Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Familien-Web-Apps übertragen
Sie können Web-Apps erstellen, um eine einfache Schnittstelle für die Übertragung von Daten zu und von Amazon Simple Storage Service (S3) über einen Webbrowser zu ermöglichen. Dazu müssen Sie keine AWS Transfer Family Server erstellen oder bereitstellen.
Vor der Einführung der Transfer Family Family-Web-Apps mussten Endbenutzer eine Kundenlösung, eine maßgeschneiderte Lösung oder eine Drittanbieterlösung verwenden, um auf ihre Daten in Amazon S3 zuzugreifen. Dies lag an den strengen Sicherheitsanforderungen für Kunden und Partner und daran, dass die Bedienung von Kunden-Apps für technisch nicht versierte Benutzer eine Herausforderung darstellt.
Mit der Einführung von Web-Apps können Sie jetzt ein markenspezifisches, sicheres und hochverfügbares Portal erweitern, über das Ihre Endbenutzer Daten in Amazon S3 durchsuchen, hochladen und herunterladen können. Web-Apps sind nativ in Amazon S3 Access Grants integriert. AWS IAM Identity Center Das bedeutet, dass nur Ihre authentifizierten Benutzer die Daten einsehen können, für deren Zugriff sie autorisiert sind. Web-Apps werden mit dem [Storage Browser für Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-browser.html) erstellt und bieten dieselben Endbenutzerfunktionen in einem vollständig verwalteten Angebot, ohne dass Sie Code schreiben oder Ihre eigene Anwendung hosten müssen.
Weitere Informationen zu den anderen AWS-Services , die Sie mit Transfer Family Family-Web-Apps verwenden, finden Sie in der folgenden Dokumentation:
+ [Verwaltung des Zugriffs mit S3 Access Grants im Amazon Simple Storage Service-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html)
+ [AWS IAM Identity Center Benutzerhandbuch](https://docs.aws.amazon.com/singlesignon/latest/userguide/)
+ [Workshop zu Amazon S3 Access Grants](https://catalog.us-east-1.prod.workshops.aws/workshops/77b0af63-6ad2-4c94-bfc0-270eb9358c7a/en-US)
+ [Ankündigung von AWS Transfer Family Web-Apps für vollständig verwaltete Amazon S3 S3-Dateiübertragungen](https://aws.amazon.com/blogs/aws/announcing-aws-transfer-family-web-apps-for-fully-managed-amazon-s3-file-transfers/)
Die folgenden Ressourcen helfen Ihnen bei den ersten Schritten mit den Transfer Family Family-Web-Apps.
+ Das Benutzerhandbuch bietet hier eine detaillierte step-by-step Anleitung zum Einrichten einer Transfer Family Family-Web-App:[Tutorial: Eine einfache Transfer Family Family-Web-App einrichten](web-app-tutorial.md).
+ Das **AWS Getting Started Resource Center** bietet hier ein Tutorial: [Erste Schritte mit der AWS Transfer Family Web-App](https://aws.amazon.com/getting-started/hands-on/set-up-an-aws-transfer-family-web-app/).
+ Das folgende Video bietet eine exemplarische Vorgehensweise für die ersten Schritte mit den Transfer Family Family-Web-Apps.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Ie9M0qBGrCE)
## AWS-Regionen für Transfer Family Family-Web-Apps
AWS Transfer Family Web-Apps sind in allen von Transfer Family unterstützten Regionen verfügbar, wie in den [AWS Transfer Family Dienstendpunkten](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html#transfer-region) aufgeführt, mit Ausnahme von Mexiko (Zentral).
VPC-Endpunkte für Web-Apps werden überall unterstützt, AWS-Regionen wo Web-Apps verfügbar sind.
## Browserkompatibilität für AWS Transfer Family Web-Apps
Transfer Family Family-Web-Apps unterstützen die folgenden Browser.
| Browser | Version | Kompatibilität |
| --- | --- | --- |
| Microsoft Edge | Die 3 neuesten Versionen | Kompatibel |
| Mozilla Firefox | Die 3 neuesten Versionen | Kompatibel |
| Google Chrome | Die 3 neuesten Versionen | Kompatibel |
| Apple Safari | Die 3 neuesten Versionen | Kompatibel |
## So erstellen Sie eine Transfer Family Family-Web-App
Das folgende Diagramm veranschaulicht die Architektur der Transfer Family Family-Web-App.
![\[Architekturdiagramm AWS-Services , das zeigt, welche mit den Web-Apps der Transfer Family interagieren.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-architecture.png)
Anhand des Diagramms können Sie sehen, dass die Transfer Family Family-Web-Apps mit folgenden Funktionen interagieren AWS-Services:
+ Amazon S3 für Speicher und Amazon S3 Access Grants zum Abrufen von Sitzungsanmeldedaten.
+ AWS IAM Identity Center als verbundener Identitätsanbieter.
+ Amazon CloudFront , wenn Sie eine benutzerdefinierte URL für Ihre Web-App konfigurieren.
Beachten Sie die folgenden Einschränkungen bei der Verwendung von Web-Apps.
+ Maximale Anzahl von Suchergebnissen pro Abfrage: 10.000
+ Die Amazon S3 S3-Buckets, die von der Transfer Family Family-Web-App verwendet werden, müssen sich auf demselben Konto wie die Web-App selbst befinden. Kontoübergreifende Buckets werden derzeit nicht unterstützt.
+ Maximale Suchbreite pro Abfrage: 10.000 durchsuchte Dateien
+ Maximale Upload-Größe pro Datei: 160 GB (149 GiB)
+ Maximale Größe der Datei zum Kopieren: 5,36 GB (5 GiB)
+ Ordnernamen, die mit Punkten (.) beginnen oder enden, werden nicht unterstützt
**Voraussetzungen**
*Konfigurieren AWS Identity and Access Management Sie unter die erforderlichen Rollen.* Fügen Sie die Codeblöcke ein, die wir in der Anleitung bereitstellen. Informationen zur Konfiguration der erforderlichen Rollen finden Sie unter[Konfiguration von IAM-Rollen für Transfer Family Family-Web-Apps](webapp-roles.md).
+ Erstellen Sie eine Rolle als Identitätsträger.
+ Erstellen Sie eine IAM-Rolle, die von S3 Access Grants verwendet werden soll. S3 Access Grants übernimmt diese IAM-Rolle, um temporäre Anmeldeinformationen für den registrierten Amazon S3 S3-Standort an den Empfänger zu verkaufen.
**Prozess zum Erstellen einer Transfer Family Family-Web-App**
Um Ihre Web-App zu erstellen und Ihre Endbenutzer zum Laufen zu bringen, führen Sie die folgenden Aufgaben aus:
1. *Konfigurieren Sie IAM Identity Center so, dass es als Ihr föderierter Identitätsanbieter fungiert*. Führen Sie die folgenden Aufgaben in IAM Identity Center aus. Weitere Informationen zur Konfiguration von IAM Identity Center finden Sie unter. [Konfigurieren Sie Ihren Identitätsanbieter für Transfer Family Family-Web-Apps](webapp-identity-center.md)
1. Erstellen Sie eine IAM Identity Center-Instanz, falls Sie noch keine haben.
1. Ermitteln Sie Ihre Identitätsquelle. Dabei kann es sich um das standardmäßige IAM Identity Center-Verzeichnis oder um einen Drittanbieter (z. B. Okta) handeln.
1. Erstellen oder identifizieren Sie die Benutzer oder Gruppen, die Ihre Web-App verwenden werden.
1. Wenn Sie das IAM Identity Center-Verzeichnis für Ihre Identitätsquelle verwenden, notieren Sie sich den Benutzer oder die Gruppe IDs , die Sie erstellen. Sie benötigen sie später, wenn Sie mithilfe von S3 Access Grants eine Zugriffsberechtigung erstellen.
1. *Konfigurieren Sie in Amazon S3 Amazon S3 Access Grants.* Weitere Informationen zu S3 Access Grants finden Sie unter [Amazon S3 S3-Zugriffsberechtigungen für Transfer Family Family-Web-Apps konfigurieren](webapp-access-grant.md).
+ Erstellen Sie eine S3 Access Grants-Instance, falls Sie noch keine darin haben AWS-Region.
+ Registrieren Sie Ihren Standort mithilfe der IAM-Rolle.
+ Erstellen Sie die Zugriffsgewährung.
1. *Führen Sie in Transfer Family die folgenden Aufgaben aus.*
1. Erstellen Sie die Transfer Family Family-Web-App. Weitere Informationen zum Erstellen der Transfer Family Family-Web-App finden Sie unter[Eine Transfer Family Family-Web-App konfigurieren](webapp-configure.md).
**Wichtig**
Richten Sie Cross-Origin Resource Sharing (CORS) für alle Amazon S3 S3-Buckets ein, die von Ihrer Web-App verwendet werden. Informationen zur Einrichtung von CORS finden Sie unter. [Richten Sie Cross-Origin Resource Sharing (CORS) für Ihren Bucket ein](access-grant-cors.md)
1. Weisen Sie der Web-App Benutzer oder Gruppen zu. Weitere Informationen zum Zuweisen von Benutzern und Gruppen finden Sie unter[Benutzer oder Gruppen einer Transfer Family Family-Web-App zuweisen oder hinzufügen](webapp-add-users.md).
1. (Optional) Aktualisieren Sie den Zugriffsendpunkt für Ihre Web-App mit einer benutzerdefinierten URL. Informationen zum Erstellen einer benutzerdefinierten URL finden Sie unter[Aktualisieren Sie Ihren Zugriffsendpunkt mit einer benutzerdefinierten URL](webapp-customize.md).
1. Stellen Sie Ihren Endbenutzern die URL des Zugriffsendpunkts zur Verfügung, damit sie sich anmelden und mit Ihrer Web-App interagieren können.
# Konfigurieren Sie Ihren Identitätsanbieter für Transfer Family Family-Web-Apps
Im folgenden Abschnitt wird beschrieben, wie Sie Ihren Identitätsanbieter konfigurieren.
Zu Beginn benötigen Sie eine Identitätsquelle. Sie können ein IAM Identity Center-Verzeichnis oder einen externen Identitätsanbieter verwenden. AWS Directory Service for Microsoft Active Directory Transfer Family verwendet IAM Identity Center als föderierten Identitätsanbieter. Dabei handelt es sich um ein System, das Benutzeranmeldeinformationen speichert und Benutzer in mehreren Organisationen authentifiziert.
Wenn Sie kein IAM Identity Center-Verzeichnis als Identitätsquelle verwenden, lesen Sie die folgenden Themen:
+ [Einen externen Identitätsanbieter verwalten](https://docs.aws.amazon.com//singlesignon/latest/userguide/manage-your-identity-source-idp.html)
+ [Stellen Sie eine Connect zu einem Microsoft AD-Verzeichnis her](https://docs.aws.amazon.com//singlesignon/latest/userguide/manage-your-identity-source-ad.html)
+ [Organisations- und Kontoinstanzen von IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html)
+ [Tutorials zur Identitätsquelle im IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html)
**Anmerkung**
Sie können in IAM Identity Center nur eine Identitätsquelle haben, pro Instanz, pro. AWS-Region Einzelheiten finden Sie unter [Voraussetzungen und Überlegungen zu IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-prerequisites.html).
