Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# SFTP-Konnektoren erstellen
In diesem Thema wird beschrieben, wie SFTP-Konnektoren erstellt werden. Jeder Connector bietet die Möglichkeit, eine Verbindung mit einem Remote-SFTP-Server herzustellen. Sie führen die folgenden allgemeinen Aufgaben aus, um einen SFTP-Connector zu konfigurieren.
**Anmerkung**
Informationen zu VPC-basierten Connectoren, die den Datenverkehr durch Ihre Virtual Private Cloud weiterleiten, finden Sie unter. [Erstellen Sie einen SFTP-Connector mit VPC-basiertem Ausgang](create-vpc-sftp-connector-procedure.md)
1. Speichern Sie die Authentifizierungsdaten für den Connector in. AWS Secrets Manager
1. Erstellen Sie den Connector, indem Sie den geheimen ARN, die URL oder den ARN für die Ressourcenkonfiguration des Remoteservers, die Sicherheitsrichtlinie mit den Algorithmen, die vom Connector unterstützt werden, und andere Konfigurationseinstellungen angeben.
1. Nachdem Sie den Connector erstellt haben, können Sie ihn testen, um sicherzustellen, dass er Verbindungen mit dem Remote-SFTP-Server herstellen kann.
## Wählen Sie den Ausgangstyp des SFTP-Connectors
Wenn Sie einen SFTP-Connector erstellen, wählen Sie den Ausgangstyp zwischen „Service managed“ und „VPC Lattice“.
+ **Service managed** (Standard): Der Connector verwendet NAT-Gateways und IP-Adressen, die Eigentum von sind, AWS Transfer Family um Verbindungen über das öffentliche Internet weiterzuleiten. Der Dienst stellt 3 statische IP-Adressen für Ihre Connectoren bereit, die auf den Remoteservern auf die Zulassungsliste gesetzt werden müssen, um Verbindungen herzustellen.
+ **VPC Lattice**: Der Connector leitet den Datenverkehr mithilfe von Amazon VPC Lattice durch Ihre VPC-Umgebung. Verwenden Sie VPC-Konnektivität für SFTP-Connectors in diesen Szenarien:
+ **Private SFTP-Server**: Connect zu SFTP-Servern her, auf die nur von Ihrer VPC aus zugegriffen werden kann
+ **Konnektivität vor Ort**: Stellen Sie über Oder-Verbindungen eine Verbindung zu lokalen SFTP-Servern her AWS Direct Connect AWS Virtual Private Network
+ **Benutzerdefinierte IP-Adressen**: Präsentieren Sie dem Remoteserver Ihre eigenen NAT-Gateways und Elastic IP-Adressen
+ **Zentralisierte Sicherheitskontrollen**: Leiten Sie Dateiübertragungen über die zentralen Steuerungen Ihres Unternehmens weiter ingress/egress
Die folgende Matrix hilft Ihnen bei der Auswahl des richtigen Steckertyps für Ihre Anwendungsfälle.
**Matrix für den Ausgangstyp des SFTP-Anschlusses**
| Funktion | Ausgangstyp = Verwalteter Dienst | Ausgangstyp = VPC-Gitter |
| --- | --- | --- |
| Konnektivität zu öffentlich gehosteten (über das Internet zugänglichen) SFTP-Servern | Unterstützt | Unterstützt 1 |
| Konnektivität zu privat gehosteten (lokalen) SFTP-Servern | Nicht unterstützt | Unterstützt 2 |
| Konnektivität zu privat gehosteten (In-VPC) SFTP-Servern | Nicht unterstützt | Unterstützt |
| Statische IP-Adressen, die dem Remote-SFTP-Server zur Verfügung gestellt werden | Wird über vom Dienst bereitgestellte statische IP-Adressen unterstützt | Wird über statische IP-Adressen unterstützt, die sich im Besitz des Kunden befinden |
| Verfügbare Bandbreite | 50 MBIT/S pro Konto | Höhere Bandbreite, je nach Verfügbarkeit über Resource Gateway und NAT Gateway im Kundenbesitz |
| Weiterleitung des Datenverkehrs zum Internet über kundeneigene NAT-Gateways und Netzwerk-Firewalls | Nicht unterstützt NAT-Gateways gehören dem Transfer Family Service und werden von diesem verwaltet. | Unterstützt |
1 *Mit Egress Type = VPC Lattice wird die Konnektivität zu öffentlich gehosteten Servern mithilfe der Egress-Infrastruktur (NAT-Gateways) in Ihrem Ausgang unterstützt*. VPCs
2 *Mit Egress Type = VPC Lattice wird die Konnektivität zu privat gehosteten Servern unter Verwendung vorhandener Netzwerke in Ihrer VPC unterstützt, z. B. VPN*. AWS Direct Connect
**Topics**
+ [
## Wählen Sie den Ausgangstyp des SFTP-Connectors
](#choosing-egress-type)
+ [
# Speichern Sie Authentifizierungsdaten für SFTP-Konnektoren in Secrets Manager
](sftp-connector-secret-procedure.md)
+ [
# Erstellen Sie einen SFTP-Connector mit serviceverwaltetem Ausgang
](create-sftp-connector-procedure.md)
+ [
# Erstellen Sie einen SFTP-Connector mit VPC-basiertem Ausgang
](create-vpc-sftp-connector-procedure.md)
+ [
# Testen Sie einen SFTP-Connector
](test-sftp-connector.md)
# Speichern Sie Authentifizierungsdaten für SFTP-Konnektoren in Secrets Manager
Sie können Secrets Manager verwenden, um Benutzeranmeldeinformationen für Ihre SFTP-Konnektoren zu speichern. Wenn Sie Ihr Geheimnis erstellen, müssen Sie einen Benutzernamen angeben. Darüber hinaus können Sie entweder ein Passwort, einen privaten Schlüssel oder beides angeben. Details hierzu finden Sie unter [Kontingente für SFTP-Konnektoren](scale-and-limits-sftp-connector.md#limits-sftp-connector).
