Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Aplikasi web Transfer Family Anda dapat membuat aplikasi web untuk mengaktifkan antarmuka sederhana untuk mentransfer data ke dan dari Amazon Simple Storage Service (S3) melalui browser web. Ini tidak mengharuskan Anda untuk membuat atau menyediakan AWS Transfer Family server. Sebelum memperkenalkan aplikasi web Transfer Family, pengguna akhir harus menggunakan klien, custom-built, atau solusi pihak ketiga untuk mengakses data mereka di Amazon S3. Ini karena persyaratan keamanan yang ketat untuk pelanggan dan mitra, dan karena aplikasi klien menantang bagi pengguna non-teknis untuk beroperasi. Dengan peluncuran aplikasi web, Anda sekarang dapat memperluas portal bermerek, aman, dan sangat tersedia bagi pengguna akhir Anda untuk menelusuri, mengunggah, dan mengunduh data di Amazon S3. Aplikasi web terintegrasi secara native dengan AWS IAM Identity Center dan Amazon S3 Access Grants. Ini berarti bahwa hanya pengguna yang diautentikasi yang dapat melihat data yang diizinkan untuk diakses. Aplikasi web dibuat menggunakan [Browser Penyimpanan untuk Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage-browser.html) dan menawarkan fungsionalitas pengguna akhir yang sama dalam penawaran yang dikelola sepenuhnya tanpa harus menulis kode atau meng-host aplikasi Anda sendiri. Untuk informasi selengkapnya tentang aplikasi lain Layanan AWS yang Anda gunakan dengan aplikasi web Transfer Family, lihat dokumentasi berikut: + [Mengelola akses dengan S3 Access Grants di Panduan Pengguna Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants.html) + [AWS IAM Identity Center Panduan Pengguna](https://docs.aws.amazon.com/singlesignon/latest/userguide/) + [Lokakarya Hibah Akses Amazon S3](https://catalog.us-east-1.prod.workshops.aws/workshops/77b0af63-6ad2-4c94-bfc0-270eb9358c7a/en-US) + [Mengumumkan aplikasi AWS Transfer Family web untuk transfer file Amazon S3 yang dikelola sepenuhnya](https://aws.amazon.com/blogs/aws/announcing-aws-transfer-family-web-apps-for-fully-managed-amazon-s3-file-transfers/) Sumber daya berikut tersedia untuk membantu Anda memulai aplikasi web Transfer Family. + Panduan pengguna menawarkan panduan terperinci untuk menyiapkan aplikasi web Transfer Family di sini:. step-by-step [Tutorial: Menyiapkan aplikasi web Transfer Family dasar](web-app-tutorial.md) + **Pusat Sumber Daya AWS Memulai** menawarkan tutorial di sini: [Memulai dengan aplikasi AWS Transfer Family web](https://aws.amazon.com/getting-started/hands-on/set-up-an-aws-transfer-family-web-app/). + Video berikut menyediakan panduan untuk memulai aplikasi web Transfer Family. [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/Ie9M0qBGrCE/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/Ie9M0qBGrCE) ## Wilayah AWS untuk aplikasi web Transfer Family AWS Transfer Family aplikasi web tersedia di semua wilayah yang didukung Transfer Family, sebagaimana tercantum dalam [titik akhir AWS Transfer Family layanan](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html#transfer-region), kecuali untuk Meksiko (Tengah). Titik akhir VPC untuk aplikasi web didukung di semua Wilayah AWS tempat aplikasi web tersedia. ## Kompatibilitas browser untuk aplikasi AWS Transfer Family web Aplikasi web Transfer Family mendukung browser berikut. | Peramban | Versi | Kompatibilitas | | --- | --- | --- | | Microsoft Edge | 3 versi terbaru | Kompatibel | | Mozilla Firefox | 3 versi terbaru | Kompatibel | | Google Chrome | 3 versi terbaru | Kompatibel | | Apple Safari | 3 versi terbaru | Kompatibel | ## Cara membuat aplikasi web Transfer Family Diagram berikut mengilustrasikan arsitektur aplikasi web Transfer Family. ![\[Diagram arsitektur yang menunjukkan Layanan AWS yang berinteraksi dengan aplikasi web Transfer Family.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-architecture.png) Berdasarkan diagram, Anda dapat melihat bahwa aplikasi web Transfer Family berinteraksi dengan yang berikut Layanan AWS: + Amazon S3 untuk penyimpanan dan Hibah Akses Amazon S3 untuk memperoleh kredensil sesi. + AWS IAM Identity Center sebagai penyedia identitas federasi. + Amazon CloudFront jika Anda mengonfigurasi URL khusus untuk aplikasi web Anda. Perhatikan batasan berikut saat menggunakan aplikasi web. + Jumlah maksimum hasil pencarian per kueri: 10.000 + Bucket Amazon S3 yang digunakan oleh aplikasi web Transfer Family harus berada di akun yang sama dengan aplikasi web itu sendiri. Bucket lintas akun saat ini tidak didukung. + Luas pencarian maksimum per kueri: 10.000 file yang dicari + Ukuran unggahan maksimal per file: 160 GB (149 GiB) + Ukuran file maksimal untuk disalin: 5,36 GB (5 GiB) + Nama folder yang dimulai atau diakhiri dengan titik (.) tidak didukung **Prasyarat** *Dalam AWS Identity and Access Management, konfigurasikan peran yang diperlukan.* Tempel di blok kode yang kami berikan dalam instruksi. Untuk informasi tentang mengonfigurasi peran yang diperlukan, lihat[Konfigurasikan peran IAM untuk aplikasi web Transfer Family](webapp-roles.md). + Buat peran pembawa identitas. + Buat peran IAM untuk digunakan oleh S3 Access Grants. S3 Access Grants mengasumsikan peran IAM ini untuk menjual kredensil sementara kepada penerima hibah untuk lokasi Amazon S3 yang terdaftar. **Proses untuk membuat aplikasi web Transfer Family** Untuk membuat aplikasi web dan mengaktifkan dan menjalankan pengguna akhir, Anda melakukan tugas-tugas berikut: 1. *Konfigurasikan Pusat Identitas IAM untuk bertindak sebagai penyedia identitas federasi Anda*. Lakukan tugas-tugas berikut di IAM Identity Center. Untuk detail selengkapnya tentang mengonfigurasi Pusat Identitas IAM, lihat. [Konfigurasikan penyedia identitas Anda untuk aplikasi web Transfer Family](webapp-identity-center.md) 1. Buat instance IAM Identity Center, jika Anda belum memilikinya. 1. Tentukan sumber identitas Anda. Ini bisa menjadi direktori Pusat Identitas IAM default atau penyedia pihak ketiga (misalnya Okta). 1. Buat atau identifikasi pengguna atau grup yang akan menggunakan aplikasi web Anda. 1. Jika Anda menggunakan direktori IAM Identity Center untuk sumber identitas Anda, perhatikan pengguna atau grup IDs yang Anda buat. Anda membutuhkannya nanti saat membuat hibah akses dengan menggunakan S3 Access Grants. 1. *Di Amazon S3, konfigurasikan Hibah Akses Amazon S3.* Untuk informasi selengkapnya tentang Hibah Akses S3, lihat. [Konfigurasikan Hibah Akses Amazon S3 untuk aplikasi web Transfer Family](webapp-access-grant.md) + Buat instance S3 Access Grants jika Anda belum memilikinya. Wilayah AWS + Daftarkan lokasi Anda menggunakan peran IAM. + Buat hibah akses. 1. *Di Transfer Family, lakukan tugas-tugas berikut.* 1. Buat aplikasi web Transfer Family. Untuk informasi selengkapnya tentang cara membuat aplikasi web Transfer Family, lihat[Mengonfigurasi aplikasi web Transfer Family](webapp-configure.md). **penting** Siapkan berbagi sumber daya lintas asal (CORS) untuk semua bucket Amazon S3 yang digunakan oleh aplikasi web Anda. Untuk informasi tentang pengaturan CORS, lihat[Siapkan berbagi sumber daya lintas asal (CORS) untuk bucket Anda](access-grant-cors.md). 1. Tetapkan pengguna atau grup ke aplikasi web. Untuk informasi selengkapnya tentang cara menetapkan pengguna dan grup, lihat[Menetapkan atau menambahkan pengguna atau grup ke aplikasi web Transfer Family](webapp-add-users.md). 1. (Opsional) Perbarui titik akhir akses untuk aplikasi web Anda dengan URL khusus. Untuk informasi tentang membuat URL kustom, lihat[Perbarui titik akhir akses Anda dengan URL khusus](webapp-customize.md). 