de inscrição envolve receber uma chamada telefônica e digitar um código de verificação no teclado do telefone.

    Quando você se inscreve em um Conta da AWS, um Usuário raiz da conta da AWSé criado. O usuário-raiz tem acesso a todos os Serviços da AWS e recursos na conta. Como prática recomendada de segurança, atribua o acesso administrativo a um usuário e use somente o usuário-raiz para executar tarefas que exigem acesso de usuário-raiz.

AWS envia um e-mail de confirmação após a conclusão do processo de inscrição. A qualquer momento, é possível visualizar as atividades da conta atual e gerenciar sua conta acessando https://aws.amazon.com/ e selecionando Minha conta.

Criar um usuário com acesso administrativo

Depois de se inscrever em um Conta da AWS, proteja seu Usuário raiz da conta da AWS AWS IAM Identity Center, habilite e crie um usuário administrativo para que você não use o usuário root nas tarefas diárias.

Proteja seu Usuário raiz da conta da AWS
  1. Faça login AWS Management Consolecomo proprietário da conta escolhendo Usuário raiz e inserindo seu endereço de Conta da AWS e-mail. Na próxima página, digite sua senha.

    Para obter ajuda ao fazer login usando o usuário-raiz, consulte Signing in as the root user (Fazer login como usuário-raiz) no Guia do usuário do Início de Sessão da AWS .

  2. Habilite a autenticação multifator (MFA) para o usuário-raiz.

    Para obter instruções, consulte Habilitar um dispositivo de MFA virtual para seu usuário Conta da AWS raiz (console) no Guia do usuário do IAM.

Criar um usuário com acesso administrativo
  1. Habilitar o IAM Identity Center.

    Para obter instruções, consulte Habilitar AWS IAM Identity Center no Guia do usuário do AWS IAM Identity Center .

  2. No Centro de Identidade do IAM, conceda o acesso administrativo para um usuário.

    Para ver um tutorial sobre como usar o Diretório do Centro de Identidade do IAM como fonte de identidade, consulte Configurar o acesso do usuário com o padrão Diretório do Centro de Identidade do IAM no Guia AWS IAM Identity Center do usuário.

Iniciar sessão como o usuário com acesso administrativo
  • Para fazer login com seu usuário do Centro de Identidade do IAM, use a URL de login que foi enviada ao seu endereço de e-mail quando você criou o usuário do Centro do Usuário do IAM.

    Para obter ajuda para fazer login usando um usuário do IAM Identity Center, consulte Como fazer login no portal de AWS acesso no Guia Início de Sessão da AWS do usuário.

Atribuir acesso a usuários adicionais
  1. No Centro de Identidade do IAM, crie um conjunto de permissões que siga as práticas recomendadas de aplicação de permissões com privilégio mínimo.

    Para obter instruções, consulte Create a permission set no Guia do usuário do AWS IAM Identity Center .

  2. Atribua usuários a um grupo e, em seguida, atribua o acesso de autenticação única ao grupo.

    Para obter instruções, consulte Add groups no Guia do usuário do AWS IAM Identity Center .

Crie uma conta de membro

nota

Ignore esta etapa se você estiver configurando o Nimble Studio em sua conta de gerenciamento.

Se você é um administrador de TI com uma conta de AWS membro e está tentando configurar o Nimble Studio, seu usuário administrativo deve primeiro conceder o acesso e as permissões corretos para essa conta de membro.

Você pode configurar o Nimble Studio em uma conta de gerenciamento ou em uma conta de membro, desde que essa conta esteja em uma organização de AWS Organizations. Uma organização tem uma única conta de gerenciamento. Os atributos centrais da organização são configurados e aplicados pela conta de gerenciamento. As conta de membro configuram e usam serviços diferentes. Para obter mais informações sobre contas de gerenciamento e de membros, consulte terminologia e conceitos de AWS Organizations.

Além disso, AWS IAM Identity Center deve estar habilitado na organização. O IAM Identity Center só pode ser ativado na conta de gerenciamento, e o estúdio deve estar no mesmo que Região da AWS o IAM Identity Center. Para habilitar o IAM Identity Center em sua organização, siga as instruções em Ativar o IAM Identity Center.

nota

Se você tentar configurar um estúdio em uma conta de membro sem o IAM Identity Center ativado, a conta do membro não conseguirá habilitar o IAM Identity Center sozinha. Nesse caso, a conta do membro deve solicitar à TI corporativa que configure o IAM Identity Center na AWS organização.