**Anmerkung**
Wenn Sie Geheimnisse im Secrets Manager speichern, AWS-Konto fallen Gebühren an. Informationen zu den Preisen erhalten Sie unter [AWS Secrets Manager Preise](https://aws.amazon.com/secrets-manager/pricing).
**Um Benutzeranmeldeinformationen in Secrets Manager für einen SFTP-Connector zu speichern**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Secrets Manager Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie im linken Navigationsbereich **Secrets** aus.
1. Wählen Sie auf der Seite **Secrets** die Option **Neues Geheimnis speichern** aus.
1. **Wählen Sie auf der Seite Geheimtyp** auswählen für **Geheimtyp** die Option **Anderer Geheimtyp aus**.
1. Geben Sie die key/value Informationen für Ihr Geheimnis ein: Sie müssen den Benutzernamen und entweder einen privaten Schlüssel oder ein Passwort angeben.
1. Wählen Sie im Abschnitt **Schlüssel/Wert-Paare** die Registerkarte **Schlüssel/Wert** aus.
+ **Schlüssel — Geben Sie ein.** **Username**
+ **Wert** — Geben Sie den Namen des Benutzers ein, der berechtigt ist, eine Verbindung zum Server des Partners herzustellen.
1. Wenn Sie ein key pair angeben möchten, wählen Sie **Zeile hinzufügen und wählen Sie** im Abschnitt **Schlüssel/Wert-Paare die Registerkarte **Schlüssel/Wert**** aus.
+ **Schlüssel — Geben Sie ein.** **PrivateKey**
+ **Wert** — fügen Sie Ihren privaten Schlüssel ein.
**Tipp**: Die von Ihnen eingegebenen privaten Schlüsseldaten müssen dem öffentlichen Schlüssel entsprechen, der für diesen Benutzer auf dem Remote-SFTP-Server gespeichert ist.
**Anmerkung**
Es ist nicht möglich, einen passwortgeschützten privaten Schlüssel für die Authentifizierung mit einem SFTP-Connector zu verwenden. AWS Transfer Family
Einzelheiten zum Generieren eines public/private key pair finden Sie unter[SSH-Schlüssel auf macOS, Linux oder Unix erstellen](macOS-linux-unix-ssh.md).
1. Wenn Sie ein Passwort angeben möchten, wählen Sie **Zeile hinzufügen** und wählen Sie im Abschnitt **Schlüssel/Wert-Paare die Registerkarte **Schlüssel/Wert**** aus.
+ **Schlüssel — Geben Sie ein.** **Password**
+ **Wert** — Geben Sie das Passwort für den Benutzer ein.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Geheim konfigurieren** einen Namen und eine Beschreibung für Ihr Geheimnis ein. Wir empfehlen, dass Sie **aws/transfer/** für den Namen das Präfix von verwenden. Sie könnten beispielsweise Ihr Geheimnis benennen**aws/transfer/connector-1**.
1. Wählen Sie **Weiter** und akzeptieren Sie dann die Standardeinstellungen auf der Seite „**Rotation konfigurieren**“. Klicken Sie anschließend auf **Weiter**.
1. Wählen Sie auf der Seite **„Überprüfen**“ die Option **Speichern** aus, um das Geheimnis zu erstellen und zu speichern.
# Erstellen Sie einen SFTP-Connector mit serviceverwaltetem Ausgang
In diesem Verfahren wird erklärt, wie Sie SFTP-Konnektoren mithilfe der AWS Transfer Family Konsole oder erstellen. AWS CLI
------
#### [ Console ]
**Um einen SFTP-Connector zu erstellen**
1. Öffnen Sie die AWS Transfer Family Konsole unter. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)
1. Wählen Sie im linken Navigationsbereich **SFTP-Connectors** und anschließend **Create SFTP-Connector** aus.
1. **Wählen Sie im Abschnitt **Connector-Konfiguration** für **Egress type** die Option Service managed aus.** Diese Option verwendet eine AWS Transfer Family verwaltete Ausgangsinfrastruktur. Der Transfer Family Family-Dienst stellt statische IP-Adressen für jeden SFTP-Connector bereit und verwaltet sie.
1. Geben Sie im Abschnitt **Connector-Konfiguration** die folgenden Informationen an:
![\[Die Transfer Family SFTP-Connector-Konsole mit den Connector-Konfigurationseinstellungen.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-connector-example-config.png)
+ Geben Sie für die **URL** die URL für einen Remote-SFTP-Server ein. Diese URL muss beispielsweise als `sftp://partner-SFTP-server-url` formatiert sein. `sftp://AnyCompany.com`
**Anmerkung**
Optional können Sie in Ihrer URL eine Portnummer angeben. Das Format ist `sftp://partner-SFTP-server-url:port-number`. Die Standard-Portnummer (wenn kein Port angegeben ist) ist Port 22.
+ Wählen Sie für die **Access-Rolle** den Amazon-Ressourcennamen (ARN) der zu verwendenden AWS Identity and Access Management (IAM) -Rolle aus.
+ **Stellen Sie sicher, dass diese Rolle Lese- und Schreibzugriff auf das übergeordnete Verzeichnis des Dateispeicherorts bietet**, der in der `StartFileTransfer` Anfrage verwendet wird.
+ **Stellen Sie sicher, dass diese Rolle die Berechtigung `secretsmanager:GetSecretValue` zum Zugriff auf den geheimen Schlüssel gewährt**.
**Anmerkung**
In der Richtlinie müssen Sie den ARN für das Geheimnis angeben. Der ARN enthält den geheimen Namen, fügt dem Namen jedoch sechs zufällige alphanumerische Zeichen hinzu. Ein ARN für ein Geheimnis hat das folgende Format.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Stellen Sie sicher, dass diese Rolle eine Vertrauensstellung enthält**, die es dem Connector ermöglicht, auf Ihre Ressourcen zuzugreifen, wenn er Übertragungsanfragen Ihrer Benutzer bearbeitet. Einzelheiten zum Aufbau einer Vertrauensbeziehung finden Sie unter[So stellen Sie eine Vertrauensbeziehung her](requirements-roles.md#establish-trust-transfer).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**Anmerkung**
Für die Zugriffsrolle gewährt das Beispiel Zugriff auf ein einzelnes Geheimnis. Sie können jedoch ein Platzhalterzeichen verwenden, was Ihnen Arbeit ersparen kann, wenn Sie dieselbe IAM-Rolle für mehrere Benutzer und Geheimnisse wiederverwenden möchten. Die folgende Ressourcenanweisung gewährt beispielsweise Berechtigungen für alle Geheimnisse, deren Namen mit beginnen. `aws/transfer`
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
Sie können Geheimnisse, die Ihre SFTP-Anmeldeinformationen enthalten, auch in einem anderen AWS-Konto speichern. Einzelheiten zur Aktivierung des kontoübergreifenden geheimen Zugriffs finden Sie unter [Berechtigungen für AWS Secrets Manager geheime Daten für Benutzer in einem anderen](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) Konto.