1. Berikan URL titik akhir akses kepada pengguna akhir Anda sehingga mereka dapat masuk dan berinteraksi dengan aplikasi web Anda. # Konfigurasikan penyedia identitas Anda untuk aplikasi web Transfer Family Bagian berikut menjelaskan cara mengonfigurasi penyedia identitas Anda. Untuk memulai, Anda harus memiliki sumber identitas. Anda dapat menggunakan direktori Pusat Identitas IAM AWS Directory Service for Microsoft Active Directory, atau penyedia identitas eksternal. Transfer Family menggunakan IAM Identity Center sebagai penyedia identitas federasi, yang merupakan sistem yang menyimpan kredensi pengguna dan mengautentikasi pengguna di beberapa organisasi. Jika Anda tidak menggunakan direktori Pusat Identitas IAM sebagai sumber identitas Anda, lihat topik berikut: + [Mengelola penyedia identitas eksternal](https://docs.aws.amazon.com//singlesignon/latest/userguide/manage-your-identity-source-idp.html) + [Connect ke direktori Microsoft AD](https://docs.aws.amazon.com//singlesignon/latest/userguide/manage-your-identity-source-ad.html) + [Organisasi dan instans akun Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-instances.html) + [Tutorial sumber identitas Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/tutorials.html) **catatan** Anda hanya dapat memiliki satu sumber identitas di IAM Identity Center, per instance, per Wilayah AWS. Untuk detailnya, lihat [prasyarat dan pertimbangan Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/identity-center-prerequisites.html). Jika Anda berencana untuk menggunakan direktori IAM Identity Center sebagai sumber identitas Anda, dan ingin pengaturan cepat, Anda dapat melewati topik ini dan pergi [Membuat aplikasi web Transfer Family](webapp-configure.md#web-app-create) ke untuk membuat instance IAM Identity Center dari wizard. **Mengkonfigurasi AWS IAM Identity Center untuk digunakan dengan aplikasi web Transfer Family** 1. Masuk ke Konsol Manajemen AWS dan buka AWS IAM Identity Center konsol di [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/). 1. Anda dapat membuat dan menggunakan instance akun atau instance organisasi AWS IAM Identity Center. + Untuk detail tentang instance akun, lihat [Membuat instance akun dari. AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/create-account-instance.html) Dengan instance akun IAM Identity Center, Anda dapat menerapkan aplikasi terkelola yang didukung dan aplikasi AWS terkelola pelanggan berbasis OpenID Connect (OIDC). Instans akun mendukung penerapan aplikasi yang terisolasi dalam satu Akun AWS, memanfaatkan identitas tenaga kerja IAM Identity Center dan mengakses fitur portal. + Untuk detail tentang instans organisasi, lihat Instans [organisasi Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/organization-instances-identity-center.html). Anda dapat mengelola akses pengguna dan grup secara terpusat dengan satu instans organisasi. 1. Pada halaman **Pengaturan** Pusat Identitas IAM, catat ARN Instance Anda. Anda akan memerlukan nilai ini saat membuat instans **Amazon S3 Access Grant**. ![\[Tangkapan layar konsol dari AWS IAM Identity Center menampilkan halaman Pengaturan dengan Instance ARN dilingkari.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-identity-center.png) 1. Buat satu atau beberapa pengguna dan, secara opsional, grup, untuk digunakan dengan aplikasi web Transfer Family Anda. Jika Anda menggunakan direktori IAM Identity Center sebagai penyedia identitas Anda, Anda juga dapat menambahkan pengguna langsung dari aplikasi web itu sendiri. Untuk informasi selengkapnya, lihat [Menetapkan atau menambahkan pengguna atau grup ke aplikasi web Transfer Family](webapp-add-users.md). # Konfigurasikan peran IAM untuk aplikasi web Transfer Family Anda akan memerlukan dua peran: satu untuk digunakan sebagai peran pembawa identitas untuk aplikasi web Anda, dan yang kedua digunakan untuk mengonfigurasi hibah akses. Peran pembawa identitas adalah peran yang mencakup identitas pengguna yang diautentikasi dalam sesinya. Ini digunakan untuk membuat permintaan ke S3 Access Grants untuk akses data atas nama pengguna. **catatan** Anda dapat melewati prosedur untuk membuat peran pembawa identitas. Untuk informasi tentang meminta layanan Transfer Family membuat peran pembawa identitas, lihat[Membuat aplikasi web Transfer Family](webapp-configure.md#web-app-create). Anda dapat melewati prosedur untuk membuat peran hibah akses. Dalam prosedur untuk membuat hibah akses, pada langkah di mana Anda mendaftarkan lokasi S3, pilih **Buat peran baru**. **Buat peran pembawa identitas** 1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Pilih **Peran**, lalu **Buat peran**. 1. Pilih **Kebijakan kepercayaan khusus**, lalu tempelkan kode berikut. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service":"transfer.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } ``` 1. Pilih **Berikutnya** dan kemudian lewati **Tambahkan izin** dan pilih **Berikutnya** lagi. 1. Masukkan nama, misalnya`web-app-identity-bearer`. 1. Pilih **Buat peran** untuk membuat peran pembawa identitas. 1. Pilih peran yang baru saja Anda buat dari daftar, lalu di panel **Kebijakan izin**, pilih **Tambahkan izin** > **Buat kebijakan sebaris**. 1. Di **editor Kebijakan**, pilih **JSON** dan kemudian tempel di blok kode berikut. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetDataAccess", "s3:ListCallerAccessGrants", "s3:ListAccessGrantsInstances" ], "Resource": "*" } ] } ``` 1. Untuk nama kebijakan, masukkan`AllowS3AccessGrants`, lalu pilih **Buat kebijakan**. Selanjutnya, Anda membuat peran yang diasumsikan oleh S3 Access Grants untuk menjual kredensi sementara kepada penerima hibah. **catatan** Jika Anda mengizinkan layanan untuk membuat peran pembawa identitas untuk Anda, peran itu menetapkan perlindungan wakil yang membingungkan. Oleh karena itu, kodenya berbeda dari apa yang ditampilkan di sini. **Buat peran hibah akses** 1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/). 1. Pilih **Peran**, lalu **Buat peran**. Peran ini harus memiliki izin untuk mengakses data S3 Anda di file. Wilayah AWS 1. Pilih **Kebijakan kepercayaan khusus**, lalu tempelkan kode berikut. ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "access-grants.s3.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:SetContext" ] } ] } ``` 1. Pilih **Berikutnya** tambahkan kebijakan minimal seperti yang dijelaskan dalam [Daftarkan lokasi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-location-register.html). Meskipun tidak disarankan, Anda dapat menambahkan kebijakan FullAccess terkelola **AmazonS3**, yang mungkin terlalu permisif untuk kebutuhan Anda. 1. Pilih **Berikutnya**, dan masukkan nama (misalnya`access-grants-location`). 1. Pilih **Buat peran** untuk membuat peran. **catatan** Jika Anda mengizinkan layanan untuk membuat peran hibah akses untuk Anda, peran tersebut menetapkan perlindungan wakil yang membingungkan. Oleh karena itu, kodenya berbeda dari apa yang ditampilkan di sini. # Mengonfigurasi aplikasi web Transfer Family Bagian ini menjelaskan prosedur untuk membuat aplikasi web Transfer Family. Untuk menetapkan pengguna dan grup yang dapat menggunakannya, lihat[Menetapkan atau menambahkan pengguna atau grup ke aplikasi web Transfer Family](webapp-add-users.md). **catatan** Ulangi prosedur ini untuk menambahkan aplikasi web tambahan. Anda dapat menggunakan kembali peran IAM yang Anda buat sebelumnya. Pastikan untuk menambahkan titik akhir akses untuk aplikasi web baru ke kebijakan Cross-origin resource sharing (CORS) setiap bucket. ## Membuat aplikasi web Transfer Family **catatan** Jika Anda tidak menggunakan direktori Pusat Identitas IAM untuk penyedia identitas Anda, jangan mencoba membuat aplikasi web sampai Anda telah menyiapkan Pusat Identitas IAM dan mengonfigurasi penyedia identitas pihak ketiga, seperti yang dijelaskan dalam. [Konfigurasikan penyedia identitas Anda untuk aplikasi web Transfer Family](webapp-identity-center.md) Selesaikan langkah-langkah berikut untuk membuat aplikasi web Transfer Family. **Untuk membuat aplikasi web Transfer Family** 1. Masuk ke Konsol Manajemen AWS dan buka AWS Transfer Family konsol di [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). 1. Di panel navigasi kiri, pilih **Aplikasi Web**. 1. Pilih **Buat aplikasi web**. Untuk akses otentikasi, panel diisi sebagai berikut. + Jika Anda telah membuat instans organisasi atau akun AWS IAM Identity Center, maka Anda melihat pesan ini: ** AWS Transfer Family Aplikasi Anda terhubung ke instance akun IAM Identity Center**. + Jika Anda sudah memiliki instans akun dan merupakan anggota instans organisasi, Anda memiliki opsi untuk memilih instance mana yang akan dihubungkan. + Jika Anda belum memiliki instance akun, atau merupakan anggota dalam instance organisasi, Anda akan diberikan opsi untuk membuat instance akun. 1. Untuk tipe **Endpoint, pilih tipe titik** akhir yang **dapat diakses publik**. Untuk titik akhir yang **dihosting VPC**, lihat. [Membuat aplikasi web Transfer Family di VPC](create-webapp-in-vpc.md) 1. Di panel **Jenis izin**, Anda dapat menggunakan peran yang dibuat sebelumnya, atau meminta layanan membuatnya untuk Anda. + Jika Anda telah membuat peran pembawa identitas, pilih **Gunakan peran yang ada dan pilih peran** Anda dari menu **Pilih peran yang ada**. + Agar layanan membuat peran untuk Anda, pilih **Buat dan gunakan peran layanan baru**. 