Para criar uma conta de membro com permissão para criar um estúdio
  1. Use uma conta de membro existente ou crie uma nova seguindo as instruções em Adicionar usuários no Guia do AWS IAM Identity Center usuário.

    1. Essa conta de membro deve pertencer à organização que está configurando seu estúdio no Nimble Studio.

  2. Delegue acesso de administrador à conta de membro seguindo as instruções em Registrar uma conta de membro.

    1. O acesso delegado de administrador é um atributo do IAM Identity Center. O acesso delegado de administrador não está relacionado ao acesso de administrador do IAM. É possível que alguém tenha permissões totais de administrador para acessar sua conta, mas não tenha acesso delegado de administrador a partir da conta de gerenciamento.

Agora, seu administrador de TI pode concluir as etapas nas próximas seções.

Configure um estúdio no Nimble Studio

Se você já tiver um estúdio em nuvem do Nimble Studio, ignore esta etapa.

nota

File Transfer não exige que os buckets do Amazon S3 sejam associados a um Nimble Studio. File Transfer apenas requer um Nimble Studio, pois a ferramenta está disponível para uso sem custo adicional somente para clientes do Nimble Studio.

Para criar um estúdio, siga as instruções em Configurando o Nimble Studio. Certifique-se de que as informações a seguir sejam verdadeiras ao configurar seu estúdio.

  • Configure seu Nimble Studio em uma conta de gerenciamento ou em uma conta de membro com acesso de administrador delegado pelo IAM Identity Center.

  • Na etapa 5 da Etapa 1: Configurar a infraestrutura do estúdio, escolha aquela em Região da AWS que você habilitou o IAM Identity Center.

Crie um bucket do S3

Antes de usar o File Transfer, é necessário concluir o tutorial de Configuração do Amazon S3. Se o Amazon S3 não estiver configurado corretamente, a segurança do conteúdo do seu bucket poderá ficar comprometida.

Você também deve concluir o tutorial Criar seu primeiro bucket do S3. Isso cria um bucket do S3 para você carregar e baixar arquivos.

  • (Recomendado) Na etapa 8, habilite o versionamento do bucket.

    • Isso garante que seus dados não sejam perdidos se você substituir acidentalmente um arquivo no Amazon S3 por uma nova versão.

    • A ativação do controle de versionamento do bucket gera um custo adicional. Para obter mais informações sobre preços do Amazon S3, consulte Preço do Amazon S3.

  • (Recomendado) Na etapa 11, em Tipo de chave de criptografia, escolha chave AWS Key Management Service (SSE-KMS).

    • Se você não tiver uma chave SSE-KMS, crie uma seguindo as instruções no tutorial Como criar uma chave KMS de criptografia simétrica.

    • Para obter mais informações sobre os diferentes tipos de chaves, consulte a página Chaves e AWS chaves do cliente no Guia do AWS Key Management Service desenvolvedor. Para permitir que alguém use o bucket de outra pessoa Conta da AWS, você deve usar uma chave gerenciada pelo cliente. É difícil alterar a chave depois de criar o bucket, portanto certifique-se de criar seu bucket com as chaves corretas.

  • Deixe todas as outras configurações e preferências do usuário como padrão.

Criar uma política de acesso do IAM

Em seguida, você deve criar uma política de acesso do IAM que dê permissão ao bucket do Amazon S3 que você criou na seção Crie um bucket do S3. Depois disso, você anexa a política do IAM a um usuário do IAM. Esse usuário do IAM gerará as credenciais que o File Transfer precisa para acessar o bucket do Amazon S3.

Siga o tutorial Criação de políticas na guia JSON no Guia do usuário do IAM e use o seguinte documento de política JSON. A política que você precisa usar depende do tipo AWS KMS key que você escolheu.

Using an AWS KMS key (SSE-KMS)
  • Insira o texto a seguir no modelo JSON para fornecer o acesso necessário para uploads e downloads do Amazon S3.

  • Para permitir a exclusão de objetos no bucket do S3, inclua as ações listadas na instrução com Sid “OptionalActions” do texto a seguir. Você não precisa incluir essas ações se não quiser permitir a exclusão de objetos do S3.

