Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Membuat aplikasi web Transfer Family di VPC
<a name="create-webapp-in-vpc"></a>

Bagian ini menjelaskan prosedur untuk membuat aplikasi web Transfer Family di VPC. Anda dapat meng-host endpoint aplikasi web Anda di dalam virtual private cloud (VPC) untuk digunakan untuk mentransfer data ke dan dari bucket Amazon S3 tanpa melalui internet publik. Untuk menetapkan pengguna dan grup yang dapat menggunakan aplikasi web Anda, lihat[Menetapkan atau menambahkan pengguna atau grup ke aplikasi web Transfer Family](webapp-add-users.md).

**catatan**  
Untuk memastikan aliran data end-to-end pribadi saat menggunakan titik akhir VPC aplikasi web Transfer Family, Anda harus menerapkan tiga komponen tambahan. Pertama, siapkan PrivateLink titik akhir untuk operasi API Kontrol Amazon S3, yang diperlukan untuk panggilan API Amazon S3 Access Grants. Kedua, konfigurasikan titik akhir untuk akses data Amazon S3 menggunakan titik akhir Amazon PrivateLink S3 Gateway (untuk lalu lintas dari dalam VPC Anda) atau titik akhir Antarmuka Amazon S3 (untuk lalu lintas dari jaringan lokal melalui VPN atau Direct Connect). Ketiga, kunci akses bucket Amazon S3 Anda dengan memperbarui kebijakan bucket untuk hanya mengizinkan lalu lintas dari titik akhir VPC ini. Kombinasi ini memastikan semua transfer data tetap berada dalam infrastruktur jaringan pribadi Anda dan tidak pernah melintasi internet publik.

## Membuat aplikasi web Transfer Family
<a name="webapp-vpce-create"></a>

**Prasyarat**
+ AWS IAM Identity Center diatur dengan penyedia identitas yang dikonfigurasi. Lihat [Konfigurasikan penyedia identitas Anda untuk aplikasi web Transfer Family](webapp-identity-center.md).
+ VPC dan komponen jaringan diatur. Lihat [Membuat VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html#create-vpc-and-other-resources).
+ Titik akhir API disiapkan untuk operasi Kontrol Amazon S3. Lihat [Mengakses titik akhir antarmuka Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#s3-creating-vpc).
+ Titik akhir VPC untuk Amazon S3 (Gateway atau Antarmuka) disiapkan. Lihat [Jenis titik akhir VPC untuk Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-s3). Jika Anda menggunakan titik akhir antarmuka, Anda harus mengaktifkan DNS pribadi. Sebagai contoh, lihat [Memperkenalkan dukungan DNS pribadi untuk Amazon AWS PrivateLink S3](https://aws.amazon.com/blogs/storage/introducing-private-dns-support-for-amazon-s3-with-aws-privatelink/) dengan.

**catatan**  
AWS IAM Identity Center tidak mendukung titik akhir VPC; semua permintaan otentikasi mengangkut internet publik. Selain itu, aplikasi web Transfer Family memerlukan akses internet untuk memuat konten statis (seperti JavaScript, CSS, dan file HTML). Persyaratan untuk akses internet publik terpisah dari akses data. Titik akhir VPC Anda memastikan bahwa koneksi dirutekan melalui infrastruktur VPC Anda.

**Untuk membuat aplikasi web Transfer Family**

1. Masuk ke Konsol Manajemen AWS dan buka AWS Transfer Family konsol di [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Di panel navigasi kiri, pilih **Aplikasi Web**.

1. Pilih **Buat aplikasi web**. Untuk akses otentikasi, panel diisi sebagai berikut.
   + Jika Anda telah membuat instans organisasi atau akun AWS IAM Identity Center, maka Anda melihat pesan ini: ** AWS Transfer Family Aplikasi Anda terhubung ke instance akun IAM Identity Center**.
   + Jika Anda sudah memiliki instans akun dan merupakan anggota instans organisasi, Anda memiliki opsi untuk memilih instance mana yang akan dihubungkan.
   + Jika Anda belum memiliki instance akun, atau merupakan anggota dalam instance organisasi, Anda akan diberikan opsi untuk membuat instance akun.

1. Di bagian **konfigurasi Endpoint**, pilih bagaimana pengguna Anda akan mengakses aplikasi web Anda:
   + **Dapat diakses publik**: Titik akhir aplikasi web Anda dapat diakses melalui publik melalui HTTPS. Opsi ini tidak memerlukan konfigurasi VPC apa pun, sehingga mudah diatur dan cocok untuk aplikasi yang ditujukan untuk penggunaan umum secara luas.
   + **Dihosting VPC**: Titik akhir aplikasi web Anda di-host dalam Virtual Private Cloud (VPC), menyediakan akses jaringan pribadi melalui jaringan VPC,, atau koneksi VPN Anda. AWS Direct Connect Opsi ini menawarkan peningkatan keamanan melalui isolasi jaringan dan direkomendasikan untuk aplikasi internal.

