Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Creación de una aplicación web de Transfer Family en una VPC
En esta sección se describen los procedimientos para crear una aplicación web Transfer Family en una VPC. Puede alojar el punto final de su aplicación web en una nube privada virtual (VPC) para transferir datos hacia y desde un bucket de Amazon S3 sin tener que recurrir a la Internet pública. Para asignar usuarios y grupos que puedan usar su aplicación web, consulteAsigne o añada usuarios o grupos a una aplicación web Transfer Family.
nota
Para garantizar un flujo de end-to-end datos privado al utilizar un punto final de VPC de una aplicación web Transfer Family, debe implementar tres componentes adicionales. En primer lugar, configure un PrivateLink punto de conexión para las operaciones de la API de control de Amazon S3, que es necesario para las llamadas a la API Amazon S3 Access Grants. En segundo lugar, configure un punto de enlace para el acceso a los datos de PrivateLink Amazon S3 mediante un punto de enlace de Amazon S3 Gateway (para el tráfico desde su VPC) o un punto de enlace de la interfaz de Amazon S3 (para el tráfico de redes locales a través de VPN o Direct Connect). En tercer lugar, bloquee el acceso al bucket de Amazon S3 actualizando las políticas del bucket para permitir únicamente el tráfico desde estos puntos de enlace de VPC. Esta combinación garantiza que todas las transferencias de datos permanezcan dentro de su infraestructura de red privada y nunca pasen por la Internet pública.
Crea una aplicación web de Transfer Family
Requisitos previos
-
AWS IAM Identity Center configurarla con el proveedor de identidad configurado. Consulte Configura tu proveedor de identidad para las aplicaciones web Transfer Family.
-
Configuración de componentes de red y VPC. Consulte Crear una VPC.
-
Punto final de API configurado para las operaciones de control de Amazon S3. Consulte Acceder a los puntos de enlace de la interfaz de Amazon S3.
-
Configuración de puntos de enlace de VPC para Amazon S3 (puerta de enlace o interfaz). Consulte Tipos de puntos de enlace de VPC para Amazon S3. Si utiliza un punto final de interfaz, debe habilitar el DNS privado. Para ver un ejemplo, consulte Introducción al soporte de DNS privado para Amazon S3 con AWS PrivateLink
.
nota
AWS IAM Identity Center no admite puntos finales de VPC; todas las solicitudes de autenticación transitan por la Internet pública. Además, las aplicaciones web de Transfer Family requieren acceso a Internet para cargar contenido estático (como JavaScript archivos CSS y HTML). Los requisitos para el acceso público a Internet son independientes del acceso a los datos. Su punto de enlace de VPC garantiza que las conexiones se enruten a través de su infraestructura de VPC.
Para crear una aplicación web Transfer Family
-
Inicia sesión en Consola de administración de AWS y abre la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/
. -
En el panel de navegación izquierdo, selecciona Aplicaciones web.
-
Seleccione Crear aplicación web. Para el acceso de autenticación, el panel se rellena de la siguiente manera.
-
Si ya ha creado una organización o una instancia de cuenta en AWS IAM Identity Center, verá este mensaje: Su AWS Transfer Family aplicación está conectada a una instancia de cuenta de IAM Identity Center.
-
Si ya tiene una instancia de cuenta y es miembro de una instancia de organización, tiene la opción de elegir la instancia a la que desea conectarse.
-
Si aún no tienes una instancia de cuenta o eres miembro de una instancia de organización, se te presentan las opciones para crear una instancia de cuenta.
-
-
En la sección de configuración de Endpoint, elige cómo accederán los usuarios a tu aplicación web:
-
Accesible públicamente: se puede acceder al punto final de su aplicación web de forma pública a través de HTTPS. Esta opción no requiere ninguna configuración de VPC, por lo que es fácil de configurar y adecuada para aplicaciones destinadas a un uso público amplio.
-
Alojado en VPC: el punto final de su aplicación web está alojado en su Nube Privada Virtual (VPC), lo que proporciona acceso a la red privada a través de su red de VPC o conexiones de VPN. AWS Direct Connect Esta opción ofrece una seguridad mejorada mediante el aislamiento de la red y se recomienda para aplicaciones internas.
nota
Debe tener una configuración de VPC de doble pila. Para obtener más información, consulte Ejemplo de configuración de VPC de doble pila en la Guía del usuario de Amazon Virtual Private Cloud.
