Eine Transfer Family Family-Web-App erstellen Schritte nach der Erstellung Richtlinie für die gemeinsame Nutzung von Ressourcen zwischen verschiedenen Quellen (CORS)Beschränken des Zugriffs auf einen bestimmten VPC-Endpunkt

Eine Transfer Family Family-Web-App in einer VPC erstellen

In diesem Abschnitt werden die Verfahren zum Erstellen einer Transfer Family Family-Web-App in einer VPC beschrieben. Sie können den Endpunkt Ihrer Web-App in einer Virtual Private Cloud (VPC) hosten, um Daten zu und von einem Amazon S3 S3-Bucket zu übertragen, ohne das öffentliche Internet nutzen zu müssen. Informationen zum Zuweisen von Benutzern und Gruppen, die Ihre Web-App verwenden können, finden Sie unterBenutzer oder Gruppen einer Transfer Family Family-Web-App zuweisen oder hinzufügen.

Anmerkung

Um einen privaten end-to-end Datenfluss bei der Verwendung eines VPC-Endpunkts für die Transfer Family Family-Web-App sicherzustellen, müssen Sie drei zusätzliche Komponenten implementieren. Richten Sie zunächst einen PrivateLink Endpunkt für Amazon S3 Control API-Operationen ein, der für API-Aufrufe von Amazon S3 Access Grants erforderlich ist. Zweitens konfigurieren Sie einen Endpunkt für den Amazon S3-Datenzugriff, indem Sie entweder einen PrivateLink Amazon S3 Gateway-Endpunkt (für Datenverkehr aus Ihrer VPC) oder einen Amazon S3 S3-Interface-Endpunkt (für Datenverkehr aus lokalen Netzwerken über VPN oder Direct Connect) verwenden. Drittens sperren Sie Ihren Amazon S3 S3-Bucket-Zugriff, indem Sie die Bucket-Richtlinien so aktualisieren, dass nur Verkehr von diesen VPC-Endpunkten zugelassen wird. Diese Kombination stellt sicher, dass alle Datenübertragungen innerhalb Ihrer privaten Netzwerkinfrastruktur bleiben und niemals das öffentliche Internet durchqueren.

Eine Transfer Family Family-Web-App erstellen

Voraussetzungen

AWS IAM Identity Center mit dem konfigurierten Identitätsanbieter einrichten. Siehe Konfigurieren Sie Ihren Identitätsanbieter für Transfer Family Family-Web-Apps.
Einrichtung von VPC- und Netzwerkkomponenten. Siehe Eine VPC erstellen.
API-Endpunkt, der für Amazon S3 Control-Operationen eingerichtet wurde. Siehe Zugreifen auf Endpunkte der Amazon S3 S3-Schnittstelle.
VPC-Endpunkte für Amazon S3 (Gateway oder Interface) eingerichtet. Siehe Typen von VPC-Endpunkten für Amazon S3. Wenn Sie einen Schnittstellenendpunkt verwenden, müssen Sie privates DNS aktivieren. Ein Beispiel finden Sie unter Einführung der privaten DNS-Unterstützung für Amazon S3 mit AWS PrivateLink.

Anmerkung

AWS IAM Identity Center unterstützt keine VPC-Endpunkte; alle Authentifizierungsanfragen werden über das öffentliche Internet übertragen. Darüber hinaus benötigen Webanwendungen der Transfer Family Internetzugang, um statische Inhalte (wie CSS JavaScript - und HTML-Dateien) zu laden. Die Anforderungen für den öffentlichen Internetzugang sind vom Datenzugriff getrennt. Ihr VPC-Endpunkt stellt sicher, dass Verbindungen durch Ihre VPC-Infrastruktur geleitet werden.