Wenn Sie beabsichtigen, das IAM Identity Center-Verzeichnis als Identitätsquelle zu verwenden und eine schnelle Einrichtung wünschen, können Sie dieses Thema überspringen und mit dem Assistenten [Eine Transfer Family Family-Web-App erstellen](webapp-configure.md#web-app-create) zum Erstellen einer IAM Identity Center-Instanz fortfahren.
**Zur Konfiguration AWS IAM Identity Center für die Verwendung mit Transfer Family Family-Web-Apps**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS IAM Identity Center Konsole unter [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).
1. Sie können entweder eine Kontoinstanz oder eine Organisationsinstanz von erstellen und verwenden AWS IAM Identity Center.
+ Einzelheiten zu Kontoinstanzen finden Sie unter [Erstellen einer Kontoinstanz von AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/create-account-instance.html). Mit einer Kontoinstanz von IAM Identity Center können Sie unterstützte AWS verwaltete Anwendungen und OpenID Connect (OIDC) -basierte, vom Kunden verwaltete Anwendungen bereitstellen. Kontoinstanzen unterstützen isolierte Bereitstellungen von Anwendungen in einer einzigen AWS-Konto Lösung und nutzen dabei die Funktionen des IAM Identity Center für Personalidentität und Zugriff auf das IAM Identity Center.
+ Einzelheiten zu Organisationsinstanzen finden Sie unter [Organisationsinstanzen von IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/organization-instances-identity-center.html) Identity Center. Sie können den Zugriff von Benutzern und Gruppen mit einer einzigen Organisationsinstanz zentral verwalten.
1. Notieren Sie sich auf der Seite mit den IAM Identity **Center-Einstellungen** Ihren Instanz-ARN. Sie benötigen diesen Wert, wenn Sie eine **Amazon S3 Access Grant-Instance** erstellen.
![\[AWS IAM Identity Center Konsolen-Screenshot von der Einstellungsseite mit eingekreistem Instanz-ARN.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-identity-center.png)
1. Erstellen Sie einen oder mehrere Benutzer und optional Gruppen zur Verwendung mit Ihrer Transfer Family Family-Web-App. Wenn Sie ein IAM Identity Center-Verzeichnis als Identitätsanbieter verwenden, können Sie Benutzer auch direkt über die Web-App selbst hinzufügen. Weitere Informationen finden Sie unter [Benutzer oder Gruppen einer Transfer Family Family-Web-App zuweisen oder hinzufügen](webapp-add-users.md).
# Konfiguration von IAM-Rollen für Transfer Family Family-Web-Apps
Sie benötigen zwei Rollen: eine für die Verwendung als Identitätsträgerrolle für Ihre Web-App und eine zweite für die Konfiguration einer Zugriffsgewährung. Eine Identitätsträgerrolle ist eine Rolle, die die Identität eines authentifizierten Benutzers in seine Sitzungen einbezieht. Sie wird verwendet, um Anträge auf Datenzugriff im Namen des Benutzers an S3 Access Grants zu stellen.
**Anmerkung**
Sie können das Verfahren zum Erstellen einer Identitätsträgerrolle überspringen. Informationen dazu, wie der Transfer Family Family-Dienst die Identitätsträgerrolle erstellt, finden Sie unter[Eine Transfer Family Family-Web-App erstellen](webapp-configure.md#web-app-create).
Sie können das Verfahren zum Erstellen einer Rolle mit Zugriffsberechtigungen überspringen. Wählen Sie im Verfahren zum Erstellen einer Zugriffsberechtigung in dem Schritt, in dem Sie einen S3-Standort registrieren, die Option **Neue Rolle erstellen** aus.
**Erstellen Sie eine Rolle als Identitätsträger**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie **Rollen** und anschließend **Rolle erstellen** aus.
1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie** und fügen Sie dann den folgenden Code ein.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service":"transfer.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
1. Wählen Sie **Weiter** und überspringen **Sie dann „Berechtigungen hinzufügen**“ und wählen Sie erneut **Weiter** aus.
1. Geben Sie beispielsweise einen Namen ein`web-app-identity-bearer`.
1. Wählen Sie **Rolle erstellen**, um die Rolle des Identitätsträgers zu erstellen.
1. Wählen Sie die Rolle, die Sie gerade erstellt haben, aus der Liste aus und wählen Sie dann im Bereich „**Berechtigungsrichtlinien**“ die Option „**Berechtigungen hinzufügen**“ > „**Inline-Richtlinie erstellen**“.
1. Wählen Sie im **Richtlinieneditor** **JSON** aus und fügen Sie dann den folgenden Codeblock ein.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:ListCallerAccessGrants",
"s3:ListAccessGrantsInstances"
],
"Resource": "*"
}
]
}
```
1. Geben Sie `AllowS3AccessGrants` den Richtliniennamen ein und wählen Sie dann **Richtlinie erstellen** aus.
Als Nächstes erstellen Sie die Rolle, die S3 Access Grants übernimmt, um temporäre Anmeldeinformationen an den Empfänger zu verkaufen.
**Anmerkung**
Wenn Sie dem Dienst erlauben, die Rolle des Identitätsträgers für Sie zu erstellen, sorgt diese Rolle für den Schutz eines verwirrten Stellvertreters. Daher unterscheidet sich der Code von dem, der hier angezeigt wird.
**Erstellen Sie eine Rolle mit Zugriffsberechtigungen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Wählen Sie **Rollen** und anschließend **Rolle erstellen** aus. Diese Rolle sollte über die Berechtigung verfügen, auf Ihre S3-Daten in der zuzugreifen AWS-Region.
1. Wählen Sie **Benutzerdefinierte Vertrauensrichtlinie** und fügen Sie dann den folgenden Code ein.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "access-grants.s3.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
1. Wählen Sie **Weiter** und fügen Sie eine Mindestrichtlinie hinzu, wie unter [Standort registrieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location-register.html) beschrieben. Obwohl dies nicht empfohlen wird, können Sie die FullAccess verwaltete **AmazonS3-Richtlinie** hinzufügen, da diese für Ihre Anforderungen möglicherweise zu großzügig ist.
1. Wählen Sie **Weiter** und geben Sie einen Namen ein (zum Beispiel). `access-grants-location`
1. Wählen Sie **Rolle erstellen**, um die Rolle zu erstellen.
**Anmerkung**
Wenn Sie dem Dienst gestatten, die Rolle „Zugriffsberechtigungen“ für Sie zu erstellen, sorgt diese Rolle für den Schutz eines verwirrten Stellvertreters. Daher unterscheidet sich der Code von dem, der hier angezeigt wird.
# Eine Transfer Family Family-Web-App konfigurieren
In diesem Abschnitt werden die Verfahren zum Erstellen einer Transfer Family Family-Web-App beschrieben. Informationen zum Zuweisen von Benutzern und Gruppen, die sie verwenden können, finden Sie unter[Benutzer oder Gruppen einer Transfer Family Family-Web-App zuweisen oder hinzufügen](webapp-add-users.md).
**Anmerkung**
Wiederholen Sie diese Verfahren, um weitere Web-Apps hinzuzufügen. Sie können die IAM-Rollen, die Sie zuvor erstellt haben, wiederverwenden. Stellen Sie sicher, dass Sie die Zugriffsendpunkte für die neuen Web-Apps der CORS-Richtlinie (Cross-Origin Resource Sharing) jedes Buckets hinzufügen.
## Eine Transfer Family Family-Web-App erstellen
**Anmerkung**
Wenn Sie das IAM Identity Center-Verzeichnis nicht für Ihren Identitätsanbieter verwenden, versuchen Sie erst, eine Web-App zu erstellen, wenn Sie IAM Identity Center eingerichtet und einen externen Identitätsanbieter konfiguriert haben, wie unter beschrieben. [Konfigurieren Sie Ihren Identitätsanbieter für Transfer Family Family-Web-Apps](webapp-identity-center.md)
Gehen Sie wie folgt vor, um eine Transfer Family Family-Web-App zu erstellen.
**So erstellen Sie eine Transfer Family Family-Web-App**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Wählen Sie im linken Navigationsbereich **Web-Apps** aus.
1. Wählen Sie **Web-App erstellen aus**.
Für den Authentifizierungszugriff ist der Bereich wie folgt gefüllt.
+ Wenn Sie bereits eine Organisations- oder Kontoinstanz in erstellt haben AWS IAM Identity Center, wird folgende Meldung angezeigt: **Ihre AWS Transfer Family Anwendung ist mit einer Kontoinstanz von IAM Identity Center verbunden**.
+ Wenn Sie bereits über eine Kontoinstanz verfügen und Mitglied einer Organisationsinstanz sind, können Sie auswählen, mit welcher Instanz Sie eine Verbindung herstellen möchten.
+ Wenn Sie noch keine Kontoinstanz haben oder Mitglied einer Organisationsinstanz sind, werden Ihnen die Optionen zum Erstellen einer Kontoinstanz angezeigt.
1. Wählen Sie als **Endpunkttyp** den Endpunkttyp **Öffentlich zugänglich** aus. Informationen zu einem **VPC-gehosteten** Endpunkt finden Sie unter[Eine Transfer Family Family-Web-App in einer VPC erstellen](create-webapp-in-vpc.md).
1. Im Bereich **Berechtigungstyp** können Sie eine zuvor erstellte Rolle verwenden oder den Dienst eine für Sie erstellen lassen.
+ Wenn Sie bereits eine Rolle als Identitätsträger erstellt haben, wählen Sie **Bestehende Rolle verwenden** und wählen Sie Ihre Rolle aus dem Menü **Vorhandene Rolle auswählen** aus.
+ Damit der Dienst eine Rolle für Sie erstellt, wählen Sie **Neue Servicerolle erstellen und verwenden** aus.
1. Wählen Sie im Bereich **Web-App-Einheiten** einen Wert aus. Eine Web-App-Einheit ermöglicht Web-App-Aktivitäten aus bis zu 250 einzelnen Sitzungen. Wenn Sie eine Web-App erstellen, geben Sie an, wie viele Einheiten Sie benötigen, und zwar auf der Grundlage der zu erwartenden Arbeitsauslastungsspitzen. Die Änderung Ihrer Web-App-Einheiten hat Auswirkungen auf Ihre Abrechnung. Informationen zu den Preisen erhalten Sie unter [AWS Transfer Family Preise](https://aws.amazon.com/aws-transfer-family/pricing).
1. Wenn Sie Transfer Family in einem verwenden AWS GovCloud (US) Region, können Sie das Kontrollkästchen **FIPS-aktivierter Endpunkt** im Bereich **FIPS aktiviert** aktivieren aktivieren. Für alle anderen AWS-Regionen ist diese Option nicht verfügbar.
1. (Optional) Fügen Sie ein Tag hinzu, das Ihnen bei der Organisation Ihrer Web-Apps hilft. Wir empfehlen, dass Sie ein Tag mit **Name** als Schlüssel und einem beschreibenden Namen als Wert hinzufügen.