Al configurar un punto de conexión alojado en una VPC, tendrás que especificar:
-
VPC: seleccione una VPC existente o cree una nueva. Hay disponible el botón Crear una VPC.
-
Zonas de disponibilidad: elija las zonas de disponibilidad en las que se implementará su terminal.
-
Subredes: seleccione subredes dentro de cada zona de disponibilidad elegida.
-
Grupos de seguridad: seleccione o cree grupos de seguridad para controlar el acceso en función de las direcciones IP de origen. Si no se especifica, se utiliza el grupo de seguridad predeterminado de la VPC. Administre los grupos de seguridad a través de la consola de VPC. Configure sus grupos de seguridad de VPC para permitir el tráfico entrante de su red a través de HTTPS en el puerto TCP 443. Esto es necesario para la autenticación del IAM Identity Center y para cargar el contenido estático de las aplicaciones web.
nota
El punto de acceso no se puede personalizar para los puntos de enlace de VPC. Para añadir una URL personalizada, usa el punto de conexión público.
-
-
Pasos posteriores a la creación
-
Asegúrese de configurar una política de intercambio de recursos entre orígenes (CORS) para todos los depósitos a los que se accede desde el punto final de la aplicación web. Consulte Política de intercambio de recursos entre orígenes (CORS).
-
Actualice su política de bucket para permitir que el tráfico que se origine únicamente en su VPC pase por su punto de enlace de VPC. Consulte Restricción del acceso a un punto de conexión de la VPC específico.
-
Asigne o añada usuarios o grupos a la aplicación web Transfer Family. Consulte Asigne o añada usuarios o grupos a una aplicación web Transfer Family.
Política de intercambio de recursos entre orígenes (CORS)
Debe configurar el intercambio de recursos entre orígenes (CORS) para todos los depósitos que utilice su aplicación web. Para obtener más información acerca de CORS, consulte Configure el intercambio de recursos entre orígenes (CORS) para su depósito.
importante
Antes de usar la siguiente política de ejemplo, reemplaza el origen permitido por tu punto de acceso. De lo contrario, los usuarios finales recibirán un error cuando intenten acceder a una ubicación de su aplicación web.
Ejemplo de política:
[ { "AllowedHeaders": [ "*" ], "AllowedMethods": [ "GET", "PUT", "POST", "DELETE", "HEAD" ], "AllowedOrigins": [ "https://vpce-1234567-example.vpce-mq.transfer-webapp.us-east-1.on.aws" ], "ExposeHeaders": [ "last-modified", "content-length", "etag", "x-amz-version-id", "content-type", "x-amz-request-id", "x-amz-id-2", "date", "x-amz-cf-id", "x-amz-storage-class", "access-control-expose-headers" ], "MaxAgeSeconds": 3000 } ]
Restricción del acceso a un punto de conexión de la VPC específico
El siguiente es un ejemplo de una política de bucket de Amazon S3 que restringe el acceso a un bucket específico, amzn-s3-demo-bucket, solo desde el punto de conexión de la VPC con el ID vpce-1a2b3c4d. Si el punto de conexión específico no se usa, la política deniega todo el acceso al bucket. La condición aws:SourceVpce especifica el punto de conexión. La condición aws:SourceVpce no requiere un ARN para el recurso de punto de enlace de la VPC, solo el ID de la VPC. Para obtener más información sobre cómo actualizar su política de bucket para permitir únicamente el tráfico que se origina en su VPC, consulte Controlar el acceso desde los puntos de enlace de la VPC con políticas de bucket. Para obtener más información sobre el uso de condiciones en una política, consulta los ejemplos de políticas de buckets que utilizan claves de condición. Como requisito previo para aplicar esta política, debe crear un punto de enlace de VPC de Amazon S3.
importante
Antes de utilizar la política de ejemplo siguiente, reemplace el ID del punto de conexión de la VPC por un valor adecuado para su caso de uso. De lo contrario, no podrá acceder a su bucket.
{ "Version":"2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }
