Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Creazione di connettori SFTP
Questo argomento descrive come creare connettori SFTP. Ogni connettore offre la possibilità di connettersi a un server SFTP remoto. Per configurare un connettore SFTP, si eseguono le seguenti attività di alto livello.
**Nota**
Per i connettori basati su VPC che indirizzano il traffico attraverso il tuo Virtual Private Cloud, vedi. [Crea un connettore SFTP con uscita basata su VPC](create-vpc-sftp-connector-procedure.md)
1. Memorizza le credenziali di autenticazione per il connettore in. Gestione dei segreti AWS
1. Crea il connettore, specificando l'ARN segreto, l'URL o l'ARN di configurazione delle risorse del server remoto, la politica di sicurezza contenente gli algoritmi che saranno supportati dal connettore e altre impostazioni di configurazione.
1. Dopo aver creato il connettore, potete testarlo per assicurarvi che possa stabilire connessioni con il server SFTP remoto.
## Scelta del tipo di uscita del connettore SFTP
Quando crei un connettore SFTP, scegli il tipo di uscita tra «Service managed» e «VPC Lattice».
+ **Servizio gestito** (impostazione predefinita): il connettore utilizza gateway NAT e indirizzi IP di proprietà di per AWS Transfer Family instradare le connessioni sulla rete Internet pubblica. Il servizio fornisce 3 indirizzi IP statici per i connettori che devono essere consentiti nell'elenco dei server remoti per stabilire connessioni.
+ **VPC Lattice**: il connettore indirizza il traffico attraverso il tuo ambiente VPC utilizzando Amazon VPC Lattice. Utilizza la connettività VPC per i connettori SFTP in questi scenari:
+ **Server SFTP privati**: Connettiti a server SFTP accessibili solo dal tuo VPC
+ **Connettività locale: connettiti** ai server SFTP locali tramite o connessioni AWS Direct Connect AWS Virtual Private Network
+ **Indirizzi IP personalizzati**: presenta i tuoi gateway NAT e indirizzi IP elastici al server remoto
+ **Controlli di sicurezza centralizzati: indirizzate i trasferimenti di file attraverso i controlli** centrali della vostra organizzazione ingress/egress
La seguente matrice ti aiuta a scegliere il tipo di connettore giusto per i tuoi casi d'uso.
**Matrice del tipo di uscita del connettore SFTP**
| Funzionalità | Tipo di uscita = Servizio gestito | Tipo di uscita = VPC Lattice |
| --- | --- | --- |
| Connettività a server SFTP ospitati pubblicamente (accessibili da Internet) | Supportata | Supportato 1 |
| Connettività a server SFTP ospitati privatamente (locali) | Non supportata | Supportato 2 |
| Connettività a server SFTP ospitati privatamente (in-VPC) | Non supportata | Supportata |
| Indirizzi IP statici presentati al server SFTP remoto | Supportato tramite indirizzi IP statici forniti dal servizio | Supportato tramite indirizzi IP statici di proprietà del cliente |
| Larghezza di banda disponibile | 50 MBPS per account | Larghezza di banda più elevata, disponibile presso Resource Gateway e NAT Gateway di proprietà del cliente |
| Instradamento del traffico verso Internet tramite gateway NAT e firewall di rete di proprietà del cliente | Non supportato. I gateway NAT sono di proprietà e gestiti dal servizio Transfer Family. | Supportata |
1 *Con Egress Type = VPC Lattice, la connettività ai server ospitati pubblicamente è supportata utilizzando l'infrastruttura di uscita (gateway NAT) configurata in* uscita. VPCs
2 *Con Egress Type = VPC Lattice, la connettività ai server ospitati privatamente è supportata utilizzando le reti esistenti nel tuo VPC*, come o VPN. AWS Direct Connect
**Topics**
+ [Scelta del tipo di uscita del connettore SFTP](#choosing-egress-type)
+ [Memorizza le credenziali di autenticazione per i connettori SFTP in Secrets Manager](sftp-connector-secret-procedure.md)
+ [Crea un connettore SFTP con uscita gestita dal servizio](create-sftp-connector-procedure.md)
+ [Crea un connettore SFTP con uscita basata su VPC](create-vpc-sftp-connector-procedure.md)
+ [Prova un connettore SFTP](test-sftp-connector.md)
# Memorizza le credenziali di autenticazione per i connettori SFTP in Secrets Manager
È possibile utilizzare Secrets Manager per memorizzare le credenziali utente per i connettori SFTP. Quando crei il tuo segreto, devi fornire un nome utente. Inoltre, puoi fornire una password, una chiave privata o entrambe. Per informazioni dettagliate, vedi [Quote per i connettori SFTP](scale-and-limits-sftp-connector.md#limits-sftp-connector).
**Nota**
Quando memorizzi segreti in Secrets Manager, ti vengono Account AWS addebitati dei costi. Per informazioni sui prezzi, consulta [Gestione dei segreti AWS Pricing](https://aws.amazon.com/secrets-manager/pricing).
**Per memorizzare le credenziali utente in Secrets Manager per un connettore SFTP**
1. Accedi a Console di gestione AWS e apri la Gestione dei segreti AWS console all'indirizzo. [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)
1. Nel pannello di navigazione a sinistra, seleziona **Segreti**.
1. Nella pagina **Segreti**, scegli **Memorizza un nuovo segreto**.
1. Nella pagina **Scegli il tipo di segreto**, per **Tipo segreto**, scegli **Altro tipo di segreto**.
1. Fornisci le key/value informazioni relative al tuo segreto: devi fornire il nome utente e una chiave privata o una password.
1. Nella sezione **Coppie chiave/valore**, scegli la scheda **Chiave/valore**.
+ **Chiave: Invio.** **Username**
+ **valore**: immetti il nome dell'utente autorizzato a connettersi al server del partner.
1. Se desideri fornire una coppia di chiavi, scegli **Aggiungi riga** e nella sezione **Coppie chiave/valore**, scegli la scheda **Chiave/valore**.
+ **Chiave: Invio.** **PrivateKey**
+ **valore**: incolla la tua chiave privata.
**Suggerimento**: i dati della chiave privata che inserisci devono corrispondere alla chiave pubblica archiviata per questo utente sul server SFTP remoto.
**Nota**
Non è possibile utilizzare una chiave privata protetta da passphrase per l'autenticazione con un connettore SFTP. AWS Transfer Family
Per informazioni dettagliate su come generare una public/private key pair, vedere[Creazione di chiavi SSH su macOS, Linux o Unix](macOS-linux-unix-ssh.md).
1. Se desideri fornire una password, scegli **Aggiungi riga** e nella sezione **Coppie chiave/valore**, scegli la scheda **Chiave/valore**.
+ **Chiave: Invio.** **Password**
+ **valore**: immettere la password per l'utente.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Configura segreto**, inserisci un nome e una descrizione per il tuo segreto. Ti consigliamo di utilizzare il prefisso di **aws/transfer/** per il nome. Ad esempio, puoi dare un nome al tuo segreto**aws/transfer/connector-1**.
1. Scegli **Avanti**, quindi accetta le impostazioni predefinite nella pagina **Configura rotazione**. Quindi scegli **Successivo**.
1. Nella pagina **Revisione**, scegli **Store** per creare e archiviare il segreto.
# Crea un connettore SFTP con uscita gestita dal servizio
Questa procedura spiega come creare connettori SFTP utilizzando la AWS Transfer Family console o. AWS CLI
------
#### [ Console ]
**Per creare un connettore SFTP**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Nel riquadro di navigazione a sinistra, scegli **Connettori SFTP**, quindi scegli **Crea connettore SFTP**.
1. **Nella sezione **Configurazione del connettore**, per **Tipo di uscita**, scegli Servizio gestito.** Questa opzione utilizza un'infrastruttura di uscita AWS Transfer Family gestita. Il servizio Transfer Family fornisce e gestisce indirizzi IP statici per ogni connettore SFTP.
1. Nella sezione **Configurazione del connettore**, fornisci le seguenti informazioni:
![\[La console del connettore SFTP Transfer Family, che mostra le impostazioni di configurazione del connettore.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/create-connector-example-config.png)
+ Per l'**URL**, immettete l'URL di un server SFTP remoto. Questo URL deve essere formattato come`sftp://partner-SFTP-server-url`, ad esempio. `sftp://AnyCompany.com`
**Nota**
Facoltativamente, puoi fornire un numero di porta nel tuo URL. Il formato è `sftp://partner-SFTP-server-url:port-number`. Il numero di porta predefinito (quando non viene specificata alcuna porta) è la porta 22.
+ Per il **ruolo Access**, scegli l'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) da utilizzare.
+ **Assicurati che questo ruolo fornisca l'accesso in lettura e scrittura** alla directory principale della posizione del file utilizzata nella `StartFileTransfer` richiesta.
+ **Assicurati che questo ruolo fornisca l'autorizzazione** `secretsmanager:GetSecretValue` per accedere al segreto.
**Nota**
Nella policy, è necessario specificare l'ARN per il segreto. L'ARN contiene il nome segreto, ma aggiunge al nome sei caratteri alfanumerici casuali. Un ARN per un segreto ha il seguente formato.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Assicurati che questo ruolo contenga una relazione di fiducia** che consenta al connettore di accedere alle tue risorse per soddisfare le richieste di trasferimento degli utenti. Per i dettagli su come stabilire una relazione di fiducia, consulta. [Per stabilire una relazione di trust](requirements-roles.md#establish-trust-transfer)
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**Nota**
Per il ruolo di accesso, l'esempio concede l'accesso a un singolo segreto. Tuttavia, puoi utilizzare un carattere jolly, che può far risparmiare lavoro se desideri riutilizzare lo stesso ruolo IAM per più utenti e segreti. Ad esempio, la seguente dichiarazione di risorsa concede le autorizzazioni per tutti i segreti il cui nome inizia con. `aws/transfer`
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
È inoltre possibile archiviare i segreti contenenti le credenziali SFTP in un altro. Account AWS Per i dettagli sull'abilitazione dell'accesso segreto tra account, consulta [Autorizzazioni ai Gestione dei segreti AWS segreti per gli utenti](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) di un altro account.
1. Completa la configurazione del connettore:
+ (Facoltativo) Per il **ruolo Logging**, scegli il ruolo IAM per il connettore da utilizzare per inviare eventi ai tuoi CloudWatch log. La seguente policy di esempio elenca le autorizzazioni necessarie per registrare gli eventi per i connettori SFTP.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
1. Nella sezione **Configurazione SFTP**, fornite le seguenti informazioni:
![\[La console del connettore SFTP Transfer Family, che mostra le impostazioni di configurazione SFTP.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/create-connector-example-sftp-config.png)
+ Per **le credenziali del connettore**, dall'elenco a discesa, scegli il nome di un segreto Gestione dei segreti AWS che contiene la chiave privata o la password dell'utente SFTP. È necessario creare un segreto e archiviarlo in un modo specifico. Per informazioni dettagliate, vedi [Memorizza le credenziali di autenticazione per i connettori SFTP in Secrets Manager](sftp-connector-secret-procedure.md).
+ (Facoltativo) È possibile creare il connettore lasciando il `TrustedHostKeys` parametro vuoto. Tuttavia, il connettore non sarà in grado di trasferire file con il server remoto finché non fornirai questo parametro nella configurazione del connettore. Puoi inserire le chiavi host affidabili al momento della creazione del connettore o aggiornare il connettore in un secondo momento utilizzando le informazioni sulla chiave host restituite dall'azione della `TestConnection` console o dal comando API. Cioè, per la casella di testo **Trusted host keys**, puoi effettuare una delle seguenti operazioni:
+ **Fornisci le chiavi Trusted Host al momento della creazione del connettore.** Incolla la parte pubblica della chiave host utilizzata per identificare il server esterno. Puoi aggiungere più di una chiave, scegliendo **Aggiungi chiave host affidabile** per aggiungere una chiave aggiuntiva. È possibile utilizzare il `ssh-keyscan` comando sul server SFTP per recuperare la chiave necessaria. Per informazioni dettagliate sul formato e sul tipo di chiavi host affidabili supportate da Transfer Family, vedere [https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html](https://docs.aws.amazon.com//transfer/latest/APIReference/API_SftpConnectorConfig.html).
+ *Lascia vuota la casella di testo Trusted Host Key (s) quando crei il connettore e aggiorna il connettore in un secondo momento con queste informazioni.* Se non disponi delle informazioni sulla chiave host al momento della creazione del connettore, puoi lasciare questo parametro vuoto per ora e procedere con la creazione del connettore. Dopo aver creato il connettore, utilizza l'ID del nuovo connettore per eseguire il `TestConnection` comando, nella AWS CLI o dalla pagina dei dettagli del connettore. In caso di successo, `TestConnection` restituirà le informazioni necessarie sulla chiave host. È quindi possibile modificare il connettore utilizzando la console (o eseguendo il `UpdateConnector` AWS CLI comando) e aggiungere le informazioni sulla chiave host restituite durante l'esecuzione`TestConnection`.
**Importante**
Se recuperate la chiave host del server remoto eseguendo`TestConnection`, assicuratevi di eseguire la out-of-band convalida sulla chiave restituita.
È necessario accettare la nuova chiave come attendibile o verificare l'impronta digitale presentata con un'impronta digitale precedentemente nota che avete ricevuto dal proprietario del server SFTP remoto a cui vi state connettendo.
+ (Facoltativo) Per Numero **massimo di connessioni simultanee**, dall'elenco a discesa, scegliete il numero di connessioni simultanee che il connettore crea al server remoto. **La selezione predefinita sulla console è 5.**
Questa impostazione specifica il numero di connessioni attive che il connettore può stabilire contemporaneamente con il server remoto. La creazione di connessioni simultanee può migliorare le prestazioni dei connettori abilitando le operazioni parallele.
1. Nella sezione **Opzioni dell'algoritmo di crittografia**, scegli una **politica di sicurezza** dall'elenco a discesa nel campo Politica di **sicurezza**. La politica di sicurezza consente di selezionare gli algoritmi crittografici supportati dal connettore. Per i dettagli sulle politiche e sugli algoritmi di sicurezza disponibili, vedere. [AWS Transfer Family Politiche di sicurezza per i connettori SFTP](security-policies-connectors.md)
1. (Facoltativo) Nella sezione **Tag**, per **Chiave** e **Valore**, inserite uno o più tag come coppie chiave-valore.
1. Dopo aver confermato tutte le impostazioni, scegli **Crea connettore SFTP per creare il connettore SFTP**. Se il connettore viene creato correttamente, viene visualizzata una schermata con un elenco degli indirizzi IP statici assegnati e un pulsante **Test di connessione**. Utilizzate il pulsante per testare la configurazione del nuovo connettore.
![\[La schermata di creazione del connettore che appare quando un connettore SFTP è stato creato con successo. Contiene un pulsante per testare la connessione e un elenco degli indirizzi IP statici gestiti dal servizio di questo connettore.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/connector-success-ip.png)
Viene visualizzata la pagina **Connettori**, con l'ID del nuovo connettore SFTP aggiunto all'elenco. Per visualizzare i dettagli dei connettori, consulta[Visualizza i dettagli del connettore SFTP](manage-sftp-connectors.md#sftp-connectors-view-info).
------
#### [ CLI ]
Il [https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateConnector.html)comando viene utilizzato per creare un connettore. Per utilizzare questo comando per creare un connettore SFTP, è necessario fornire le seguenti informazioni.
+ L'URL di un server SFTP remoto. Questo URL deve essere formattato come`sftp://partner-SFTP-server-url`, ad esempio. `sftp://AnyCompany.com`
+ Il ruolo di accesso. Scegli l'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) da utilizzare.
+ **Assicurati che questo ruolo fornisca l'accesso in lettura e scrittura** alla directory principale della posizione del file utilizzata nella `StartFileTransfer` richiesta.
+ **Assicurati che questo ruolo fornisca l'autorizzazione** `secretsmanager:GetSecretValue` per accedere al segreto.
**Nota**
Nella policy, è necessario specificare l'ARN per il segreto. L'ARN contiene il nome segreto, ma aggiunge al nome sei caratteri alfanumerici casuali. Un ARN per un segreto ha il seguente formato.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Assicurati che questo ruolo contenga una relazione di fiducia** che consenta al connettore di accedere alle tue risorse per soddisfare le richieste di trasferimento degli utenti. Per i dettagli su come stabilire una relazione di fiducia, consulta. [Per stabilire una relazione di trust](requirements-roles.md#establish-trust-transfer)
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**Nota**
Per il ruolo di accesso, l'esempio concede l'accesso a un singolo segreto. Tuttavia, puoi utilizzare un carattere jolly, che può far risparmiare lavoro se desideri riutilizzare lo stesso ruolo IAM per più utenti e segreti. Ad esempio, la seguente dichiarazione di risorsa concede le autorizzazioni per tutti i segreti il cui nome inizia con. `aws/transfer`
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
È inoltre possibile archiviare i segreti contenenti le credenziali SFTP in un altro. Account AWS Per i dettagli sull'abilitazione dell'accesso segreto tra account, consulta [Autorizzazioni ai Gestione dei segreti AWS segreti per gli utenti](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) di un altro account.
+ (Facoltativo) Scegli il ruolo IAM per il connettore da utilizzare per inviare eventi ai tuoi CloudWatch log. La seguente policy di esempio elenca le autorizzazioni necessarie per registrare gli eventi per i connettori SFTP.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
+ Fornite le seguenti informazioni di configurazione SFTP.
+ L'ARN di un segreto Gestione dei segreti AWS che contiene la chiave privata o la password dell'utente SFTP.
+ La parte pubblica della chiave host utilizzata per identificare il server esterno. Se lo desideri, puoi fornire più chiavi host affidabili.
Il modo più semplice per fornire le informazioni SFTP è salvarle in un file. Ad esempio, copiate il seguente testo di esempio in un file denominato`testSFTPConfig.json`.
```
// Listing for testSFTPConfig.json
{
"UserSecretId": "arn:aws::secretsmanager:us-east-2:123456789012:secret:aws/transfer/example-username-key",
"TrustedHostKeys": [
"sftp.example.com ssh-rsa AAAAbbbb...EEEE="
]
}
```
+ Specificate una politica di sicurezza per il connettore, inserendo il nome della politica di sicurezza.
**Nota**
`SecretId`Può essere l'intero ARN o il nome del segreto (*example-username-key*nell'elenco precedente).
Quindi esegui il seguente comando per creare il connettore:
```
aws transfer create-connector --url "sftp://partner-SFTP-server-url" \
--access-role your-IAM-role-for-bucket-access \
--logging-role arn:aws:iam::your-account-id:role/service-role/AWSTransferLoggingAccess \
--sftp-config file:///path/to/testSFTPConfig.json \
--security-policy-name security-policy-name \
--maximum-concurrent-connections integer-from-1-to-5
```
Quando descrivi un connettore di tipo di uscita VPC, la risposta include i nuovi campi:
```
{
"Connector": {
"AccessRole": "arn:aws:iam::123456789012:role/connector-role",
"Arn": "arn:aws:transfer:us-east-1:123456789012:connector/c-1234567890abcdef0",
"ConnectorId": "c-1234567890abcdef0",
"Status": "ACTIVE",
"EgressConfig": {
"VpcLattice": {
"ResourceConfigurationArn": "arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-12345678",
"PortNumber": 22
}
},
"EgressType": "VPC",
"ServiceManagedEgressIpAddresses": null,
"SftpConfig": {
"TrustedHostKeys": [ "ssh-rsa AAAAB3NzaC..." ],
"UserSecretId": "aws/transfer/connector-secret"
},
"Url": "sftp://my.sftp.server.com:22"
}
}
```
Tieni presente che `ServiceManagedEgressIpAddresses` è nullo per i connettori di tipo VPC in uscita poiché il traffico viene indirizzato attraverso il tuo VPC anziché attraverso l'infrastruttura gestita. AWS
------
# Crea un connettore SFTP con uscita basata su VPC
Questo argomento fornisce step-by-step istruzioni per creare connettori SFTP con connettività VPC. I connettori abilitati a VPC\$1Lattice utilizzano Amazon VPC Lattice per indirizzare il traffico attraverso il tuo Virtual Private Cloud, abilitando connessioni sicure a endpoint privati o utilizzando i tuoi gateway NAT per l'accesso a Internet.
**Quando utilizzare la connettività VPC**
Utilizza la connettività VPC per i connettori SFTP in questi scenari:
+ **Server SFTP privati**: Connettiti ai server SFTP accessibili solo dal tuo VPC.
+ **Connettività locale: connettiti** ai server SFTP locali tramite AWS Direct Connect o AWS Site-to-Site connessioni VPN.
+ **Indirizzi IP personalizzati: utilizza i tuoi gateway NAT e indirizzi** IP elastici, inclusi gli scenari BYOIP.