1. Wählen Sie **Weiter** aus. Auf diesem Bildschirm können Sie optional einen Titel für Ihre Web-App angeben. Wenn Sie keinen Titel angeben, wird der Standardtitel **Transfer Web App** angegeben. Sie können auch Bilddateien für Ihr Logo und Favicon hochladen.
1. Wähle „**Weiter**“ und dann „**Web-App erstellen**“.
![\[Bildschirm, auf dem das Web-Apps-Dashboard sowie das Menüelement angezeigt werden, mit dem Sie es im linken Navigationsbereich auswählen können.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-transfer-dashboard.png)
**Anmerkung**
Stellen Sie sicher, dass Sie eine CORS-Richtlinie (Cross-Origin Resource Sharing) für alle Buckets einrichten, auf die vom Web-App-Endpunkt aus zugegriffen wird.
# Eine Transfer Family Family-Web-App in einer VPC erstellen
In diesem Abschnitt werden die Verfahren zum Erstellen einer Transfer Family Family-Web-App in einer VPC beschrieben. Sie können den Endpunkt Ihrer Web-App in einer Virtual Private Cloud (VPC) hosten, um Daten zu und von einem Amazon S3 S3-Bucket zu übertragen, ohne das öffentliche Internet nutzen zu müssen. Informationen zum Zuweisen von Benutzern und Gruppen, die Ihre Web-App verwenden können, finden Sie unter[Benutzer oder Gruppen einer Transfer Family Family-Web-App zuweisen oder hinzufügen](webapp-add-users.md).
**Anmerkung**
Um einen privaten end-to-end Datenfluss bei der Verwendung eines VPC-Endpunkts für die Transfer Family Family-Web-App sicherzustellen, müssen Sie drei zusätzliche Komponenten implementieren. Richten Sie zunächst einen PrivateLink Endpunkt für Amazon S3 Control API-Operationen ein, der für API-Aufrufe von Amazon S3 Access Grants erforderlich ist. Zweitens konfigurieren Sie einen Endpunkt für den Amazon S3-Datenzugriff, indem Sie entweder einen PrivateLink Amazon S3 Gateway-Endpunkt (für Datenverkehr aus Ihrer VPC) oder einen Amazon S3 S3-Interface-Endpunkt (für Datenverkehr aus lokalen Netzwerken über VPN oder Direct Connect) verwenden. Drittens sperren Sie Ihren Amazon S3 S3-Bucket-Zugriff, indem Sie die Bucket-Richtlinien so aktualisieren, dass nur Verkehr von diesen VPC-Endpunkten zugelassen wird. Diese Kombination stellt sicher, dass alle Datenübertragungen innerhalb Ihrer privaten Netzwerkinfrastruktur bleiben und niemals das öffentliche Internet durchqueren.
## Eine Transfer Family Family-Web-App erstellen
**Voraussetzungen**
+ AWS IAM Identity Center mit dem konfigurierten Identitätsanbieter einrichten. Siehe [Konfigurieren Sie Ihren Identitätsanbieter für Transfer Family Family-Web-Apps](webapp-identity-center.md).
+ Einrichtung von VPC- und Netzwerkkomponenten. Siehe [Eine VPC erstellen](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html#create-vpc-and-other-resources).
+ API-Endpunkt, der für Amazon S3 Control-Operationen eingerichtet wurde. Siehe [Zugreifen auf Endpunkte der Amazon S3 S3-Schnittstelle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#s3-creating-vpc).
+ VPC-Endpunkte für Amazon S3 (Gateway oder Interface) eingerichtet. Siehe [Typen von VPC-Endpunkten für Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-s3). Wenn Sie einen Schnittstellenendpunkt verwenden, müssen Sie privates DNS aktivieren. Ein Beispiel finden Sie unter [Einführung der privaten DNS-Unterstützung für Amazon S3 mit AWS PrivateLink](https://aws.amazon.com/blogs/storage/introducing-private-dns-support-for-amazon-s3-with-aws-privatelink/).
**Anmerkung**
AWS IAM Identity Center unterstützt keine VPC-Endpunkte; alle Authentifizierungsanfragen werden über das öffentliche Internet übertragen. Darüber hinaus benötigen Webanwendungen der Transfer Family Internetzugang, um statische Inhalte (wie CSS JavaScript - und HTML-Dateien) zu laden. Die Anforderungen für den öffentlichen Internetzugang sind vom Datenzugriff getrennt. Ihr VPC-Endpunkt stellt sicher, dass Verbindungen durch Ihre VPC-Infrastruktur geleitet werden.
**So erstellen Sie eine Transfer Family Family-Web-App**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Wählen Sie im linken Navigationsbereich **Web-Apps** aus.
1. Wählen Sie **Web-App erstellen aus**. Für den Authentifizierungszugriff ist der Bereich wie folgt gefüllt.
+ Wenn Sie bereits eine Organisations- oder Kontoinstanz in erstellt haben AWS IAM Identity Center, wird folgende Meldung angezeigt: **Ihre AWS Transfer Family Anwendung ist mit einer Kontoinstanz von IAM Identity Center verbunden**.
+ Wenn Sie bereits über eine Kontoinstanz verfügen und Mitglied einer Organisationsinstanz sind, können Sie auswählen, mit welcher Instanz Sie eine Verbindung herstellen möchten.
+ Wenn Sie noch keine Kontoinstanz haben oder Mitglied einer Organisationsinstanz sind, werden Ihnen die Optionen zum Erstellen einer Kontoinstanz angezeigt.
1. Wählen Sie im Abschnitt **Endpunktkonfiguration** aus, wie Ihre Benutzer auf Ihre Web-App zugreifen sollen:
+ **Öffentlich zugänglich**: Ihr Web-App-Endpunkt ist öffentlich über HTTPS zugänglich. Für diese Option ist keine VPC-Konfiguration erforderlich, sodass sie einfach einzurichten ist und sich für Anwendungen eignet, die für eine breite öffentliche Nutzung vorgesehen sind.
+ **VPC-gehostet**: Ihr Web-App-Endpunkt wird in Ihrer Virtual Private Cloud (VPC) gehostet und bietet privaten Netzwerkzugriff über Ihr VPC-Netzwerk oder AWS Direct Connect VPN-Verbindungen. Diese Option bietet verbesserte Sicherheit durch Netzwerkisolierung und wird für interne Anwendungen empfohlen.
**Anmerkung**
Sie benötigen eine Dual-Stack-VPC-Konfiguration. Weitere Informationen finden Sie unter [Beispiel für eine Dual-Stack-VPC-Konfiguration](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-example.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
Bei der Konfiguration eines VPC-gehosteten Endpunkts müssen Sie Folgendes angeben:
+ **VPC**: Wählen Sie eine bestehende VPC aus oder erstellen Sie eine neue. Die Schaltfläche „**VPC erstellen**“ ist verfügbar.
+ **Verfügbarkeitszonen**: Wählen Sie die Verfügbarkeitszonen aus, in denen Ihr Endpunkt bereitgestellt werden soll.
+ **Subnetze**: Wählen Sie Subnetze innerhalb jeder ausgewählten Verfügbarkeitszone aus.
+ **Sicherheitsgruppen**: Wählen oder erstellen Sie Sicherheitsgruppen, um den Zugriff auf der Grundlage von Quell-IP-Adressen zu steuern. Wenn nicht angegeben, wird die Standardsicherheitsgruppe der VPC verwendet. Verwalten Sie Sicherheitsgruppen über die VPC-Konsole. Konfigurieren Sie Ihre VPC-Sicherheitsgruppen so, dass eingehender Datenverkehr von Ihrem Netzwerk über HTTPS auf TCP-Port 443 zugelassen wird. Dies ist für die IAM Identity Center-Authentifizierung und das Laden statischer Inhalte von Web-Apps erforderlich.
**Anmerkung**
Der Zugriffsendpunkt kann nicht für VPC-Endpunkte angepasst werden. Verwenden Sie den öffentlichen Endpunkt, um eine benutzerdefinierte URL hinzuzufügen.
## Schritte nach der Erstellung
+ Stellen Sie sicher, dass Sie eine CORS-Richtlinie (Cross-Origin Resource Sharing) für alle Buckets einrichten, auf die vom Web-App-Endpunkt aus zugegriffen wird. Siehe [Richtlinie für die gemeinsame Nutzung von Ressourcen zwischen verschiedenen Quellen (CORS)](#webapp-vpce-cors).
+ Aktualisieren Sie Ihre Bucket-Richtlinie, sodass nur Traffic, der von Ihrer VPC stammt, über Ihren VPC-Endpunkt zugelassen wird. Siehe [Beschränken des Zugriffs auf einen bestimmten VPC-Endpunkt](#webapp-vpce-bucket-policy).
+ Weisen Sie der Transfer Family Family-Web-App Benutzer oder Gruppen zu oder fügen Sie sie hinzu. Siehe [Benutzer oder Gruppen einer Transfer Family Family-Web-App zuweisen oder hinzufügen](webapp-add-users.md).
## Richtlinie für die gemeinsame Nutzung von Ressourcen zwischen verschiedenen Quellen (CORS)
Sie müssen Cross-Origin Resource Sharing (CORS) für alle Buckets einrichten, die von Ihrer Web-App verwendet werden. Weitere Informationen über CORS finden Sie unter [Richten Sie Cross-Origin Resource Sharing (CORS) für Ihren Bucket ein](access-grant-cors.md).
**Wichtig**
Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie Allowed Origin durch Ihren Zugriffsendpunkt. Andernfalls erhalten Ihre Endbenutzer eine Fehlermeldung, wenn sie versuchen, auf einen Standort in Ihrer Web-App zuzugreifen.
**Beispiel für eine Richtlinie:**
```
[
{
"AllowedHeaders": [
"*"
],
"AllowedMethods": [
"GET",
"PUT",
"POST",
"DELETE",
"HEAD"
],
"AllowedOrigins": [
"https://vpce-1234567-example.vpce-mq.transfer-webapp.us-east-1.on.aws"
],
"ExposeHeaders": [
"last-modified",
"content-length",
"etag",
"x-amz-version-id",
"content-type",
"x-amz-request-id",
"x-amz-id-2",
"date",
"x-amz-cf-id",
"x-amz-storage-class",
"access-control-expose-headers"
],
"MaxAgeSeconds": 3000
}
]
```
## Beschränken des Zugriffs auf einen bestimmten VPC-Endpunkt
Nachfolgend finden Sie ein Beispiel für eine Amazon-S3-Bucket-Richtlinie, die den Zugriff auf einen bestimmten Bucket einschränkt, `amzn-s3-demo-bucket`, nur vom VPC-Endpunkt mit der ID `vpce-1a2b3c4d`. Wenn der angegebene Endpunkt nicht verwendet wird, verweigert die Richtlinie jeglichen Zugriff auf den Bucket. Die `aws:SourceVpce`-Bedingung gibt den Endpunkt an. Die `aws:SourceVpce`-Bedingung benötigt keine ARN für die VPC-Endpunkt-Ressource, sondern nur die VPC-Endpunkt-ID. Weitere Informationen zur Aktualisierung Ihrer Bucket-Richtlinie, sodass nur Traffic zugelassen wird, der von Ihrer VPC stammt, finden Sie unter [Steuern des Zugriffs von VPC-Endpunkten mit](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html) Bucket-Richtlinien. Weitere Informationen zur Verwendung von Bedingungen in einer Richtlinie finden Sie unter [Beispiele für Bucket-Richtlinien mit](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html) Bedingungsschlüsseln. Als Voraussetzung für die Anwendung dieser Richtlinie sollten Sie einen [Amazon S3 S3-VPC-Endpunkt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) erstellen.