1. Vervollständigen Sie die Connector-Konfiguration:
+ (Optional) Wählen Sie für die **Logging-Rolle** die IAM-Rolle aus, die der Connector verwenden soll, um Ereignisse in Ihre CloudWatch Logs zu übertragen. In der folgenden Beispielrichtlinie sind die erforderlichen Berechtigungen für die Protokollierung von Ereignissen für SFTP-Konnektoren aufgeführt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
1. Geben Sie im Abschnitt **SFTP-Konfiguration** die folgenden Informationen ein:
![\[Die Transfer Family SFTP-Connector-Konsole mit den SFTP-Konfigurationseinstellungen.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-connector-example-sftp-config.png)
+ Wählen Sie für **Connector-Anmeldeinformationen** aus der Dropdownliste den Namen eines Geheimnisses aus, das den privaten Schlüssel AWS Secrets Manager oder das Passwort des SFTP-Benutzers enthält. Sie müssen ein Geheimnis erstellen und es auf eine bestimmte Weise speichern. Details hierzu finden Sie unter [Speichern Sie Authentifizierungsdaten für SFTP-Konnektoren in Secrets Manager](sftp-connector-secret-procedure.md).
+ (Optional) Sie haben die Möglichkeit, Ihren Connector zu erstellen und dabei den `TrustedHostKeys` Parameter leer zu lassen. Ihr Connector kann jedoch keine Dateien mit dem Remoteserver übertragen, bis Sie diesen Parameter in der Konfiguration Ihres Connectors angeben. Sie können den oder die vertrauenswürdigen Hostschlüssel bei der Erstellung Ihres Connectors eingeben oder Ihren Connector später aktualisieren, indem Sie die Host-Schlüsselinformationen verwenden, die von der `TestConnection` Konsolenaktion oder dem API-Befehl zurückgegeben wurden. Das heißt, für das Textfeld **Vertrauenswürdige Hostschlüssel** können Sie einen der folgenden Schritte ausführen:
+ **Geben Sie bei der Erstellung Ihres Connectors den/die Trusted Host Key (s) an.** Fügen Sie den öffentlichen Teil des Hostschlüssels ein, der zur Identifizierung des externen Servers verwendet wird. Sie können mehr als einen Schlüssel hinzufügen, indem **Sie Vertrauenswürdigen Hostschlüssel hinzufügen** wählen, um einen zusätzlichen Schlüssel hinzuzufügen. Sie können den `ssh-keyscan` Befehl für den SFTP-Server verwenden, um den erforderlichen Schlüssel abzurufen. Einzelheiten zum Format und Typ der vertrauenswürdigen Hostschlüssel, die Transfer Family unterstützt, finden Sie unter [https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html](https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html).
+ *Lassen Sie das Textfeld Vertrauenswürdige Hostschlüssel leer, wenn Sie Ihren Connector erstellen, und aktualisieren Sie Ihren Connector zu einem späteren Zeitpunkt mit diesen Informationen.* Wenn Sie zum Zeitpunkt der Erstellung Ihres Connectors nicht über die Informationen zum Hostschlüssel verfügen, können Sie diesen Parameter vorerst leer lassen und mit der Erstellung Ihres Connectors fortfahren. Nachdem der Connector erstellt wurde, verwenden Sie die ID des neuen Connectors, um den `TestConnection` Befehl entweder auf der AWS CLI oder auf der Detailseite des Connectors auszuführen. Bei Erfolg `TestConnection` werden die erforderlichen Host-Schlüsselinformationen zurückgegeben. Anschließend können Sie Ihren Connector mithilfe der Konsole (oder durch Ausführen des `UpdateConnector` AWS CLI Befehls) bearbeiten und die Hostschlüsselinformationen hinzufügen, die bei der Ausführung zurückgegeben wurden`TestConnection`.
**Wichtig**
Wenn Sie den Hostschlüssel des Remoteservers durch Ausführen abrufen`TestConnection`, stellen Sie sicher, dass Sie den zurückgegebenen Schlüssel überprüfen. out-of-band
Sie müssen den neuen Schlüssel als vertrauenswürdig akzeptieren oder den angezeigten Fingerabdruck mit einem bereits bekannten Fingerabdruck verifizieren, den Sie vom Besitzer des Remote-SFTP-Servers erhalten haben, zu dem Sie eine Verbindung herstellen.
+ (Optional) Wählen Sie für **Maximale Anzahl gleichzeitiger Verbindungen** aus der Dropdownliste die Anzahl der gleichzeitigen Verbindungen aus, die Ihr Connector zum Remoteserver herstellt. **Die Standardauswahl auf der Konsole ist 5.**
Diese Einstellung gibt die Anzahl der aktiven Verbindungen an, die Ihr Connector gleichzeitig mit dem Remoteserver herstellen kann. Durch das Erstellen gleichzeitiger Verbindungen kann die Leistung des Connectors verbessert werden, indem parallel Operationen ermöglicht werden.
1. Wählen Sie im Abschnitt **Optionen für kryptografische Algorithmen** eine **Sicherheitsrichtlinie** aus der Dropdownliste im Feld **Sicherheitsrichtlinie** aus. Mit der Sicherheitsrichtlinie können Sie die kryptografischen Algorithmen auswählen, die Ihr Connector unterstützt. Einzelheiten zu den verfügbaren Sicherheitsrichtlinien und Algorithmen finden Sie unter[AWS Transfer Family Sicherheitsrichtlinien für SFTP-Konnektoren](security-policies-connectors.md).