1. Di panel **unit aplikasi Web**, pilih nilai. Satu unit aplikasi web memungkinkan aktivitas aplikasi web hingga 250 sesi unik. Saat membuat aplikasi web, Anda menyediakan berapa banyak unit yang Anda butuhkan berdasarkan volume beban kerja puncak yang diharapkan. Mengubah unit aplikasi web berdampak pada penagihan Anda. Untuk informasi tentang harga, lihat [AWS Transfer Family Harga](https://aws.amazon.com/aws-transfer-family/pricing). 1. Jika Anda menggunakan Transfer Family di AWS GovCloud (US) Region, Anda dapat memilih kotak centang **FIPS Enabled endpoint** di panel **FIPS** Enabled. Untuk semua yang lain Wilayah AWS, opsi ini tidak tersedia. 1. (Opsional) Tambahkan tag untuk membantu Anda mengatur aplikasi web Anda. Kami menyarankan Anda menambahkan tag dengan **Nama** sebagai kunci dan nama deskriptif sebagai nilainya. 1. Pilih **Berikutnya**. Di layar ini, Anda dapat memberikan judul untuk aplikasi web Anda secara opsional. Jika Anda tidak memberikan judul, judul default **Transfer Web App** disediakan. Anda juga dapat mengunggah file gambar untuk logo dan favicon Anda. 1. Pilih **Berikutnya**, lalu pilih **Buat aplikasi web**. ![\[Layar yang menampilkan dasbor aplikasi Web serta item menu untuk memilihnya dari panel navigasi kiri.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-transfer-dashboard.png) **catatan** Pastikan untuk menyiapkan kebijakan berbagi sumber daya lintas asal (CORS) untuk semua bucket yang diakses dari titik akhir aplikasi web. # Membuat aplikasi web Transfer Family di VPC Bagian ini menjelaskan prosedur untuk membuat aplikasi web Transfer Family di VPC. Anda dapat meng-host endpoint aplikasi web Anda di dalam virtual private cloud (VPC) untuk digunakan untuk mentransfer data ke dan dari bucket Amazon S3 tanpa melalui internet publik. Untuk menetapkan pengguna dan grup yang dapat menggunakan aplikasi web Anda, lihat[Menetapkan atau menambahkan pengguna atau grup ke aplikasi web Transfer Family](webapp-add-users.md). **catatan** Untuk memastikan aliran end-to-end data pribadi saat menggunakan titik akhir VPC aplikasi web Transfer Family, Anda harus menerapkan tiga komponen tambahan. Pertama, siapkan PrivateLink titik akhir untuk operasi API Kontrol Amazon S3, yang diperlukan untuk panggilan API Amazon S3 Access Grants. Kedua, konfigurasikan titik akhir untuk akses data Amazon S3 menggunakan titik akhir Amazon PrivateLink S3 Gateway (untuk lalu lintas dari dalam VPC Anda) atau titik akhir Antarmuka Amazon S3 (untuk lalu lintas dari jaringan lokal melalui VPN atau Direct Connect). Ketiga, kunci akses bucket Amazon S3 Anda dengan memperbarui kebijakan bucket untuk hanya mengizinkan lalu lintas dari titik akhir VPC ini. Kombinasi ini memastikan semua transfer data tetap berada dalam infrastruktur jaringan pribadi Anda dan tidak pernah melintasi internet publik. ## Membuat aplikasi web Transfer Family **Prasyarat** + AWS IAM Identity Center diatur dengan penyedia identitas yang dikonfigurasi. Lihat [Konfigurasikan penyedia identitas Anda untuk aplikasi web Transfer Family](webapp-identity-center.md). + VPC dan komponen jaringan diatur. Lihat [Membuat VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html#create-vpc-and-other-resources). + Titik akhir API disiapkan untuk operasi Kontrol Amazon S3. Lihat [Mengakses titik akhir antarmuka Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#s3-creating-vpc). + Titik akhir VPC untuk Amazon S3 (Gateway atau Antarmuka) disiapkan. Lihat [Jenis titik akhir VPC untuk Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html#types-of-vpc-endpoints-for-s3). Jika Anda menggunakan titik akhir antarmuka, Anda harus mengaktifkan DNS pribadi. Sebagai contoh, lihat [Memperkenalkan dukungan DNS pribadi untuk Amazon AWS PrivateLink S3](https://aws.amazon.com/blogs/storage/introducing-private-dns-support-for-amazon-s3-with-aws-privatelink/) dengan. **catatan** AWS IAM Identity Center tidak mendukung titik akhir VPC; semua permintaan otentikasi mengangkut internet publik. Selain itu, aplikasi web Transfer Family memerlukan akses internet untuk memuat konten statis (seperti JavaScript, CSS, dan file HTML). Persyaratan untuk akses internet publik terpisah dari akses data. Titik akhir VPC Anda memastikan bahwa koneksi dirutekan melalui infrastruktur VPC Anda. **Untuk membuat aplikasi web Transfer Family** 1. Masuk ke Konsol Manajemen AWS dan buka AWS Transfer Family konsol di [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/). 1. Di panel navigasi kiri, pilih **Aplikasi Web**. 1. Pilih **Buat aplikasi web**. Untuk akses otentikasi, panel diisi sebagai berikut. + Jika Anda telah membuat instans organisasi atau akun AWS IAM Identity Center, maka Anda melihat pesan ini: ** AWS Transfer Family Aplikasi Anda terhubung ke instance akun IAM Identity Center**. + Jika Anda sudah memiliki instans akun dan merupakan anggota instans organisasi, Anda memiliki opsi untuk memilih instance mana yang akan dihubungkan. + Jika Anda belum memiliki instance akun, atau merupakan anggota dalam instance organisasi, Anda akan diberikan opsi untuk membuat instance akun. 1. Di bagian **konfigurasi Endpoint**, pilih bagaimana pengguna Anda akan mengakses aplikasi web Anda: + **Dapat diakses publik**: Titik akhir aplikasi web Anda dapat diakses melalui publik melalui HTTPS. Opsi ini tidak memerlukan konfigurasi VPC apa pun, sehingga mudah diatur dan cocok untuk aplikasi yang ditujukan untuk penggunaan umum secara luas. + **Dihosting VPC**: Titik akhir aplikasi web Anda di-host dalam Virtual Private Cloud (VPC), menyediakan akses jaringan pribadi melalui jaringan VPC,, atau koneksi VPN Anda. AWS Direct Connect Opsi ini menawarkan keamanan yang ditingkatkan melalui isolasi jaringan dan direkomendasikan untuk aplikasi internal. **catatan** Anda harus memiliki konfigurasi VPC dual-stack. Untuk informasi selengkapnya, lihat [Contoh konfigurasi VPC dual-stack](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-example.html) di Panduan Pengguna *Amazon Virtual Private Cloud*. Saat mengonfigurasi titik akhir yang dihosting VPC, Anda harus menentukan: + **VPC**: Pilih VPC yang ada atau buat yang baru. Tombol **Buat VPC** tersedia. + **Availability zones**: Pilih zona ketersediaan tempat endpoint Anda akan di-deploy. + **Subnet**: Pilih subnet dalam setiap zona ketersediaan yang dipilih. + **Grup keamanan**: Pilih atau buat grup keamanan untuk mengontrol akses berdasarkan alamat IP sumber. Jika tidak ditentukan, grup keamanan default VPC digunakan. Kelola grup keamanan melalui Konsol VPC. Konfigurasikan grup keamanan VPC Anda untuk mengizinkan lalu lintas masuk dari jaringan Anda melalui HTTPS pada port TCP 443. Ini diperlukan untuk autentikasi IAM Identity Center dan pemuatan konten statis aplikasi web. **catatan** Titik akhir akses tidak dapat disesuaikan untuk titik akhir VPC. Untuk menambahkan URL kustom, gunakan titik akhir publik. ## Langkah-langkah pasca-penciptaan + Pastikan untuk menyiapkan kebijakan berbagi sumber daya lintas asal (CORS) untuk semua bucket yang diakses dari titik akhir aplikasi web. Lihat [Kebijakan berbagi sumber daya lintas asal (CORS)](#webapp-vpce-cors). + Perbarui kebijakan bucket Anda untuk mengizinkan lalu lintas hanya berasal dari VPC Anda melalui titik akhir VPC Anda. Lihat [Membatasi akses ke titik akhir VPC kustom](#webapp-vpce-bucket-policy). + Tetapkan atau tambahkan pengguna atau grup ke aplikasi web Transfer Family. Lihat [Menetapkan atau menambahkan pengguna atau grup ke aplikasi web Transfer Family](webapp-add-users.md). ## Kebijakan berbagi sumber daya lintas asal (CORS) Anda harus menyiapkan berbagi sumber daya lintas asal (CORS) untuk semua bucket yang digunakan oleh aplikasi web Anda. Untuk informasi selengkapnya tentang CORS, lihat [Siapkan berbagi sumber daya lintas asal (CORS) untuk bucket Anda](access-grant-cors.md). **penting** Sebelum menggunakan kebijakan contoh berikut, ganti Asal yang Diizinkan dengan titik akhir akses Anda. Jika tidak, pengguna akhir Anda akan menerima kesalahan saat mereka mencoba mengakses lokasi di aplikasi web Anda. **Contoh kebijakan:** ``` [ { "AllowedHeaders": [ "*" ], "AllowedMethods": [ "GET", "PUT", "POST", "DELETE", "HEAD" ], "AllowedOrigins": [ "https://vpce-1234567-example.vpce-mq.transfer-webapp.us-east-1.on.aws" ], "ExposeHeaders": [ "last-modified", "content-length", "etag", "x-amz-version-id", "content-type", "x-amz-request-id", "x-amz-id-2", "date", "x-amz-cf-id", "x-amz-storage-class", "access-control-expose-headers" ], "MaxAgeSeconds": 