**Wichtig**
Bevor Sie die folgende Beispielrichtlinie verwenden, ersetzen Sie die VPC-Endpunkt-ID durch einen geeigneten Wert für Ihren Anwendungsfall. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.
```
{
"Version":"2012-10-17",
"Id": "Policy1415115909152",
"Statement": [
{
"Sid": "Access-to-specific-VPCE-only",
"Principal": "*",
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringNotEquals": {
"aws:SourceVpce": "vpce-1a2b3c4d"
}
}
}
]
}
```
# Benutzer oder Gruppen einer Transfer Family Family-Web-App zuweisen oder hinzufügen
Nachdem Sie eine Transfer Family Family-Web-App erstellt haben, können Sie Benutzern und Gruppen zuweisen, die dann auf die Web-App zugreifen können. Sie können entweder Benutzer abrufen, die bereits im IAM Identity Center erstellt und gespeichert wurden, oder Sie können [neue Benutzer direkt hinzufügen](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html) (wenn Sie ein IAM Identity Center-Verzeichnis als Identitätsanbieter verwenden). Wenn Sie neue Benutzer hinzufügen, werden diese auch zu Ihrer IAM Identity Center-Instanz hinzugefügt.
Beachten Sie Folgendes:
+ Sie können nur neue Benutzer hinzufügen, wenn Sie das IAM Identity Center-Verzeichnis als Identitätsquelle verwenden und über die entsprechenden Berechtigungen verfügen. Wenn Sie Mitglied einer Organisationsinstanz sind, verfügen Sie möglicherweise nicht über die erforderlichen Berechtigungen, um Benutzer hinzuzufügen.
**Anmerkung**
Wenn Sie Ihrer Anwendung keine Benutzer oder Gruppen zuweisen, erhalten Ihre Benutzer eine Fehlermeldung, wenn sie versuchen, sich bei Ihrer Web-App anzumelden.
+ Wenn Sie einen neuen Benutzer erstellen, müssen Sie diesem Benutzer auch eine S3-Zugriffsberechtigung gewähren, damit er auf Daten in Ihrer Web-App zugreifen kann.
+ Nachdem Sie einen neuen Benutzer erstellt haben, erhält dieser Benutzer vom IAM Identity Center eine Onboarding-E-Mail mit Anweisungen zum weiteren Vorgehen.
**So weisen Sie Benutzer einer Transfer Family Family-Web-App zu**
1. Navigieren Sie zu Ihrer Web-App-Liste und wählen Sie die aus, die Sie bearbeiten möchten.
1. Wählen Sie **Benutzer und Gruppen zuweisen** aus.
![\[Bildschirm mit den Details für eine ausgewählte Web-App.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-transfer-details.png)
1. Um Benutzer zuzuweisen, die Sie zuvor in IAM Identity Center erstellt haben, wählen Sie **Bestehende Benutzer und Gruppen zuweisen**. Um neue Benutzer zu erstellen, fahren Sie mit Schritt 4 fort.
1. Ein Informationsbildschirm wird angezeigt. Wählen Sie **Erste Schritte**, um fortzufahren.
1. Suchen Sie nach dem Benutzer. Beachten Sie, dass keine Benutzer angezeigt werden, bis Sie mit der Eingabe Ihrer Suchkriterien beginnen. Sie müssen nach dem *Anzeigenamen* suchen, nicht nach dem *Benutzernamen*, falls es sich um einen anderen handelt. Es werden nur exakte Treffer zurückgegeben. Wenn Sie Ihren Benutzer nicht finden können, navigieren Sie zur IAM Identity Center-Managementkonsole, suchen Sie den Benutzer, kopieren Sie seinen Anzeigenamen und fügen Sie ihn hier ein.
![\[Bildschirm mit dem Suchdialogfeld zum Hinzufügen von Benutzern und Gruppen zu Ihrer Web-App.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-transfer-add-user.png)
1. Wählen Sie die Benutzer und Gruppen aus, die Sie hinzufügen möchten, und wählen Sie dann **Zuweisen**.
1. Um einen neuen Benutzer zu erstellen, wählen Sie **Hinzufügen und weisen Sie neue Benutzer** zu.
1. Ein Informationsbildschirm wird angezeigt. Wählen Sie **Erste Schritte**, um fortzufahren.
1. Wählen Sie **Neue Benutzer hinzufügen** aus.
1. Geben Sie die folgenden Benutzerdetails in das Dialogfeld ein: Benutzername, Vor- und Nachname sowie eine E-Mail-Adresse.
![\[Bildschirm mit dem Dialogfeld „Neue Benutzer hinzufügen“.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-transfer-add-user-new.png)
1. Wählen Sie **Weiter** und anschließend **Hinzufügen**, um den Benutzer hinzuzufügen und das Dialogfeld zu schließen, oder klicken Sie auf **Neuen Benutzer hinzufügen**, um einen weiteren Benutzer zu erstellen.
# Richten Sie Cross-Origin Resource Sharing (CORS) für Ihren Bucket ein
Sie müssen Cross-Origin Resource Sharing (CORS) für alle Buckets einrichten, die von Ihrer Web-App verwendet werden. Eine *CORS-Konfiguration* ist ein Dokument, das Regeln definiert, die die Ursprünge identifizieren, denen Sie Zugriff auf Ihren Bucket gewähren. Weitere Informationen zu CORS finden Sie unter [Konfiguration von Cross-Origin Resource Sharing (](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enabling-cors-examples.html?icmpid=docs_amazons3_console)CORS).
**Wichtig**
Wenn Sie CORS nicht einrichten, erhalten Ihre Endbenutzer eine Fehlermeldung, wenn sie versuchen, auf einen Standort in Ihrer Web-App zuzugreifen.
**So richten Sie Cross-Origin Resource Sharing (CORS) für Ihren Amazon S3 S3-Bucket ein**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Wählen Sie im linken Navigationsbereich **Buckets** aus, suchen Sie im Suchdialogfeld nach Ihrem Bucket und wählen Sie dann den Tab **Permissions**.
1. Wählen Sie **unter Cross-Origin Resource Sharing (CORS)** die Option **Bearbeiten** aus und fügen Sie den folgenden Code ein. *WebAppEndpoint*Ersetzen Sie es durch den tatsächlichen Zugriffsendpunkt für Ihre Web-App. Dies kann entweder der VPC-gehostete Endpunkt oder der öffentliche Zugriffsendpunkt sein, der bei der Erstellung der Web-App erstellt wird, oder ein benutzerdefinierter Zugriffsendpunkt, falls Sie einen erstellen. Achten Sie darauf, keine abschließenden Schrägstriche einzugeben, da dies zu Fehlern führt, wenn Benutzer versuchen, sich bei Ihrer Web-App anzumelden.
+ Falsches Beispiel: `https://webapp-c7bf3423.transfer-webapp.us-east-2.on.aws/`
+ Richtige Beispiele:
+ `https://webapp-c7bf3423.transfer-webapp.us-east-2.on.aws`
+ `https://vpce-05668789767a-fh45z079.vpce-mq.transfer-webapp.us-east-1.on.aws`
Wenn Sie einen Bucket für mehrere Web-Apps wiederverwenden, fügen Sie deren Endpunkte an die Liste an. `AllowedOrigins`
```
[
{
"AllowedHeaders": [
"*"
],
"AllowedMethods": [
"GET",
"PUT",
"POST",
"DELETE",
"HEAD"
],
"AllowedOrigins": [
"https://WebAppEndpoint"
],
"ExposeHeaders": [
"last-modified",
"content-length",
"etag",
"x-amz-version-id",
"content-type",
"x-amz-request-id",
"x-amz-id-2",
"date",
"x-amz-cf-id",
"x-amz-storage-class",
"access-control-expose-headers"
],
"MaxAgeSeconds": 3000
}
]
```
1. Wählen Sie **Änderungen speichern**, um das CORS zu aktualisieren.
Informationen zum Testen Ihrer CORS-Konfiguration finden Sie unter CORS [testen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/testing-cors.html).
# Amazon S3 S3-Zugriffsberechtigungen für Transfer Family Family-Web-Apps konfigurieren
In diesem Thema wird beschrieben, wie Sie mithilfe von Amazon S3 Access Grants eine Zugriffsberechtigung hinzufügen. Diese Zugriffsberechtigung definiert den direkten Zugriff auf Ihre Daten für Ihre Benutzer und Gruppen in Ihrem Unternehmensverzeichnis und gewährt temporäre Anmeldeinformationen mit den just-in-time geringsten Rechten auf der Grundlage von Zuschüssen. Eine individuelle Erteilung in einer S3 Access Grants-Instanz ermöglicht es einem bestimmten Benutzer oder einer bestimmten Gruppe in einem Unternehmensverzeichnis, Zugriff von einem Standort aus zu erhalten, der in Ihrer S3 Access Grants-Instanz registriert ist. Weitere Informationen finden Sie unter [Konzepte von S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-concepts.html) im Amazon S3 S3-Benutzerhandbuch.
**Anmerkung**
Sie können das IAM Identity Center-Verzeichnis mit S3 Access Grants nur mit Transfer Family Family-Web-Apps verwenden.
Sie müssen eine Amazon S3-Zugriffsberechtigung für die Weitergabe von Identitäten angeben. Eine Amazon S3 S3-Zugriffserteilung speichert die Daten, auf die Ihre Endbenutzer zugreifen müssen. Wenn sich Ihre Endbenutzer bei Ihrer Transfer Family Family-Web-App anmelden, gibt S3 Access Grants die Identität eines Benutzers an die vertrauenswürdige Anwendung weiter. In diesem Abschnitt wird beschrieben, wie Sie eine Amazon S3 S3-Zugriffs-Grant-Instance und anschließend eine Zugriffsgewährung für einen Amazon S3 S3-Bucket hinzufügen und konfigurieren.
**Anmerkung**
Halten Sie den [ARN und die Benutzer- oder Gruppen-ID Ihrer IAM Identity Center-Instanz](webapp-identity-center.md#identity-center-arn) bereit, da Sie sie benötigen, um die Einrichtung Ihrer Zugriffsgewährung abzuschließen.
**So erstellen Sie einen Zuschuss mithilfe von Amazon S3 Access Grants**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Erstellen Sie einen Bucket oder notieren Sie sich einen vorhandenen Bucket, den Sie mit Ihrer Web-App verwenden möchten. Informationen zum Erstellen von Buckets finden Sie im [Amazon S3 S3-Benutzerhandbuch](https://docs.aws.amazon.com/AmazonS3/latest/userguide/).