So erstellen Sie eine Transfer Family Family-Web-App

Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/.
Wählen Sie im linken Navigationsbereich Web-Apps aus.
Wählen Sie Web-App erstellen aus. Für den Authentifizierungszugriff ist der Bereich wie folgt gefüllt.
- Wenn Sie bereits eine Organisations- oder Kontoinstanz in erstellt haben AWS IAM Identity Center, wird folgende Meldung angezeigt: Ihre AWS Transfer Family Anwendung ist mit einer Kontoinstanz von IAM Identity Center verbunden.
- Wenn Sie bereits über eine Kontoinstanz verfügen und Mitglied einer Organisationsinstanz sind, können Sie auswählen, mit welcher Instanz Sie eine Verbindung herstellen möchten.
- Wenn Sie noch keine Kontoinstanz haben oder Mitglied einer Organisationsinstanz sind, werden Ihnen die Optionen zum Erstellen einer Kontoinstanz angezeigt.
Wählen Sie im Abschnitt Endpunktkonfiguration aus, wie Ihre Benutzer auf Ihre Web-App zugreifen sollen:
- Öffentlich zugänglich: Ihr Web-App-Endpunkt ist öffentlich über HTTPS zugänglich. Für diese Option ist keine VPC-Konfiguration erforderlich, sodass sie einfach einzurichten ist und sich für Anwendungen eignet, die für eine breite öffentliche Nutzung vorgesehen sind.
- VPC-gehostet: Ihr Web-App-Endpunkt wird in Ihrer Virtual Private Cloud (VPC) gehostet und bietet privaten Netzwerkzugriff über Ihr VPC-Netzwerk oder AWS Direct Connect VPN-Verbindungen. Diese Option bietet verbesserte Sicherheit durch Netzwerkisolierung und wird für interne Anwendungen empfohlen.
  
  Anmerkung
  Sie benötigen eine Dual-Stack-VPC-Konfiguration. Weitere Informationen finden Sie unter Beispiel für eine Dual-Stack-VPC-Konfiguration im Amazon Virtual Private Cloud Cloud-Benutzerhandbuch.
  
  Bei der Konfiguration eines VPC-gehosteten Endpunkts müssen Sie Folgendes angeben:
  - VPC: Wählen Sie eine bestehende VPC aus oder erstellen Sie eine neue. Die Schaltfläche „VPC erstellen“ ist verfügbar.
  - Verfügbarkeitszonen: Wählen Sie die Verfügbarkeitszonen aus, in denen Ihr Endpunkt bereitgestellt werden soll.
  - Subnetze: Wählen Sie Subnetze innerhalb jeder ausgewählten Verfügbarkeitszone aus.
  - Sicherheitsgruppen: Wählen oder erstellen Sie Sicherheitsgruppen, um den Zugriff auf der Grundlage von Quell-IP-Adressen zu steuern. Wenn nicht angegeben, wird die Standardsicherheitsgruppe der VPC verwendet. Verwalten Sie Sicherheitsgruppen über die VPC-Konsole. Konfigurieren Sie Ihre VPC-Sicherheitsgruppen so, dass eingehender Datenverkehr von Ihrem Netzwerk über HTTPS auf TCP-Port 443 zugelassen wird. Dies ist für die IAM Identity Center-Authentifizierung und das Laden statischer Inhalte von Web-Apps erforderlich.
  Anmerkung
  Der Zugriffsendpunkt kann nicht für VPC-Endpunkte angepasst werden. Verwenden Sie den öffentlichen Endpunkt, um eine benutzerdefinierte URL hinzuzufügen.

Schritte nach der Erstellung

Stellen Sie sicher, dass Sie eine CORS-Richtlinie (Cross-Origin Resource Sharing) für alle Buckets einrichten, auf die vom Web-App-Endpunkt aus zugegriffen wird. Siehe Richtlinie für die gemeinsame Nutzung von Ressourcen zwischen verschiedenen Quellen (CORS).
Aktualisieren Sie Ihre Bucket-Richtlinie, sodass nur Traffic, der von Ihrer VPC stammt, über Ihren VPC-Endpunkt zugelassen wird. Siehe Beschränken des Zugriffs auf einen bestimmten VPC-Endpunkt.
Weisen Sie der Transfer Family Family-Web-App Benutzer oder Gruppen zu oder fügen Sie sie hinzu. Siehe Benutzer oder Gruppen einer Transfer Family Family-Web-App zuweisen oder hinzufügen.

