Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat aplikasi web Transfer Family di VPC
Bagian ini menjelaskan prosedur untuk membuat aplikasi web Transfer Family di VPC. Anda dapat meng-host endpoint aplikasi web Anda di dalam virtual private cloud (VPC) untuk digunakan untuk mentransfer data ke dan dari bucket Amazon S3 tanpa melalui internet publik. Untuk menetapkan pengguna dan grup yang dapat menggunakan aplikasi web Anda, lihatMenetapkan atau menambahkan pengguna atau grup ke aplikasi web Transfer Family.
catatan
Untuk memastikan aliran end-to-end data pribadi saat menggunakan titik akhir VPC aplikasi web Transfer Family, Anda harus menerapkan tiga komponen tambahan. Pertama, siapkan PrivateLink titik akhir untuk operasi API Kontrol Amazon S3, yang diperlukan untuk panggilan API Amazon S3 Access Grants. Kedua, konfigurasikan titik akhir untuk akses data Amazon S3 menggunakan titik akhir Amazon PrivateLink S3 Gateway (untuk lalu lintas dari dalam VPC Anda) atau titik akhir Antarmuka Amazon S3 (untuk lalu lintas dari jaringan lokal melalui VPN atau Direct Connect). Ketiga, kunci akses bucket Amazon S3 Anda dengan memperbarui kebijakan bucket untuk hanya mengizinkan lalu lintas dari titik akhir VPC ini. Kombinasi ini memastikan semua transfer data tetap berada dalam infrastruktur jaringan pribadi Anda dan tidak pernah melintasi internet publik.
Membuat aplikasi web Transfer Family
Prasyarat
-
AWS IAM Identity Center diatur dengan penyedia identitas yang dikonfigurasi. Lihat Konfigurasikan penyedia identitas Anda untuk aplikasi web Transfer Family.
-
VPC dan komponen jaringan diatur. Lihat Membuat VPC.
-
Titik akhir API disiapkan untuk operasi Kontrol Amazon S3. Lihat Mengakses titik akhir antarmuka Amazon S3.
-
Titik akhir VPC untuk Amazon S3 (Gateway atau Antarmuka) disiapkan. Lihat Jenis titik akhir VPC untuk Amazon S3. Jika Anda menggunakan titik akhir antarmuka, Anda harus mengaktifkan DNS pribadi. Sebagai contoh, lihat Memperkenalkan dukungan DNS pribadi untuk Amazon AWS PrivateLink S3
dengan.
catatan
AWS IAM Identity Center tidak mendukung titik akhir VPC; semua permintaan otentikasi mengangkut internet publik. Selain itu, aplikasi web Transfer Family memerlukan akses internet untuk memuat konten statis (seperti JavaScript, CSS, dan file HTML). Persyaratan untuk akses internet publik terpisah dari akses data. Titik akhir VPC Anda memastikan bahwa koneksi dirutekan melalui infrastruktur VPC Anda.
Untuk membuat aplikasi web Transfer Family
-
Masuk ke Konsol Manajemen AWS dan buka AWS Transfer Family konsol di https://console.aws.amazon.com/transfer/
. -
Di panel navigasi kiri, pilih Aplikasi Web.
-
Pilih Buat aplikasi web. Untuk akses otentikasi, panel diisi sebagai berikut.
-
Jika Anda telah membuat instans organisasi atau akun AWS IAM Identity Center, maka Anda melihat pesan ini: AWS Transfer Family Aplikasi Anda terhubung ke instance akun IAM Identity Center.
-
Jika Anda sudah memiliki instans akun dan merupakan anggota instans organisasi, Anda memiliki opsi untuk memilih instance mana yang akan dihubungkan.
-
Jika Anda belum memiliki instance akun, atau merupakan anggota dalam instance organisasi, Anda akan diberikan opsi untuk membuat instance akun.
-
-
Di bagian konfigurasi Endpoint, pilih bagaimana pengguna Anda akan mengakses aplikasi web Anda:
-
Dapat diakses publik: Titik akhir aplikasi web Anda dapat diakses melalui publik melalui HTTPS. Opsi ini tidak memerlukan konfigurasi VPC apa pun, sehingga mudah diatur dan cocok untuk aplikasi yang ditujukan untuk penggunaan umum secara luas.
-
Dihosting VPC: Titik akhir aplikasi web Anda di-host dalam Virtual Private Cloud (VPC), menyediakan akses jaringan pribadi melalui jaringan VPC,, atau koneksi VPN Anda. AWS Direct Connect Opsi ini menawarkan keamanan yang ditingkatkan melalui isolasi jaringan dan direkomendasikan untuk aplikasi internal.
catatan
Anda harus memiliki konfigurasi VPC dual-stack. Untuk informasi selengkapnya, lihat Contoh konfigurasi VPC dual-stack di Panduan Pengguna Amazon Virtual Private Cloud.
Saat mengonfigurasi titik akhir yang dihosting VPC, Anda harus menentukan:
-
VPC: Pilih VPC yang ada atau buat yang baru. Tombol Buat VPC tersedia.
-
Availability zones: Pilih zona ketersediaan tempat endpoint Anda akan di-deploy.
-
Subnet: Pilih subnet dalam setiap zona ketersediaan yang dipilih.
-
Grup keamanan: Pilih atau buat grup keamanan untuk mengontrol akses berdasarkan alamat IP sumber. Jika tidak ditentukan, grup keamanan default VPC digunakan. Kelola grup keamanan melalui Konsol VPC. Konfigurasikan grup keamanan VPC Anda untuk mengizinkan lalu lintas masuk dari jaringan Anda melalui HTTPS pada port TCP 443. Ini diperlukan untuk autentikasi IAM Identity Center dan pemuatan konten statis aplikasi web.
catatan
Titik akhir akses tidak dapat disesuaikan untuk titik akhir VPC. Untuk menambahkan URL kustom, gunakan titik akhir publik.
-
-
Langkah-langkah pasca-penciptaan
-
Pastikan untuk menyiapkan kebijakan berbagi sumber daya lintas asal (CORS) untuk semua bucket yang diakses dari titik akhir aplikasi web. Lihat Kebijakan berbagi sumber daya lintas asal (CORS).
-
Perbarui kebijakan bucket Anda untuk mengizinkan lalu lintas hanya berasal dari VPC Anda melalui titik akhir VPC Anda. Lihat Membatasi akses ke titik akhir VPC kustom.
-
Tetapkan atau tambahkan pengguna atau grup ke aplikasi web Transfer Family. Lihat Menetapkan atau menambahkan pengguna atau grup ke aplikasi web Transfer Family.
Kebijakan berbagi sumber daya lintas asal (CORS)
Anda harus menyiapkan berbagi sumber daya lintas asal (CORS) untuk semua bucket yang digunakan oleh aplikasi web Anda. Untuk informasi selengkapnya tentang CORS, lihat Siapkan berbagi sumber daya lintas asal (CORS) untuk bucket Anda.
penting
Sebelum menggunakan kebijakan contoh berikut, ganti Asal yang Diizinkan dengan titik akhir akses Anda. Jika tidak, pengguna akhir Anda akan menerima kesalahan saat mereka mencoba mengakses lokasi di aplikasi web Anda.
Contoh kebijakan:
[ { "AllowedHeaders": [ "*" ], "AllowedMethods": [ "GET", "PUT", "POST", "DELETE", "HEAD" ], "AllowedOrigins": [ "https://vpce-1234567-example.vpce-mq.transfer-webapp.us-east-1.on.aws" ], "ExposeHeaders": [ "last-modified", "content-length", "etag", "x-amz-version-id", "content-type", "x-amz-request-id", "x-amz-id-2", "date", "x-amz-cf-id", "x-amz-storage-class", "access-control-expose-headers" ], "MaxAgeSeconds": 3000 } ]
Membatasi akses ke titik akhir VPC kustom
Berikut ini adalah contoh kebijakan bucket Amazon S3 yang membatasi akses ke bucket tertentu, amzn-s3-demo-bucket, hanya dari titik akhir VPC dengan ID vpce-1a2b3c4d. Jika titik akhir yang ditentukan tidak digunakan, kebijakan menolak semua akses ke bucket. aws:SourceVpceKondisi menentukan titik akhir. aws:SourceVpceKondisi ini tidak memerlukan ARN untuk sumber daya titik akhir VPC, hanya ID titik akhir VPC. Untuk informasi selengkapnya tentang memperbarui kebijakan bucket agar hanya mengizinkan lalu lintas yang berasal dari VPC, lihat Mengontrol akses dari titik akhir VPC dengan kebijakan bucket. Untuk informasi selengkapnya tentang penggunaan kondisi dalam kebijakan, lihat Contoh kebijakan Bucket menggunakan kunci kondisi. Sebagai prasyarat untuk menerapkan kebijakan ini, Anda harus membuat titik akhir VPC Amazon S3.
penting
Sebelum menggunakan kebijakan contoh berikut ini, ganti ID titik akhir VPC dengan nilai yang sesuai untuk kasus penggunaan Anda. Jika tidak, Anda tidak akan dapat mengakses bucket Anda.
{ "Version":"2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] }