1. (Optional) Geben Sie im Abschnitt **Tags** für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein.
1. Nachdem Sie alle Ihre Einstellungen bestätigt haben, wählen Sie „SFTP-Connector **erstellen“, um den SFTP-Connector** zu erstellen. Wenn der Connector erfolgreich erstellt wurde, erscheint ein Bildschirm mit einer Liste der zugewiesenen statischen IP-Adressen und der Schaltfläche **Verbindung testen**. Verwenden Sie die Schaltfläche, um die Konfiguration für Ihren neuen Connector zu testen.
![\[Der Bildschirm zur Connector-Erstellung, der angezeigt wird, wenn ein SFTP-Connector erfolgreich erstellt wurde. Er enthält eine Schaltfläche zum Testen der Verbindung und eine Liste der vom Dienst verwalteten statischen IP-Adressen dieses Connectors.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/connector-success-ip.png)
Die Seite **Connectors** wird angezeigt, auf der die ID Ihres neuen SFTP-Connectors zur Liste hinzugefügt wurde. Einzelheiten zu Ihren Konnektoren finden Sie unter[Details zum SFTP-Connector anzeigen](manage-sftp-connectors.md#sftp-connectors-view-info).
------
#### [ CLI ]
Sie verwenden den [https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html)Befehl, um einen Konnektor zu erstellen. Um mit diesem Befehl einen SFTP-Connector zu erstellen, müssen Sie die folgenden Informationen angeben.
+ Die URL für einen Remote-SFTP-Server. Diese URL muss beispielsweise als `sftp://partner-SFTP-server-url` formatiert sein. `sftp://AnyCompany.com`
+ Die Zugriffsrolle. Wählen Sie den Amazon-Ressourcennamen (ARN) der zu AWS Identity and Access Management verwendenden (IAM) -Rolle aus.
+ **Stellen Sie sicher, dass diese Rolle Lese- und Schreibzugriff auf das übergeordnete Verzeichnis des Dateispeicherorts bietet**, der in der `StartFileTransfer` Anfrage verwendet wird.
+ **Stellen Sie sicher, dass diese Rolle die Berechtigung `secretsmanager:GetSecretValue` zum Zugriff auf den geheimen Schlüssel gewährt**.
**Anmerkung**
In der Richtlinie müssen Sie den ARN für das Geheimnis angeben. Der ARN enthält den geheimen Namen, fügt dem Namen jedoch sechs zufällige alphanumerische Zeichen hinzu. Ein ARN für ein Geheimnis hat das folgende Format.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Stellen Sie sicher, dass diese Rolle eine Vertrauensstellung enthält**, die es dem Connector ermöglicht, auf Ihre Ressourcen zuzugreifen, wenn er Übertragungsanfragen Ihrer Benutzer bearbeitet. Einzelheiten zum Aufbau einer Vertrauensbeziehung finden Sie unter[So stellen Sie eine Vertrauensbeziehung her](requirements-roles.md#establish-trust-transfer).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**Anmerkung**
Für die Zugriffsrolle gewährt das Beispiel Zugriff auf ein einzelnes Geheimnis. Sie können jedoch ein Platzhalterzeichen verwenden, was Ihnen Arbeit ersparen kann, wenn Sie dieselbe IAM-Rolle für mehrere Benutzer und Geheimnisse wiederverwenden möchten. Die folgende Ressourcenanweisung gewährt beispielsweise Berechtigungen für alle Geheimnisse, deren Namen mit beginnen. `aws/transfer`
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
Sie können Geheimnisse, die Ihre SFTP-Anmeldeinformationen enthalten, auch in einem anderen AWS-Konto speichern. Einzelheiten zur Aktivierung des kontoübergreifenden geheimen Zugriffs finden Sie unter [Berechtigungen für AWS Secrets Manager geheime Daten für Benutzer in einem anderen](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) Konto.
+ (Optional) Wählen Sie die IAM-Rolle aus, die der Connector verwenden soll, um Ereignisse in Ihre CloudWatch Logs zu übertragen. In der folgenden Beispielrichtlinie sind die erforderlichen Berechtigungen für die Protokollierung von Ereignissen für SFTP-Konnektoren aufgeführt.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
+ Geben Sie die folgenden SFTP-Konfigurationsinformationen an.
+ Der ARN eines Geheimnisses AWS Secrets Manager , das den privaten Schlüssel oder das Passwort des SFTP-Benutzers enthält.
+ Der öffentliche Teil des Hostschlüssels, der zur Identifizierung des externen Servers verwendet wird. Sie können mehrere vertrauenswürdige Hostschlüssel angeben, wenn Sie möchten.
Der einfachste Weg, die SFTP-Informationen bereitzustellen, besteht darin, sie in einer Datei zu speichern. Kopieren Sie beispielsweise den folgenden Beispieltext in eine Datei mit dem Namen`testSFTPConfig.json`.
```
// Listing for testSFTPConfig.json
{
"UserSecretId": "arn:aws::secretsmanager:us-east-2:123456789012:secret:aws/transfer/example-username-key",
"TrustedHostKeys": [
"sftp.example.com ssh-rsa AAAAbbbb...EEEE="
]
}
```
+ Geben Sie eine Sicherheitsrichtlinie für Ihren Connector an und geben Sie den Namen der Sicherheitsrichtlinie ein.
**Anmerkung**
Das `SecretId` kann entweder der gesamte ARN oder der Name des Geheimnisses (*example-username-key*in der vorherigen Liste) sein.