     Saat mengonfigurasi titik akhir yang dihosting VPC, Anda harus menentukan:
     + **VPC**: Pilih VPC yang ada atau buat yang baru. Tombol **Buat VPC** tersedia.
     + **Availability zones**: Pilih zona ketersediaan tempat endpoint Anda akan digunakan.
     + **Subnet**: Pilih subnet dalam setiap zona ketersediaan yang dipilih.
     + **Grup keamanan**: Pilih atau buat grup keamanan untuk mengontrol akses berdasarkan alamat IP sumber. Jika tidak ditentukan, grup keamanan default VPC digunakan. Kelola grup keamanan melalui Konsol VPC. Konfigurasikan grup keamanan VPC Anda untuk mengizinkan lalu lintas masuk dari jaringan Anda melalui HTTPS pada port TCP 443. Ini diperlukan untuk autentikasi IAM Identity Center dan pemuatan konten statis aplikasi web. 
**catatan**  
Titik akhir akses tidak dapat disesuaikan untuk titik akhir VPC. Untuk menambahkan URL kustom, gunakan titik akhir publik.

## Post-creation langkah
<a name="webapp-vpce-post-creation"></a>
+ Pastikan untuk menyiapkan kebijakan berbagi Cross-origin sumber daya (CORS) untuk semua bucket yang diakses dari titik akhir aplikasi web. Lihat [Cross-origin kebijakan berbagi sumber daya (CORS)](#webapp-vpce-cors).
+ Perbarui kebijakan bucket Anda untuk mengizinkan lalu lintas hanya berasal dari VPC Anda melalui titik akhir VPC Anda. Lihat [Membatasi akses ke titik akhir VPC kustom](#webapp-vpce-bucket-policy).
+ Tetapkan atau tambahkan pengguna atau grup ke aplikasi web Transfer Family. Lihat [Menetapkan atau menambahkan pengguna atau grup ke aplikasi web Transfer Family](webapp-add-users.md).

## Cross-origin kebijakan berbagi sumber daya (CORS)
<a name="webapp-vpce-cors"></a>

Anda harus menyiapkan berbagi sumber daya lintas asal (CORS) untuk semua bucket yang digunakan oleh aplikasi web Anda. Untuk informasi selengkapnya tentang CORS, lihat [Siapkan berbagi Cross-origin sumber daya (CORS) untuk bucket Anda](access-grant-cors.md).

**penting**  
Sebelum menggunakan kebijakan contoh berikut, ganti Asal yang Diizinkan dengan titik akhir akses Anda. Jika tidak, pengguna akhir Anda akan menerima kesalahan saat mereka mencoba mengakses lokasi di aplikasi web Anda.

**Contoh kebijakan:**

```
[
  {
    "AllowedHeaders": [
      "*"
    ],
    "AllowedMethods": [
      "GET",
      "PUT",
      "POST",
      "DELETE",
      "HEAD"
    ],
    "AllowedOrigins": [
      "https://vpce-1234567-example.vpce-mq.transfer-webapp.us-east-1.on.aws"
    ],
    "ExposeHeaders": [
      "last-modified",
      "content-length",
      "etag",
      "x-amz-version-id",
      "content-type",
      "x-amz-request-id",
      "x-amz-id-2",
      "date",
      "x-amz-cf-id",
      "x-amz-storage-class",
      "access-control-expose-headers"
    ],
    "MaxAgeSeconds": 3000
  }
]
```

## Membatasi akses ke titik akhir VPC kustom
<a name="webapp-vpce-bucket-policy"></a>

Berikut ini adalah contoh kebijakan bucket Amazon S3 yang membatasi akses ke bucket tertentu, `amzn-s3-demo-bucket`, hanya dari titik akhir VPC dengan ID `vpce-1a2b3c4d`. Jika titik akhir yang ditentukan tidak digunakan, kebijakan menolak semua akses ke bucket. `aws:SourceVpce`Kondisi menentukan titik akhir. `aws:SourceVpce`Kondisi ini tidak memerlukan ARN untuk sumber daya titik akhir VPC, hanya ID titik akhir VPC. Untuk informasi selengkapnya tentang memperbarui kebijakan bucket agar hanya mengizinkan lalu lintas yang berasal dari VPC, [lihat Mengontrol akses dari titik akhir VPC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html) dengan kebijakan bucket. Untuk informasi selengkapnya tentang penggunaan kondisi dalam kebijakan, lihat [Contoh kebijakan Bucket menggunakan kunci kondisi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). Sebagai prasyarat untuk menerapkan kebijakan ini, Anda harus membuat titik akhir VPC Amazon [S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html).

**penting**  
Sebelum menggunakan kebijakan contoh berikut ini, ganti ID titik akhir VPC dengan nilai yang sesuai untuk kasus penggunaan Anda. Jika tidak, Anda tidak akan dapat mengakses bucket Anda.

```
{
  "Version":"2012-10-17",
  "Id": "Policy1415115909152",
  "Statement": [
    {
      "Sid": "Access-to-specific-VPCE-only",
      "Principal": "*",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                   "arn:aws:s3:::amzn-s3-demo-bucket/*"],
      "Condition": {
        "StringNotEquals": {
          "aws:SourceVpce": "vpce-1a2b3c4d"
        }
      }
    }
  ]
}
```