1. Wählen Sie im linken Navigationsbereich **Access Grants** aus.
1. Wählen Sie **Create S3 Access Grants-Instanz** aus und geben Sie die folgenden Informationen ein.
+ Wählen Sie **IAM Identity Center-Instanz hinzufügen aus*your-Region*, in der** sich Ihre *your-Region* AWS-Region befindet. Lassen Sie dieses Feld deaktiviert, wenn Sie IAM Identity Center nicht als Identitätsanbieter verwenden.
+ Fügen Sie den ARN Ihrer IAM Identity Center-Instanz ein.
![\[Bildschirm mit dem Amazon S3 S3-Instance-Dialogfeld „Create Access Grants“ mit Beispielwerten.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-grants-instance.png)
Wählen Sie **Next** (Weiter), um fortzufahren.
1. **Registrieren Sie S3-Buckets oder -Präfixe als Standorte**. Wir empfehlen, den Standardstandort zu registrieren und ihn einer IAM-Rolle zuzuordnen. `s3://` Der Speicherort an diesem Standardpfad deckt den Zugriff auf all Ihre Amazon S3 S3-Buckets in Ihrem Konto ab. AWS-Region Wenn Sie eine Zugriffsberechtigung erstellen, können Sie den Bereich auf einen Bucket, ein Präfix oder ein Objekt innerhalb des Standardspeicherorts einschränken.
Geben Sie die folgenden Informationen ein:
+ Suchen Sie für den **Bereich** nach einem Bucket oder geben Sie den Namen Ihres Buckets und optional ein Präfix ein.
+ Wählen Sie für die IAM-Rolle die Option **Neue Rolle erstellen** aus, damit der Service eine Rolle erstellt.
Alternativ können Sie die Rolle selbst erstellen, wie unter beschrieben[Konfiguration von IAM-Rollen für Transfer Family Family-Web-Apps](webapp-roles.md), und dann ihren ARN hier eingeben.
![\[Bildschirm mit dem Amazon S3 S3-Dialogfeld „S3-Buckets oder -Präfixe als Standorte registrieren“ mit den Standardeinstellungen „Umfang“ und „Neue Rolle erstellen“.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-grants-register-new.png)
Wählen Sie **Next** (Weiter), um fortzufahren.
1. Geben Sie auf dem Bildschirm „**Grant erstellen**“ die folgenden Details an.
+ Wählen Sie für **Berechtigungen** die Option **Lesen** und **Schreiben** aus. Die Zugriffsberechtigungen können entweder schreibgeschützt oder lesend und schreibgeschützt sein, Schreibzugriff wird jedoch nicht unterstützt.
+ Wählen Sie als **Typ des Empfängers** die Option **Verzeichnisidentität aus IAM Identity Center** aus.
+ Wählen Sie als **Identitätstyp des Verzeichnisses** die Option **Benutzer** oder **Gruppe** aus, je nachdem, welchen Typ Sie jetzt registrieren möchten.
+ Fügen Sie in **IAM Identity Center user/group ID** die ID für Ihren Benutzer oder Ihre Gruppe ein. Diese ID ist in der **IAM Identity Center-Konsole** und in Ihrer Transfer Family Family-Web-App in Ihrer Benutzer- und Gruppentabelle verfügbar.
![\[Bildschirm mit dem Amazon S3 S3-Dialogfeld „Grant erstellen“ mit Beispielwerten.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-access-grant-details.png)
Wählen Sie **Weiter** aus.
1. Überprüfen Sie die Einstellungen auf dem Bildschirm. Wenn alles korrekt ist, wählen Sie **Fertig stellen, um die Zugriffsgewährung** zu erstellen. Sie können auch „**Abbrechen“ oder „**Zurück**“** wählen, um Änderungen vorzunehmen.
![\[Bildschirm mit dem Dialogfeld „Überprüfen und beenden“ mit Beispielwerten.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-access-grants-review.png)
![\[Bildschirm mit der neuen Zugriffsgewährung in einer Listenansicht.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-access-grants-finished.png)
Damit ist die Einrichtung für Ihre Web-App abgeschlossen. Die Benutzer und Gruppen, die Sie konfiguriert haben, können die Web-App am Access Point aufrufen, sich anmelden und Dateien hoch- und herunterladen.
# Aktualisieren Sie Ihren Zugriffsendpunkt mit einer benutzerdefinierten URL
Der Standardzugriffsendpunkt, der mit Ihrer Web-App erstellt wird, enthält vom Dienst generierte Identifikatoren. Um ein Markenerlebnis zu bieten, möchten Sie möglicherweise eine benutzerdefinierte URL angeben, über die Ihre Transfer Family-Web-App auf Ihre Transfer Family Family-Web-App zugreifen können. In diesem Thema wird beschrieben, wie Sie Ihren Zugriffsendpunkt mit einer benutzerdefinierten URL aktualisieren.
**Anmerkung**
Der Zugriffsendpunkt kann nicht für VPC-Endpunkte angepasst werden. Verwenden Sie den öffentlichen Endpunkt, um eine benutzerdefinierte URL hinzuzufügen.
**Anmerkung**
Das folgende Verfahren setzt voraus, dass Sie die empfohlene [CloudFormation Stack-Vorlage](https://s3.amazonaws.com/aws-transfer-resources/custom-domain-templates/aws-transfer-web-app-custom-domain-distribution.template.yml) verwenden. Sie müssen die Vorlage nicht verwenden: Sie können die Distribution direkt über die [CloudFront Konsole](https://console.aws.amazon.com/cloudfront/v4/home) erstellen.
Die mitgelieferte Vorlage vereinfacht jedoch den Prozess und macht es einfacher, Fehlkonfigurationen zu vermeiden. Wenn Sie die CloudFormation Vorlage nicht verwenden, achten Sie darauf, die folgenden Richtlinien zu befolgen:
Die [Origin-Anforderungsrichtlinie](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-managed-origin-request-policies.html#managed-origin-request-policy-cors-custom) sollte Abfragezeichenfolgen und Cookies an den Ursprung weiterleiten und sollte den `Host` Header nicht an den Ursprung weiterleiten.
Die [Cache-Richtlinie](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-managed-cache-policies.html#managed-cache-policy-origin-cache-headers) sollte den `Host` Header nicht im Cache-Schlüssel enthalten.
**So passen Sie die URL Ihrer Web-App an**
1. Erstellen Sie eine CloudFront Verteilung mithilfe der von Transfer Family bereitgestellten AWS CloudFormation Vorlage, der [CloudFormation Stapelvorlage](https://s3.amazonaws.com/aws-transfer-resources/custom-domain-templates/aws-transfer-web-app-custom-domain-distribution.template.yml).
1. Öffnen Sie die CloudFormation Konsole unter [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).
1. Wählen Sie **Stack erstellen** und geben Sie Folgendes an.
+ Wählen Sie im Abschnitt **Voraussetzung — Vorlage vorbereiten** die Option **Vorhandene Vorlage auswählen aus**.
+ Wählen Sie im Abschnitt **Specify template (Vorlage angeben)** die Option **Upload a template file (Vorlagendatei hochladen)** aus.
+ Speichern Sie die [CloudFormation Stack-Vorlagendatei]( https://s3.amazonaws.com/aws-transfer-resources/custom-domain-templates/aws-transfer-web-app-custom-domain-distribution.template.yml) und laden Sie sie dann hier hoch.
1. Wählen Sie **Weiter** und geben Sie die folgenden Informationen ein.
+ **WebAppEndpoint**: kopiere den Wert aus deiner Web-App
+ **AccessEndpoint**: Geben Sie den benutzerdefinierten Domainnamen an, den Sie verwenden möchten
+ **AcmCertificateArn**: Geben Sie den ARN für ein öffentliches oder privates SSL/TLS Zertifikat an, das gespeichert ist in AWS Certificate Manager
1. Schließen Sie den CloudFormation Assistenten ab, bis Ihr neuer Stack erstellt ist.
1. Bearbeiten Sie in Ihrer Web-App den **Access-Endpunkt** und aktualisieren Sie die **benutzerdefinierte URL** auf die URL, die Sie verwenden möchten.
![\[Bildschirm mit einem benutzerdefinierten Zugriffsendpunkt für eine Transfer Family Family-Web-App.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-custom-name.png)
1. Erstellen Sie DNS-Einträge, um den Datenverkehr für Ihren benutzerdefinierten Domainnamen an die CloudFront Distribution weiterzuleiten. Wenn Sie Route 53 für die Zone verwenden, können Sie einen Alias- oder CNAME-Eintrag für den CloudFront Distributionsnamen erstellen (z. B. **xxxx.cloudfront.net**). Informationen zur Verwendung von Amazon Route 53 mit CloudFront finden Sie unter [Konfiguration von Amazon Route 53 zur Weiterleitung von Datenverkehr an eine CloudFront Verteilung](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-cloudfront-distribution.html#routing-to-cloudfront-distribution-config).
1. Aktualisieren Sie Ihre ursprungsübergreifende Richtlinie zur gemeinsamen Nutzung von Ressourcen, indem Sie den Standardzugriffsendpunkt durch die folgende Zeile im `AllowedOrigins` Codeblock ersetzen:
```
"https://custom-url"
```
Sie müssen diese Änderung für jeden Bucket vornehmen, der von Ihrer Web-App verwendet wird.
Nachdem Sie Ihr Update vorgenommen haben, sollte der `AllowedOrigins` Abschnitt Ihrer CORS-Richtlinie wie folgt aussehen:
```
"AllowedOrigins": [
"https://custom-url"],
```
Sie benötigen nur einen einzigen AllowedOrigins Eintrag für jede Transfer Family Family-Web-App.
Weitere Informationen finden [Sie im Verfahren Cross-Origin Resource Sharing (CORS) für Ihren Amazon S3 S3-Bucket einrichten](access-grant-cors.md#cors-configure).
Sie können jetzt Ihren benutzerdefinierten Zugriffsendpunkt aufrufen und diesen Link mit Ihren Endbenutzern teilen.
# CloudTrail Protokollierung für Transfer Family Family-Web-Apps
CloudTrail ist ein Programm AWS-Service , das eine Aufzeichnung der Aktionen erstellt, die in Ihrem ausgeführt wurden AWS-Konto. Es überwacht und zeichnet kontinuierlich API-Operationen für Aktivitäten wie Konsolenanmeldungen, AWS Command Line Interface Befehle und SDK/API Operationen auf. Auf diese Weise können Sie protokollieren, wer wann und von wo aus welche Maßnahmen ergriffen hat. CloudTrail hilft bei der Prüfung, beim Zugriffsmanagement und bei der Einhaltung gesetzlicher Vorschriften, indem es einen Verlauf aller Aktivitäten in Ihrer AWS Umgebung bereitstellt.
Bei Transfer Family Family-Web-Apps können Sie sowohl Authentifizierungsereignisse als auch Datenzugriffsvorgänge Ihrer Benutzer verfolgen. Um eine umfassende Protokollierung zu aktivieren, müssen Sie:
1. Konfigurieren Sie CloudTrail die Konfiguration so, dass Verwaltungsereignisse zur Nachverfolgung von Authentifizierungsaktivitäten protokolliert werden.