3000 } ] ``` ## Membatasi akses ke titik akhir VPC kustom Berikut ini adalah contoh kebijakan bucket Amazon S3 yang membatasi akses ke bucket tertentu, `amzn-s3-demo-bucket`, hanya dari titik akhir VPC dengan ID `vpce-1a2b3c4d`. Jika titik akhir yang ditentukan tidak digunakan, kebijakan menolak semua akses ke bucket. `aws:SourceVpce`Kondisi menentukan titik akhir. `aws:SourceVpce`Kondisi ini tidak memerlukan ARN untuk sumber daya titik akhir VPC, hanya ID titik akhir VPC. Untuk informasi selengkapnya tentang memperbarui kebijakan bucket agar hanya mengizinkan lalu lintas yang berasal dari VPC, [lihat Mengontrol akses dari titik akhir VPC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html) dengan kebijakan bucket. Untuk informasi selengkapnya tentang penggunaan kondisi dalam kebijakan, lihat [Contoh kebijakan Bucket menggunakan kunci kondisi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/amazon-s3-policy-keys.html). Sebagai prasyarat untuk menerapkan kebijakan ini, Anda harus membuat titik akhir VPC Amazon [S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html). **penting** Sebelum menggunakan kebijakan contoh berikut ini, ganti ID titik akhir VPC dengan nilai yang sesuai untuk kasus penggunaan Anda. Jika tidak, Anda tidak akan dapat mengakses bucket Anda. ``` { "Version":"2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Access-to-specific-VPCE-only", "Principal": "*", "Action": "s3:*", "Effect": "Deny", "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"], "Condition": { "StringNotEquals": { "aws:SourceVpce": "vpce-1a2b3c4d" } } } ] } ``` # Menetapkan atau menambahkan pengguna atau grup ke aplikasi web Transfer Family Setelah membuat aplikasi web Transfer Family, Anda dapat menetapkan pengguna dan grup yang kemudian dapat mengakses aplikasi web. Anda dapat mengambil pengguna yang sudah dibuat dan disimpan di Pusat Identitas IAM, atau Anda dapat [menambahkan pengguna baru secara langsung](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html) (jika Anda menggunakan direktori Pusat Identitas IAM sebagai penyedia identitas Anda). Jika Anda menambahkan pengguna baru, mereka juga ditambahkan ke instans Pusat Identitas IAM Anda. Perhatikan hal-hal berikut: + Anda hanya dapat menambahkan pengguna baru jika Anda menggunakan direktori IAM Identity Center sebagai sumber identitas Anda dan memiliki izin yang tepat. Jika Anda adalah anggota instans organisasi, Anda mungkin tidak memiliki izin yang diperlukan untuk menambahkan pengguna. **catatan** Jika Anda tidak menetapkan pengguna atau grup ke aplikasi Anda, pengguna Anda akan mendapatkan kesalahan saat mereka mencoba masuk ke aplikasi web Anda. + Jika Anda membuat pengguna baru, Anda juga harus membuat hibah akses S3 untuk pengguna ini sehingga mereka dapat mengakses data di aplikasi web Anda. + Setelah Anda membuat pengguna baru, pengguna tersebut menerima email orientasi dari IAM Identity Center dengan petunjuk cara untuk melanjutkan. **Untuk menetapkan pengguna ke aplikasi web Transfer Family** 1. Arahkan ke daftar aplikasi web Anda, dan pilih salah satu yang ingin Anda edit. 1. Pilih **Tetapkan pengguna dan grup**. ![\[Layar yang menampilkan detail untuk aplikasi web yang dipilih.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-transfer-details.png) 1. Untuk menetapkan pengguna yang sebelumnya Anda buat di Pusat Identitas IAM, pilih **Tetapkan pengguna dan grup yang ada**. Untuk membuat pengguna baru, lompat ke langkah 4. 1. Layar informasi muncul. Pilih **Mulai** untuk melanjutkan. 1. Cari pengguna. Perhatikan bahwa tidak ada pengguna yang muncul sampai Anda mulai memasukkan kriteria pencarian Anda. Anda harus mencari berdasarkan *nama tampilan*, bukan nama *pengguna*, jika berbeda. Hanya kecocokan persis yang dikembalikan. Jika Anda tidak dapat menemukan pengguna Anda, navigasikan ke konsol manajemen Pusat Identitas IAM, temukan pengguna, lalu salin dan tempel nama tampilannya di sini. ![\[Layar menampilkan dialog penelusuran untuk menambahkan pengguna dan grup ke aplikasi web Anda.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-transfer-add-user.png) 1. Pilih pengguna dan grup yang akan ditambahkan, lalu pilih **Tetapkan**. 1. Untuk membuat pengguna baru, pilih **Tambah dan tetapkan pengguna baru**. 1. Layar informasi muncul. Pilih **Mulai** untuk melanjutkan. 1. Pilih **Tambahkan pengguna baru**. 1. Masukkan detail pengguna berikut ke dalam kotak dialog: nama pengguna, nama depan dan belakang, dan alamat email. ![\[Layar menampilkan dialog Tambahkan pengguna baru.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-transfer-add-user-new.png) 1. Pilih **Berikutnya**, lalu pilih **Tambah** untuk menambahkan pengguna dan menutup kotak dialog, atau **Tambahkan pengguna baru** untuk membuat pengguna lain. # Siapkan berbagi sumber daya lintas asal (CORS) untuk bucket Anda Anda harus menyiapkan berbagi sumber daya lintas asal (CORS) untuk semua bucket yang digunakan oleh aplikasi web Anda. *Konfigurasi CORS* adalah dokumen yang mendefinisikan aturan yang mengidentifikasi asal yang Anda izinkan untuk mengakses bucket Anda. Untuk informasi selengkapnya tentang CORS, lihat [Mengonfigurasi berbagi sumber daya lintas asal (](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enabling-cors-examples.html?icmpid=docs_amazons3_console)CORS). **penting** Jika Anda tidak menyiapkan CORS, pengguna akhir Anda akan menerima kesalahan saat mereka mencoba mengakses lokasi di aplikasi web Anda. **Untuk menyiapkan berbagi sumber daya lintas asal (CORS) untuk bucket Amazon S3 Anda** 1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 1. Pilih **Bucket** dari panel navigasi kiri dan cari bucket Anda di dialog pencarian, lalu pilih tab **Izin**. 1. Di **Cross-Origin Resource Sharing (CORS)**, pilih **Edit** dan tempel dalam kode berikut. Ganti *WebAppEndpoint* dengan titik akhir akses aktual untuk aplikasi web Anda. Ini bisa berupa titik akhir akses publik yang dihosting VPC atau yang dibuat saat aplikasi web dibuat, atau titik akhir akses khusus, jika Anda membuatnya. Pastikan untuk tidak memasukkan garis miring, karena hal itu menyebabkan kesalahan saat pengguna mencoba masuk ke aplikasi web Anda. + Contoh yang salah: `https://webapp-c7bf3423.transfer-webapp.us-east-2.on.aws/` + Contoh yang benar: + `https://webapp-c7bf3423.transfer-webapp.us-east-2.on.aws` + `https://vpce-05668789767a-fh45z079.vpce-mq.transfer-webapp.us-east-1.on.aws` Jika Anda menggunakan kembali bucket untuk beberapa aplikasi web, tambahkan titik akhir mereka ke daftar. `AllowedOrigins` ``` [ { "AllowedHeaders": [ "*" ], "AllowedMethods": [ "GET", "PUT", "POST", "DELETE", "HEAD" ], "AllowedOrigins": [ "https://WebAppEndpoint" ], "ExposeHeaders": [ "last-modified", "content-length", "etag", "x-amz-version-id", "content-type", "x-amz-request-id", "x-amz-id-2", "date", "x-amz-cf-id", "x-amz-storage-class", "access-control-expose-headers" ], "MaxAgeSeconds": 3000 } ] ``` 1. Pilih **Simpan perubahan** untuk memperbarui CORS. Untuk menguji konfigurasi CORS Anda, lihat [Menguji CORS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/testing-cors.html). # Konfigurasikan Hibah Akses Amazon S3 untuk aplikasi web Transfer Family Topik ini menjelaskan cara menambahkan hibah akses menggunakan Amazon S3 Access Grants. Hibah akses ini mendefinisikan akses ke data Anda langsung ke pengguna dan grup Anda di direktori perusahaan Anda dan vendor, hak istimewa terkecil just-in-time, kredensi sementara berdasarkan hibah. Hibah individu dalam instans S3 Access Grants memungkinkan pengguna atau grup tertentu di direktori perusahaan—untuk mendapatkan akses di lokasi yang terdaftar di instans Hibah Akses S3 Anda. Untuk detail selengkapnya, lihat [konsep S3 Access Grants](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-concepts.html) di Panduan Pengguna Amazon S3. **catatan** Anda tidak dapat menggunakan direktori IAM Identity Center dengan S3 Access Grants selain dengan aplikasi web Transfer Family. Anda harus menentukan hibah akses Amazon S3 untuk propagasi identitas. Hibah akses Amazon S3 menyimpan data yang harus diakses pengguna akhir Anda. Saat pengguna akhir masuk ke aplikasi web Transfer Family, S3 Access Grants meneruskan identitas pengguna ke aplikasi tepercaya. Bagian ini menjelaskan cara menambahkan dan mengonfigurasi instans hibah akses Amazon S3 dan kemudian hibah akses untuk bucket Amazon S3. **catatan** Siapkan [ARN instance IAM Identity Center](webapp-identity-center.md#identity-center-arn) dan ID pengguna atau grup Anda, karena Anda membutuhkannya untuk menyelesaikan pengaturan hibah akses Anda. **Untuk membuat hibah menggunakan Amazon S3 Access Grants** 1. Masuk ke Konsol Manajemen AWS dan buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 1. Buat bucket, atau catat bucket yang sudah ada untuk digunakan dengan aplikasi web Anda. Untuk informasi tentang cara membuat bucket, lihat Panduan Pengguna [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/). 