Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfiguration eines SFTP-, FTPS- oder FTP-Serverendpunkts
Mithilfe des Dienstes können Sie einen Dateiübertragungsserver erstellen. AWS Transfer Family Die folgenden Dateiübertragungsprotokolle sind verfügbar:
+ Secure Shell (SSH) File Transfer Protocol (SFTP) — Dateiübertragung über SSH. Details hierzu finden Sie unter [Erstellen Sie einen SFTP-fähigen Server](create-server-sftp.md).
**Anmerkung**
Wir bieten ein AWS CDK Beispiel für die Erstellung eines SFTP Transfer Family Family-Servers. Das Beispiel verwendet TypeScript und ist GitHub [hier verfügbar.](https://github.com/aws-samples/aws-cdk-examples/tree/master/typescript/aws-transfer-sftp-server)
+ File Transfer Protocol Secure (FTPS) — Dateiübertragung mit TLS-Verschlüsselung. Details hierzu finden Sie unter [Erstellen Sie einen FTPS-fähigen Server](create-server-ftps.md).
+ File Transfer Protocol (FTP) — Unverschlüsselte Dateiübertragung. Details hierzu finden Sie unter [Erstellen Sie einen FTP-fähigen Server](create-server-ftp.md).
+ Anwendbarkeitserklärung 2 (AS2) — Dateiübertragung für den Transport strukturierter business-to-business Daten. Details hierzu finden Sie unter [Konfiguration AS2](create-b2b-server.md). Denn AS2 Sie können schnell einen CloudFormation Stack zu Demonstrationszwecken erstellen. Dieses Verfahren wird unter beschrieben[Verwenden Sie eine Vorlage, um einen AS2 Demo-Transfer-Family-Stack zu erstellen](create-as2-transfer-server.md#as2-cfn-demo-template).
Sie können einen Server mit mehreren Protokollen erstellen.
**Anmerkung**
Wenn Sie mehrere Protokolle für denselben Serverendpunkt aktiviert haben und den Zugriff über mehrere Protokolle mit demselben Benutzernamen ermöglichen möchten, können Sie dies tun, sofern die für das Protokoll spezifischen Anmeldeinformationen in Ihrem Identitätsanbieter eingerichtet wurden. Für FTP empfehlen wir, separate Anmeldeinformationen von SFTP und FTPS zu verwenden. Dies liegt daran, dass FTP im Gegensatz zu SFTP und FTPS Anmeldeinformationen im Klartext überträgt. Durch die Isolierung von FTP-Anmeldeinformationen von SFTP oder FTPS bleiben Ihre Workloads, die SFTP oder FTPS verwenden, sicher, wenn FTP-Anmeldeinformationen geteilt oder offengelegt werden.
Wenn Sie einen Server erstellen, wählen Sie einen bestimmten Server aus, AWS-Region um die Dateioperationsanforderungen von Benutzern auszuführen, die diesem Server zugewiesen sind. Sie weisen dem Server nicht nur ein oder mehrere Protokolle zu, sondern weisen auch einen der folgenden Identitätsanbietertypen zu:
+ **Dienst, der mithilfe von SSH-Schlüsseln verwaltet wird**. Details hierzu finden Sie unter [Arbeiten mit Benutzern, die vom Dienst verwaltet werden](service-managed-users.md).
+ **AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD).** Mit dieser Methode können Sie Ihre Microsoft Active Directory-Gruppen integrieren, um Zugriff auf Ihre Transfer Family Family-Server zu gewähren. Details hierzu finden Sie unter [Verwenden des AWS Directory Service für Microsoft Active Directory](directory-services-users.md).
+ **Ein benutzerdefinierter Identitätsanbieter**. Transfer Family bietet mehrere Optionen für die Verwendung eines benutzerdefinierten Identitätsanbieters, wie im [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md) Thema beschrieben.
Sie weisen dem Server auch einen Endpunkttyp (öffentlich zugänglich oder von VPC gehostet) und einen Hostnamen zu, indem Sie den Standard-Serverendpunkt oder einen benutzerdefinierten Hostnamen verwenden, indem Sie den Amazon Route 53-Service oder einen Domain Name System (DNS) -Service Ihrer Wahl verwenden. Ein Server-Hostname muss in dem Ort, an AWS-Region dem er erstellt wurde, eindeutig sein.
Darüber hinaus können Sie eine CloudWatch Amazon-Protokollierungsrolle zuweisen, um Ereignisse in Ihre CloudWatch Protokolle zu übertragen, eine Sicherheitsrichtlinie wählen, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind, und dem Server Metadaten in Form von Tags hinzufügen, die Schlüssel-Wert-Paare sind.
**Wichtig**
Es fallen Kosten für instanziierte Server und für die Datenübertragung an. Informationen zur Preisgestaltung und zur Schätzung der Kosten für die Nutzung von Transfer Family finden Sie unter [AWS Transfer Family Preise](https://aws.amazon.com/aws-transfer-family/pricing/). AWS Pricing Calculator
# Erstellen Sie einen SFTP-fähigen Server
Das Secure Shell (SSH) File Transfer Protocol (SFTP) ist ein Netzwerkprotokoll, das für die sichere Übertragung von Daten über das Internet verwendet wird. Das Protokoll unterstützt die volle Sicherheits- und Authentifizierungsfunktionalität von SSH. Es wird häufig für den Austausch von Daten, einschließlich sensibler Informationen, zwischen Geschäftspartnern in einer Vielzahl von Branchen wie Finanzdienstleistungen, Gesundheitswesen, Einzelhandel und Werbung verwendet.
**Beachten Sie Folgendes**
+ SFTP-Server für Transfer Family arbeiten über Port 22. Für VPC-gehostete Endpunkte können die Server der SFTP Transfer Family auch über Port 2222, 2223 oder 22000 betrieben werden. Details hierzu finden Sie unter [Erstellen Sie einen Server in einer virtuellen privaten Cloud](create-server-in-vpc.md).
+ Öffentliche Endpunkte können den Verkehr nicht über Sicherheitsgruppen einschränken. Um Sicherheitsgruppen mit Ihrem Transfer Family Family-Server zu verwenden, müssen Sie den Endpunkt Ihres Servers in einer Virtual Private Cloud (VPC) hosten, wie unter beschrieben. [Erstellen Sie einen Server in einer virtuellen privaten Cloud](create-server-in-vpc.md)
**Informationen finden Sie auch unter:**
+ Wir bieten ein AWS CDK Beispiel für die Erstellung eines SFTP Transfer Family Family-Servers. Das Beispiel verwendet TypeScript und ist GitHub [hier verfügbar.](https://github.com/aws-samples/aws-cdk-examples/tree/master/typescript/aws-transfer-sftp-server)
+ Eine exemplarische Vorgehensweise zur Bereitstellung eines Transfer Family Family-Servers in einer VPC finden Sie unter [Verwenden Sie die IP-Zulassungsliste, um Ihre AWS Transfer Family Server zu sichern](https://aws.amazon.com/blogs//storage/use-ip-allow-list-to-secure-your-aws-transfer-for-sftp-servers/).
**So erstellen Sie einen SFTP-fähigen Server**
1. **Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)und wählen Sie im Navigationsbereich **Server** und anschließend Server erstellen aus.**
1. **Wählen Sie unter Protokolle** auswählen die Option **SFTP** und dann **Weiter** aus.
1. **Wählen Sie unter Identitätsanbieter** auswählen den Identitätsanbieter aus, den Sie für die Verwaltung des Benutzerzugriffs verwenden möchten. Ihnen stehen folgende Optionen zur Verfügung:
+ **Service verwaltet** — Sie speichern Benutzeridentitäten und Schlüssel in AWS Transfer Family.
+ **AWS Directory Service for Microsoft Active Directory**— Sie stellen ein Directory Service Verzeichnis für den Zugriff auf den Endpunkt bereit. Auf diese Weise können Sie die in Ihrem Active Directory gespeicherten Anmeldeinformationen verwenden, um Ihre Benutzer zu authentifizieren. Weitere Informationen zur Arbeit mit AWS Managed Microsoft AD Identitätsanbietern finden Sie unter[Verwenden des AWS Directory Service für Microsoft Active Directory](directory-services-users.md).
**Anmerkung**
Kontoübergreifende Verzeichnisse und gemeinsam genutzte Verzeichnisse werden für AWS Managed Microsoft AD nicht unterstützt.
Um einen Server mit Directory Service als Identitätsanbieter einzurichten, müssen Sie einige Directory Service Berechtigungen hinzufügen. Details hierzu finden Sie unter [Bevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
+ **Benutzerdefinierter Identitätsanbieter** — Wählen Sie eine der folgenden Optionen:
+ **Verwenden Sie AWS Lambda , um Ihren Identitätsanbieter zu verbinden** — Sie können einen vorhandenen Identitätsanbieter verwenden, der von einer Lambda-Funktion unterstützt wird. Sie geben den Namen der Lambda-Funktion an. Weitere Informationen finden Sie unter [Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet](custom-lambda-idp.md).
+ **Verwenden Sie Amazon API Gateway, um Ihren Identitätsanbieter zu verbinden** — Sie können eine API Gateway Gateway-Methode erstellen, die von einer Lambda-Funktion unterstützt wird, um sie als Identitätsanbieter zu verwenden. Sie geben eine Amazon API Gateway Gateway-URL und eine Aufrufrolle an. Weitere Informationen finden Sie unter [Verwenden Sie Amazon API Gateway zur Integration Ihres Identitätsanbieters](authentication-api-gateway.md).
![\[Der Konsolenabschnitt „Einen Identitätsanbieter auswählen“, in dem Benutzerdefinierter Identitätsanbieter ausgewählt ist. Außerdem ist der Standardwert ausgewählt, der besagt, dass Benutzer sich entweder mit ihrem Passwort oder Schlüssel authentifizieren können.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/custom-lambda-console.png)
1. Wählen Sie **Weiter** aus.
1. Gehen **Sie unter Endpunkt auswählen** wie folgt vor:
1. Wählen Sie als **Endpunkttyp** den Typ **Öffentlich zugänglicher** Endpunkt aus. Informationen zu einem **VPC-gehosteten** Endpunkt finden Sie unter[Erstellen Sie einen Server in einer virtuellen privaten Cloud](create-server-in-vpc.md).
1. Wählen Sie als **IP-Adresstyp **IPv4****(Standard) aus Gründen der Abwärtskompatibilität oder **Dual-Stack**, um sowohl Verbindungen zu Ihrem Endpunkt als auch IPv6 Verbindungen zu Ihrem IPv4 Endpunkt zu ermöglichen.
**Anmerkung**
Im Dual-Stack-Modus kann Ihr Transfer Family Family-Endpunkt sowohl mit als auch mit IPv4 IPv6 aktivierten Clients kommunizieren. Auf diese Weise können Sie schrittweise von IPv4 zu IPv6 basierten Systemen wechseln, ohne alle auf einmal wechseln zu müssen.
1. **(Optional) Wählen Sie für **Benutzerdefinierter Hostname** die Option Keine aus.**
Sie erhalten einen Server-Hostnamen, der von bereitgestellt wird. AWS Transfer Family Der Server-Host-Name hat das Format `serverId.server.transfer.regionId.amazonaws.com`.
Für einen benutzerdefinierten Hostnamen geben Sie einen benutzerdefinierten Alias für Ihren Serverendpunkt an. Weitere Informationen zum Arbeiten mit benutzerdefinierten Hostnamen finden Sie unter. [Mit benutzerdefinierten Hostnamen arbeiten](requirements-dns.md)
1. (Optional) Aktivieren Sie für **FIPS Enabled** das Kontrollkästchen **FIPS-fähiger Endpunkt**, um sicherzustellen, dass der Endpunkt den Federal Information Processing Standards (FIPS) entspricht.
**Anmerkung**
FIPS-fähige Endpunkte sind nur in nordamerikanischen Regionen verfügbar. AWS Informationen zu den verfügbaren Regionen finden Sie unter [AWS Transfer Family Endpunkte](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) und Kontingente in der. *Allgemeine AWS-Referenz* Weitere Informationen zu FIPS finden Sie unter [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
1. Wählen Sie **Weiter** aus.
1. **Wählen Sie auf der Seite Domain** auswählen den AWS Speicherdienst aus, den Sie zum Speichern und Zugreifen auf Ihre Daten über das ausgewählte Protokoll verwenden möchten:
+ Wählen Sie **Amazon S3**, um Ihre Dateien als Objekte über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.
+ Wählen Sie **Amazon EFS**, um Ihre Dateien in Ihrem Amazon EFS-Dateisystem über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.
Wählen Sie **Weiter** aus.
1. Gehen **Sie unter Zusätzliche Details konfigurieren** wie folgt vor:
1. Geben Sie für die Protokollierung eine bestehende Protokollgruppe an oder erstellen Sie eine neue (Standardoption). Wenn Sie eine bestehende Protokollgruppe wählen, müssen Sie eine auswählen, die mit Ihrer verknüpft ist AWS-Konto.