1. Aktivieren Sie Amazon S3 S3-Datenereignisse, um Dateioperationen zu verfolgen, die über Ihre Web-App ausgeführt werden.
**Informationen finden Sie auch unter:**
+ [CloudTrail Anwendungsfälle für IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/sso-cloudtrail-use-cases.html)
+ [Grundlegendes zu den Anmeldeereignissen im IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/understanding-sign-in-events.html)
+ [CloudTrail Element „userIdentity“](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)
+ [Aktivieren der CloudTrail Ereignisprotokollierung für S3-Buckets und -Objekte](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)
+ [Amazon S3 CloudTrail S3-Ereignisse](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html)
## Amazon S3 S3-Datenereignisse aktivieren
Um Dateioperationen zu verfolgen, die über Transfer Family Family-Web-Apps auf Ihren Amazon S3 S3-Buckets ausgeführt werden, müssen Sie Datenereignisse für diese Buckets aktivieren. Datenereignisse ermöglichen API-Aktivitäten auf Objektebene und sind besonders nützlich für die Nachverfolgung von Datei-Uploads, Downloads und anderen Vorgängen, die von Web-App-Benutzern ausgeführt werden.
So aktivieren Sie Amazon S3 S3-Datenereignisse für Ihre Transfer Family Family-Web-App:
1. Öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich **Trails** aus und wählen Sie dann einen vorhandenen Trail aus, oder erstellen Sie einen neuen.
1. Wählen Sie unter **Erweiterte Event-Selektoren** die Option **Bearbeiten** aus.
1. Wählen Sie **Erweiterte Eventauswahl hinzufügen** aus.
1. Für den ersten Feldselektor:
+ Setzen Sie das **Feld auf** `eventCategory`
+ Setzen Sie **Operator** auf **Gleich**
+ Setzen Sie den **Wert auf** `Data`
1. Wählen Sie **Feld hinzufügen** und gehen Sie für die zweite Feldauswahl wie folgt vor:
+ Setzen Sie **Feld auf** `resources.type`
+ Setzen Sie **Operator** auf **Gleich**
+ Setzen Sie den **Wert auf** `AWS::S3::Object`
1. (Optional) Um Ereignisse nur für bestimmte Buckets zu protokollieren, wählen Sie **Feld hinzufügen und fügen Sie** Folgendes hinzu:
+ Stellen Sie **Feld ein auf** `resources.ARN`
+ Setzen Sie den **Operator** auf **Beginnt mit**
+ Setzen Sie **den Wert** auf `arn:aws:s3:::your-bucket-name/`
1. Wählen Sie **Änderungen speichern ** aus.
Alternativ können Sie die Konfiguration für ältere Datenereignisse verwenden:
1. Wählen Sie unter **Datenereignisse** die Option **Bearbeiten** aus.
1. Wählen Sie als **Datenereignistyp** die Option **S3-Bucket- und Objektereignisse** aus.
1. Wählen Sie die Amazon S3 S3-Buckets aus, für die Datenereignisse protokolliert werden sollen. Sie können **Alle aktuellen und future S3-Buckets** auswählen oder einzelne Buckets angeben.
1. Wählen Sie aus, ob **Leseereignisse**, **Schreibereignisse** oder beides protokolliert werden sollen.
1. Wählen Sie **Änderungen speichern ** aus.
Nachdem Sie Datenereignisse aktiviert haben, können Sie auf diese Protokolle in dem Amazon S3 S3-Bucket zugreifen, für den Sie konfiguriert sind CloudTrail. Die Protokolle enthalten Details wie den Benutzer, der die Aktion ausgeführt hat, den Zeitstempel der Aktion, das betroffene Objekt und das `onBehalfOf` Feld, mit dem die vier Aktionen verfolgt werden können, die über die `userId` Transfer Family Family-Web-Apps ausgeführt wurden.
### Ihre Logs finden und einsehen
Es gibt verschiedene Möglichkeiten, CloudTrail Protokolle für Ihre Transfer Family Family-Web-App zu finden und anzuzeigen:
#### Verwenden der CloudTrail Konsole
Der schnellste Weg, um sich aktuelle Ereignisse anzusehen:
1. Öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie **Eventverlauf** aus.
1. Ereignisse filtern nach:
+ **Ereignisquelle**: `signin.amazonaws.com` für Web-App-Ereignisse
+ **Ereignisquelle**: `s3.amazonaws.com` für Dateioperationen
1. Klicken Sie auf ein Ereignis, um detaillierte Informationen anzuzeigen.
#### Zugreifen auf Protokolle in Amazon S3
So greifen Sie auf die vollständigen Protokolldateien zu, die in Amazon S3 gespeichert sind:
1. Identifizieren Sie den Amazon S3 S3-Bucket Ihres CloudTrail Trails:
```
aws cloudtrail describe-trails --query 'trailList[*].[Name,S3BucketName]' --output table
```
1. Navigieren Sie zu den Protokolldateien in Amazon S3:
```
aws s3 ls s3://your-cloudtrail-bucket/AWSLogs/account-id/CloudTrail/region/YYYY/MM/DD/
```
1. Laden Sie die Protokolldateien für Ihre Web-App-ID herunter und durchsuchen Sie sie:
```
aws s3 cp s3://your-cloudtrail-bucket/AWSLogs/account-id/CloudTrail/region/YYYY/MM/DD/ . --recursive
gunzip *.json.gz
grep -l "webapp-1a2b3c4d5e6f7g8h9" *.json
```
#### Wird AWS CLI zur Suche nach Ereignissen verwendet
Suchen Sie mithilfe der folgenden Optionen nach bestimmten Web-App-Ereignissen AWS CLI:
```
aws logs filter-log-events \
--log-group-name /aws/cloudtrail/your-trail-name \
--filter-pattern "webapp-1a2b3c4d5e6f7g8h9" \
--start-time $(date -d "1 day ago" +%s)000
```
Oder suchen Sie nach Authentifizierungsereignissen:
```
aws logs filter-log-events \
--log-group-name /aws/cloudtrail/your-trail-name \
--filter-pattern "UserAuthentication" \
--start-time $(date -d "1 day ago" +%s)000
```
## Beispiele für Authentifizierungsprotokolle
CloudTrail protokolliert Authentifizierungsereignisse für Transfer Family Family-Web-Apps, sodass Sie erfolgreiche und fehlgeschlagene Anmeldeversuche verfolgen können. Diese Protokolle sind besonders nützlich für Sicherheitsüberwachungs- und Compliance-Zwecke.
**Topics**
+ [Beispiel für einen Protokolleintrag zur Überprüfung der Anmeldeinformationen](#webapp-credential-verification-example)
+ [Beispiel für einen Protokolleintrag für die Anmeldeauthentifizierung](#webapp-signin-authentication-example)
+ [Beispiel für einen Protokolleintrag für ListCallerAccessGrants](#webapp-list-caller-access-grants-example)
+ [Beispiel für einen Protokolleintrag für ein GetDataAccess Ereignis](#webapp-get-data-access-example)
### Beispiel für einen Protokolleintrag zur Überprüfung der Anmeldeinformationen
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für ein Ereignis zur Überprüfung der Anmeldeinformationen, das während des Authentifizierungsprozesses auftritt.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "Unknown",
"principalId": "123456789012",
"arn": "",
"accountId": "123456789012",
"accessKeyId": "",
"userName": "demo-user-2",
"onBehalfOf": {
"userId": "f12bb510-a011-702f-10dd-5607e2776dbc",
"identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9a670c546e"
},
"credentialId": "58138a11-87e5-401d-8f0b-7161c9389112"
},
"eventTime": "2025-08-08T15:29:30Z",
"eventSource": "signin.amazonaws.com",
"eventName": "CredentialVerification",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.224",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"AuthWorkflowID": "f304a48b-7b6d-41c8-b136-4f49c91c1f31",
"CredentialType": "PASSWORD"
},
"requestID": "ff936828-4a81-453c-802d-81368b6bca1a",
"eventID": "70cb7008-493d-42c2-a9eb-38bf168af6a8",
"readOnly": false,
"eventType": "AWS ServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails": {
"CredentialVerification": "Success"
},
"eventCategory": "Management"
}
```
Dieses Ereignis bietet zusätzliche Informationen über den Schritt zur Überprüfung der Anmeldeinformationen im Authentifizierungsprozess und zeigt die spezifische Anmeldeinformations-ID und die verwendete Authentifizierungsworkflow-ID an.
### Beispiel für einen Protokolleintrag für die Anmeldeauthentifizierung
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für ein erfolgreiches Benutzerauthentifizierungsereignis bei der Web-App-Anmeldung mit IAM Identity Center.
```
{
"eventVersion": "1.09",
"userIdentity": {
"type": "Unknown",
"principalId": "123456789012",
"arn": "",
"accountId": "123456789012",
"accessKeyId": "",
"userName": "demo-user-2",
"onBehalfOf": {
"userId": "f12bb510-a011-702f-10dd-5607e2776dbc",
"identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9a670c546e"
},
"credentialId": "b41f0a02-1635-4d07-a414-aecf9e14b906"
},
"eventTime": "2025-08-07T14:09:07Z",
"eventSource": "signin.amazonaws.com",
"eventName": "UserAuthentication",
"awsRegion": "us-east-2",
"sourceIPAddress": "192.0.2.14",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"AuthWorkflowID": "7a4ef12c-7c4b-4bc3-b5bd-c2469afcc795",
"LoginTo": "https://example.awsapps.com/start/",
"CredentialType": "PASSWORD"
},
"requestID": "fc91bcf0-ac53-4454-a1a0-fb911eacc095",
"eventID": "18522007-1e60-4a71-b2b5-150baf504ab3",
"readOnly": false,
"eventType": "AWS ServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"serviceEventDetails": {
"UserAuthentication": "Success"
},
"eventCategory": "Management"
}
```
Beachten Sie in diesem Beispiel die folgenden wichtigen Felder:
+ `eventSource`: Zeigt „signin.amazonaws.com“ an, was darauf hinweist, dass es sich um ein IAM Identity Center-Authentifizierungsereignis handelt.
+ `userIdentity.onBehalfOf`: Enthält die Benutzer-ID und den Identitätsspeicher-ARN für den Web-App-Benutzer.
+ `additionalEventData.LoginTo`: Zeigt die URL der IAM Identity Center-Anwendung an, auf die zugegriffen wird.
+ `additionalEventData.CredentialType`: Gibt die verwendete Authentifizierungsmethode an (PASSWORD).
+ `serviceEventDetails`: Zeigt das Authentifizierungsergebnis an (Erfolg).