Richtlinie für die gemeinsame Nutzung von Ressourcen zwischen verschiedenen Quellen (CORS)

Sie müssen Cross-Origin Resource Sharing (CORS) für alle Buckets einrichten, die von Ihrer Web-App verwendet werden. Weitere Informationen über CORS finden Sie unter Richten Sie Cross-Origin Resource Sharing (CORS) für Ihren Bucket ein.

Wichtig

Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie Allowed Origin durch Ihren Zugriffsendpunkt. Andernfalls erhalten Ihre Endbenutzer eine Fehlermeldung, wenn sie versuchen, auf einen Standort in Ihrer Web-App zuzugreifen.

Beispiel für eine Richtlinie:


[
  {
    "AllowedHeaders": [
      "*"
    ],
    "AllowedMethods": [
      "GET",
      "PUT",
      "POST",
      "DELETE",
      "HEAD"
    ],
    "AllowedOrigins": [
      "https://vpce-1234567-example.vpce-mq.transfer-webapp.us-east-1.on.aws"
    ],
    "ExposeHeaders": [
      "last-modified",
      "content-length",
      "etag",
      "x-amz-version-id",
      "content-type",
      "x-amz-request-id",
      "x-amz-id-2",
      "date",
      "x-amz-cf-id",
      "x-amz-storage-class",
      "access-control-expose-headers"
    ],
    "MaxAgeSeconds": 3000
  }
]

Beschränken des Zugriffs auf einen bestimmten VPC-Endpunkt

Nachfolgend finden Sie ein Beispiel für eine Amazon-S3-Bucket-Richtlinie, die den Zugriff auf einen bestimmten Bucket einschränkt, amzn-s3-demo-bucket, nur vom VPC-Endpunkt mit der ID vpce-1a2b3c4d. Wenn der angegebene Endpunkt nicht verwendet wird, verweigert die Richtlinie jeglichen Zugriff auf den Bucket. Die aws:SourceVpce-Bedingung gibt den Endpunkt an. Die aws:SourceVpce-Bedingung benötigt keine ARN für die VPC-Endpunkt-Ressource, sondern nur die VPC-Endpunkt-ID. Weitere Informationen zur Aktualisierung Ihrer Bucket-Richtlinie, sodass nur Traffic zugelassen wird, der von Ihrer VPC stammt, finden Sie unter Steuern des Zugriffs von VPC-Endpunkten mit Bucket-Richtlinien. Weitere Informationen zur Verwendung von Bedingungen in einer Richtlinie finden Sie unter Beispiele für Bucket-Richtlinien mit Bedingungsschlüsseln. Als Voraussetzung für die Anwendung dieser Richtlinie sollten Sie einen Amazon S3 S3-VPC-Endpunkt erstellen.

Wichtig

Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie die VPC-Endpunkt-ID durch einen geeigneten Wert für Ihren Anwendungsfall. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.


{
  "Version":"2012-10-17",
  "Id": "Policy1415115909152",
  "Statement": [
    {
      "Sid": "Access-to-specific-VPCE-only",
      "Principal": "*",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                   "arn:aws:s3:::amzn-s3-demo-bucket/*"],
      "Condition": {
        "StringNotEquals": {
          "aws:SourceVpce": "vpce-1a2b3c4d"
        }
      }
    }
  ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Eine Transfer Family Family-Web-App konfigurieren

Benutzer oder Gruppen einer Transfer Family Family-Web-App zuweisen oder hinzufügen