1. Dari panel navigasi kiri, pilih **Access Grants**. 1. Pilih **instance Create S3 Access Grants** dan berikan informasi berikut. + Pilih **Add IAM Identity Center instance di *your-Region*** mana Anda *your-Region* Wilayah AWS berada. Biarkan kotak ini tetap bersih jika Anda tidak menggunakan IAM Identity Center sebagai penyedia identitas Anda. + Tempel di ARN Instance Pusat Identitas IAM Anda. ![\[Layar menampilkan dialog instance Amazon S3 Create Access Grants dengan nilai contoh.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-grants-instance.png) Pilih **Next** untuk melanjutkan. 1. **Daftarkan Bucket atau awalan S3** sebagai lokasi. Kami menyarankan Anda mendaftarkan lokasi default`s3://`, dan memetakannya ke peran IAM. Lokasi di jalur default ini mencakup akses ke semua bucket Amazon S3 Anda di akun Anda Wilayah AWS . Saat membuat hibah akses, Anda dapat mempersempit cakupan ke bucket, awalan, atau objek di dalam lokasi default. Berikan informasi berikut. + Untuk **Lingkup**, telusuri bucket atau masukkan nama bucket Anda, dan secara opsional awalan. + Untuk peran IAM, pilih **Buat peran baru** agar layanan membuat peran. Atau, Anda dapat membuat peran sendiri, seperti yang dijelaskan dalam[Konfigurasikan peran IAM untuk aplikasi web Transfer Family](webapp-roles.md), dan kemudian masukkan ARN-nya di sini. ![\[alt text not found\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-grants-register-new.png) Pilih **Next** untuk melanjutkan. 1. Di layar **Create Grant**, berikan detail berikut. + Untuk **Izin**, pilih **Baca** dan **Tulis**. Izin pemberian akses dapat berupa read-only atau read & write, tetapi write-only tidak didukung. + Untuk **jenis Penerima Hibah**, pilih **Identitas direktori dari IAM Identity** Center. + Untuk **jenis identitas Direktori**, pilih **Pengguna** atau **Grup**, tergantung pada jenis yang ingin Anda daftarkan sekarang. + Di ** user/group ID Pusat Identitas IAM**, tempel ID untuk pengguna atau grup Anda. ID ini tersedia di konsol **Pusat Identitas IAM** dan di aplikasi web Transfer Family Anda di tabel pengguna dan grup Anda. ![\[Layar menampilkan dialog Amazon S3 Create Grant dengan nilai contoh.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-access-grant-details.png) Pilih **Berikutnya**. 1. Tinjau pengaturan di layar. Jika semuanya benar, pilih **Selesai** untuk membuat hibah akses. Atau, Anda dapat memilih **Batal** atau **Sebelumnya** untuk membuat perubahan. ![\[Layar menampilkan dialog Tinjau dan selesaikan dengan nilai contoh.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-access-grants-review.png) ![\[Layar yang menampilkan hibah akses baru dalam tampilan daftar.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-access-grants-finished.png) Ini menyelesaikan penyiapan untuk aplikasi web Anda. Pengguna dan grup yang telah Anda konfigurasi dapat mengunjungi aplikasi web di titik akses, masuk, dan mengunggah dan mengunduh file. # Perbarui titik akhir akses Anda dengan URL khusus Titik akhir akses default yang dibuat dengan aplikasi web Anda berisi pengenal yang dihasilkan layanan. Untuk memberikan pengalaman bermerek, Anda mungkin ingin memberikan URL khusus bagi pengguna Anda untuk mengakses aplikasi web Transfer Family Anda. Topik ini menjelaskan cara memperbarui titik akhir akses Anda dengan URL khusus. **catatan** Titik akhir akses tidak dapat disesuaikan untuk titik akhir VPC. Untuk menambahkan URL kustom, gunakan titik akhir publik. **catatan** Prosedur berikut bergantung pada Anda menggunakan [template CloudFormation tumpukan](https://s3.amazonaws.com/aws-transfer-resources/custom-domain-templates/aws-transfer-web-app-custom-domain-distribution.template.yml) yang direkomendasikan. Anda tidak perlu menggunakan template: Anda dapat membuat distribusi dengan menggunakan [CloudFront konsol](https://console.aws.amazon.com/cloudfront/v4/home) secara langsung. Namun, template yang disediakan menyederhanakan proses, dan membuatnya lebih mudah untuk menghindari kesalahan konfigurasi. Jika Anda tidak menggunakan CloudFormation template, pastikan untuk mengikuti panduan ini: [Kebijakan permintaan Origin](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-managed-origin-request-policies.html#managed-origin-request-policy-cors-custom) harus meneruskan string kueri dan cookie ke asal, dan tidak boleh meneruskan `Host` header ke asal. [Kebijakan Cache](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/using-managed-cache-policies.html#managed-cache-policy-origin-cache-headers) tidak boleh menyertakan `Host` header dalam kunci cache. **Untuk menyesuaikan URL aplikasi web** 1. Buat CloudFront distribusi dengan menggunakan template yang disediakan Transfer Family, AWS CloudFormation [template CloudFormation stack](https://s3.amazonaws.com/aws-transfer-resources/custom-domain-templates/aws-transfer-web-app-custom-domain-distribution.template.yml). 1. Buka CloudFormation konsol di [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/). 1. Pilih **Buat tumpukan** dan tentukan yang berikut ini. + Di bagian **Prasyarat - Siapkan templat**, pilih **Pilih templat yang ada**. + Di bagian **Tentukan templat**, pilih **Unggah file templat**. + Simpan file [template CloudFormation stack]( https://s3.amazonaws.com/aws-transfer-resources/custom-domain-templates/aws-transfer-web-app-custom-domain-distribution.template.yml), lalu unggah di sini. 1. Pilih **Berikutnya** dan berikan informasi berikut. + **WebAppEndpoint**: salin nilai dari aplikasi web Anda + **AccessEndpoint**: berikan nama domain khusus yang ingin Anda gunakan + **AcmCertificateArn**: menyediakan ARN untuk SSL/TLS sertifikat publik atau swasta yang disimpan di AWS Certificate Manager 1. Selesaikan CloudFormation wizard sampai tumpukan baru Anda dibuat. 1. Di aplikasi web Anda, edit **titik akhir Access**, perbarui **URL Kustom** ke URL yang ingin Anda gunakan. ![\[Layar menampilkan titik akhir akses khusus untuk aplikasi web Transfer Family.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-custom-name.png) 1. Buat catatan DNS untuk merutekan lalu lintas untuk nama domain kustom Anda ke CloudFront distribusi. Jika Anda menggunakan Route 53 untuk zona tersebut, Anda dapat membuat catatan Alias atau CNAME ke nama CloudFront distribusi (misalnya, **xxxx.cloudfront.net**). Untuk informasi tentang menggunakan Amazon Route 53 dengan CloudFront, lihat [Mengonfigurasi Amazon Route 53 untuk merutekan lalu lintas ke CloudFront distribusi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/routing-to-cloudfront-distribution.html#routing-to-cloudfront-distribution-config). 1. Perbarui kebijakan berbagi sumber daya lintas asal Anda dengan mengganti titik akhir akses default dengan baris berikut di blok `AllowedOrigins` kode: ``` "https://custom-url" ``` Anda perlu membuat perubahan ini untuk setiap bucket yang digunakan oleh aplikasi web Anda. Setelah Anda melakukan pembaruan, `AllowedOrigins` bagian kebijakan CORS Anda akan terlihat seperti berikut: ``` "AllowedOrigins": [ "https://custom-url"], ``` Anda hanya perlu satu AllowedOrigins entri untuk setiap aplikasi web Transfer Family. Lihat [Mengatur berbagi sumber daya lintas asal (CORS) untuk prosedur bucket Amazon S3 Anda untuk](access-grant-cors.md#cors-configure) detail selengkapnya. Anda sekarang dapat mengunjungi titik akhir akses kustom Anda, dan membagikan tautan ini dengan pengguna akhir Anda. # CloudTrail log untuk aplikasi web Transfer Family CloudTrail adalah Layanan AWS yang membuat catatan tindakan yang diambil dalam diri Anda Akun AWS. Ini terus memantau dan merekam operasi API untuk aktivitas seperti login konsol, AWS Command Line Interface perintah, dan SDK/API operasi. Ini memungkinkan Anda untuk menyimpan log siapa yang mengambil tindakan apa, kapan, dan dari mana. CloudTrail membantu audit, manajemen akses, dan kepatuhan terhadap peraturan dengan memberikan riwayat semua aktivitas di AWS lingkungan Anda. Untuk aplikasi web Transfer Family, Anda dapat melacak peristiwa autentikasi dan operasi akses data yang dilakukan oleh pengguna. Untuk mengaktifkan pencatatan komprehensif, Anda perlu: 1. Konfigurasikan CloudTrail untuk mencatat peristiwa manajemen untuk melacak aktivitas otentikasi. 