### Beispiel für einen Protokolleintrag für ListCallerAccessGrants
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für ein ListCallerAccessGrants Ereignis, das auftritt, wenn die Transfer Family Family-Web-App verfügbare Zugriffsberechtigungen für einen Benutzer abfragt.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLEID:aws-transfer",
"arn": "arn:aws:sts::123456789012:assumed-role/AWS TransferWebAppIdentityBearer-us-east-2/aws-transfer",
"accountId": "123456789012",
"accessKeyId": "ASIAEXAMPLEKEY",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLEID",
"arn": "arn:aws:iam::123456789012:role/service-role/AWS TransferWebAppIdentityBearer-us-east-2",
"accountId": "123456789012",
"userName": "AWS TransferWebAppIdentityBearer-us-east-2"
},
"attributes": {
"creationDate": "2025-08-08T15:29:34Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "transfer.amazonaws.com",
"onBehalfOf": {
"userId": "f12bb510-a011-702f-10dd-5607e2776dbc",
"identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9a670c546e"
}
},
"eventTime": "2025-08-08T15:29:35Z",
"eventSource": "s3.amazonaws.com",
"eventName": "ListCallerAccessGrants",
"awsRegion": "us-east-2",
"sourceIPAddress": "transfer.amazonaws.com",
"userAgent": "transfer.amazonaws.com",
"requestParameters": {
"Host": "123456789012.s3-control.dualstack.us-east-2.amazonaws.com",
"allowedByApplication": "true",
"maxResults": "100"
},
"responseElements": null,
"additionalEventData": {
"SignatureVersion": "SigV4",
"CipherSuite": "TLS_AES_128_GCM_SHA256",
"bytesTransferredIn": 0,
"AuthenticationMethod": "AuthHeader",
"x-amz-id-2": "1g34AaAELn/fntxwrifVsr41VDl8dp5ygWFasHJFNVq5FDCWYfX0ye7s4tWHEJC8ppI5lLePYLIcw3iTXAgn5Q==",
"bytesTransferredOut": 462
},
"requestID": "48485MTZEDWT0ANT",
"eventID": "3de5dd60-b7cf-474c-a1ab-631467c1a5c3",
"readOnly": true,
"resources": [
{
"accountId": "123456789012",
"type": "AWS:S3::AccessGrantsInstance",
"ARN": "arn:aws:s3:us-east-2:123456789012:access-grants/default"
}
],
"eventType": "AWS ApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}
```
Beachten Sie in diesem Beispiel die folgenden wichtigen Felder:
+ `eventName`: Zeigt, dass es sich um ein ListCallerAccessGrants Ereignis handelt, das verfügbare S3-Zugriffsberechtigungen abfragt.
+ `requestParameters.allowedByApplication`: Zeigt an, dass die Abfrage nach den von der Anwendung zugelassenen Berechtigungen gefiltert wurde.
+ `requestParameters.maxResults`: Zeigt die maximale Anzahl von Zuschüssen an, die in der Antwort zurückgegeben werden können.
+ `userIdentity.onBehalfOf`: Verknüpft die Anfrage mit dem spezifischen Web-App-Benutzer.
Dieses Ereignis hilft dabei, nachzuverfolgen, wann die Transfer Family Family-Web-App abfragt, auf welche S3-Ressourcen ein Benutzer Zugriff hat, und bietet so Einblick in die Vorgänge zur Ermittlung von Zugriffsberechtigungen.
### Beispiel für einen Protokolleintrag für ein GetDataAccess Ereignis
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für ein GetDataAccess Ereignis, das auftritt, wenn die Transfer Family Family-Web-App im Namen eines Benutzers Zugriffsberechtigungen für S3-Ressourcen anfordert.
```
{
"eventVersion": "1.11",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROASEQRAEABP7ADWEZA5:aws-transfer",
"arn": "arn:aws:sts::123456789012:assumed-role/AWSTransferWebAppIdentityBearer-ap-southeast-1/aws-transfer",
"accountId": "123456789012",
"accessKeyId": "ASIAEXAMPLEKEY",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROASEQRAEABP7ADWEZA5",
"arn": "arn:aws:iam::123456789012:role/service-role/AWSTransferWebAppIdentityBearer-ap-southeast-1",
"accountId": "123456789012",
"userName": "AWSTransferWebAppIdentityBearer-ap-southeast-1"
},
"attributes": {
"creationDate": "2025-05-08T16:09:05Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "transfer.amazonaws.com",
"onBehalfOf": {
"identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9667b0da7a",
"userId": "191a35ec-10a1-70c1-e4ab-e2802411e13e"
}
},
"eventTime": "2025-05-08T16:10:25Z",
"eventSource": "s3.amazonaws.com",
"eventName": "GetDataAccess",
"awsRegion": "ap-southeast-1",
"sourceIPAddress": "transfer.amazonaws.com",
"userAgent": "transfer.amazonaws.com",
"requestParameters": {
"Host": "123456789012.s3-control.dualstack.ap-southeast-1.amazonaws.com",
"durationSeconds": 900,
"permission": "READWRITE",
"target": "s3://amzn-s3-demo-bucket/users/john.doe/documents/*"
},
"responseElements": null,
"additionalEventData": {
"AuthenticationMethod": "AuthHeader",
"CipherSuite": "TLS_AES_128_GCM_SHA256",
"SignatureVersion": "SigV4",
"bytesTransferredIn": 0,
"bytesTransferredOut": 2244,
"x-amz-id-2": "8ce8sZOgNwsaj9w1mzagyA+csONjYl8FgEw4FGpE8DARi90aNC0RFWlTYNEn7ChqE9RCJrTzMvS+ru7Vz2xXHrkQt/1uQ9exZTZdlhX+/fM="
},
"requestID": "BXGSKKQXCWS5RAHB",
"eventID": "c11db1d1-dfb8-431e-8625-48eba2ebadfe",
"readOnly": true,
"resources": [
{
"type": "AWS:S3::AccessGrantsInstance",
"ARN": "arn:aws:s3:ap-southeast-1:123456789012:access-grants/default",
"accountId": "123456789012"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}
```
Beachten Sie in diesem Beispiel die folgenden wichtigen Felder:
+ `eventName`: Zeigt, dass dies ein GetDataAccess Ereignis ist, das auftritt, wenn Transfer Family Zugriffsberechtigungen für S3-Ressourcen anfordert.
+ `userIdentity.onBehalfOf`: Enthält den ARN und die Benutzer-ID des Identitätsspeichers und verknüpft die Zugriffsanforderung mit dem spezifischen Web-App-Benutzer.
+ `requestParameters.target`: Zeigt das S3-Pfadmuster an, für das der Zugriff angefordert wurde.
+ `requestParameters.permission`: Gibt die Art des angeforderten Zugriffs an (READWRITE, READ oder WRITE).
+ `requestParameters.durationSeconds`: Zeigt an, wie lange die Zugriffsgewährung gültig ist (normalerweise 900 Sekunden/15 Minuten).
+ `sourceIPAddress`und`userAgent`: Beide zeigen „transfer.amazonaws.com“ an, was darauf hinweist, dass es sich um eine interne Serviceanfrage handelt.
GetDataAccess Ereignisse sind besonders nützlich, um nachzuverfolgen, wann Benutzern der Transfer Family Family-Web-App Zugriff auf bestimmte S3-Ressourcen gewährt wird. So können Sie die Zugriffsmuster überwachen und die ordnungsgemäße Autorisierung sicherstellen.
## CloudTrail Protokolleinträge anzeigen
Es gibt verschiedene Möglichkeiten, CloudTrail Protokolleinträge für Ihre Transfer Family Family-Web-App anzuzeigen und zu analysieren:
### Verwenden der CloudTrail Konsole
Die CloudTrail Konsole bietet eine benutzerfreundliche Oberfläche zum Anzeigen und Filtern von Protokolleinträgen:
1. Öffnen Sie die CloudTrail Konsole unter [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Wählen Sie im Navigationsbereich **Ereignisverlauf** aus.
1. Verwenden Sie die Filteroptionen, um die Ereignisse einzugrenzen:
+ Stellen Sie **Eventquelle** auf ein`transfer.amazonaws.com`, um nur Transfer Family Family-Ereignisse anzuzeigen.
+ Filtern Sie nach dem **Namen des Ereignisses**, um bestimmte Operationen wie anzuzeigen`UserAuthentication`.
+ Verwenden Sie den **Zeitraum**, um sich auf Ereignisse innerhalb eines bestimmten Zeitraums zu konzentrieren.
1. Klicken Sie auf ein Ereignis, um detaillierte Informationen zu erhalten.
### Zugreifen auf Protokolle in Amazon S3
Wenn Sie einen CloudTrail Trail für die Übermittlung von Protokollen an einen Amazon S3 S3-Bucket konfiguriert haben, können Sie direkt auf die Rohprotokolldateien zugreifen:
1. Öffnen Sie die Amazon S3 S3-Konsole unter [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Navigieren Sie zu dem Bucket und dem Präfix, in dem Ihre CloudTrail Logs gespeichert sind.
1. Die Protokolle sind nach Jahr, Monat, Tag und Region geordnet. Navigieren Sie zum entsprechenden Verzeichnis.
1. Laden Sie die Protokolldateien im JSON-Format herunter und öffnen Sie sie.
# Fehlerbehebung bei Ihren Web-Apps
**Anmerkung**
Diese Tipps zur Fehlerbehebung richten sich eher an den Administrator der Web-App als an den Endbenutzer. Wenn Endbenutzer auf Probleme stoßen, wenden Sie sich an Ihren Web-App-Administrator. Alle Fälle von *Ihnen* in den folgenden Abschnitten beziehen sich auf den Web-App-Administrator.
## Beheben Sie Netzwerkfehler
**Beschreibung**
Ihrem Endbenutzer wird beim Laden des Web-App-Endpunkts ein **Netzwerkbanner Netzwerkfehler angezeigt**.
**Ursache**
Die häufigsten Probleme lauten wie folgt:
+ Der Administrator hat dem Benutzer, der versucht, sich bei der neuen Anwendung anzumelden, nicht zugewiesen.
+ Der Administrator hat Ihren IAM-Rollen nicht die erforderlichen Aktionen hinzugefügt.
+ Sie sehen eine Liste von S3 Access Grants, die Ihrem Benutzer zugewiesen wurden, aber CORS ist für Ihren Amazon S3-Bucket oder Ihre Amazon S3-Buckets nicht richtig konfiguriert.
**Lösung**
+ Stellen Sie im IAM Identity Center sicher, dass Sie den Benutzer der richtigen Anwendung zuweisen. Oder, falls Ihnen eine Gruppe zugewiesen wurde, stellen Sie sicher, dass der Benutzer, der versucht, sich anzumelden, zur richtigen Gruppe gehört. Dieser Vorgang wird unter [Benutzer oder Gruppen einer Transfer Family Family-Web-App zuweisen oder hinzufügen](webapp-add-users.md) beschrieben.
+ Prüfen Sie, ob Ihre Rollen die erforderlichen Aktionen in der **benutzerdefinierten Vertrauensrichtlinie** für beide `sts:AssumeRole` `sts:SetContext` Aktionen enthalten. Dieser Vorgang wird unter [Konfiguration von IAM-Rollen für Transfer Family Family-Web-Apps](webapp-roles.md) beschrieben.