![\[Bereich „Protokollierung“ für „Zusätzliche Details konfigurieren“ im Assistenten zum Erstellen von Servern. Wählen Sie eine vorhandene Protokollgruppe aus.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-choose-existing-group.png)
Wenn Sie „**Protokollgruppe erstellen**“ wählen, wird in der CloudWatch Konsole ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) die Seite „**Protokollgruppe erstellen**“ geöffnet. Einzelheiten finden Sie unter [Protokollgruppe erstellen in CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group).
1. (Optional) Wählen Sie für **verwaltete Workflows** den Workflow IDs (und eine entsprechende Rolle) aus, den Transfer Family bei der Ausführung des Workflows annehmen soll. Sie können einen Workflow auswählen, der bei einem vollständigen Upload ausgeführt wird, und einen anderen, der bei einem teilweisen Upload ausgeführt wird. Weitere Informationen zur Verarbeitung Ihrer Dateien mithilfe verwalteter Workflows finden Sie unter[AWS Transfer Family verwaltete Workflows](transfer-workflows.md).
![\[Der Konsolenbereich für verwaltete Workflows.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/workflows-addtoserver.png)
1. Wählen Sie unter **Optionen für kryptografische Algorithmen** eine Sicherheitsrichtlinie aus, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind. Unsere neueste Sicherheitsrichtlinie ist die Standardeinstellung: Einzelheiten finden Sie unter. [Sicherheitsrichtlinien für Server AWS Transfer Family](security-policies.md)
1. (Optional) Geben Sie für **Server Host Key** einen privaten RSA- oder ECSA-Schlüssel ein ED25519, der zur Identifizierung Ihres Servers verwendet wird, wenn Clients über SFTP eine Verbindung zu ihm herstellen. Sie können auch eine Beschreibung hinzufügen, um zwischen mehreren Hostschlüsseln zu unterscheiden.
Nachdem Sie Ihren Server erstellt haben, können Sie weitere Hostschlüssel hinzufügen. Mehrere Hostschlüssel sind nützlich, wenn Sie Schlüssel rotieren möchten oder wenn Sie verschiedene Schlüsseltypen verwenden möchten, z. B. einen RSA-Schlüssel und auch einen ECDSA-Schlüssel.
**Anmerkung**
Der Abschnitt **Server-Hostschlüssel** wird nur für die Migration von Benutzern von einem vorhandenen SFTP-fähigen Server verwendet.
1. **(Optional) Geben Sie für **Tags** für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie dann Tag hinzufügen aus.**
1. Wählen Sie **Weiter** aus.
1. Sie können die Leistung Ihrer Amazon S3 S3-Verzeichnisse optimieren. Nehmen wir zum Beispiel an, Sie gehen in Ihr Home-Verzeichnis und Sie haben 10.000 Unterverzeichnisse. Mit anderen Worten, Ihr Amazon S3 S3-Bucket hat 10.000 Ordner. Wenn Sie in diesem Szenario den Befehl `ls` (list) ausführen, dauert der Listenvorgang zwischen sechs und acht Minuten. Wenn Sie Ihre Verzeichnisse optimieren, dauert dieser Vorgang jedoch nur wenige Sekunden.
Wenn Sie Ihren Server mit der Konsole erstellen, sind optimierte Verzeichnisse standardmäßig aktiviert. Wenn Sie Ihren Server mithilfe der API erstellen, ist dieses Verhalten standardmäßig nicht aktiviert.
![\[Der Konsolenbereich Optimierte Verzeichnisse.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/optimized-directories.png)
1. (Optional) Konfigurieren Sie AWS Transfer Family Server so, dass Ihren Endbenutzern benutzerdefinierte Nachrichten wie Unternehmensrichtlinien oder Nutzungsbedingungen angezeigt werden. Geben Sie für **Banner anzeigen** in das Textfeld **Banner für die Vorauthentifizierung** die Textnachricht ein, die Sie Ihren Benutzern vor der Authentifizierung anzeigen möchten.
1. (Optional) Sie können die folgenden zusätzlichen Optionen konfigurieren.
+ **SetStat Option**: Aktivieren Sie diese Option, um den Fehler zu ignorieren, der generiert wird, wenn ein Client versucht, eine Datei `SETSTAT` zu verwenden, die Sie in einen Amazon S3 S3-Bucket hochladen. Weitere Informationen finden Sie in der `SetStatOption` Dokumentation im [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html).
+ **Wiederaufnahme der TLS-Sitzung**: Diese Option ist nur verfügbar, wenn Sie FTPS als eines der Protokolle für diesen Server aktiviert haben.
+ **Passive IP**: Diese Option ist nur verfügbar, wenn Sie FTPS oder FTP als eines der Protokolle für diesen Server aktiviert haben.
![\[Bildschirm mit zusätzlichen Optionen für die Seite mit den Serverdetails.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-server-configure-additional-items-sftp.png)
1. **Überprüfen Sie unter Überprüfen und erstellen** Ihre Auswahl.
+ Wenn Sie eine davon bearbeiten möchten, wählen Sie neben dem Schritt **Bearbeiten** aus.
**Anmerkung**
Sie müssen jeden Schritt nach dem Schritt überprüfen, den Sie bearbeiten möchten.
+ Wenn Sie keine Änderungen vorgenommen haben, wählen Sie **Server erstellen**, um Ihren Server zu erstellen. Sie gelangen zur Seite **Servers (Server)** (siehe unten), auf der der neue Server aufgelistet ist.
Es kann einige Minuten dauern, bis sich der Status Ihres neuen Servers auf **Online** ändert. Zu diesem Zeitpunkt kann Ihr Server Dateioperationen ausführen, aber Sie müssen zuerst einen Benutzer erstellen. Einzelheiten zum Erstellen von Benutzern finden Sie unter[Benutzer für Serverendpunkte verwalten](create-user.md).
# Erstellen Sie einen FTPS-fähigen Server
Das File Transfer Protocol over SSL (FTPS) ist eine Erweiterung von FTP. Es verwendet die kryptografischen Protokolle Transport Layer Security (TLS) und Secure Sockets Layer (SSL) zur Verschlüsselung des Datenverkehrs. FTPS ermöglicht die gleichzeitige oder unabhängige Verschlüsselung sowohl der Kontroll- als auch der Datenkanalverbindungen.
**Anmerkung**
Wichtige Überlegungen zu Network Load Balancers finden Sie unter. [Vermeiden Sie es, AWS Transfer Family Server zu platzieren NLBs und NATs vor ihnen zu platzieren](infrastructure-security.md#nlb-considerations)
**So erstellen Sie einen FTPS-fähigen Server**
1. **Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)und wählen Sie im Navigationsbereich **Server** und anschließend Server erstellen aus.**
1. **Wählen Sie unter Protokolle auswählen** die Option **FTPS** aus.
**Wählen Sie **unter Serverzertifikat** ein in AWS Certificate Manager (ACM) gespeichertes Zertifikat aus, das zur Identifizierung Ihres Servers verwendet wird, wenn Clients über FTPS eine Verbindung zu ihm herstellen, und wählen Sie dann Weiter aus.**
Informationen zum Anfordern eines neuen öffentlichen Zertifikats finden Sie unter [Anfordern eines öffentlichen Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) im *AWS Certificate Manager Benutzerhandbuch*.
Informationen zum Importieren eines vorhandenen Zertifikats in ACM finden Sie unter [Zertifikate in ACM importieren](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) im *AWS Certificate Manager Benutzerhandbuch*.
*Informationen zum Anfordern eines privaten Zertifikats für die Verwendung von FTPS über private IP-Adressen finden Sie unter [Anfordern eines privaten Zertifikats](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) im AWS Certificate Manager Benutzerhandbuch.*
Zertifikate mit den folgenden kryptografischen Algorithmen und Schlüsselgrößen werden unterstützt:
+ 2048-Bit-RSA (RSA\$12048)
+ 4096-Bit-RSA (RSA\$14096)
+ Elliptic Prime Curve 256-Bit (EC\$1prime256v1)
+ Elliptic Prime Curve 384-Bit (EC\$1secp384r1)
+ Elliptic Prime Curve 521-Bit (EC\$1secp521r1)
**Anmerkung**
Das Zertifikat muss ein gültiges SSL/TLS X.509-Zertifikat der Version 3 mit dem angegebenen FQDN oder der angegebenen IP-Adresse sein und Informationen über den Aussteller enthalten.
1. **Wählen Sie unter Identitätsanbieter** auswählen den Identitätsanbieter aus, den Sie für die Verwaltung des Benutzerzugriffs verwenden möchten. Ihnen stehen folgende Optionen zur Verfügung:
+ **AWS Directory Service for Microsoft Active Directory**— Sie stellen ein Directory Service Verzeichnis für den Zugriff auf den Endpunkt bereit. Auf diese Weise können Sie die in Ihrem Active Directory gespeicherten Anmeldeinformationen verwenden, um Ihre Benutzer zu authentifizieren. Weitere Informationen zur Arbeit mit AWS Managed Microsoft AD Identitätsanbietern finden Sie unter[Verwenden des AWS Directory Service für Microsoft Active Directory](directory-services-users.md).
**Anmerkung**
Kontoübergreifende Verzeichnisse und gemeinsam genutzte Verzeichnisse werden für AWS Managed Microsoft AD nicht unterstützt.
Um einen Server mit Directory Service als Identitätsanbieter einzurichten, müssen Sie einige Directory Service Berechtigungen hinzufügen. Details hierzu finden Sie unter [Bevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
+ **Benutzerdefinierter Identitätsanbieter** — Wählen Sie eine der folgenden Optionen:
+ **Verwenden Sie AWS Lambda , um Ihren Identitätsanbieter zu verbinden** — Sie können einen vorhandenen Identitätsanbieter verwenden, der von einer Lambda-Funktion unterstützt wird. Sie geben den Namen der Lambda-Funktion an. Weitere Informationen finden Sie unter [Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet](custom-lambda-idp.md).
+ **Verwenden Sie Amazon API Gateway, um Ihren Identitätsanbieter zu verbinden** — Sie können eine API Gateway Gateway-Methode erstellen, die von einer Lambda-Funktion unterstützt wird, um sie als Identitätsanbieter zu verwenden. Sie geben eine Amazon API Gateway Gateway-URL und eine Aufrufrolle an. Weitere Informationen finden Sie unter [Verwenden Sie Amazon API Gateway zur Integration Ihres Identitätsanbieters](authentication-api-gateway.md).
![\[Der Konsolenabschnitt „Einen Identitätsanbieter auswählen“, in dem Benutzerdefinierter Identitätsanbieter ausgewählt ist.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/custom-lambda-console-no-sftp.png)
1. Wählen Sie **Weiter** aus.
1. Gehen **Sie unter Endpunkt auswählen** wie folgt vor:
**Anmerkung**
FTPS-Server für Transfer Family arbeiten über Port 21 (Control Channel) und Port Range 8192—8200 (Datenkanal).
1. Wählen Sie als **Endpunkttyp** den **VPC-gehosteten** Endpunkttyp aus, um den Endpunkt Ihres Servers zu hosten. Informationen zur Einrichtung Ihres VPC-gehosteten Endpunkts finden Sie unter[Erstellen Sie einen Server in einer virtuellen privaten Cloud](create-server-in-vpc.md).
**Anmerkung**
Öffentlich zugängliche Endpunkte werden nicht unterstützt.
1. (Optional) Aktivieren Sie für **FIPS Enabled** das Kontrollkästchen **FIPS-fähiger Endpunkt**, um sicherzustellen, dass der Endpunkt den Federal Information Processing Standards (FIPS) entspricht.
**Anmerkung**
FIPS-fähige Endpunkte sind nur in nordamerikanischen Regionen verfügbar. AWS Informationen zu den verfügbaren Regionen finden Sie unter [AWS Transfer Family Endpunkte](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) und Kontingente in der. *Allgemeine AWS-Referenz* Weitere Informationen zu FIPS finden Sie unter [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
1. Wählen Sie **Weiter** aus.
![\[Der Abschnitt Wählen Sie eine Endpunktkonsole mit ausgewählter gehosteter VPC.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-server-choose-endpoint-vpc-internal.png)
1. **Wählen Sie auf der Seite „Domain** auswählen“ den AWS Speicherdienst aus, den Sie zum Speichern und Zugreifen auf Ihre Daten über das ausgewählte Protokoll verwenden möchten:
+ Wählen Sie **Amazon S3**, um Ihre Dateien als Objekte über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.
+ Wählen Sie **Amazon EFS**, um Ihre Dateien in Ihrem Amazon EFS-Dateisystem über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.
Wählen Sie **Weiter** aus.
1. Gehen **Sie unter Zusätzliche Details konfigurieren** wie folgt vor:
1. Geben Sie für die Protokollierung eine bestehende Protokollgruppe an oder erstellen Sie eine neue (Standardoption).
![\[Bereich „Protokollierung“ für „Zusätzliche Details konfigurieren“ im Assistenten zum Erstellen von Servern. Wählen Sie eine vorhandene Protokollgruppe aus.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-choose-existing-group.png)
Wenn Sie „**Protokollgruppe erstellen**“ wählen, wird in der CloudWatch Konsole ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) die Seite „**Protokollgruppe erstellen**“ geöffnet. Einzelheiten finden Sie unter [Protokollgruppe erstellen in CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group).
1. (Optional) Wählen Sie für **verwaltete Workflows** den Workflow IDs (und eine entsprechende Rolle) aus, den Transfer Family bei der Ausführung des Workflows annehmen soll. Sie können einen Workflow auswählen, der bei einem vollständigen Upload ausgeführt wird, und einen anderen, der bei einem teilweisen Upload ausgeführt wird. Weitere Informationen zur Verarbeitung Ihrer Dateien mithilfe verwalteter Workflows finden Sie unter[AWS Transfer Family verwaltete Workflows](transfer-workflows.md).
![\[Der Konsolenbereich für verwaltete Workflows.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/workflows-addtoserver.png)
1. Wählen Sie unter **Optionen für kryptografische Algorithmen** eine Sicherheitsrichtlinie aus, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind. Unsere neueste Sicherheitsrichtlinie ist die Standardeinstellung: Einzelheiten finden Sie unter. [Sicherheitsrichtlinien für Server AWS Transfer Family](security-policies.md)
1. Lassen Sie das Feld **Server-Host-Schlüssel** leer.
1. (Optional) Geben Sie für **Tags** für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie dann Tag **hinzufügen** aus.
1. Sie können die Leistung Ihrer Amazon S3 S3-Verzeichnisse optimieren. Nehmen wir zum Beispiel an, Sie gehen in Ihr Home-Verzeichnis und Sie haben 10.000 Unterverzeichnisse. Mit anderen Worten, Ihr Amazon S3 S3-Bucket hat 10.000 Ordner. Wenn Sie in diesem Szenario den Befehl `ls` (list) ausführen, dauert der Listenvorgang zwischen sechs und acht Minuten. Wenn Sie Ihre Verzeichnisse optimieren, dauert dieser Vorgang jedoch nur wenige Sekunden.
Wenn Sie Ihren Server mit der Konsole erstellen, sind optimierte Verzeichnisse standardmäßig aktiviert. Wenn Sie Ihren Server mithilfe der API erstellen, ist dieses Verhalten standardmäßig nicht aktiviert.
![\[Der Konsolenbereich Optimierte Verzeichnisse.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/optimized-directories.png)
1. Wählen Sie **Weiter** aus.
1. (Optional) Sie können AWS Transfer Family Server so konfigurieren, dass Ihren Endbenutzern benutzerdefinierte Nachrichten wie Unternehmensrichtlinien oder Nutzungsbedingungen angezeigt werden. Sie können Benutzern, die sich erfolgreich authentifiziert haben, auch benutzerdefinierte Message of The Day (MOTD) anzeigen.
Geben Sie für **Banner anzeigen** in das Textfeld **Display-Banner vor der Authentifizierung** die Textnachricht ein, die Sie Ihren Benutzern vor der Authentifizierung anzeigen möchten, und geben Sie in das Textfeld **Display-Banner nach der Authentifizierung** den Text ein, den Sie Ihren Benutzern nach erfolgreicher Authentifizierung anzeigen möchten.
1. (Optional) Sie können die folgenden zusätzlichen Optionen konfigurieren.
+ **SetStat Option**: Aktivieren Sie diese Option, um den Fehler zu ignorieren, der generiert wird, wenn ein Client versucht, eine Datei `SETSTAT` zu verwenden, die Sie in einen Amazon S3 S3-Bucket hochladen. Weitere Informationen finden Sie in der `SetStatOption` Dokumentation im [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)Thema.
+ **Wiederaufnahme der TLS-Sitzung**: bietet einen Mechanismus zur Wiederaufnahme oder gemeinsamen Nutzung eines ausgehandelten geheimen Schlüssels zwischen der Kontroll- und Datenverbindung für eine FTPS-Sitzung. Weitere Informationen finden Sie in der `TlsSessionResumptionMode` Dokumentation zum Thema. [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
+ **Passive IP**: steht für den passiven Modus für FTP- und FTPS-Protokolle. Geben Sie eine einzelne IPv4 Adresse ein, z. B. die öffentliche IP-Adresse einer Firewall, eines Routers oder eines Load Balancers. Weitere Informationen finden Sie in der `PassiveIp` Dokumentation zum [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)Thema.
![\[Der Bildschirm „Zusätzliche Konfiguration“ mit den SetStat Parametern „Wiederaufnahme der TLS-Sitzung“ und „Passive IP“.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-server-configure-additional-items-all.png)
1. **Überprüfen Sie unter Überprüfen und erstellen** Ihre Auswahl.
+ Wenn Sie eine davon bearbeiten möchten, wählen Sie neben dem Schritt **Bearbeiten** aus.
**Anmerkung**
Sie müssen jeden Schritt nach dem Schritt überprüfen, den Sie bearbeiten möchten.
+ Wenn Sie keine Änderungen vorgenommen haben, wählen Sie **Server erstellen**, um Ihren Server zu erstellen. Sie gelangen zur Seite **Servers (Server)** (siehe unten), auf der der neue Server aufgelistet ist.
Es kann einige Minuten dauern, bis sich der Status Ihres neuen Servers auf **Online** ändert. Ab diesem Zeitpunkt kann der Server Dateioperationen für die Benutzer ausführen.
**Nächste Schritte**: Fahren Sie im nächsten Schritt mit [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md) So richten Sie Benutzer ein.
# Erstellen Sie einen FTP-fähigen Server
Das File Transfer Protocol (FTP) ist ein Netzwerkprotokoll, das für die Übertragung von Daten verwendet wird. FTP verwendet einen separaten Kanal für Steuerung und Datenübertragungen. Der Steuerkanal ist geöffnet, bis er beendet wird oder ein Timeout bei Inaktivität eintritt. Der Datenkanal ist für die Dauer der Übertragung aktiv. FTP verwendet Klartext und unterstützt keine Verschlüsselung des Datenverkehrs.
**Anmerkung**
Wenn Sie FTP aktivieren, müssen Sie die interne Zugriffsoption für den VPC-gehosteten Endpunkt auswählen. Wenn Ihr Server Daten über das öffentliche Netzwerk übertragen soll, müssen Sie sichere Protokolle wie SFTP oder FTPS verwenden.
**Anmerkung**
Wichtige Überlegungen zu Network Load Balancers finden Sie unter. [Vermeiden Sie es, AWS Transfer Family Server zu platzieren NLBs und NATs vor ihnen zu platzieren](infrastructure-security.md#nlb-considerations)
**So erstellen Sie einen FTP-fähigen Server**
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)und wählen Sie im Navigationsbereich **Server** und anschließend Server **erstellen** aus.
1. **Wählen Sie unter Protokolle** auswählen die Option **FTP** und dann **Weiter** aus.
1. **Wählen Sie unter Wählen Sie einen Identitätsanbieter** aus den Identitätsanbieter aus, den Sie für die Verwaltung des Benutzerzugriffs verwenden möchten. Ihnen stehen folgende Optionen zur Verfügung:
+ **AWS Directory Service for Microsoft Active Directory**— Sie stellen ein Directory Service Verzeichnis für den Zugriff auf den Endpunkt bereit. Auf diese Weise können Sie die in Ihrem Active Directory gespeicherten Anmeldeinformationen verwenden, um Ihre Benutzer zu authentifizieren. Weitere Informationen zur Arbeit mit AWS Managed Microsoft AD Identitätsanbietern finden Sie unter[Verwenden des AWS Directory Service für Microsoft Active Directory](directory-services-users.md).
**Anmerkung**
Kontoübergreifende Verzeichnisse und gemeinsam genutzte Verzeichnisse werden für AWS Managed Microsoft AD nicht unterstützt.
Um einen Server mit Directory Service als Identitätsanbieter einzurichten, müssen Sie einige Directory Service Berechtigungen hinzufügen. Details hierzu finden Sie unter [Bevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
+ **Benutzerdefinierter Identitätsanbieter** — Wählen Sie eine der folgenden Optionen:
+ **Verwenden Sie AWS Lambda , um Ihren Identitätsanbieter zu verbinden** — Sie können einen vorhandenen Identitätsanbieter verwenden, der von einer Lambda-Funktion unterstützt wird. Sie geben den Namen der Lambda-Funktion an. Weitere Informationen finden Sie unter [Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet](custom-lambda-idp.md).
+ **Verwenden Sie Amazon API Gateway, um Ihren Identitätsanbieter zu verbinden** — Sie können eine API Gateway Gateway-Methode erstellen, die von einer Lambda-Funktion unterstützt wird, um sie als Identitätsanbieter zu verwenden. Sie geben eine Amazon API Gateway Gateway-URL und eine Aufrufrolle an. Weitere Informationen finden Sie unter [Verwenden Sie Amazon API Gateway zur Integration Ihres Identitätsanbieters](authentication-api-gateway.md).
![\[Der Konsolenabschnitt „Einen Identitätsanbieter auswählen“, in dem Benutzerdefinierter Identitätsanbieter ausgewählt ist.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/custom-lambda-console-no-sftp.png)
1. Wählen Sie **Weiter** aus.
1. Gehen **Sie unter Endpunkt auswählen** wie folgt vor:
**Anmerkung**
FTP-Server für Transfer Family arbeiten über Port 21 (Steuerkanal) und Portbereich 8192—8200 (Datenkanal).
1. Wählen Sie als **Endpunkttyp** die Option **VPC Hosted** aus, um den Endpunkt Ihres Servers zu hosten. Informationen zur Einrichtung Ihres VPC-gehosteten Endpunkts finden Sie unter[Erstellen Sie einen Server in einer virtuellen privaten Cloud](create-server-in-vpc.md).
**Anmerkung**
Öffentlich zugängliche Endpunkte werden nicht unterstützt.
1. Lassen Sie für **FIPS Enabled** das Kontrollkästchen **FIPS-fähiger Endpunkt deaktiviert**.
**Anmerkung**
FIPS-fähige Endpunkte werden für FTP-Server nicht unterstützt.
1. Wählen Sie **Weiter** aus.
![\[Der Abschnitt Wählen Sie eine Endpunktkonsole mit ausgewählter gehosteter VPC.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-server-choose-endpoint-vpc-internal.png)
1. **Wählen Sie auf der Seite „Domain** auswählen“ den AWS Speicherdienst aus, den Sie zum Speichern und Zugreifen auf Ihre Daten über das ausgewählte Protokoll verwenden möchten.
+ Wählen Sie **Amazon S3**, um Ihre Dateien als Objekte über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.
+ Wählen Sie **Amazon EFS**, um Ihre Dateien in Ihrem Amazon EFS-Dateisystem über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.
Wählen Sie **Weiter** aus.
1. Gehen **Sie unter Zusätzliche Details konfigurieren** wie folgt vor:
1. Geben Sie für die Protokollierung eine bestehende Protokollgruppe an oder erstellen Sie eine neue (Standardoption).
![\[Bereich „Protokollierung“ für „Zusätzliche Details konfigurieren“ im Assistenten zum Erstellen von Servern. Wählen Sie eine vorhandene Protokollgruppe aus.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/logging-server-choose-existing-group.png)
Wenn Sie „**Protokollgruppe erstellen**“ wählen, wird in der CloudWatch Konsole ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) die Seite „**Protokollgruppe erstellen**“ geöffnet. Einzelheiten finden Sie unter [Protokollgruppe erstellen in CloudWatch Logs](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group).
1. (Optional) Wählen Sie für **verwaltete Workflows** den Workflow IDs (und eine entsprechende Rolle) aus, den Transfer Family bei der Ausführung des Workflows annehmen soll. Sie können einen Workflow auswählen, der bei einem vollständigen Upload ausgeführt wird, und einen anderen, der bei einem teilweisen Upload ausgeführt wird. Weitere Informationen zur Verarbeitung Ihrer Dateien mithilfe verwalteter Workflows finden Sie unter[AWS Transfer Family verwaltete Workflows](transfer-workflows.md).
![\[Der Konsolenbereich für verwaltete Workflows.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/workflows-addtoserver.png)
1. Wählen Sie unter **Optionen für kryptografische Algorithmen** eine Sicherheitsrichtlinie aus, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind.
**Anmerkung**
Transfer Family weist Ihrem FTP-Server die neueste Sicherheitsrichtlinie zu. Da das FTP-Protokoll jedoch keine Verschlüsselung verwendet, verwenden FTP-Server keinen der Algorithmen für Sicherheitsrichtlinien. Sofern Ihr Server nicht auch das FTPS- oder SFTP-Protokoll verwendet, bleibt die Sicherheitsrichtlinie ungenutzt.