1. Aktifkan peristiwa data Amazon S3 untuk melacak operasi file yang dilakukan melalui aplikasi web Anda. **Lihat juga** + [CloudTrail kasus penggunaan untuk Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/sso-cloudtrail-use-cases.html) + [Memahami peristiwa masuk Pusat Identitas IAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/understanding-sign-in-events.html) + [CloudTrail elemen UserIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html) + [Mengaktifkan pencatatan CloudTrail peristiwa untuk bucket dan objek S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html) + [Acara Amazon S3 CloudTrail](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html) ## Mengaktifkan peristiwa data Amazon S3 Untuk melacak operasi file yang dilakukan melalui aplikasi web Transfer Family di bucket Amazon S3, Anda harus mengaktifkan peristiwa data untuk bucket tersebut. Peristiwa data menyediakan aktivitas API tingkat objek dan sangat berguna untuk melacak unggahan file, unduhan, dan operasi lain yang dilakukan oleh pengguna aplikasi web. Untuk mengaktifkan peristiwa data Amazon S3 untuk aplikasi web Transfer Family Anda: 1. Buka CloudTrail konsol di [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/). 1. Di panel navigasi, pilih **Jalur**, lalu pilih jejak yang ada atau buat yang baru. 1. Di bawah **Penyeleksi acara lanjutan**, pilih **Edit**. 1. Pilih **Tambahkan pemilih acara lanjutan**. 1. Untuk pemilih bidang pertama: + Setel **Bidang** ke `eventCategory` + Setel **Operator** ke **Equals** + Tetapkan **Nilai** ke `Data` 1. Pilih **Tambah bidang** dan untuk pemilih bidang kedua: + Setel **Bidang** ke `resources.type` + Setel **Operator** ke **Equals** + Tetapkan **Nilai** ke `AWS::S3::Object` 1. (Opsional) Untuk mencatat peristiwa hanya untuk bucket tertentu, pilih **Tambah bidang** dan tambahkan: + Setel **Bidang** ke `resources.ARN` + Atur **Operator** ke **Mulai dengan** + Tetapkan **Nilai** ke `arn:aws:s3:::your-bucket-name/` 1. Pilih **Simpan perubahan**. Atau, Anda dapat menggunakan konfigurasi peristiwa data lama: 1. Di bawah **Peristiwa data**, pilih **Edit**. 1. Untuk **jenis peristiwa Data**, pilih **bucket S3 dan peristiwa objek**. 1. Pilih bucket Amazon S3 untuk mencatat peristiwa data. Anda dapat memilih **Semua bucket S3 saat ini dan masa depan atau menentukan masing-masing bucket**. 1. Pilih apakah akan mencatat peristiwa **Baca**, **Menulis** peristiwa, atau keduanya. 1. Pilih **Simpan perubahan**. Setelah mengaktifkan peristiwa data, Anda dapat mengakses log ini di bucket Amazon S3 yang dikonfigurasi untuk. CloudTrail Log mencakup detail seperti pengguna yang melakukan tindakan, stempel waktu tindakan, objek tertentu yang terpengaruh, dan `onBehalfOf` bidang yang membantu melacak tindakan yang dilakukan melalui aplikasi web Transfer Family. `userId` ### Menemukan dan melihat log Anda Ada beberapa cara untuk menemukan dan melihat CloudTrail log untuk aplikasi web Transfer Family Anda: #### Menggunakan CloudTrail konsol Cara tercepat untuk melihat peristiwa terbaru: 1. Buka CloudTrail konsol di [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/). 1. Pilih **Riwayat acara**. 1. Filter acara berdasarkan: + **Sumber acara**: `signin.amazonaws.com` untuk acara aplikasi web + **Sumber acara**: `s3.amazonaws.com` untuk operasi file 1. Klik acara apa pun untuk melihat informasi terperinci. #### Mengakses log di Amazon S3 Untuk mengakses file log lengkap yang disimpan di Amazon S3: 1. Identifikasi CloudTrail bucket Amazon S3 jejak Anda: ``` aws cloudtrail describe-trails --query 'trailList[*].[Name,S3BucketName]' --output table ``` 1. Arahkan ke file log di Amazon S3: ``` aws s3 ls s3://your-cloudtrail-bucket/AWSLogs/account-id/CloudTrail/region/YYYY/MM/DD/ ``` 1. Unduh dan cari file log untuk ID aplikasi web Anda: ``` aws s3 cp s3://your-cloudtrail-bucket/AWSLogs/account-id/CloudTrail/region/YYYY/MM/DD/ . --recursive gunzip *.json.gz grep -l "webapp-1a2b3c4d5e6f7g8h9" *.json ``` #### Menggunakan AWS CLI untuk mencari acara Cari acara aplikasi web tertentu menggunakan AWS CLI: ``` aws logs filter-log-events \ --log-group-name /aws/cloudtrail/your-trail-name \ --filter-pattern "webapp-1a2b3c4d5e6f7g8h9" \ --start-time $(date -d "1 day ago" +%s)000 ``` Atau cari acara otentikasi: ``` aws logs filter-log-events \ --log-group-name /aws/cloudtrail/your-trail-name \ --filter-pattern "UserAuthentication" \ --start-time $(date -d "1 day ago" +%s)000 ``` ## Contoh log otentikasi CloudTrail mencatat peristiwa autentikasi untuk aplikasi web Transfer Family, yang dapat membantu Anda melacak upaya login yang berhasil dan gagal. Log ini sangat berguna untuk pemantauan keamanan dan tujuan kepatuhan. **Topics** + [Contoh entri log untuk verifikasi kredensi](#webapp-credential-verification-example) + [Contoh entri log untuk otentikasi masuk](#webapp-signin-authentication-example) + [Contoh entri log untuk ListCallerAccessGrants](#webapp-list-caller-access-grants-example) + [Contoh entri log untuk GetDataAccess acara](#webapp-get-data-access-example) ### Contoh entri log untuk verifikasi kredensi Contoh berikut menunjukkan entri CloudTrail log untuk peristiwa verifikasi kredensi yang terjadi selama proses otentikasi. ``` { "eventVersion": "1.09", "userIdentity": { "type": "Unknown", "principalId": "123456789012", "arn": "", "accountId": "123456789012", "accessKeyId": "", "userName": "demo-user-2", "onBehalfOf": { "userId": "f12bb510-a011-702f-10dd-5607e2776dbc", "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9a670c546e" }, "credentialId": "58138a11-87e5-401d-8f0b-7161c9389112" }, "eventTime": "2025-08-08T15:29:30Z", "eventSource": "signin.amazonaws.com", "eventName": "CredentialVerification", "awsRegion": "us-east-2", "sourceIPAddress": "192.0.2.224", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36", "requestParameters": null, "responseElements": null, "additionalEventData": { "AuthWorkflowID": "f304a48b-7b6d-41c8-b136-4f49c91c1f31", "CredentialType": "PASSWORD" }, "requestID": "ff936828-4a81-453c-802d-81368b6bca1a", "eventID": "70cb7008-493d-42c2-a9eb-38bf168af6a8", "readOnly": false, "eventType": "AWS ServiceEvent", "managementEvent": true, "recipientAccountId": "123456789012", "serviceEventDetails": { "CredentialVerification": "Success" }, "eventCategory": "Management" } ``` Peristiwa ini memberikan detail tambahan tentang langkah verifikasi kredensi dalam proses otentikasi, yang menunjukkan ID kredenal tertentu dan ID alur kerja otentikasi yang digunakan. ### Contoh entri log untuk otentikasi masuk Contoh berikut menunjukkan entri CloudTrail log untuk peristiwa otentikasi pengguna yang berhasil selama proses masuk aplikasi web menggunakan IAM Identity Center. ``` { "eventVersion": "1.09", "userIdentity": { "type": "Unknown", "principalId": "123456789012", "arn": "", "accountId": "123456789012", "accessKeyId": "", "userName": "demo-user-2", "onBehalfOf": { "userId": "f12bb510-a011-702f-10dd-5607e2776dbc", "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9a670c546e" }, "credentialId": "b41f0a02-1635-4d07-a414-aecf9e14b906" }, "eventTime": "2025-08-07T14:09:07Z", "eventSource": "signin.amazonaws.com", "eventName": "UserAuthentication", "awsRegion": "us-east-2", "sourceIPAddress": "192.0.2.14", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36", "requestParameters": null, "responseElements": null, "additionalEventData": { "AuthWorkflowID": "7a4ef12c-7c4b-4bc3-b5bd-c2469afcc795", "LoginTo": "https://example.awsapps.com/start/", "CredentialType": "PASSWORD" }, "requestID": "fc91bcf0-ac53-4454-a1a0-fb911eacc095", "eventID": "18522007-1e60-4a71-b2b5-150baf504ab3", "readOnly": false, "eventType": "AWS ServiceEvent", "managementEvent": true, "recipientAccountId": "123456789012", "serviceEventDetails": { "UserAuthentication": "Success" }, "eventCategory": "Management" } ``` Dalam contoh ini, perhatikan bidang-bidang penting berikut: + `eventSource`: Menampilkan “signin.amazonaws.com”, menunjukkan ini adalah peristiwa otentikasi Pusat Identitas IAM. + `userIdentity.onBehalfOf`: Berisi ID pengguna dan ARN penyimpanan identitas untuk pengguna aplikasi web. + `additionalEventData.LoginTo`: Menampilkan URL aplikasi IAM Identity Center yang sedang diakses. + `additionalEventData.CredentialType`: Menunjukkan metode