Führen Sie dann den folgenden Befehl aus, um den Connector zu erstellen:
```
aws transfer create-connector --url "sftp://partner-SFTP-server-url" \
--access-role your-IAM-role-for-bucket-access \
--logging-role arn:aws:iam::your-account-id:role/service-role/AWSTransferLoggingAccess \
--sftp-config file:///path/to/testSFTPConfig.json \
--security-policy-name security-policy-name \
--maximum-concurrent-connections integer-from-1-to-5
```
Wenn Sie einen VPC-Ausgangsconnector beschreiben, enthält die Antwort die neuen Felder:
```
{
"Connector": {
"AccessRole": "arn:aws:iam::123456789012:role/connector-role",
"Arn": "arn:aws:transfer:us-east-1:123456789012:connector/c-1234567890abcdef0",
"ConnectorId": "c-1234567890abcdef0",
"Status": "ACTIVE",
"EgressConfig": {
"VpcLattice": {
"ResourceConfigurationArn": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-12345678",
"PortNumber": 22
}
},
"EgressType": "VPC",
"ServiceManagedEgressIpAddresses": null,
"SftpConfig": {
"TrustedHostKeys": [ "ssh-rsa AAAAB3NzaC..." ],
"UserSecretId": "aws/transfer/connector-secret"
},
"Url": "sftp://my.sftp.server.com:22"
}
}
```
Beachten Sie, dass dieser Wert für VPC-Ausgangs-Connectors Null `ServiceManagedEgressIpAddresses` ist, da der Datenverkehr über Ihre VPC und nicht über die verwaltete Infrastruktur geleitet wird. AWS
------
# Erstellen Sie einen SFTP-Connector mit VPC-basiertem Ausgang
Dieses Thema enthält step-by-step Anweisungen zum Erstellen von SFTP-Connectors mit VPC-Konnektivität. VPC\$1Lattice-fähige Connectoren verwenden Amazon VPC Lattice, um den Datenverkehr durch Ihre Virtual Private Cloud zu leiten und so sichere Verbindungen zu privaten Endpunkten zu ermöglichen oder Ihre eigenen NAT-Gateways für den Internetzugang zu verwenden.
**Wann sollte VPC-Konnektivität verwendet werden**
Verwenden Sie VPC-Konnektivität für SFTP-Connectors in diesen Szenarien:
+ **Private SFTP-Server**: Connect zu SFTP-Servern her, auf die nur von Ihrer VPC aus zugegriffen werden kann.
+ **Konnektivität vor Ort**: Stellen Sie über AWS Direct Connect- oder AWS Site-to-Site VPN-Verbindungen eine Verbindung zu lokalen SFTP-Servern her.
+ **Benutzerdefinierte IP-Adressen**: Verwenden Sie Ihre eigenen NAT-Gateways und Elastic IP-Adressen, einschließlich BYOIP-Szenarien.
+ **Zentralisierte Sicherheitskontrollen**: Leiten Sie Dateiübertragungen über die zentralen Kontrollen Ihres Unternehmens weiter. ingress/egress
![\[Architekturdiagramm, das den VPC-basierten Ausgang für SFTP-Konnektoren zeigt und veranschaulicht, wie Cross-VPC-Ressourcenzugriff sichere Verbindungen über Ihre Virtual Private Cloud ermöglicht.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/vpc-egress-diagram.png)
## Voraussetzungen für VPC\$1Lattice-fähige SFTP-Konnektoren
Bevor Sie einen VPC\$1Lattice-fähigen SFTP-Connector erstellen, müssen Sie die folgenden Voraussetzungen erfüllen:
**So funktioniert VPC-basierte Konnektivität**
Mit VPC Lattice können Sie VPC-Ressourcen sicher mit anderen Diensten teilen. AWS AWS Transfer Family verwendet ein Servicenetzwerk, um den Prozess der gemeinsamen Nutzung von Ressourcen zu vereinfachen. Die wichtigsten Komponenten sind:
+ **Resource Gateway**: Dient als Zugangspunkt zu Ihrer VPC. Sie erstellen dies in Ihrer VPC mit mindestens zwei Availability Zones.
+ **Ressourcenkonfiguration**: Enthält die private IP-Adresse oder den öffentlichen DNS-Namen des SFTP-Servers, zu dem Sie eine Verbindung herstellen möchten.
Wenn Sie einen VPC\$1Lattice-fähigen Connector erstellen, AWS Transfer Family verwendet er Forward Access Session (FAS), um vorübergehend Ihre Anmeldeinformationen abzurufen und Ihre Ressourcenkonfiguration mit unserem Servicenetzwerk zu verknüpfen.
**Erforderliche Einrichtungsschritte**
1. **VPC-Infrastruktur**: Stellen Sie sicher, dass Sie über eine ordnungsgemäß konfigurierte VPC mit den erforderlichen Subnetzen, Routing-Tabellen und Sicherheitsgruppen für Ihre Anforderungen an die SFTP-Serverkonnektivität verfügen.
1. **Resource Gateway**: Erstellen Sie mit dem Befehl VPC `create-resource-gateway` Lattice ein Resource Gateway in Ihrer VPC. Das Resource Gateway muss Subnetzen in mindestens zwei Availability Zones zugeordnet sein. Weitere Informationen finden Sie unter [Resource Gateways](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-gateway.html) im *Amazon VPC Lattice-Benutzerhandbuch*.
1. **Ressourcenkonfiguration**: Erstellen Sie mit dem Befehl VPC `create-resource-configuration` Lattice eine Ressourcenkonfiguration, die den Ziel-SFTP-Server darstellt. Sie können entweder angeben:
+ Eine private IP-Adresse für private Endpunkte
+ Ein öffentlicher DNS-Name für öffentliche Endpunkte (IP-Adressen werden für öffentliche Endpunkte nicht unterstützt)
1. **Authentifizierungsdaten**: Speichern Sie die SFTP-Benutzeranmeldedaten AWS Secrets Manager wie unter beschrieben. [Speichern Sie Authentifizierungsdaten für SFTP-Konnektoren in Secrets Manager](sftp-connector-secret-procedure.md)
**Wichtig**
Das Resource Gateway und die Ressourcenkonfiguration müssen im selben AWS Konto erstellt werden. Wenn Sie eine Ressourcenkonfiguration erstellen, müssen Sie zunächst über ein Resource Gateway verfügen.
Weitere Informationen zu VPC-Ressourcenkonfigurationen finden Sie unter [Ressourcenkonfigurationen](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) im *Amazon VPC Lattice-Benutzerhandbuch*.