1. Lassen Sie das **Feld Server-Hostschlüssel** leer.
1. (Optional) Geben Sie für **Tags** für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie dann Tag **hinzufügen** aus.
1. Sie können die Leistung Ihrer Amazon S3 S3-Verzeichnisse optimieren. Nehmen wir zum Beispiel an, Sie gehen in Ihr Home-Verzeichnis und Sie haben 10.000 Unterverzeichnisse. Mit anderen Worten, Ihr Amazon S3 S3-Bucket hat 10.000 Ordner. Wenn Sie in diesem Szenario den Befehl `ls` (list) ausführen, dauert der Listenvorgang zwischen sechs und acht Minuten. Wenn Sie Ihre Verzeichnisse optimieren, dauert dieser Vorgang jedoch nur wenige Sekunden.
Wenn Sie Ihren Server mit der Konsole erstellen, sind optimierte Verzeichnisse standardmäßig aktiviert. Wenn Sie Ihren Server mithilfe der API erstellen, ist dieses Verhalten standardmäßig nicht aktiviert.
![\[Der Konsolenbereich Optimierte Verzeichnisse.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/optimized-directories.png)
1. Wählen Sie **Weiter** aus.
1. (Optional) Sie können AWS Transfer Family Server so konfigurieren, dass Ihren Endbenutzern benutzerdefinierte Nachrichten wie Unternehmensrichtlinien oder Nutzungsbedingungen angezeigt werden. Sie können Benutzern, die sich erfolgreich authentifiziert haben, auch benutzerdefinierte Message of The Day (MOTD) anzeigen.
Geben Sie für **Banner anzeigen** in das Textfeld **Display-Banner vor der Authentifizierung** die Textnachricht ein, die Sie Ihren Benutzern vor der Authentifizierung anzeigen möchten, und geben Sie in das Textfeld **Display-Banner nach der Authentifizierung** den Text ein, den Sie Ihren Benutzern nach erfolgreicher Authentifizierung anzeigen möchten.
1. (Optional) Sie können die folgenden zusätzlichen Optionen konfigurieren.
+ **SetStat Option**: Aktivieren Sie diese Option, um den Fehler zu ignorieren, der generiert wird, wenn ein Client versucht, eine Datei `SETSTAT` zu verwenden, die Sie in einen Amazon S3 S3-Bucket hochladen. Weitere Informationen finden Sie in der `SetStatOption` Dokumentation im [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)Thema.
+ **Wiederaufnahme der TLS-Sitzung**: bietet einen Mechanismus zur Wiederaufnahme oder gemeinsamen Nutzung eines ausgehandelten geheimen Schlüssels zwischen der Kontroll- und Datenverbindung für eine FTPS-Sitzung. Weitere Informationen finden Sie in der `TlsSessionResumptionMode` Dokumentation zum Thema. [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
+ **Passive IP**: steht für den passiven Modus für FTP- und FTPS-Protokolle. Geben Sie eine einzelne IPv4 Adresse ein, z. B. die öffentliche IP-Adresse einer Firewall, eines Routers oder eines Load Balancers. Weitere Informationen finden Sie in der `PassiveIp` Dokumentation zum [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)Thema.
![\[Der Bildschirm „Zusätzliche Konfiguration“ mit den SetStat Parametern „Wiederaufnahme der TLS-Sitzung“ und „Passive IP“.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/create-server-configure-additional-items-all.png)
1. **Überprüfen Sie unter Überprüfen und erstellen** Ihre Auswahl.
+ Wenn Sie eine davon bearbeiten möchten, wählen Sie neben dem Schritt **Bearbeiten** aus.
**Anmerkung**
Sie müssen jeden Schritt nach dem Schritt überprüfen, den Sie bearbeiten möchten.
+ Wenn Sie keine Änderungen vorgenommen haben, wählen Sie **Server erstellen**, um Ihren Server zu erstellen. Sie gelangen zur Seite **Servers (Server)** (siehe unten), auf der der neue Server aufgelistet ist.
Es kann einige Minuten dauern, bis sich der Status Ihres neuen Servers auf **Online** ändert. Ab diesem Zeitpunkt kann der Server Dateioperationen für die Benutzer ausführen.
**Nächste Schritte** — Fahren Sie im nächsten Schritt mit [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md) So richten Sie Benutzer ein.
# Erstellen Sie einen Server in einer virtuellen privaten Cloud
Sie können den Endpunkt Ihres Servers in einer Virtual Private Cloud (VPC) hosten, um Daten zu und von einem Amazon S3-Bucket oder Amazon EFS-Dateisystem zu übertragen, ohne das öffentliche Internet nutzen zu müssen.
**Anmerkung**
Nach dem 19. Mai 2021 können Sie mit `EndpointType=VPC_ENDPOINT` Ihrem Konto keinen Server mehr erstellen, wenn Ihr AWS Konto dies nicht bereits vor dem 19. Mai 2021 getan hat. Wenn du am oder vor dem 21. Februar 2021 bereits Server mit `EndpointType=VPC_ENDPOINT` deinem AWS Konto erstellt hast, bist du davon nicht betroffen. Verwenden Sie nach diesem Datum `EndpointType` =**VPC**. Weitere Informationen finden Sie unter [Einstellung der Verwendung von VPC\$1ENDPOINT](#deprecate-vpc-endpoint).
Wenn Sie Amazon Virtual Private Cloud (Amazon VPC) zum Hosten Ihrer AWS Ressourcen verwenden, können Sie eine private Verbindung zwischen Ihrer VPC und einem Server herstellen. Sie können diesen Server dann verwenden, um Daten über Ihren Client zu und von Ihrem Amazon S3 S3-Bucket zu übertragen, ohne öffentliche IP-Adressen zu verwenden oder ein Internet-Gateway zu benötigen.
Mit Amazon VPC können Sie AWS Ressourcen in einem benutzerdefinierten virtuellen Netzwerk starten. Mit einer VPC können Sie Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways, steuern. Weitere Informationen finden Sie VPCs unter [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) im *Amazon VPC-Benutzerhandbuch*.
In den nächsten Abschnitten finden Sie Anweisungen zum Erstellen und Verbinden Ihrer VPC mit einem Server. Im Überblick gehen Sie dazu wie folgt vor:
1. Richten Sie einen Server mit einem VPC-Endpunkt ein.
1. Connect Sie mithilfe eines Clients, der sich in Ihrer VPC befindet, über den VPC-Endpunkt eine Verbindung zu Ihrem Server her. Auf diese Weise können Sie Daten, die in Ihrem Amazon S3 S3-Bucket gespeichert sind, mithilfe von über Ihren Client übertragen AWS Transfer Family. Sie können diese Übertragung durchführen, obwohl das Netzwerk vom öffentlichen Internet getrennt ist.
1. Wenn Sie sich dafür entscheiden, den Endpunkt Ihres Servers mit dem Internet zu verbinden, können Sie Ihrem Endpunkt außerdem Elastic IP-Adressen zuordnen. Auf diese Weise können Clients außerhalb Ihrer VPC eine Verbindung zu Ihrem Server herstellen. Sie können VPC-Sicherheitsgruppen verwenden, um den Zugriff auf authentifizierte Benutzer zu kontrollieren, deren Anfragen nur von zulässigen Adressen stammen.
**Anmerkung**
AWS Transfer Family unterstützt Dual-Stack-Endpunkte, sodass Ihr Server sowohl über als auch kommunizieren kann. IPv4 IPv6 Um die Dual-Stack-Unterstützung zu aktivieren, wählen Sie bei der Erstellung Ihres **VPC-Endpunkts die Option DNS-Dual-Stack-Endpunkt aktivieren** aus. Beachten Sie, dass sowohl Ihre VPC als auch Ihre Subnetze für die Unterstützung konfiguriert sein müssen, IPv6 bevor Sie diese Funktion verwenden können. Die Dual-Stack-Unterstützung ist besonders nützlich, wenn Sie Clients haben, die über eines der beiden Protokolle eine Verbindung herstellen müssen.
Hinweise zu Dual-Stack IPv4 - (und IPv6) Server-Endpunkten finden Sie unter. [IPv6 Unterstützung für Transfer Family Family-Server](ipv6-support.md)
**Topics**
+ [Erstellen Sie einen Serverendpunkt, auf den nur innerhalb Ihrer VPC zugegriffen werden kann](#create-server-endpoint-in-vpc)
+ [Erstellen Sie einen mit dem Internet verbundenen Endpunkt für Ihren Server](#create-internet-facing-endpoint)
+ [Ändern Sie den Endpunkttyp für Ihren Server](#change-server-endpoint-type)
+ [Einstellung der Verwendung von VPC\$1ENDPOINT](#deprecate-vpc-endpoint)
+ [Beschränkung des VPC-Endpunktzugriffs für Transfer Family Family-Server](#limit-vpc-endpoint-access)
+ [Zusätzliche Netzwerkfunktionen](#additional-networking-features)
+ [Aktualisierung des AWS Transfer Family Serverendpunkttyps von VPC\$1ENDPOINT auf VPC](update-endpoint-type-vpc.md)
## Erstellen Sie einen Serverendpunkt, auf den nur innerhalb Ihrer VPC zugegriffen werden kann
Im folgenden Verfahren erstellen Sie einen Serverendpunkt, auf den nur Ressourcen innerhalb Ihrer VPC zugreifen können.
**So erstellen Sie einen Serverendpunkt in einer VPC**
1. Öffnen Sie die AWS Transfer Family Konsole unter. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)
1. Wählen Sie im Navigationsbereich **Server** und anschließend **Server erstellen** aus.
1. **Wählen Sie unter Protokolle** auswählen ein oder mehrere Protokolle aus, und klicken Sie dann auf **Weiter**. Weitere Informationen zu Protokollen finden Sie unter[Schritt 2: Erstellen Sie einen SFTP-fähigen Server](getting-started.md#getting-started-server).
1. **Wählen Sie unter Einen Identitätsanbieter** auswählen die Option **Dienst verwaltet**, um Benutzeridentitäten und Schlüssel zu speichern AWS Transfer Family, und klicken Sie dann auf **Weiter**.
Bei diesem Verfahren wird die vom Dienst verwaltete Option verwendet. Wenn Sie **Benutzerdefiniert** wählen, geben Sie einen Amazon API Gateway Gateway-Endpunkt und eine AWS Identity and Access Management (IAM) -Rolle für den Zugriff auf den Endpunkt an. Auf diese Weise können Sie Ihren Verzeichnisdienst integrieren, um Ihre Benutzer zu authentifizieren und zu autorisieren. Weitere Informationen zur Verwendung benutzerdefinierter Identitätsanbieter siehe [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md).
1. Gehen **Sie unter Endpunkt auswählen** wie folgt vor:
1. Wählen Sie als **Endpunkttyp** den **VPC-gehosteten** Endpunkttyp aus, um den Endpunkt Ihres Servers zu hosten.
1. Wählen Sie für **Zugriff** die Option **Intern** aus, damit Ihr Endpunkt nur für Clients zugänglich ist, die die privaten IP-Adressen des Endpunkts verwenden.
Einzelheiten zur Option **Internetzugriff** finden Sie unter[Erstellen Sie einen mit dem Internet verbundenen Endpunkt für Ihren Server](#create-internet-facing-endpoint). Ein Server, der in einer VPC nur für den internen Zugriff erstellt wurde, unterstützt keine benutzerdefinierten Hostnamen.
1. Wählen Sie für **VPC** eine vorhandene VPC-ID oder wählen Sie **Create a VPC, um eine neue VPC** zu erstellen.
1. Wählen Sie im Abschnitt **Availability Zones** bis zu drei Availability Zones und zugehörige Subnetze aus.
1. Wählen Sie im Abschnitt **Sicherheitsgruppen** eine bestehende Sicherheitsgruppen-ID aus, IDs oder wählen Sie **Sicherheitsgruppe erstellen**, um eine neue Sicherheitsgruppe zu erstellen. Weitere Informationen zu Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*. Informationen zum Erstellen einer Sicherheitsgruppe finden Sie unter [Erstellen einer Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
**Anmerkung**
Ihre VPC verfügt automatisch über eine Standardsicherheitsgruppe. Wenn Sie beim Starten des Servers keine andere Sicherheitsgruppe oder Gruppen angeben, ordnen wir Ihrem Server die Standardsicherheitsgruppe zu.
+ Für die eingehenden Regeln für die Sicherheitsgruppe können Sie den SSH-Verkehr so konfigurieren, dass er Port 22, 2222, 22000 oder eine beliebige Kombination verwendet. Port 22 ist standardmäßig konfiguriert. Um Port 2222 oder Port 22000 zu verwenden, fügen Sie Ihrer Sicherheitsgruppe eine Regel für eingehenden Datenverkehr hinzu. Wählen Sie für den Typ **Benutzerdefiniertes TCP** aus, geben Sie dann entweder **2222** oder **22000** als **Portbereich** ein und geben Sie für die Quelle denselben CIDR-Bereich ein, den Sie für Ihre SSH-Port-22-Regel haben.