otentikasi yang digunakan (PASSWORD). + `serviceEventDetails`: Menunjukkan hasil otentikasi (Sukses). ### Contoh entri log untuk ListCallerAccessGrants Contoh berikut menunjukkan entri CloudTrail log untuk suatu ListCallerAccessGrants peristiwa, yang terjadi saat aplikasi web Transfer Family menanyakan hibah akses yang tersedia untuk pengguna. ``` { "eventVersion": "1.11", "userIdentity": { "type": "AssumedRole", "principalId": "AROAEXAMPLEID:aws-transfer", "arn": "arn:aws:sts::123456789012:assumed-role/AWS TransferWebAppIdentityBearer-us-east-2/aws-transfer", "accountId": "123456789012", "accessKeyId": "ASIAEXAMPLEKEY", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAEXAMPLEID", "arn": "arn:aws:iam::123456789012:role/service-role/AWS TransferWebAppIdentityBearer-us-east-2", "accountId": "123456789012", "userName": "AWS TransferWebAppIdentityBearer-us-east-2" }, "attributes": { "creationDate": "2025-08-08T15:29:34Z", "mfaAuthenticated": "false" } }, "invokedBy": "transfer.amazonaws.com", "onBehalfOf": { "userId": "f12bb510-a011-702f-10dd-5607e2776dbc", "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9a670c546e" } }, "eventTime": "2025-08-08T15:29:35Z", "eventSource": "s3.amazonaws.com", "eventName": "ListCallerAccessGrants", "awsRegion": "us-east-2", "sourceIPAddress": "transfer.amazonaws.com", "userAgent": "transfer.amazonaws.com", "requestParameters": { "Host": "123456789012.s3-control.dualstack.us-east-2.amazonaws.com", "allowedByApplication": "true", "maxResults": "100" }, "responseElements": null, "additionalEventData": { "SignatureVersion": "SigV4", "CipherSuite": "TLS_AES_128_GCM_SHA256", "bytesTransferredIn": 0, "AuthenticationMethod": "AuthHeader", "x-amz-id-2": "1g34AaAELn/fntxwrifVsr41VDl8dp5ygWFasHJFNVq5FDCWYfX0ye7s4tWHEJC8ppI5lLePYLIcw3iTXAgn5Q==", "bytesTransferredOut": 462 }, "requestID": "48485MTZEDWT0ANT", "eventID": "3de5dd60-b7cf-474c-a1ab-631467c1a5c3", "readOnly": true, "resources": [ { "accountId": "123456789012", "type": "AWS:S3::AccessGrantsInstance", "ARN": "arn:aws:s3:us-east-2:123456789012:access-grants/default" } ], "eventType": "AWS ApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management" } ``` Dalam contoh ini, perhatikan bidang-bidang penting berikut: + `eventName`: Menunjukkan ini adalah ListCallerAccessGrants acara, yang menanyakan hibah akses S3 yang tersedia. + `requestParameters.allowedByApplication`: Menunjukkan kueri disaring ke hibah yang diizinkan oleh aplikasi. + `requestParameters.maxResults`: Menunjukkan jumlah maksimum hibah untuk dikembalikan dalam tanggapan. + `userIdentity.onBehalfOf`: Menautkan permintaan ke pengguna aplikasi web tertentu. Acara ini membantu melacak kapan aplikasi web Transfer Family menanyakan sumber daya S3 yang dapat diakses pengguna, memberikan visibilitas ke dalam operasi penemuan hibah akses. ### Contoh entri log untuk GetDataAccess acara Contoh berikut menunjukkan entri CloudTrail log untuk suatu GetDataAccess peristiwa, yang terjadi saat aplikasi web Transfer Family meminta izin akses untuk sumber daya S3 atas nama pengguna. ``` { "eventVersion": "1.11", "userIdentity": { "type": "AssumedRole", "principalId": "AROASEQRAEABP7ADWEZA5:aws-transfer", "arn": "arn:aws:sts::123456789012:assumed-role/AWSTransferWebAppIdentityBearer-ap-southeast-1/aws-transfer", "accountId": "123456789012", "accessKeyId": "ASIAEXAMPLEKEY", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROASEQRAEABP7ADWEZA5", "arn": "arn:aws:iam::123456789012:role/service-role/AWSTransferWebAppIdentityBearer-ap-southeast-1", "accountId": "123456789012", "userName": "AWSTransferWebAppIdentityBearer-ap-southeast-1" }, "attributes": { "creationDate": "2025-05-08T16:09:05Z", "mfaAuthenticated": "false" } }, "invokedBy": "transfer.amazonaws.com", "onBehalfOf": { "identityStoreArn": "arn:aws:identitystore::123456789012:identitystore/d-9667b0da7a", "userId": "191a35ec-10a1-70c1-e4ab-e2802411e13e" } }, "eventTime": "2025-05-08T16:10:25Z", "eventSource": "s3.amazonaws.com", "eventName": "GetDataAccess", "awsRegion": "ap-southeast-1", "sourceIPAddress": "transfer.amazonaws.com", "userAgent": "transfer.amazonaws.com", "requestParameters": { "Host": "123456789012.s3-control.dualstack.ap-southeast-1.amazonaws.com", "durationSeconds": 900, "permission": "READWRITE", "target": "s3://amzn-s3-demo-bucket/users/john.doe/documents/*" }, "responseElements": null, "additionalEventData": { "AuthenticationMethod": "AuthHeader", "CipherSuite": "TLS_AES_128_GCM_SHA256", "SignatureVersion": "SigV4", "bytesTransferredIn": 0, "bytesTransferredOut": 2244, "x-amz-id-2": "8ce8sZOgNwsaj9w1mzagyA+csONjYl8FgEw4FGpE8DARi90aNC0RFWlTYNEn7ChqE9RCJrTzMvS+ru7Vz2xXHrkQt/1uQ9exZTZdlhX+/fM=" }, "requestID": "BXGSKKQXCWS5RAHB", "eventID": "c11db1d1-dfb8-431e-8625-48eba2ebadfe", "readOnly": true, "resources": [ { "type": "AWS:S3::AccessGrantsInstance", "ARN": "arn:aws:s3:ap-southeast-1:123456789012:access-grants/default", "accountId": "123456789012" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management" } ``` Dalam contoh ini, perhatikan bidang-bidang penting berikut: + `eventName`: Menunjukkan ini adalah GetDataAccess peristiwa, yang terjadi ketika Transfer Family meminta izin akses untuk sumber daya S3. + `userIdentity.onBehalfOf`: Berisi ARN penyimpanan identitas dan ID pengguna, yang menautkan permintaan akses ke pengguna aplikasi web tertentu. + `requestParameters.target`: Menunjukkan pola jalur S3 yang aksesnya diminta. + `requestParameters.permission`: Menunjukkan jenis akses yang diminta (READWRITE, READ, atau WRITE). + `requestParameters.durationSeconds`: Menunjukkan berapa lama hibah akses valid (biasanya 900 detik/15 menit). + `sourceIPAddress`dan`userAgent`: Keduanya menampilkan “transfer.amazonaws.com”, yang menunjukkan ini adalah permintaan layanan internal. GetDataAccess event sangat berguna untuk melacak ketika pengguna aplikasi web Transfer Family diberikan akses ke sumber daya S3 tertentu, membantu Anda memantau pola akses dan memastikan otorisasi yang tepat. ## Melihat entri CloudTrail log Ada beberapa cara untuk melihat dan menganalisis entri CloudTrail log untuk aplikasi web Transfer Family Anda: ### Menggunakan CloudTrail konsol CloudTrail Konsol menyediakan antarmuka yang ramah pengguna untuk melihat dan memfilter entri log: 1. Buka CloudTrail konsol di [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/). 1. Pada panel navigasi, pilih **Riwayat peristiwa**. 1. Gunakan opsi filter untuk mempersempit peristiwa: + Setel **sumber Acara** `transfer.amazonaws.com` untuk hanya melihat acara Transfer Family. + Filter berdasarkan **nama Acara** untuk melihat operasi tertentu seperti`UserAuthentication`. + Gunakan **rentang waktu** untuk fokus pada peristiwa dalam periode tertentu. 1. Klik pada acara apa pun untuk melihat informasi detailnya. ### Mengakses log di Amazon S3 Jika Anda telah mengonfigurasi CloudTrail jejak untuk mengirimkan log ke bucket Amazon S3, Anda dapat mengakses file log mentah secara langsung: 1. Buka konsol Amazon S3 di. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 1. Arahkan ke bucket dan awalan tempat CloudTrail log Anda disimpan. 1. Log diatur berdasarkan tahun, bulan, hari, dan wilayah. Arahkan ke direktori yang sesuai. 