    { "Statement": [ { "Sid": "ListBucketContents", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:PutObject", "s3:GetObject", "s3:GetObjectTagging" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ], }, { "Sid": "KMSKeyAccess", "Action": [ "kms:GenerateDataKey*", "kms:Encrypt", "kms:Decrypt" ], "Effect": "Allow", "Resource": "arn:aws:kms:key-region:account-number:key/key-id" }, { "Sid": "OptionalActions", "Action": [ "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:ListBucketVersions", "s3:AbortMultipartUpload" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ], } ], "Version": "2012-10-17" }
  • Substitua BUCKET_NAME pelo nome do bucket criado em Crie um bucket do S3.

  • Substitua a região-chave pela Região da AWS qual você criou sua chave.

  • Substitua ACCOUNT_NUMBER pelo seu número da Conta da AWS .

  • Substitua KEY_ID pelo ID da chave do KMS escolhida na etapa 2 de Crie um bucket do S3.

Using an Amazon Managed KMS key (SSE-S3)
  • Verifique se seu bucket tem uma chave KMS ativa.

    • Siga as instruções em Para exibir a configuração da chave de bucket do S3 no tutorial Visualizar as configurações para uma chave de bucket do S3.

    • Se você não estiver usando uma chave KMS, você pode prosseguir para a etapa 2.

    • Se você tiver uma chave KMS anexada ao bucket, siga as instruções em Para usar uma AWS KMS key (SSE-KMS).

  • Insira o texto a seguir no modelo JSON para fornecer o acesso necessário para uploads e downloads do Amazon S3.

  • Para permitir a exclusão de objetos no bucket do S3, inclua as ações listadas na instrução com Sid “OptionalActions” do texto a seguir. Você não precisa incluir essas ações se não quiser permitir a exclusão de objetos do S3.

    { "Statement": [ { "Sid": "ListBucketContents", "Action": [ "s3:ListBucket", "s3:GetBucketLocation", "s3:PutObject", "s3:GetObject", "s3:GetObjectTagging" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ], }, { "Sid": "OptionalActions", "Action": [ "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:ListBucketVersions", "s3:AbortMultipartUpload" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ], } ], "Version": "2012-10-17" }

Agora você criou uma política do IAM que concede permissão ao bucket do S3 que você criou em Crie um bucket do S3.

Configure o AWS CLI

Instale e configure o, AWS CLI se ainda não o fez. File Transferusa os perfis nomeados AWS Command Line Interface (AWS CLI) somente para manipular e armazenar as credenciais do IAM. Para obter mais informações, consulte Conceitos básicos do AWS CLI.

  1. Para instalar ou atualizar o AWS CLI em sua máquina local, siga as instruções em Instalando a AWS Command Line Interface versão 2 no Guia do AWS Command Line Interface usuário.

  2. Configure o AWS CLI seguindo as instruções em Configurando novas configurações e credenciais.

  3. Verifique a instalação ou atualização executando aws nimble help. Esse comando exibirá uma lista de comandos disponíveis do Nimble Studio.

  4. Crie um perfil nomeado seguindo as instruções em Usar perfis nomeados. Esse perfil nomeado será usado para configurar o File Transfer na Conceitos básicos do Nimble Studio File Transfer seção.

    1. Para criar uma chave de acesso e uma chave secreta, siga as instruções em Criar um usuário do IAM na sua Conta da AWS. Depois de criar um usuário, o console gera um valor de chave de acesso e de chave secreta.

    2. Na etapa 4, escolha a interface de linha de comandos (CLI) para o tipo de acesso que esse usuário terá.

    3. Na etapa 6, selecione Anexar políticas existentes diretamente. Marque a caixa de seleção da política que você criou em Criar uma política de acesso do IAM .

  5. Verifique se você criou um perfil nomeado executando o seguinte comando: aws --profile [name of profile you created in step 4] sts get-caller-identity

    1. Este exemplo gera uma saída semelhante à seguinte. Neste exemplo, o nome do arquivo é filetransfer.

    $ aws --profile filetransfer sts get-caller-identity "UserId": "ARXXXXXXXXXXXXXXXXXXX:username", "Account": "123456789012", "Arn": "arn:aws:sts::123456789012:XXXXXXXXXXXXXXX..." }

Recomendamos que você leia sobre os controles AWS CLI de segurança adicionais que estão disponíveis no Guia AWS Command Line Interface do usuário.