+ Konfigurieren Sie für die eingehenden Regeln für die Sicherheitsgruppe FTP- und FTPS-Verkehr so, dass der **Portbereich** **21** für den Steuerkanal und **8192-8200** für den Datenkanal verwendet wird.
**Anmerkung**
Sie können Port 2223 auch für Clients verwenden, die TCP-"Piggy-Back“ oder die Möglichkeit benötigen ACKs, dass das letzte Paket des TCP-3-Wege-Handshakes auch Daten enthält.
Manche Client-Software ist möglicherweise nicht mit Port 2223 kompatibel, z. B. ein Client, bei dem der Server die SFTP-Identifikationszeichenfolge senden muss, bevor der Client dies tut.
![\[Die Regeln für eingehende Nachrichten für eine Beispielsicherheitsgruppe, die eine Regel für SSH auf Port 22 und Custom TCP auf Port 2222 zeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/alternate-port-rule.png)
1. (Optional) Aktivieren Sie für **FIPS Enabled** das Kontrollkästchen **FIPS-fähiger Endpunkt, um sicherzustellen, dass der Endpunkt** den Federal Information Processing Standards (FIPS) entspricht.
**Anmerkung**
FIPS-fähige Endpunkte sind nur in nordamerikanischen Regionen verfügbar. AWS Informationen zu den verfügbaren Regionen finden Sie unter [AWS Transfer Family Endpunkte](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) und Kontingente in der. *Allgemeine AWS-Referenz* Weitere Informationen zu FIPS finden Sie unter [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
1. Wählen Sie **Weiter** aus.
1. Gehen **Sie unter Zusätzliche Details konfigurieren** wie folgt vor:
1. Wählen Sie für die **CloudWatch Protokollierung** eine der folgenden Optionen, um die CloudWatch Amazon-Protokollierung Ihrer Benutzeraktivitäten zu aktivieren:
+ **Erstellen Sie eine neue Rolle**, damit Transfer Family die IAM-Rolle automatisch erstellen kann, sofern Sie über die erforderlichen Berechtigungen zum Erstellen einer neuen Rolle verfügen. Die erstellte IAM-Rolle wird aufgerufen. `AWSTransferLoggingAccess`
+ **Wählen Sie eine vorhandene Rolle** aus, um eine bestehende IAM-Rolle aus Ihrem Konto auszuwählen. Wählen **Sie unter Logging-Rolle** die Rolle aus. Diese IAM-Rolle sollte eine Vertrauensrichtlinie mit der Einstellung **Service** auf `transfer.amazonaws.com` enthalten.
Weitere Informationen zur CloudWatch Protokollierung finden Sie unter[Konfigurieren Sie die CloudWatch Protokollierungsrolle](configure-cw-logging-role.md).
**Anmerkung**
Sie können keine Endbenutzeraktivitäten in anzeigen, CloudWatch wenn Sie keine Protokollierungsrolle angeben.
Wenn Sie keine CloudWatch Protokollierungsrolle einrichten möchten, wählen Sie **Bestehende Rolle auswählen**, aber wählen Sie keine Protokollierungsrolle aus.
1. Wählen Sie unter **Optionen für kryptografische Algorithmen** eine Sicherheitsrichtlinie aus, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind.
**Anmerkung**
Standardmäßig ist die `TransferSecurityPolicy-2024-01` Sicherheitsrichtlinie an Ihren Server angehängt, sofern Sie keine andere auswählen.
Weitere Informationen zu Sicherheitsrichtlinien finden Sie unter [Sicherheitsrichtlinien für Server AWS Transfer Family](security-policies.md).
1. (Optional: Dieser Abschnitt ist nur für die Migration von Benutzern von einem vorhandenen SFTP-fähigen Server vorgesehen.) Geben Sie als **Server-Hostschlüssel** einen privaten RSA- oder ECSA-Schlüssel ein ED25519, der zur Identifizierung Ihres Servers verwendet wird, wenn Clients über SFTP eine Verbindung zu ihm herstellen.
1. **(Optional) Geben Sie für **Tags** für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie dann Tag hinzufügen aus.**
1. Wählen Sie **Weiter** aus.
1. **Überprüfen Sie unter Überprüfen und erstellen** Ihre Auswahl. Wenn Sie:
+ Wenn Sie eine davon bearbeiten möchten, wählen Sie neben dem Schritt **Bearbeiten** aus.
**Anmerkung**
Sie müssen jeden Schritt nach dem Schritt, den Sie bearbeiten möchten, erneut überprüfen.
+ Haben Sie keine Änderungen vorgenommen, wählen Sie **Server erstellen**, um Ihren Server zu erstellen. Sie gelangen zur Seite **Servers (Server)** (siehe unten), auf der der neue Server aufgelistet ist.
Es kann einige Minuten dauern, bis sich der Status Ihres neuen Servers auf **Online** ändert. Zu diesem Zeitpunkt kann Ihr Server Dateioperationen ausführen, aber Sie müssen zuerst einen Benutzer erstellen. Einzelheiten zum Erstellen von Benutzern finden Sie unter[Benutzer für Serverendpunkte verwalten](create-user.md).
## Erstellen Sie einen mit dem Internet verbundenen Endpunkt für Ihren Server
Im folgenden Verfahren erstellen Sie einen Serverendpunkt. Auf diesen Endpunkt können nur Clients über das Internet zugreifen, deren Quell-IP-Adressen in der Standardsicherheitsgruppe Ihrer VPC zulässig sind. Indem Sie Elastic IP-Adressen verwenden, um Ihren Endpunkt mit dem Internet zu verbinden, können Ihre Kunden die Elastic IP-Adresse außerdem verwenden, um den Zugriff auf Ihren Endpunkt in ihren Firewalls zu ermöglichen.
**Anmerkung**
Nur SFTP und FTPS können auf einem mit dem Internet verbundenen VPC-gehosteten Endpunkt verwendet werden.
**Um einen mit dem Internet verbundenen Endpunkt zu erstellen**
1. Öffnen Sie die AWS Transfer Family Konsole unter. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)
1. Wählen Sie im Navigationsbereich **Server** und anschließend **Server erstellen** aus.
1. **Wählen Sie unter Protokolle** auswählen ein oder mehrere Protokolle aus, und klicken Sie dann auf **Weiter**. Weitere Informationen zu Protokollen finden Sie unter[Schritt 2: Erstellen Sie einen SFTP-fähigen Server](getting-started.md#getting-started-server).
1. **Wählen Sie unter Einen Identitätsanbieter** auswählen die Option **Dienst verwaltet**, um Benutzeridentitäten und Schlüssel zu speichern AWS Transfer Family, und klicken Sie dann auf **Weiter**.
Bei diesem Verfahren wird die vom Dienst verwaltete Option verwendet. Wenn Sie **Benutzerdefiniert** wählen, geben Sie einen Amazon API Gateway Gateway-Endpunkt und eine AWS Identity and Access Management (IAM) -Rolle für den Zugriff auf den Endpunkt an. Auf diese Weise können Sie Ihren Verzeichnisdienst integrieren, um Ihre Benutzer zu authentifizieren und zu autorisieren. Weitere Informationen zur Verwendung benutzerdefinierter Identitätsanbieter siehe [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md).
1. Gehen **Sie unter Endpunkt auswählen** wie folgt vor:
1. Wählen Sie als **Endpunkttyp** den **VPC-gehosteten** Endpunkttyp aus, um den Endpunkt Ihres Servers zu hosten.
1. Wählen Sie für **Access** die Option **Internet Facing** aus, um Ihren Endpunkt für Kunden über das Internet zugänglich zu machen.
**Anmerkung**
Wenn Sie sich für **Internet Facing** entscheiden, können Sie in jedem Subnetz oder Subnetzen eine bestehende Elastic IP-Adresse auswählen. Oder Sie können die VPC-Konsole ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) aufrufen, um eine oder mehrere neue Elastic IP-Adressen zuzuweisen. Diese Adressen können entweder Ihnen AWS oder Ihnen gehören. Sie können Elastic IP-Adressen, die bereits verwendet werden, nicht mit Ihrem Endpunkt verknüpfen.
1. (Optional) Wählen Sie für **Benutzerdefinierter Hostname** eine der folgenden Optionen:
**Anmerkung**
Kunden, die eine direkte Verbindung über die Elastic IP-Adresse herstellen oder einen Hostnamen-Datensatz in Commercial Route 53 erstellen AWS GovCloud (US) müssen, der auf ihre EIP verweist. Weitere Informationen zur Verwendung von Route 53 für GovCloud Endgeräte finden Sie unter [Einrichten von Amazon Route 53 mit Ihren AWS GovCloud (US) Ressourcen](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-route53.html) im *AWS GovCloud (US) Benutzerhandbuch*.
+ **Amazon Route 53 DNS-Alias** — wenn der Hostname, den Sie verwenden möchten, bei Route 53 registriert ist. Sie können dann den Hostnamen eingeben.
+ **Anderes DNS** — wenn der Hostname, den Sie verwenden möchten, bei einem anderen DNS-Anbieter registriert ist. Sie können dann den Hostnamen eingeben.
+ **Keine** — um den Endpunkt des Servers zu verwenden und keinen benutzerdefinierten Hostnamen zu verwenden. Der Server-Host-Name hat das Format `server-id.server.transfer.region.amazonaws.com`.
**Anmerkung**
Für Kunden in AWS GovCloud (US) wird durch die Auswahl von **None** kein Hostname in diesem Format erstellt.
Weitere Informationen zum Arbeiten mit benutzerdefinierten Hostnamen finden Sie unter. [Mit benutzerdefinierten Hostnamen arbeiten](requirements-dns.md)
1. Wählen Sie für **VPC** eine vorhandene VPC-ID oder wählen Sie **Create a VPC, um eine neue VPC** zu erstellen.
1. Wählen Sie im Abschnitt **Availability Zones** bis zu drei Availability Zones und zugehörige Subnetze aus. Wählen Sie unter **IPv4Adressen** eine **Elastic IP-Adresse** für jedes Subnetz aus. Dies ist die IP-Adresse, die Ihre Clients verwenden können, um den Zugriff auf Ihren Endpunkt in ihren Firewalls zu ermöglichen.
**Tipp:** Sie müssen ein öffentliches Subnetz für Ihre Availability Zones verwenden oder zuerst ein Internet-Gateway einrichten, wenn Sie ein privates Subnetz verwenden möchten.
1. Wählen Sie im Abschnitt **Sicherheitsgruppen** eine bestehende Sicherheitsgruppen-ID oder IDs oder wählen Sie Sicherheitsgruppe **erstellen, um eine neue Sicherheitsgruppe** zu erstellen. Weitere Informationen zu Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*. Informationen zum Erstellen einer Sicherheitsgruppe finden Sie unter [Erstellen einer Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
**Anmerkung**
Ihre VPC verfügt automatisch über eine Standardsicherheitsgruppe. Wenn Sie beim Starten des Servers keine andere Sicherheitsgruppe oder Gruppen angeben, ordnen wir Ihrem Server die Standardsicherheitsgruppe zu.
+ Für die eingehenden Regeln für die Sicherheitsgruppe können Sie den SSH-Verkehr so konfigurieren, dass er Port 22, 2222, 22000 oder eine beliebige Kombination verwendet. Port 22 ist standardmäßig konfiguriert. Um Port 2222 oder Port 22000 zu verwenden, fügen Sie Ihrer Sicherheitsgruppe eine Regel für eingehenden Datenverkehr hinzu. Wählen Sie für den Typ **Benutzerdefiniertes TCP** aus, geben Sie dann entweder **2222** oder **22000** als **Portbereich** ein und geben Sie für die Quelle denselben CIDR-Bereich ein, den Sie für Ihre SSH-Port-22-Regel haben.
+ Konfigurieren Sie für die eingehenden Regeln für die Sicherheitsgruppe den FTPS-Verkehr so, dass der **Portbereich** **21** für den Steuerkanal und **8192-8200** für den Datenkanal verwendet wird.
**Anmerkung**
Sie können Port 2223 auch für Clients verwenden, die TCP-"Piggy-Back“ oder die Möglichkeit benötigen ACKs, dass das letzte Paket des TCP-3-Wege-Handshakes auch Daten enthält.
Manche Client-Software ist möglicherweise nicht mit Port 2223 kompatibel, z. B. ein Client, bei dem der Server die SFTP-Identifikationszeichenfolge senden muss, bevor der Client dies tut.
![\[Die Regeln für eingehende Nachrichten für eine Beispielsicherheitsgruppe, die eine Regel für SSH auf Port 22 und Custom TCP auf Port 2222 zeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/alternate-port-rule.png)
1. (Optional) Aktivieren Sie für **FIPS Enabled** das Kontrollkästchen **FIPS-fähiger Endpunkt, um sicherzustellen, dass der Endpunkt** den Federal Information Processing Standards (FIPS) entspricht.