1. Unduh dan buka file log, yang dalam format JSON. # Memecahkan masalah aplikasi web Anda **catatan** Tips pemecahan masalah ini ditujukan untuk administrator aplikasi web dan bukan pengguna akhir. Untuk pengguna akhir, jika Anda mengalami masalah, hubungi administrator aplikasi web Anda. Semua contoh *Anda* dalam paragraf berikut merujuk ke admin aplikasi web. ## Memecahkan masalah kesalahan jaringan **Deskripsi** Pengguna akhir Anda melihat spanduk jaringan **Network Error** saat memuat titik akhir aplikasi web. **Menyebabkan** Masalah yang paling umum adalah sebagai berikut: + Admin tidak menetapkan pengguna yang mencoba masuk ke aplikasi baru. + Admin tidak menambahkan tindakan yang diperlukan ke peran IAM Anda. + Anda melihat daftar Hibah Akses S3 yang ditetapkan untuk pengguna Anda, tetapi CORS tidak dikonfigurasi dengan benar untuk bucket atau bucket Amazon S3 Anda. **Solusi** + Di IAM Identity Center, pastikan untuk menetapkan pengguna ke aplikasi yang benar. Atau, jika Anda memiliki grup yang ditetapkan, pastikan bahwa pengguna yang mencoba masuk termasuk dalam grup yang benar. Ini dijelaskan dalam[Menetapkan atau menambahkan pengguna atau grup ke aplikasi web Transfer Family](webapp-add-users.md). + Periksa apakah peran Anda berisi tindakan yang diperlukan dalam **kebijakan kepercayaan khusus** untuk keduanya `sts:AssumeRole` dan `sts:SetContext` tindakan. Ini dijelaskan dalam[Konfigurasikan peran IAM untuk aplikasi web Transfer Family](webapp-roles.md). + Periksa kebijakan CORS untuk semua bucket yang digunakan oleh aplikasi web Anda. Hal ini dijelaskan dalam [Menyiapkan berbagi sumber daya lintas asal (CORS) untuk bucket Amazon S3 Anda](access-grant-cors.md#cors-configure). ## Memecahkan masalah bucket yang dikonfigurasi tidak muncul **Deskripsi** Semuanya tampaknya dikonfigurasi dengan benar, tetapi bucket Amazon S3 tidak muncul di aplikasi web. **Menyebabkan** Salah satu kemungkinan penyebabnya adalah bucket Amazon S3 tidak berada di akun yang sama dengan aplikasi web. **Solusi** Pastikan bucket Amazon S3 berada di akun yang sama dengan aplikasi web. Bucket lintas akun saat ini tidak didukung. ## Memecahkan masalah kesalahan URL kustom **Deskripsi** Saat pengguna akhir Anda masuk ke aplikasi web, mereka menerima pesan kesalahan **Otorisasi gagal: kode otorisasi hilang**. **Menyebabkan** Jika Anda menggunakan CloudFront secara langsung, bukan CloudFormation templat yang disediakan, kemungkinan besar Anda salah mengonfigurasi kebijakan permintaan asal agar tidak meneruskan string kueri. **Solusi** Perbarui kebijakan permintaan asal Anda untuk meneruskan string kueri dan cookie ke asal. **Deskripsi** Saat pengguna akhir Anda mencoba mengakses aplikasi web Transfer Family, mereka menerima respons 404. **Menyebabkan** Jika Anda menggunakan CloudFront secara langsung, bukan CloudFormation templat yang disediakan, Anda mungkin salah mengonfigurasi kebijakan cache untuk menyertakan `Host` header dalam kunci cache atau salah konfigurasi kebijakan permintaan asal untuk meneruskan header. `Host` **Solusi** + Pastikan kebijakan cache Anda tidak menyertakan `Host` header dalam kunci cache + Pastikan kebijakan permintaan asal Anda tidak meneruskan `Host` header. ## Memecahkan masalah kesalahan lain-lain **Deskripsi** Pengguna akhir Anda tidak dapat masuk, atau tidak dapat melihat ember atau file apa pun, atau Anda menerima kesalahan lain. **Menyebabkan** Salah satu kemungkinan penyebabnya adalah ARN instance IAM Identity Center tidak cocok dengan nilai ARN hibah Anda atau ARN instance IAM Identity Center aplikasi web Anda. **Solusi** Periksa item berikut untuk melihat apakah mereka cocok. + Di Pusat Identitas IAM, navigasikan ke **Pengaturan** dan lihat **ARN Instance**. ``` arn:aws:sso:::instance/ssoins-instance-identifier ``` + Di Amazon S3, navigasikan ke **Access Grants** dan lihat ARN instance **IAM Identity Center** Anda. ``` arn:aws:sso::account-id:application/ssoins-instance-identifier/apl-1234567890abcdef0 ``` + Di Transfer Family, buka halaman detail aplikasi web Anda dan lihat ARN Instance. ``` arn:aws:sso:::instance/ssoins-instance-identifier ``` *instance-identifier*Nilainya harus sama di ketiga tempat ini. ## Bucket S3 duplikat muncul di aplikasi web **Deskripsi** Pengguna melihat bucket S3 yang sama terdaftar beberapa kali di antarmuka aplikasi web Transfer Family. **Menyebabkan** Hal ini terjadi ketika pengguna merupakan bagian dari beberapa grup Active Directory yang memiliki hibah duplikat ke bucket S3 yang sama. Aplikasi web mencantumkan semua hibah tingkat atas yang terkait dengan pengguna (UID atau GID) terlepas dari apakah pengguna memiliki beberapa hibah yang ditetapkan ke lokasi bucket yang sama. **Solusi** Untuk mengatasi masalah ini, administrator harus menghapus duplikasi hibah sehingga setiap pengguna hanya memiliki satu hibah untuk setiap lokasi S3. Tinjau konfigurasi S3 Access Grants Anda dan konsolidasikan hibah duplikat untuk bucket yang sama di berbagai grup Active Directory. # Instruksi pengguna akhir untuk aplikasi web Transfer Family **catatan** Dalam topik ini, informasi dimaksudkan untuk pengguna akhir yang berinteraksi dengan aplikasi web. Semua contoh *Anda* dalam topik ini merujuk ke pengguna akhir. Topik ini menjelaskan cara mengakses aplikasi AWS Transfer Family web yang diizinkan untuk digunakan, dan menjelaskan bagaimana Anda dapat berinteraksi dengannya. ## Kuota aplikasi web Perhatikan batasan berikut saat menggunakan aplikasi web. + Jumlah maksimum hasil pencarian per kueri: 10.000 + Bucket Amazon S3 yang digunakan oleh aplikasi web Transfer Family harus berada di akun yang sama dengan aplikasi web itu sendiri. Bucket lintas akun saat ini tidak didukung. + Luas pencarian maksimum per kueri: 10.000 file yang dicari + Ukuran unggahan maksimal per file: 160 GB (149 GiB) + Ukuran file maksimal untuk disalin: 5,36 GB (5 GiB) + Nama folder yang dimulai atau diakhiri dengan titik (.) tidak didukung ## Pengalaman pengguna untuk pengguna IAM Identity Center Bagian ini menjelaskan pengalaman pengguna jika organisasi Anda menggunakan IAM Identity Center untuk mengonfigurasi penggunanya. **Untuk mengakses aplikasi web Transfer Family** 1. Anda harus menerima email dari **no-reply@login.awsapps.com** berjudul “Undangan untuk bergabung AWS IAM Identity Center.” Terima undangan untuk mengaktifkan akun pengguna Anda. 1. Dalam pesan, pilih URL di bawah **URL portal AWS akses Anda**. Ini membawa Anda ke layar AWS masuk. ![\[Layar yang menampilkan layar AWS masuk.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-enduser-signin.png) 1. Masukkan kredensil Anda dan pilih **Masuk**. Ini membawa Anda ke Portal akses AWS, yang menunjukkan daftar aplikasi Anda yang tersedia. 1. Pilih aplikasi untuk aplikasi web Transfer Family Anda. ## Pengalaman pengguna untuk pengguna penyedia identitas pihak ketiga Jika organisasi Anda tidak menggunakannya AWS IAM Identity Center untuk mengonfigurasi penggunanya, pengalaman orientasi Anda akan bergantung pada aplikasi penyedia identitas yang mereka gunakan untuk mengonfigurasi pengguna akhir mereka. Setelah Anda mengautentikasi dan masuk, antarmuka aplikasi web Anda sama dengan yang dijelaskan di bagian berikutnya. **catatan** Jika pengguna termasuk dalam beberapa grup Direktori Aktif yang memiliki hibah ke bucket Amazon S3 yang sama, bucket akan muncul beberapa kali di antarmuka aplikasi web. Hal ini terjadi karena aplikasi web mencantumkan semua hibah tingkat atas yang terkait dengan UID atau GID pengguna, termasuk hibah duplikat ke bucket yang sama. Untuk mencegah daftar duplikat, administrator dapat menggabungkan beberapa hibah sehingga setiap pengguna hanya memiliki satu hibah per lokasi Amazon S3. ## Antarmuka pengguna akhir Transfer Family Setelah Anda mengautentikasi dan masuk, Anda dapat berinteraksi dengan aplikasi web. Ada empat pandangan utama. + **Halaman rumah: Halaman** beranda Anda mencantumkan lokasi S3, yang dapat Anda akses, serta izin untuk masing-masing lokasi. *Lokasi* S3 adalah bucket atau awalan S3, yang dapat Anda tentukan saat menggunakan S3 Access Grants. Ini adalah tampilan awal untuk pengguna yang menunjukkan sumber daya S3 tingkat root yang dapat diakses oleh pengguna akhir Anda dan izin untuk setiap lokasi S3. ![\[Layar yang menampilkan lokasi beranda untuk pengguna akhir aplikasi web.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-enduser-home.png) + **Detail lokasi:** Tampilan ini memungkinkan pengguna untuk menelusuri file dan folder di S3, dan mengunggah atau mengunduh file. + **Tindakan lokasi:** Setelah Anda memilih tindakan (seperti **Unggah**), tindakan tersebut akan membuka tampilan lain dari lokasi file. + **Elipsis vertikal:** **Ikon elipsis vertikal membuka menu Tindakan.** ## Tindakan yang tersedia Sebagian besar tindakan tersedia dari menu **Tindakan**. Untuk tindakan utama lainnya, mengunduh file, Anda menggunakan ikon unduhan setelah Anda memilih file (saat ini, Anda hanya dapat mengunduh satu file pada satu waktu). ![\[Layar menampilkan file dan ikon unduhan yang sesuai.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-enduser-download.png) Dari folder, gunakan menu **Tindakan** untuk melakukan salah satu tugas berikut: + Salin satu atau beberapa file ke lokasi lain. + Buat folder. + Hapus satu atau lebih file. + Unggah satu atau lebih file. + Unggah seluruh folder (termasuk subfolder jika ada). + Pilih folder dan navigasikan ke sana. Anda kemudian dapat melakukan salah satu tindakan yang terdaftar sebelumnya. + Urutkan berdasarkan halaman. + Filter berdasarkan nama file atau folder per folder dan subfolder. ![\[Layar menampilkan folder contoh untuk pengguna akhir aplikasi web.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/webapp-enduser-actions.png)