**Anmerkung**
VPC-Konnektivität für SFTP-Konnektoren ist dort verfügbar, AWS-Regionen wo Amazon VPC Lattice-Ressourcen verfügbar sind. Weitere Informationen finden Sie unter [VPC FAQs Lattice](https://aws.amazon.com/vpc/lattice/faqs/#topic-0). Die Availability Zone-Unterstützung ist je nach Region unterschiedlich, und Resource Gateways erfordern mindestens zwei Availability Zones.
## Erstellen Sie einen VPC\$1Lattice-fähigen SFTP-Connector
Nachdem Sie die Voraussetzungen erfüllt haben, können Sie mithilfe der AWS Managementkonsole oder einen SFTP-Connector mit VPC-Konnektivität erstellen. AWS CLI AWS SDKs
------
#### [ Console ]
**So erstellen Sie einen VPC\$1Lattice-fähigen SFTP-Connector**
1. Öffnen AWS Transfer Family Sie die Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Wählen Sie im linken Navigationsbereich **SFTP-Connectors** und anschließend **Create SFTP-Connector** aus.
1. Wählen Sie im Abschnitt **Connector-Konfiguration** für **Egress type** die Option **VPC** Lattice aus.
Diese Option leitet den Datenverkehr mithilfe von Amazon VPC Lattice für den VPC-übergreifenden Ressourcenzugriff über Ihre VPC weiter. Sie können diese Option verwenden, um eine Verbindung zu privat gehosteten Serverendpunkten herzustellen, den Datenverkehr durch die Sicherheitskontrollen Ihrer VPC weiterzuleiten oder Ihre eigenen NAT-Gateways und Elastic IP-Adressen zu verwenden. Die Adresse des Remote-SFTP-Servers wird in Ihrer VPC als Ressourcenkonfiguration dargestellt. Weitere Informationen zu Ressourcenkonfigurationen finden Sie unter [Ressourcenkonfigurationen für VPC-Ressourcen](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) im Amazon VPC Lattice-Benutzerhandbuch.
1. Vervollständigen Sie die Connector-Konfiguration:
+ Wählen Sie für die **Access-Rolle** den Amazon-Ressourcennamen (ARN) der zu verwendenden AWS Identity and Access Management (IAM) -Rolle aus.
+ **Stellen Sie sicher, dass diese Rolle Lese- und Schreibzugriff auf das übergeordnete Verzeichnis des Dateispeicherorts bietet**, der in der `StartFileTransfer` Anfrage verwendet wird.
+ **Stellen Sie sicher, dass diese Rolle die Berechtigung `secretsmanager:GetSecretValue` zum Zugriff auf den geheimen Schlüssel gewährt**.
**Anmerkung**
In der Richtlinie müssen Sie den ARN für das Geheimnis angeben. Der ARN enthält den geheimen Namen, fügt dem Namen jedoch sechs zufällige alphanumerische Zeichen hinzu. Ein ARN für ein Geheimnis hat das folgende Format.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Stellen Sie sicher, dass diese Rolle eine Vertrauensstellung enthält**, die es dem Connector ermöglicht, auf Ihre Ressourcen zuzugreifen, wenn er Übertragungsanfragen Ihrer Benutzer bearbeitet. Einzelheiten zum Aufbau einer Vertrauensbeziehung finden Sie unter[So stellen Sie eine Vertrauensbeziehung her](requirements-roles.md#establish-trust-transfer).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**Anmerkung**
Für die Zugriffsrolle gewährt das Beispiel Zugriff auf ein einzelnes Geheimnis. Sie können jedoch ein Platzhalterzeichen verwenden, was Ihnen Arbeit ersparen kann, wenn Sie dieselbe IAM-Rolle für mehrere Benutzer und Geheimnisse wiederverwenden möchten. Die folgende Ressourcenanweisung gewährt beispielsweise Berechtigungen für alle Geheimnisse, deren Namen mit beginnen. `aws/transfer`
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
Sie können Geheimnisse, die Ihre SFTP-Anmeldeinformationen enthalten, auch in einem anderen AWS-Konto speichern. Einzelheiten zur Aktivierung des kontoübergreifenden geheimen Zugriffs finden Sie unter [Berechtigungen für AWS Secrets Manager geheime Daten für Benutzer in einem anderen](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) Konto.
+ Geben Sie für **Resource Configuration ARN** den ARN der VPC Lattice Resource Configuration ein, der auf Ihren SFTP-Server verweist:
```
arn:aws:vpc-lattice:region:account-id:resourceconfiguration/rcfg-12345678
```
+ (Optional) Wählen Sie für die **Logging-Rolle** die IAM-Rolle aus, die der Connector verwenden soll, um Ereignisse in Ihre Logs zu übertragen. CloudWatch
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
1. Geben Sie im Abschnitt **SFTP-Konfiguration** die folgenden Informationen ein:
+ Wählen Sie für **Connector-Anmeldeinformationen** den Namen eines Geheimnisses AWS Secrets Manager , das den privaten Schlüssel oder das Passwort des SFTP-Benutzers enthält.
+ Fügen Sie für **vertrauenswürdige Hostschlüssel** den öffentlichen Teil des Hostschlüssels ein, der zur Identifizierung des externen Servers verwendet wird, oder lassen Sie das Feld leer, um es später mit dem `TestConnection` Befehl zu konfigurieren.
Da dieser Hostschlüssel für einen VPC\$1LATTICE-Connector bestimmt ist, entfernen Sie den Hostnamen aus dem Schlüssel
+ (Optional) Wählen Sie unter **Maximale Anzahl gleichzeitiger Verbindungen** die Anzahl der gleichzeitigen Verbindungen aus, die Ihr Connector zum Remoteserver herstellt (Standard ist 5).
1. Wählen Sie im Abschnitt **Optionen für kryptografische Algorithmen** eine **Sicherheitsrichtlinie aus der Dropdownliste** aus.
1. (Optional) Fügen Sie im Abschnitt **Tags Tags** als Schlüssel-Wert-Paare hinzu.