**Anmerkung**
FIPS-fähige Endpunkte sind nur in nordamerikanischen Regionen verfügbar. AWS Informationen zu den verfügbaren Regionen finden Sie unter [AWS Transfer Family Endpunkte](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) und Kontingente in der. *Allgemeine AWS-Referenz* Weitere Informationen zu FIPS finden Sie unter [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.
1. Wählen Sie **Weiter** aus.
1. Gehen **Sie unter Zusätzliche Details konfigurieren** wie folgt vor:
1. Wählen Sie für die **CloudWatch Protokollierung** eine der folgenden Optionen, um die CloudWatch Amazon-Protokollierung Ihrer Benutzeraktivitäten zu aktivieren:
+ **Erstellen Sie eine neue Rolle**, damit Transfer Family die IAM-Rolle automatisch erstellen kann, sofern Sie über die erforderlichen Berechtigungen zum Erstellen einer neuen Rolle verfügen. Die erstellte IAM-Rolle wird aufgerufen. `AWSTransferLoggingAccess`
+ **Wählen Sie eine vorhandene Rolle** aus, um eine bestehende IAM-Rolle aus Ihrem Konto auszuwählen. Wählen **Sie unter Logging-Rolle** die Rolle aus. Diese IAM-Rolle sollte eine Vertrauensrichtlinie mit der Einstellung **Service** auf `transfer.amazonaws.com` enthalten.
Weitere Informationen zur CloudWatch Protokollierung finden Sie unter[Konfigurieren Sie die CloudWatch Protokollierungsrolle](configure-cw-logging-role.md).
**Anmerkung**
Sie können keine Endbenutzeraktivitäten in anzeigen, CloudWatch wenn Sie keine Protokollierungsrolle angeben.
Wenn Sie keine CloudWatch Protokollierungsrolle einrichten möchten, wählen Sie **Bestehende Rolle auswählen**, aber wählen Sie keine Protokollierungsrolle aus.
1. Wählen Sie unter **Optionen für kryptografische Algorithmen** eine Sicherheitsrichtlinie aus, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind.
**Anmerkung**
Standardmäßig ist die `TransferSecurityPolicy-2024-01` Sicherheitsrichtlinie an Ihren Server angehängt, sofern Sie keine andere auswählen.
Weitere Informationen zu Sicherheitsrichtlinien finden Sie unter [Sicherheitsrichtlinien für Server AWS Transfer Family](security-policies.md).
1. (Optional: Dieser Abschnitt ist nur für die Migration von Benutzern von einem vorhandenen SFTP-fähigen Server vorgesehen.) Geben Sie als **Server-Hostschlüssel** einen privaten RSA- oder ECSA-Schlüssel ein ED25519, der zur Identifizierung Ihres Servers verwendet wird, wenn Clients über SFTP eine Verbindung zu ihm herstellen.
1. **(Optional) Geben Sie für **Tags** für **Schlüssel** und **Wert** ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie dann Tag hinzufügen aus.**
1. Wählen Sie **Weiter** aus.
1. (Optional) Wählen Sie für **verwaltete Workflows** den Workflow IDs (und eine entsprechende Rolle) aus, den Transfer Family bei der Ausführung des Workflows annehmen soll. Sie können einen Workflow auswählen, der bei einem vollständigen Upload ausgeführt wird, und einen anderen, der bei einem teilweisen Upload ausgeführt wird. Weitere Informationen zur Verarbeitung Ihrer Dateien mithilfe verwalteter Workflows finden Sie unter[AWS Transfer Family verwaltete Workflows](transfer-workflows.md).
![\[Der Konsolenbereich für verwaltete Workflows.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/workflows-addtoserver.png)
1. **Überprüfen Sie unter Überprüfen und erstellen** Ihre Auswahl. Wenn Sie:
+ Wenn Sie eine davon bearbeiten möchten, wählen Sie neben dem Schritt **Bearbeiten** aus.
**Anmerkung**
Sie müssen jeden Schritt nach dem Schritt, den Sie bearbeiten möchten, erneut überprüfen.
+ Haben Sie keine Änderungen vorgenommen, wählen Sie **Server erstellen**, um Ihren Server zu erstellen. Sie gelangen zur Seite **Servers (Server)** (siehe unten), auf der der neue Server aufgelistet ist.
Sie können die Server-ID auswählen, um die detaillierten Einstellungen des Servers zu sehen, den Sie gerade erstellt haben. Nachdem die Spalte **Öffentliche IPv4 Adresse** gefüllt wurde, wurden die von Ihnen angegebenen Elastic IP-Adressen erfolgreich mit dem Endpunkt Ihres Servers verknüpft.
**Anmerkung**
Wenn Ihr Server in einer VPC online ist, können nur die Subnetze geändert werden, und zwar nur über die [UpdateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html)API. Sie müssen [den Server anhalten](edit-server-config.md#edit-online-offline), um die Elastic-IP-Adressen des Serverendpunkts hinzuzufügen oder zu ändern.
## Ändern Sie den Endpunkttyp für Ihren Server
Wenn Sie bereits über einen Server verfügen, auf den über das Internet zugegriffen werden kann (d. h. einen öffentlichen Endpunkttyp hat), können Sie seinen Endpunkt in einen VPC-Endpunkt ändern.
**Anmerkung**
Wenn Sie einen vorhandenen Server in einer VPC als angezeigt haben, empfehlen wir Ihnen`VPC_ENDPOINT`, ihn auf den neuen VPC-Endpunkttyp zu ändern. Mit diesem neuen Endpunkttyp müssen Sie keinen Network Load Balancer (NLB) mehr verwenden, um Elastic IP-Adressen mit dem Endpunkt Ihres Servers zu verknüpfen. Sie können auch VPC-Sicherheitsgruppen verwenden, um den Zugriff auf den Endpunkt Ihres Servers einzuschränken. Sie können den `VPC_ENDPOINT` Endpunkttyp jedoch weiterhin nach Bedarf verwenden.
Beim folgenden Verfahren wird davon ausgegangen, dass Sie über einen Server verfügen, der entweder den aktuellen öffentlichen Endpunkttyp oder den älteren `VPC_ENDPOINT` Typ verwendet.
**Um den Endpunkttyp für Ihren Server zu ändern**
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Klicken Sie im Navigationsbereich auf **Servers (Server)**.
1. Aktivieren Sie das Kontrollkästchen des Servers, für den Sie den Endpunkttyp ändern möchten.
**Wichtig**
Sie müssen den Server anhalten, bevor Sie dessen Endpunkttyp ändern können.
1. Wählen Sie für **Actions (Aktionen)** die Option **Stop (Stopp)**.
1. Wählen Sie im daraufhin angezeigten Bestätigungsdialogfeld die Option **Stopp** aus, um zu bestätigen, dass Sie den Server beenden möchten.
**Anmerkung**
Bevor Sie mit dem nächsten Schritt fortfahren, warten Sie unter **Endpunktdetails**, bis sich der **Status** des Servers in **Offline** ändert. Dies kann einige Minuten dauern. Möglicherweise müssen Sie auf der Seite **Server** die Option **Aktualisieren** auswählen, um die Statusänderung zu sehen.
Sie können keine Änderungen vornehmen, bis der Server **offline** ist.
1. Wählen Sie unter **Endpunktdetails** die Option **Bearbeiten** aus.
1. Gehen **Sie unter Endpunktkonfiguration bearbeiten** wie folgt vor:
1. Wählen **Sie für Endpunkttyp bearbeiten** die Option **VPC hosted** aus.
1. Wählen Sie für **Access** eine der folgenden Optionen aus:
+ **Intern**, um Ihren Endpunkt nur für Clients zugänglich zu machen, die die privaten IP-Adressen des Endpunkts verwenden.
+ **Internet Facing**, um Ihren Endpunkt für Kunden über das öffentliche Internet zugänglich zu machen.
**Anmerkung**
Wenn Sie sich für **Internet Facing** entscheiden, können Sie in jedem Subnetz oder Subnetzen eine bestehende Elastic IP-Adresse auswählen. Oder Sie können die VPC-Konsole ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) aufrufen, um eine oder mehrere neue Elastic IP-Adressen zuzuweisen. Diese Adressen können entweder Ihnen AWS oder Ihnen gehören. Sie können Elastic IP-Adressen, die bereits verwendet werden, nicht mit Ihrem Endpunkt verknüpfen.
1. (Optional nur für Internetzugriff) Wählen Sie für **Benutzerdefinierter Hostname** eine der folgenden Optionen:
+ **Amazon Route 53 DNS-Alias** — wenn der Hostname, den Sie verwenden möchten, bei Route 53 registriert ist. Sie können dann den Hostnamen eingeben.
+ **Anderes DNS** — wenn der Hostname, den Sie verwenden möchten, bei einem anderen DNS-Anbieter registriert ist. Sie können dann den Hostnamen eingeben.
+ **Keine** — um den Endpunkt des Servers zu verwenden und keinen benutzerdefinierten Hostnamen zu verwenden. Der Server-Host-Name hat das Format `serverId.server.transfer.regionId.amazonaws.com`.
Weitere Informationen zum Arbeiten mit benutzerdefinierten Hostnamen finden Sie unter. [Mit benutzerdefinierten Hostnamen arbeiten](requirements-dns.md)
1. Wählen Sie für **VPC** eine vorhandene VPC-ID aus, oder wählen Sie **Create a VPC, um eine neue VPC** zu erstellen.
1. Wählen Sie im Abschnitt **Availability Zones** bis zu drei Availability Zones und zugehörige Subnetze aus. Wenn **Internet Facing** ausgewählt ist, wählen Sie auch eine Elastic IP-Adresse für jedes Subnetz aus.
**Anmerkung**
Wenn Sie maximal drei Availability Zones wünschen, aber nicht genügend verfügbar sind, erstellen Sie sie in der VPC-Konsole ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)).
Wenn Sie die Subnetze oder Elastic IP-Adressen ändern, dauert die Aktualisierung des Servers einige Minuten. Sie können Ihre Änderungen erst speichern, wenn das Server-Update abgeschlossen ist.
1. Wählen Sie **Speichern**.
1. Wählen Sie unter **Aktionen** die Option **Start** und warten Sie, bis sich der Status des Servers auf **Online** ändert. Dies kann einige Minuten dauern.
**Anmerkung**
Wenn Sie einen öffentlichen Endpunkttyp in einen VPC-Endpunkttyp geändert haben, beachten Sie, dass der **Endpunkttyp** für Ihren Server in **VPC** geändert wurde.
Die Standardsicherheitsgruppe ist an den Endpunkt angehängt. Informationen zum Ändern oder Hinzufügen zusätzlicher Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen erstellen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups).
## Einstellung der Verwendung von VPC\$1ENDPOINT
AWS Transfer Family hat die Möglichkeit, Server `EndpointType=VPC_ENDPOINT` für neue AWS Konten zu erstellen, eingestellt. Ab dem 19. Mai 2021 können AWS Konten, die keine AWS Transfer Family Server mit dem Endpunkttyp von `VPC_ENDPOINT` besitzen, keine neuen Server mit erstellen`EndpointType=VPC_ENDPOINT`. Wenn Sie bereits Server besitzen, die den `VPC_ENDPOINT` Endpunkttyp verwenden, empfehlen wir Ihnen, `EndpointType=VPC` so bald wie möglich mit der Nutzung zu beginnen. Einzelheiten finden Sie unter [Aktualisieren Sie Ihren AWS Transfer Family Serverendpunkttyp von VPC\$1ENDPOINT auf VPC](https://aws.amazon.com/blogs/storage/update-your-aws-transfer-family-server-endpoint-type-from-vpc_endpoint-to-vpc/).
Wir haben den neuen `VPC` Endpunkttyp Anfang 2020 eingeführt. Weitere Informationen finden Sie unter [AWS Transfer Family Für SFTP werden VPC-Sicherheitsgruppen und Elastic IP-Adressen unterstützt](https://aws.amazon.com/about-aws/whats-new/2020/01/aws-transfer-for-sftp-supports-vpc-security-groups-and-elastic-ip-addresses/). Dieser neue Endpunkt bietet mehr Funktionen und ist kostengünstiger und es fallen keine PrivateLink Gebühren an. Weitere Informationen finden Sie unter [AWS PrivateLink Preise](https://aws.amazon.com/privatelink/pricing/).
Dieser Endpunkttyp entspricht funktionell dem vorherigen Endpunkttyp (`VPC_ENDPOINT`). Sie können Elastic IP-Adressen direkt an den Endpunkt anhängen, um ihn mit dem Internet zu verbinden, und Sicherheitsgruppen für die Quell-IP-Filterung verwenden. Weitere Informationen finden Sie im Blogbeitrag [Use IP Allow List to secure your AWS Transfer Family for SFTP servers](https://aws.amazon.com/blogs/storage/use-ip-whitelisting-to-secure-your-aws-transfer-for-sftp-servers/).