+ Überprüfen Sie die CORS-Richtlinie für alle Buckets, die von Ihrer Web-App verwendet werden. Dies wird unter [Cross-Origin Resource Sharing (CORS) für Ihren Amazon S3 S3-Bucket einrichten](access-grant-cors.md#cors-configure) beschrieben.
## Fehlerbehebung: Der konfigurierte Bucket wird nicht angezeigt
**Beschreibung**
Alles scheint korrekt konfiguriert zu sein, aber der Amazon S3 S3-Bucket erscheint nicht in der Web-App.
**Ursache**
Eine mögliche Ursache ist, dass sich der Amazon S3 S3-Bucket nicht im selben Konto wie die Web-App befindet.
**Lösung**
Stellen Sie sicher, dass sich der Amazon S3 S3-Bucket im selben Konto wie die Web-App befindet. Kontoübergreifende Buckets werden derzeit nicht unterstützt.
## Beheben Sie Fehler mit benutzerdefinierten URLs
**Beschreibung**
Wenn sich Ihr Endbenutzer bei der Web-App anmeldet, erhält er die Fehlermeldung **Authorization failed: missing authorization code.**
**Ursache**
Wenn Sie die Vorlage CloudFront direkt und nicht die mitgelieferte CloudFormation Vorlage verwendet haben, haben Sie wahrscheinlich die ursprüngliche Anforderungsrichtlinie falsch konfiguriert, sodass Abfragezeichenfolgen nicht weitergeleitet werden.
**Lösung**
Aktualisieren Sie Ihre Richtlinie für ursprüngliche Anfragen, um Abfragezeichenfolgen und Cookies an den Ursprung weiterzuleiten.
**Beschreibung**
Wenn Ihr Endbenutzer versucht, auf eine Transfer Family Family-Web-App zuzugreifen, erhält er eine 404-Antwort.
**Ursache**
Wenn Sie die Vorlage CloudFront direkt und nicht die bereitgestellte CloudFormation Vorlage verwendet haben, haben Sie wahrscheinlich die Cache-Richtlinie falsch konfiguriert, um den `Host` Header in den Cache-Schlüssel aufzunehmen, oder die ursprüngliche Anforderungsrichtlinie falsch konfiguriert, um den Header weiterzuleiten. `Host`
**Lösung**
+ Stellen Sie sicher, dass Ihre Cache-Richtlinie den `Host` Header nicht im Cache-Schlüssel enthält
+ Stellen Sie sicher, dass Ihre Origin-Anforderungsrichtlinie den `Host` Header nicht weiterleitet.
## Beheben Sie verschiedene Fehler
**Beschreibung**
Ihr Endbenutzer kann sich nicht anmelden oder keine Buckets oder Dateien anzeigen, oder Sie erhalten eine weitere Fehlermeldung.
**Ursache**
Eine mögliche Ursache ist, dass der ARN der IAM Identity Center-Instanz nicht mit dem Wert für Ihren Grants-ARN oder den ARN Ihrer Web-App-IAM Identity Center-Instanz übereinstimmt.
**Lösung**
Überprüfen Sie die folgenden Punkte, um festzustellen, ob sie übereinstimmen.
+ Navigieren Sie im IAM Identity Center zu **Einstellungen** und sehen Sie sich den **Instanz-ARN** an.
```
arn:aws:sso:::instance/ssoins-instance-identifier
```
+ Navigieren Sie in Amazon S3 zu **Access Grants** und sehen Sie sich Ihren **IAM Identity Center-Instance-ARN** an.
```
arn:aws:sso::account-id:application/ssoins-instance-identifier/apl-1234567890abcdef0
```
+ Navigieren Sie in Transfer Family zur Detailseite Ihrer Web-App und sehen Sie sich deren Instanz-ARN an.
```
arn:aws:sso:::instance/ssoins-instance-identifier
```
Der *instance-identifier* Wert muss an allen drei Stellen derselbe sein.
## Doppelte S3-Buckets werden in der Web-App angezeigt
**Beschreibung**
Benutzern wird derselbe S3-Bucket in der Transfer Family Family-Web-App-Oberfläche mehrfach aufgeführt.
**Ursache**
Dies ist der Fall, wenn ein Benutzer Teil mehrerer Active Directory-Gruppen ist, die über doppelte Berechtigungen für denselben S3-Bucket verfügen. Die Web-App listet alle Zuweisungen auf oberster Ebene auf, die dem Benutzer zugeordnet sind (UID oder GID), unabhängig davon, ob dem Benutzer mehrere Grants demselben Bucket-Standort zugewiesen sind.
**Lösung**
Um dieses Problem zu beheben, sollten Administratoren die Zuweisungen deduplizieren, sodass jedem Benutzer nur ein Grant für jeden S3-Standort zur Verfügung steht. Überprüfen Sie Ihre Konfiguration für S3 Access Grants und konsolidieren Sie doppelte Zuweisungen für denselben Bucket in verschiedenen Active Directory-Gruppen.
# Anweisungen für Endbenutzer für Transfer Family Family-Web-Apps
**Anmerkung**
In diesem Thema richten sich die Informationen an die Endbenutzer, die mit der Web-App interagieren. Alle Beispiele von *Ihnen* in diesem Thema beziehen sich auf Endbenutzer.
In diesem Thema wird beschrieben, wie Sie auf eine AWS Transfer Family Web-App zugreifen, zu deren Nutzung Sie berechtigt sind, und wie Sie mit ihr interagieren können.
## Kontingente für Web-Apps
Beachten Sie die folgenden Einschränkungen bei der Verwendung von Web-Apps.
+ Maximale Anzahl von Suchergebnissen pro Abfrage: 10.000
+ Die Amazon S3 S3-Buckets, die von der Transfer Family Family-Web-App verwendet werden, müssen sich auf demselben Konto wie die Web-App selbst befinden. Kontoübergreifende Buckets werden derzeit nicht unterstützt.
+ Maximale Suchbreite pro Abfrage: 10.000 durchsuchte Dateien
+ Maximale Upload-Größe pro Datei: 160 GB (149 GiB)
+ Maximale Größe der Datei zum Kopieren: 5,36 GB (5 GiB)
+ Ordnernamen, die mit Punkten (.) beginnen oder enden, werden nicht unterstützt
## Benutzererfahrung für IAM Identity Center-Benutzer
In diesem Abschnitt wird die Benutzererfahrung beschrieben, wenn Ihr Unternehmen IAM Identity Center zur Konfiguration seiner Benutzer verwendet hat.
**So greifen Sie auf eine Transfer Family Family-Web-App zu**
1. Sie sollten von **no-reply@login.awsapps.com** eine E-Mail mit dem Titel „Einladung zum Beitritt“ erhalten AWS IAM Identity Center. Nehmen Sie die Einladung zur Aktivierung Ihres Benutzerkontos an.
1. Wählen Sie in der Nachricht die URL unter **Ihrer AWS Zugangs-Portal-URL** aus.
Dadurch gelangen Sie zum AWS Anmeldebildschirm.
![\[Bildschirm, auf dem der AWS Anmeldebildschirm angezeigt wird.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-enduser-signin.png)
1. Geben Sie Ihre Anmeldedaten ein und wählen Sie **Anmelden**.
Dadurch gelangen Sie zu der AWS-Zugangsportal, in der eine Liste Ihrer verfügbaren Anwendungen angezeigt wird.
1. Wählen Sie die Anwendung für Ihre Transfer Family Family-Web-App.
## Benutzererfahrung für Benutzer von Identitätsanbietern von Drittanbietern
Wenn Ihre Organisation ihre Benutzer nicht AWS IAM Identity Center zur Konfiguration verwendet hat, hängt Ihr Onboarding-Erlebnis von der Identity Provider-Anwendung ab, mit der sie ihre Endbenutzer konfiguriert haben. Nachdem Sie sich authentifiziert und angemeldet haben, entspricht Ihre Web-App-Oberfläche der im nächsten Abschnitt beschriebenen.
**Anmerkung**
Wenn ein Benutzer mehreren Active Directory-Gruppen angehört, die Berechtigungen für denselben Amazon S3 S3-Bucket haben, wird der Bucket mehrfach in der Web-App-Oberfläche angezeigt. Dies liegt daran, dass die Web-App alle Grants auf oberster Ebene auflistet, die mit der UID oder GID des Benutzers verknüpft sind, einschließlich doppelter Zuschüsse für denselben Bucket. Um doppelte Angebote zu vermeiden, können Administratoren mehrere Zuschüsse zusammenfassen, sodass jeder Benutzer nur über einen Zuschuss pro Amazon S3 S3-Standort verfügt.
## Endbenutzeroberfläche von Transfer Family
Nachdem Sie sich authentifiziert und angemeldet haben, können Sie mit der Web-App interagieren.
Es gibt vier Hauptansichten.
+ **Startseite: Auf** Ihrer Startseite sind die S3-Standorte, auf die Sie zugreifen können, sowie die jeweiligen Berechtigungen aufgeführt. Ein *S3-Standort* ist ein S3-Bucket oder ein S3-Präfix, das Sie definieren können, wenn Sie S3 Access Grants verwenden. Dies ist die erste Ansicht für Benutzer, in der die S3-Ressourcen auf Root-Ebene, auf die Ihre Endbenutzer Zugriff haben, sowie die Berechtigungen für jeden S3-Standort angezeigt werden.
![\[Bildschirm mit dem Heimatstandort eines Endbenutzers einer Web-App.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-enduser-home.png)
+ **Standortdetails:** In dieser Ansicht können Benutzer Dateien und Ordner in S3 durchsuchen und Dateien hoch- oder herunterladen.
+ **Standortaktion:** Nachdem Sie eine Aktion (z. B. **Hochladen**) ausgewählt haben, wird eine weitere Ansicht des Dateispeicherorts geöffnet.
+ **Vertikale Ellipse:** Das vertikale Ellipsensymbol öffnet das **Aktionsmenü**.
## Verfügbare Aktionen
**Die meisten Aktionen sind im Aktionsmenü verfügbar.** Für die andere Hauptaktion, das Herunterladen von Dateien, verwenden Sie das Download-Symbol, nachdem Sie eine Datei ausgewählt haben (derzeit können Sie jeweils nur eine Datei herunterladen).
![\[Bildschirm mit Dateien und den entsprechenden Download-Symbolen.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-enduser-download.png)
Verwenden Sie in einem Ordner das **Aktionsmenü**, um eine der folgenden Aufgaben auszuführen:
+ Kopieren Sie eine oder mehrere Dateien an einen anderen Speicherort.
+ Erstellen Sie einen Ordner.
+ Löschen Sie eine oder mehrere Dateien.
+ Laden Sie eine oder mehrere Dateien hoch.
+ Laden Sie einen ganzen Ordner hoch (einschließlich Unterordnern, falls vorhanden).
+ Wählen Sie einen Ordner aus und navigieren Sie zu ihm. Sie können dann jede der zuvor aufgelisteten Aktionen ausführen.
+ Nach Seite sortieren.
+ Filtern Sie nach Datei- oder Ordnernamen pro Ordner und Unterordnern.
![\[Bildschirm mit einem Beispielordner für einen Web-App-Endbenutzer.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/webapp-enduser-actions.png)