1. Wählen Sie „**SFTP-Connector erstellen“, um den VPC\$1Lattice-fähigen SFTP-Connector** zu erstellen.
Der Connector wird mit dem Status „`PENDING`Während der Bereitstellung der Ressourcenzuordnung“ erstellt, was in der Regel mehrere Minuten dauert. Sobald sich der Status auf ändert`ACTIVE`, ist der Connector einsatzbereit.
------
#### [ CLI ]
Verwenden Sie den folgenden Befehl, um einen VPC\$1Lattice-fähigen SFTP-Connector zu erstellen:
```
aws transfer create-connector \
--url "sftp://my.sftp.server.com:22" \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-secret-id,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0} \
--security-policy-name TransferSecurityPolicy-2024-01
```
Der Schlüsselparameter für die VPC-Konnektivität ist`--egress-config`, der den ARN für die Ressourcenkonfiguration angibt, der Ihr SFTP-Serverziel definiert.
------
## Überwachung des VPC-Connectorstatus
Für VPC\$1Lattice-fähige Konnektoren wird ein asynchroner Einrichtungsprozess durchgeführt. Überwachen Sie nach der Erstellung den Status des Connectors:
+ **AUSSTEHEND**: Der Connector wird bereitgestellt. Die Bereitstellung des Servicenetzwerks ist im Gange, was in der Regel mehrere Minuten dauert.
+ **AKTIV**: Der Connector ist einsatzbereit und kann Dateien übertragen.
+ **FEHLER:** Der Connector konnte nicht bereitgestellt werden. Informationen zur Problembehandlung finden Sie in den Fehlerdetails.
Überprüfen Sie den Status des Connectors mit dem `describe-connector` folgenden Befehl:
```
aws transfer describe-connector --connector-id c-1234567890abcdef0
```
Im Status PENDING gibt die `test-connection` API „Connector not available“ zurück, bis die Bereitstellung abgeschlossen ist.
## Einschränkungen und Überlegungen
+ **Öffentliche Endpunkte**: Wenn Sie über VPC eine Verbindung zu öffentlichen Endpunkten herstellen, müssen Sie in der Ressourcenkonfiguration einen DNS-Namen angeben. Öffentliche IP-Adressen werden nicht unterstützt.
+ **Regionale Verfügbarkeit**: VPC-Konnektivität ist in ausgewählten AWS-Regionen Fällen verfügbar. Die regionsübergreifende gemeinsame Nutzung von Ressourcen wird nicht unterstützt.
+ **Anforderungen an die Availability Zone**: Resource Gateways müssen Subnetzen in mindestens zwei Availability Zones zugeordnet sein. Nicht alle Availability Zones unterstützen VPC Lattice in jeder Region.
+ **Verbindungslimits**: Maximal 350 Verbindungen pro Ressource mit einem Leerlaufzeitlimit von 350 Sekunden für TCP-Verbindungen.
## Kostenüberlegungen
Es fallen keine zusätzlichen Gebühren an, die über die regulären Servicegebühren AWS Transfer Family hinausgehen. Für Kunden können jedoch zusätzliche Gebühren von Amazon VPC Lattice im Zusammenhang mit der gemeinsamen Nutzung ihrer Amazon Virtual Private Cloud Cloud-Ressourcen sowie NAT-Gateway-Gebühren anfallen, wenn sie ihre eigenen NAT-Gateways für den Internetzugang verwenden.
[Vollständige AWS Transfer Family Preisinformationen finden Sie auf der Preisseite.AWS Transfer Family](https://aws.amazon.com/aws-transfer-family/pricing/)
## Beispiele für VPC-Konnektivität für SFTP-Konnektoren
Dieser Abschnitt enthält Beispiele für die Erstellung von SFTP-Connectors mit VPC-Konnektivität für verschiedene Szenarien. Bevor Sie diese Beispiele verwenden, stellen Sie sicher, dass Sie die Einrichtung der VPC-Infrastruktur abgeschlossen haben, wie in der VPC-Konnektivitätsdokumentation beschrieben.
### Beispiel: Private Endpunktverbindung
Dieses Beispiel zeigt, wie Sie einen SFTP-Connector erstellen, der eine Verbindung zu einem privaten SFTP-Server herstellt, auf den nur von Ihrer VPC aus zugegriffen werden kann.
**Voraussetzungen**
1. Erstellen Sie ein Resource Gateway in Ihrer VPC:
```
aws vpc-lattice create-resource-gateway \
--name my-private-server-gateway \
--vpc-identifier vpc-1234567890abcdef0 \
--subnet-ids subnet-1234567890abcdef0 subnet-0987654321fedcba0
```
1. Erstellen Sie eine Ressourcenkonfiguration für Ihren privaten SFTP-Server:
```
aws vpc-lattice create-resource-configuration \
--name my-private-server-config \
--resource-gateway-identifier rgw-1234567890abcdef0 \
--resource-configuration-definition ipResource={ipAddress="10.0.1.100"} \
--port-ranges 22
```
**Erstellen Sie den VPC\$1Lattice-fähigen Connector**
1. Erstellen Sie den SFTP-Connector mit VPC-Konnektivität:
```
aws transfer create-connector \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-private-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22}
```
1. Überwachen Sie den Status des Connectors, bis er wie folgt aussieht: `ACTIVE`
```
aws transfer describe-connector --connector-id c-1234567890abcdef0
```
Der Remote-SFTP-Server erkennt Verbindungen, die von der IP-Adresse des Resource Gateways innerhalb Ihres VPC-CIDR-Bereichs kommen.
### Beispiel: Öffentlicher Endpunkt über VPC
Dieses Beispiel zeigt, wie Sie Verbindungen zu einem öffentlichen SFTP-Server über Ihre VPC weiterleiten, um zentralisierte Sicherheitskontrollen zu nutzen und Ihre eigenen NAT-Gateway-IP-Adressen zu verwenden.
**Voraussetzungen**
1. Erstellen Sie ein Resource Gateway in Ihrer VPC (wie im Beispiel für einen privaten Endpunkt).
1. Erstellen Sie eine Ressourcenkonfiguration für den öffentlichen SFTP-Server unter Verwendung seines DNS-Namens:
```
aws vpc-lattice create-resource-configuration \
--name my-public-server-config \
--resource-gateway-identifier rgw-1234567890abcdef0 \
--resource-configuration-definition dnsResource={domainName="sftp.example.com"} \
--port-ranges 22
```
**Anmerkung**
Für öffentliche Endpunkte müssen Sie einen DNS-Namen verwenden, keine IP-Adresse.