Sie können diesen Endpunkt auch in einer gemeinsam genutzten VPC-Umgebung hosten. Weitere Informationen finden Sie unter [Unterstützt AWS Transfer Family jetzt Shared Services-VPC-Umgebungen.](https://aws.amazon.com/about-aws/whats-new/2020/11/aws-transfer-family-now-supports-shared-services-vpc-environments/)
Zusätzlich zu SFTP können Sie die VPC verwenden, um FTPS und FTP `EndpointType` zu aktivieren. Wir haben nicht vor, diese Funktionen und FTPS/FTP diese Unterstützung hinzuzufügen. `EndpointType=VPC_ENDPOINT` Wir haben diesen Endpunkttyp auch als Option aus der AWS Transfer Family Konsole entfernt.
Sie können den Endpunkttyp für Ihren Server mithilfe der Transfer Family Family-Konsole AWS CLI, API SDKs, oder ändern CloudFormation. Informationen zum Ändern des Endpunkttyps Ihres Servers finden Sie unter[Aktualisierung des AWS Transfer Family Serverendpunkttyps von VPC\$1ENDPOINT auf VPC](update-endpoint-type-vpc.md).
Wenn Sie Fragen haben, wenden Sie sich an AWS Support Ihr AWS Account-Team.
**Anmerkung**
Wir haben nicht vor, diese Funktionen und FTPS- oder FTP-Unterstützung zu EndpointType =VPC\$1ENDPOINT hinzuzufügen. Wir bieten es nicht mehr als Option auf der Konsole an. AWS Transfer Family
Wenn du weitere Fragen hast, kannst du uns über AWS Support oder dein Account-Team kontaktieren.
## Beschränkung des VPC-Endpunktzugriffs für Transfer Family Family-Server
Wenn Sie einen AWS Transfer Family Server mit VPC-Endpunkttyp erstellen, benötigen Ihre IAM-Benutzer und -Prinzipale Berechtigungen zum Erstellen und Löschen von VPC-Endpoints. Die Sicherheitsrichtlinien Ihrer Organisation können diese Berechtigungen jedoch einschränken. Sie können IAM-Richtlinien verwenden, um das Erstellen und Löschen von VPC-Endpunkten speziell für Transfer Family zu ermöglichen und gleichzeitig Einschränkungen für andere Dienste beizubehalten.
**Wichtig**
Die folgende IAM-Richtlinie ermöglicht es Benutzern, VPC-Endpunkte nur für Transfer Family Family-Server zu erstellen und zu löschen, während diese Vorgänge für andere Dienste verweigert werden:
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DeleteVpcEndpoints"
],
"Resource": ["*"],
"Condition": {
"ForAnyValue:StringNotLike": {
"ec2:VpceServiceName": [
"com.amazonaws.INPUT-YOUR-REGION.transfer.server.*"
]
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/INPUT-YOUR-ROLE"
]
}
}
}
```
*INPUT-YOUR-REGION*Ersetzen Sie es durch Ihre AWS Region (z. B.**us-east-1**) und *INPUT-YOUR-ROLE* durch die IAM-Rolle, der Sie diese Berechtigungen gewähren möchten.
## Zusätzliche Netzwerkfunktionen
AWS Transfer Family bietet mehrere erweiterte Netzwerkfunktionen, die die Sicherheit und Flexibilität bei der Verwendung von VPC-Konfigurationen verbessern:
+ **Unterstützung für gemeinsam genutzte VPC-Umgebungen** — Sie können Ihren Transfer Family Family-Serverendpunkt in einer gemeinsam genutzten VPC-Umgebung hosten. Weitere Informationen finden Sie unter [Verwenden von VPC-gehosteten Endpunkten in Shared VPCs with](https://aws.amazon.com/blogs/storage/using-vpc-hosted-endpoints-in-shared-vpcs-with-aws-transfer-family/). AWS Transfer Family
+ **Authentifizierung und Sicherheit** — Sie können eine AWS Web Application Firewall verwenden, um Ihren Amazon API Gateway Gateway-Endpunkt zu schützen. Weitere Informationen finden Sie unter [Absichern AWS Transfer Family mit AWS Web Application Firewall und Amazon API Gateway](https://aws.amazon.com/blogs/storage/securing-aws-transfer-family-with-aws-web-application-firewall-and-amazon-api-gateway/).
# Aktualisierung des AWS Transfer Family Serverendpunkttyps von VPC\$1ENDPOINT auf VPC
Sie können die AWS-Managementkonsole CloudFormation, oder die Transfer Family Family-API verwenden, um die Daten `EndpointType` von bis eines Servers `VPC_ENDPOINT` zu aktualisieren`VPC`. In den folgenden Abschnitten finden Sie detaillierte Verfahren und Beispiele für die Verwendung jeder dieser Methoden zur Aktualisierung eines Serverendpunkttyps. Wenn Sie Server in mehreren AWS Regionen und in mehreren AWS Konten haben, können Sie das Beispielskript im folgenden Abschnitt mit Änderungen verwenden, um Server zu identifizieren, die den `VPC_ENDPOINT` Typ verwenden, den Sie aktualisieren müssen.
**Topics**
+ [Identifizieren von Servern anhand des `VPC_ENDPOINT` Endpunkttyps](#id-servers)
+ [Aktualisierung des Serverendpunkt-Typs mit dem AWS-Managementkonsole](#update-endpoint-console)
+ [Den Serverendpunkttyp aktualisieren mit CloudFormation](#update-endpoint-cloudformation)
+ [Den Server EndpointType mithilfe der API aktualisieren](#update-endpoint-cli)
## Identifizieren von Servern anhand des `VPC_ENDPOINT` Endpunkttyps
Mithilfe von können Sie feststellen, welche Server das `VPC_ENDPOINT` verwenden AWS-Managementkonsole.
**Um Server zu identifizieren, die den `VPC_ENDPOINT` Endpunkttyp mithilfe der Konsole verwenden**
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Wählen Sie im Navigationsbereich **Server** aus, um die Liste der Server in Ihrem Konto in dieser Region anzuzeigen.
1. Sortieren Sie die Liste der Server nach dem **Endpunkttyp**, um zu sehen, dass alle Server diese verwenden`VPC_ENDPOINT`.
**Um Server zu identifizieren, die mehrere `VPC_ENDPOINT` AWS Regionen und Konten verwenden**
Wenn Sie Server in mehreren AWS Regionen und in mehreren AWS Konten haben, können Sie das folgende Beispielskript mit Änderungen verwenden, um Server zu identifizieren, die den `VPC_ENDPOINT` Endpunkttyp verwenden. Das Beispielskript verwendet die [https://docs.aws.amazon.com/transfer/latest/APIReference/API_ListServers.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ListServers.html)API-Operationen Amazon EC2 [DescribeRegions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRegions.html)und Transfer Family. Wenn Sie viele AWS Konten haben, können Sie Ihre Konten mithilfe einer IAM-Rolle mit schreibgeschütztem Auditor-Zugriff durchgehen, wenn Sie sich mithilfe von Sitzungsprofilen bei Ihrem Identitätsanbieter authentifizieren.
1. Es folgt ein einfaches Beispiel.
```
import boto3
profile = input("Enter the name of the AWS account you'll be working in: ")
session = boto3.Session(profile_name=profile)
ec2 = session.client("ec2")
regions = ec2.describe_regions()
for region in regions['Regions']:
region_name = region['RegionName']
if region_name=='ap-northeast-3': #https://github.com/boto/boto3/issues/1943
continue
transfer = session.client("transfer", region_name=region_name)
servers = transfer.list_servers()
for server in servers['Servers']:
if server['EndpointType']=='VPC_ENDPOINT':
print(server['ServerId'], region_name)
```
1. Nachdem Sie die Liste der zu aktualisierenden Server erstellt haben, können Sie eine der in den folgenden Abschnitten beschriebenen Methoden verwenden, um den Server `EndpointType` zu aktualisieren`VPC`.
## Aktualisierung des Serverendpunkt-Typs mit dem AWS-Managementkonsole
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Klicken Sie im Navigationsbereich auf **Servers (Server)**.
1. Aktivieren Sie das Kontrollkästchen des Servers, für den Sie den Endpunkttyp ändern möchten.
**Wichtig**
Sie müssen den Server anhalten, bevor Sie dessen Endpunkttyp ändern können.
1. Wählen Sie für **Actions (Aktionen)** die Option **Stop (Stopp)**.
1. Wählen Sie im daraufhin angezeigten Bestätigungsdialogfeld die Option **Stopp** aus, um zu bestätigen, dass Sie den Server beenden möchten.
**Anmerkung**
Bevor Sie mit dem nächsten Schritt fortfahren, warten Sie, bis sich der **Status** des Servers auf **Offline** ändert. Dies kann einige Minuten dauern. Möglicherweise müssen Sie auf der Seite **Server** die Option **Aktualisieren** auswählen, um die Statusänderung zu sehen.
1. Nachdem sich der Status auf **Offline** geändert hat, wählen Sie den Server aus, auf dem die Serverdetailseite angezeigt werden soll.
1. Wählen Sie im Abschnitt **Endpunktdetails** die Option **Bearbeiten** aus.
1. Wählen Sie **VPC Hosted** für den **Endpoint-Typ** aus.
1. Wählen Sie **Speichern** aus.
1. Wählen Sie für **Aktionen** die Option **Start** und warten Sie, bis sich der Status des Servers auf **Online** ändert. Dies kann einige Minuten dauern.
## Den Serverendpunkttyp aktualisieren mit CloudFormation
In diesem Abschnitt wird beschrieben, wie CloudFormation Sie das auf einem Server aktualisieren `EndpointType` können`VPC`. Verwenden Sie dieses Verfahren für Transfer Family Family-Server, mit denen Sie bereitgestellt haben CloudFormation. In diesem Beispiel wird die ursprüngliche CloudFormation Vorlage, die für die Bereitstellung des Transfer Family Family-Servers verwendet wurde, wie folgt dargestellt:
```
AWS TemplateFormatVersion: '2010-09-09'
Description: 'Create AWS Transfer Server with VPC_ENDPOINT endpoint type'
Parameters:
SecurityGroupId:
Type: AWS::EC2::SecurityGroup::Id
SubnetIds:
Type: List
VpcId:
Type: AWS::EC2::VPC::Id
Resources:
TransferServer:
Type: AWS::Transfer::Server
Properties:
Domain: S3
EndpointDetails:
VpcEndpointId: !Ref VPCEndpoint
EndpointType: VPC_ENDPOINT
IdentityProviderType: SERVICE_MANAGED
Protocols:
- SFTP
VPCEndpoint:
Type: AWS::EC2::VPCEndpoint
Properties:
ServiceName: com.amazonaws.us-east-1.transfer.server
SecurityGroupIds:
- !Ref SecurityGroupId
SubnetIds:
- !Select [0, !Ref SubnetIds]
- !Select [1, !Ref SubnetIds]
- !Select [2, !Ref SubnetIds]
VpcEndpointType: Interface
VpcId: !Ref VpcId
```
Die Vorlage wurde mit den folgenden Änderungen aktualisiert:
+ Das `EndpointType` wurde geändert in`VPC`.
+ Die `AWS::EC2::VPCEndpoint` Ressource wurde entfernt.
+ Die `SecurityGroupId``SubnetIds`, und `VpcId` wurden in den `EndpointDetails` Abschnitt der `AWS::Transfer::Server` Ressource verschoben
+ Die `VpcEndpointId` Eigenschaft von `EndpointDetails` wurde entfernt.
Die aktualisierte Vorlage sieht wie folgt aus:
```
AWS TemplateFormatVersion: '2010-09-09'
Description: 'Create AWS Transfer Server with VPC endpoint type'
Parameters:
SecurityGroupId:
Type: AWS::EC2::SecurityGroup::Id
SubnetIds:
Type: List
VpcId:
Type: AWS::EC2::VPC::Id
Resources:
TransferServer:
Type: AWS::Transfer::Server
Properties:
Domain: S3
EndpointDetails:
SecurityGroupIds:
- !Ref SecurityGroupId
SubnetIds:
- !Select [0, !Ref SubnetIds]
- !Select [1, !Ref SubnetIds]
- !Select [2, !Ref SubnetIds]
VpcId: !Ref VpcId
EndpointType: VPC
IdentityProviderType: SERVICE_MANAGED
Protocols:
- SFTP
```
**Um den Endpunkttyp von Transfer Family Family-Servern zu aktualisieren, die bereitgestellt werden mit CloudFormation**
1. Stoppen Sie den Server, den Sie aktualisieren möchten, indem Sie die folgenden Schritte ausführen.
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Klicken Sie im Navigationsbereich auf **Servers (Server)**.