**Erstellen Sie den Connector**
+ Erstellen Sie den SFTP-Connector:
```
aws transfer create-connector \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-public-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0987654321fedcba0,PortNumber=22}
```
Der Datenverkehr fließt vom Connector zu Ihrem Resource Gateway und dann über Ihr NAT-Gateway zum öffentlichen SFTP-Server. Der Remoteserver sieht die Elastic IP-Adresse Ihres NAT-Gateways als Quelle.
### Beispiel: Kontoübergreifender privater Endpunkt
Dieses Beispiel zeigt, wie Sie mithilfe von Resource Sharing eine Verbindung zu einem privaten SFTP-Server in einem anderen AWS Konto herstellen können.
**Anmerkung**
Wenn Sie die VPC-übergreifende Ressourcenfreigabe bereits über andere Mechanismen aktiviert haben, z. B. AWS Transit Gateway, müssen Sie die hier beschriebene Ressourcenfreigabe nicht konfigurieren. Die vorhandenen Routingmechanismen, wie Transit Gateway Gateway-Routentabellen, werden automatisch von SFTP-Konnektoren verwendet. Sie müssen nur eine Ressourcenkonfiguration in demselben Konto erstellen, in dem Sie den SFTP-Connector erstellen.
**Konto A (Ressourcenanbieter) — Teilen Sie die Ressourcenkonfiguration**
1. Erstellen Sie das Ressourcen-Gateway und die Ressourcenkonfiguration in Konto A (wie in den vorherigen Beispielen).
1. Teilen Sie die Ressourcenkonfiguration mithilfe von AWS Resource Access Manager mit Konto B:
```
aws ram create-resource-share \
--name cross-account-sftp-share \
--resource-arns arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0 \
--principals 222222222222
```
**Konto B (Ressourcennutzer) — Den Share akzeptieren und verwenden**
1. Nehmen Sie die Einladung zur gemeinsamen Nutzung von Ressourcen an:
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn arn:aws:ram:us-east-1:111111111111:resource-share-invitation/invitation-id
```
1. Erstellen Sie den SFTP-Connector in Konto B:
```
aws transfer create-connector \
--access-role arn:aws:iam::222222222222:role/TransferConnectorRole \
--sftp-config UserSecretId=cross-account-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22}
```
Der Connector in Konto B kann jetzt über die gemeinsame Ressourcenkonfiguration auf den privaten SFTP-Server in Konto A zugreifen.
### Allgemeine Problembehandlungsszenarien
Hier finden Sie Lösungen für häufig auftretende Probleme bei der Erstellung von VPC\$1Lattice-fähigen Connectoren:
+ Der **Connector bleibt im Status AUSSTEHEND hängen**: Überprüfen Sie, ob Ihr Resource Gateway AKTIV ist und Subnetze in unterstützten Availability Zones hat. Wenn der Connector immer noch den Status PENDING hat, rufen Sie `UpdateConnector` ihn mit denselben Konfigurationsparametern auf, die Sie ursprünglich verwendet haben. Dadurch wird ein neues Statusereignis ausgelöst, das das Problem möglicherweise behebt.
+ **Verbindungstimeouts**: Stellen Sie sicher, dass die Sicherheitsgruppenregeln den Verkehr auf Port 22 zulassen und dass Ihr VPC-Routing korrekt ist.
+ **Probleme mit der DNS-Auflösung**: Stellen Sie bei öffentlichen Endpunkten sicher, dass Ihre VPC über ein NAT-Gateway oder ein Internet Gateway mit dem Internet verbunden ist.
+ **Kontoübergreifender Zugriff verweigert**: Stellen Sie sicher, dass die Ressourcenfreigabe akzeptiert wurde und der ARN für die Ressourcenkonfiguration korrekt ist. Wenn der Ressourcenkonfiguration bei der Erstellung der Ressourcenfreigabe durch das Ursprungskonto die richtige Berechtigungsrichtlinie zugewiesen wurde, sind die folgenden Berechtigungen erforderlich:`vpc-lattice:AssociateViaAWSService`,, `vpc-lattice:AssociateViaAWSService-EventsAndStates``vpc-lattice:CreateServiceNetworkResourceAssociation`,`vpc-lattice:GetResourceConfiguration`.
# Testen Sie einen SFTP-Connector
Nachdem Sie einen SFTP-Connector erstellt haben, empfehlen wir Ihnen, ihn zu testen, bevor Sie versuchen, Dateien mit Ihrem neuen Connector zu übertragen.
**Um einen SFTP-Connector zu testen**
1. Öffnen Sie die AWS Transfer Family Konsole unter. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)
1. Wählen Sie im linken Navigationsbereich **SFTP-Konnektoren** und wählen Sie einen Connector aus.
1. Wählen Sie im Menü **Aktionen** die Option **Verbindung testen** aus.
![\[In der Transfer Family Family-Konsole wird ein ausgewählter SFTP-Connector angezeigt, und die Aktion Verbindung testen ist hervorgehoben.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/connector-test-choose.png)
Das System gibt eine Meldung zurück, die angibt, ob der Test erfolgreich war oder nicht. Wenn der Test fehlschlägt, gibt das System eine Fehlermeldung aus, die auf dem Grund basiert, warum der Test fehlgeschlagen ist.
![\[Das Verbindungsfeld zum Testen des SFTP-Anschlusses zeigt einen erfolgreichen Test an.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/connector-test-success.png)
![\[Das Verbindungsfeld zum Testen des SFTP-Anschlusses zeigt einen fehlgeschlagenen Test an: Die Fehlermeldung weist darauf hin, dass die Zugriffsrolle für den Konnektor falsch ist.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/connector-test-fail-role.png)
**Anmerkung**
Informationen zum Testen Ihres Connectors mithilfe der API finden Sie in der [https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection](https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection)API-Dokumentation.