1. Aktivieren Sie das Kontrollkästchen des Servers, für den Sie den Endpunkttyp ändern möchten.
**Wichtig**
Sie müssen den Server anhalten, bevor Sie dessen Endpunkttyp ändern können.
1. Wählen Sie für **Actions (Aktionen)** die Option **Stop (Stopp)**.
1. Wählen Sie im daraufhin angezeigten Bestätigungsdialogfeld die Option **Stopp** aus, um zu bestätigen, dass Sie den Server beenden möchten.
**Anmerkung**
Bevor Sie mit dem nächsten Schritt fortfahren, warten Sie, bis sich der **Status** des Servers auf **Offline** ändert. Dies kann einige Minuten dauern. Möglicherweise müssen Sie auf der Seite **Server** die Option **Aktualisieren** auswählen, um die Statusänderung zu sehen.
1. Aktualisieren Sie den CloudFormation Stack
1. Öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie den Stack aus, der zur Erstellung des Transfer Family Family-Servers verwendet wurde.
1. Wählen Sie **Aktualisieren** aus.
1. Wählen Sie **Aktuelle Vorlage ersetzen**
1. Laden Sie die neue Vorlage hoch. CloudFormation Mithilfe von Änderungssätzen können Sie verstehen, wie sich Vorlagenänderungen auf laufende Ressourcen auswirken, bevor Sie sie implementieren. In diesem Beispiel wird die Transfer-Serverressource geändert und die VPCEndpoint Ressource wird entfernt. Der VPC-Endpunktserver erstellt in Ihrem Namen einen VPC-Endpunkt und ersetzt die ursprüngliche `VPCEndpoint` Ressource.
Nach dem Hochladen der neuen Vorlage sieht der Änderungssatz etwa wie folgt aus:
![\[Zeigt die Vorschauseite des Änderungssatzes an, auf der die aktuelle CloudFormation Vorlage ersetzt werden kann.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/vpc-endpoint-update-cfn.png)
1. Aktualisieren Sie den Stack.
1. Sobald das Stack-Update abgeschlossen ist, navigieren Sie zur Transfer Family Family-Verwaltungskonsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Starten Sie den Server neu. Wählen Sie den Server aus, auf dem Sie aktualisiert haben CloudFormation, und wählen Sie dann im Menü **Aktionen** die Option **Start**.
## Den Server EndpointType mithilfe der API aktualisieren
Sie können den Befehl [describe-server](https://docs.aws.amazon.com/cli/latest/reference/transfer/update-server.html) oder den AWS CLI [UpdateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html)API-Befehl verwenden. Das folgende Beispielskript stoppt den Transfer Family Family-Server, aktualisiert den EndpointType, entfernt den VPC\$1ENDPOINT und startet den Server.
```
import boto3
import time
profile = input("Enter the name of the AWS account you'll be working in: ")
region_name = input("Enter the AWS Region you're working in: ")
server_id = input("Enter the AWS Transfer Server Id: ")
session = boto3.Session(profile_name=profile)
ec2 = session.client("ec2", region_name=region_name)
transfer = session.client("transfer", region_name=region_name)
group_ids=[]
transfer_description = transfer.describe_server(ServerId=server_id)
if transfer_description['Server']['EndpointType']=='VPC_ENDPOINT':
transfer_vpc_endpoint = transfer_description['Server']['EndpointDetails']['VpcEndpointId']
transfer_vpc_endpoint_descriptions = ec2.describe_vpc_endpoints(VpcEndpointIds=[transfer_vpc_endpoint])
for transfer_vpc_endpoint_description in transfer_vpc_endpoint_descriptions['VpcEndpoints']:
subnet_ids=transfer_vpc_endpoint_description['SubnetIds']
group_id_list=transfer_vpc_endpoint_description['Groups']
vpc_id=transfer_vpc_endpoint_description['VpcId']
for group_id in group_id_list:
group_ids.append(group_id['GroupId'])
if transfer_description['Server']['State']=='ONLINE':
transfer_stop = transfer.stop_server(ServerId=server_id)
print(transfer_stop)
time.sleep(300) #safe
transfer_update = transfer.update_server(ServerId=server_id,EndpointType='VPC',EndpointDetails={'SecurityGroupIds':group_ids,'SubnetIds':subnet_ids,'VpcId':vpc_id})
print(transfer_update)
time.sleep(10)
transfer_start = transfer.start_server(ServerId=server_id)
print(transfer_start)
delete_vpc_endpoint = ec2.delete_vpc_endpoints(VpcEndpointIds=[transfer_vpc_endpoint])
```
# Mit benutzerdefinierten Hostnamen arbeiten
Ihr *Server-Hostname* ist der Hostname, den Ihre Benutzer in ihren Clients eingeben, wenn sie eine Verbindung zu Ihrem Server herstellen. Sie können eine benutzerdefinierte Domain verwenden, die Sie für Ihren Server-Hostnamen registriert haben, wenn Sie damit arbeiten. AWS Transfer Family Sie könnten beispielsweise einen benutzerdefinierten Hostnamen wie verwenden. `mysftpserver.mysubdomain.domain.com`
Um Traffic von Ihrer registrierten benutzerdefinierten Domain zu Ihrem Serverendpunkt umzuleiten, können Sie Amazon Route 53 oder einen beliebigen Domain Name System (DNS) -Anbieter verwenden. Route 53 ist der DNS-Dienst, der AWS Transfer Family nativ unterstützt wird.
**Topics**
+ [Verwenden Sie Amazon Route 53 als Ihren DNS-Anbieter](#requirements-use-r53)
+ [Verwenden Sie andere DNS-Anbieter](#requirements-use-alt-dns)
+ [Benutzerdefinierte Hostnamen für Server, die nicht von der Konsole erstellt wurden](#tag-custom-hostname-cdk)
Auf der Konsole können Sie eine der folgenden Optionen für die Einrichtung eines benutzerdefinierten Hostnamens wählen:
+ **Amazon Route 53 DNS-Alias** — wenn der Hostname, den Sie verwenden möchten, bei Route 53 registriert ist. Sie können dann den Hostnamen eingeben.
+ **Anderes DNS** — wenn der Hostname, den Sie verwenden möchten, bei einem anderen DNS-Anbieter registriert ist. Sie können dann den Hostnamen eingeben.
+ **Keine** — um den Endpunkt des Servers zu verwenden und keinen benutzerdefinierten Hostnamen zu verwenden.
Sie legen diese Option fest, wenn Sie einen neuen Server erstellen oder die Konfiguration eines vorhandenen Servers bearbeiten. Weitere Hinweise zum Erstellen eines neuen Servers finden Sie unter[Schritt 2: Erstellen Sie einen SFTP-fähigen Server](getting-started.md#getting-started-server). Weitere Hinweise zum Bearbeiten der Konfiguration eines vorhandenen Servers finden Sie unter[Serverdetails bearbeiten](edit-server-config.md).
Weitere Informationen zur Verwendung Ihrer eigenen Domain für den Server-Hostnamen und zur Verwendung AWS Transfer Family von Route 53 finden Sie in den folgenden Abschnitten.
## Verwenden Sie Amazon Route 53 als Ihren DNS-Anbieter
Wenn Sie einen Server erstellen, können Sie Amazon Route 53 als Ihren DNS-Anbieter verwenden. Bevor Sie eine Domain mit Route 53 verwenden, registrieren Sie die Domain. Weitere Informationen finden Sie unter [So funktioniert die Domainregistrierung](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-domain-registration.html) im *Amazon Route 53-Entwicklerhandbuch*.
Wenn Sie Route 53 verwenden, um DNS-Routing für Ihren Server bereitzustellen, AWS Transfer Family verwendet es den benutzerdefinierten Hostnamen, den Sie eingegeben haben, um die Hosting-Zone zu extrahieren. Beim AWS Transfer Family Extrahieren einer Hosting-Zone können drei Dinge passieren:
1. Wenn Route 53 neu für Sie ist und Sie noch keine Hosting-Zone haben, AWS Transfer Family fügt Sie eine neue Hosting-Zone und einen `CNAME` Datensatz hinzu. Der Wert dieses `CNAME` Datensatzes ist der Endpunkt-Hostname für Ihren Server. Ein *CNAME *ist ein alternativer Domänenname.
1. Wenn Sie eine gehostete Zone in Route 53 ohne `CNAME` Datensätze haben, AWS Transfer Family fügt der Hosting-Zone einen `CNAME` Datensatz hinzu.
1. Wenn der Service erkennt, dass bereits ein `CNAME`-Datensatz in der gehosteten Zone vorhanden ist, wird Ihnen eine Fehlermeldung angezeigt, der angibt, dass bereits ein `CNAME`-Datensatz vorhanden ist. Ändern Sie in diesem Fall den Wert des `CNAME` Datensatzes in den Hostnamen Ihres Servers.
Weitere Informationen zu gehosteten Zonen in Route 53 finden Sie unter [Gehostete Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) im *Amazon Route 53 Developer Guide*.
## Verwenden Sie andere DNS-Anbieter
Wenn Sie einen Server erstellen, können Sie auch andere DNS-Anbieter als Amazon Route 53 verwenden. Wenn Sie einen alternativen DNS-Anbieter verwenden, müssen Sie sicherstellen, dass der Datenverkehr aus Ihrer Domäne zum -Server-Endpunkt geleitet wird.
Stellen Sie dazu Ihre Domain auf den Endpunkt-Hostnamen für den Server ein.
+ Für IPv4 Endgeräte sieht der Hostname in der Konsole wie folgt aus:
`serverid.server.transfer.region.amazonaws.com`
+ Bei Dual-Stack-Endpunkten sieht der Hostname in der Konsole wie folgt aus:
`serverid.transfer-server.region.on.aws`
**Anmerkung**
Wenn Ihr Server über einen VPC-Endpunkt verfügt, unterscheidet sich das Format für den Hostnamen von den oben beschriebenen. Um Ihren VPC-Endpunkt zu finden, wählen Sie die VPC auf der Detailseite des Servers und dann die **VPC-Endpunkt-ID im VPC-Dashboard** aus. Der Endpunkt ist der erste DNS-Name der aufgelisteten Namen.
## Benutzerdefinierte Hostnamen für Server, die nicht von der Konsole erstellt wurden
Wenn Sie einen Server mit AWS Cloud Development Kit (AWS CDK) CloudFormation, oder über die CLI erstellen, müssen Sie ein Tag hinzufügen, wenn dieser Server einen benutzerdefinierten Hostnamen haben soll. Wenn Sie mithilfe der Konsole einen Transfer Family Family-Server erstellen, erfolgt das Tagging automatisch.
**Anmerkung**
Sie müssen auch einen DNS-Eintrag erstellen, um den Verkehr von Ihrer Domain zu Ihrem Serverendpunkt umzuleiten. Einzelheiten finden Sie unter [Arbeiten mit Datensätzen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html) im *Amazon Route 53-Entwicklerhandbuch*.
Verwenden Sie die folgenden Schlüssel für Ihren benutzerdefinierten Hostnamen:
+ Fügen Sie hinzu`transfer:customHostname`, um den benutzerdefinierten Hostnamen in der Konsole anzuzeigen.
+ Wenn Sie Route 53 als Ihren DNS-Anbieter verwenden, fügen Sie hinzu`transfer:route53HostedZoneId`. Dieses Tag verknüpft den benutzerdefinierten Hostnamen mit Ihrer Route 53 Hosted Zone ID.
Geben Sie den folgenden CLI-Befehl ein, um den benutzerdefinierten Hostnamen hinzuzufügen.
```
aws transfer tag-resource --arn arn:aws:transfer:region:AWS-Konto:server/server-ID --tags Key=transfer:customHostname,Value="custom-host-name"
```
Beispiel:
```
aws transfer tag-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0 --tags Key=transfer:customHostname,Value="abc.example.com"
```
Wenn Sie Route 53 verwenden, geben Sie den folgenden Befehl ein, um Ihren benutzerdefinierten Hostnamen mit Ihrer Route 53 Hosted Zone ID zu verknüpfen.
```
aws transfer tag-resource --arn server-ARN:server/server-ID --tags Key=transfer:route53HostedZoneId,Value=HOSTED-ZONE-ID
```
Beispiel:
```
aws transfer tag-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0 --tags Key=transfer:route53HostedZoneId,Value=ABCDE1111222233334444
```
Gehen Sie von den Beispielwerten aus dem vorherigen Befehl aus und führen Sie den folgenden Befehl aus, um Ihre Tags anzuzeigen:
```
aws transfer list-tags-for-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0
```
```
"Tags": [
{
"Key": "transfer:route53HostedZoneId",
"Value": "/hostedzone/ABCDE1111222233334444"
},
{
"Key": "transfer:customHostname",
"Value": "abc.example.com"
}
]
```
**Anmerkung**
Ihre öffentlichen, gehosteten Zonen und ihre IDs sind auf Amazon Route 53 verfügbar.
Melden Sie sich bei der Route 53-Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).