+ **Controlli di sicurezza centralizzati: indirizza i trasferimenti di file attraverso i controlli** centrali dell'organizzazione. ingress/egress
![\[Diagramma dell'architettura che mostra l'uscita basata su VPC per i connettori SFTP, che illustra come l'accesso alle risorse Cross-VPC consente connessioni sicure tramite il Virtual Private Cloud.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/vpc-egress-diagram.png)
## Prerequisiti per i connettori SFTP compatibili con VPC\$1Lattice
Prima di creare un connettore SFTP abilitato per VPC\$1Lattice, è necessario completare i seguenti prerequisiti:
**Come funziona la connettività basata su VPC**
VPC Lattice ti consente di condividere in modo sicuro le risorse VPC con altri servizi. AWS AWS Transfer Family utilizza una rete di servizi per semplificare il processo di condivisione delle risorse. I componenti principali sono:
+ **Resource Gateway**: funge da punto di accesso al tuo VPC. Puoi crearlo nel tuo VPC con un minimo di due zone di disponibilità.
+ **Configurazione delle risorse**: contiene l'indirizzo IP privato o il nome DNS pubblico del server SFTP a cui desideri connetterti.
Quando crei un connettore abilitato a VPC\$1Lattice, AWS Transfer Family utilizza Forward Access Session (FAS) per ottenere temporaneamente le tue credenziali e associare la tua configurazione delle risorse alla nostra rete di servizi.
**Passaggi di configurazione richiesti**
1. **Infrastruttura VPC**: assicurati di disporre di un VPC configurato correttamente con le sottoreti, le tabelle di routing e i gruppi di sicurezza necessari per i requisiti di connettività del server SFTP.
1. **Resource Gateway**: crea un Resource Gateway nel tuo VPC usando il comando VPC Lattice. `create-resource-gateway` Il Resource Gateway deve essere associato a sottoreti in almeno due zone di disponibilità. Per ulteriori informazioni, consulta [Resource gateway](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-gateway.html) nella *Amazon VPC Lattice* User Guide.
1. **Configurazione delle risorse**: crea una configurazione delle risorse che rappresenti il server SFTP di destinazione utilizzando il comando VPC `create-resource-configuration` Lattice. È possibile specificare uno dei seguenti elementi:
+ Un indirizzo IP privato per endpoint privati
+ Un nome DNS pubblico per gli endpoint pubblici (gli indirizzi IP non sono supportati per gli endpoint pubblici)
1. **Credenziali di autenticazione**: memorizza le credenziali utente SFTP come descritto in. Gestione dei segreti AWS [Memorizza le credenziali di autenticazione per i connettori SFTP in Secrets Manager](sftp-connector-secret-procedure.md)
**Importante**
Resource Gateway e Resource Configuration devono essere creati nello stesso account. AWS Quando si crea una configurazione delle risorse, è necessario innanzitutto disporre di un Resource Gateway.
Per ulteriori informazioni sulle configurazioni delle risorse VPC, consulta Configurazioni delle [risorse nella](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) Amazon *VPC* Lattice User Guide.
**Nota**
La connettività VPC per i connettori SFTP è disponibile laddove sono disponibili Regioni AWS risorse Amazon VPC Lattice. Per ulteriori informazioni, consulta [VPC](https://aws.amazon.com/vpc/lattice/faqs/#topic-0) Lattice. FAQs Il supporto per le zone di disponibilità varia in base alla regione e i Resource Gateway richiedono un minimo di due zone di disponibilità.
## Crea un connettore SFTP compatibile con VPC\$1Lattice
Dopo aver completato i prerequisiti, è possibile creare un connettore SFTP con connettività VPC utilizzando la AWS CLI console di AWS gestione o. AWS SDKs
------
#### [ Console ]
**Per creare un connettore SFTP compatibile con VPC\$1Lattice**
1. Apri AWS Transfer Family la console all'[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)indirizzo.
1. Nel riquadro di navigazione a sinistra, scegli **Connettori SFTP**, quindi scegli **Crea connettore SFTP**.
1. Nella sezione **Configurazione del connettore**, per il **tipo di uscita**, scegli **VPC** Lattice.
Questa opzione indirizza il traffico attraverso il tuo VPC utilizzando Amazon VPC Lattice per l'accesso alle risorse tra VPC. Puoi utilizzare questa opzione per connetterti a endpoint server ospitati privatamente, instradare il traffico attraverso i controlli di sicurezza del tuo VPC o utilizzare i tuoi gateway NAT e indirizzi IP elastici. L'indirizzo del server SFTP remoto è rappresentato come configurazione delle risorse nel tuo VPC. Per ulteriori informazioni sulle configurazioni delle risorse, consulta Configurazioni [delle risorse per le risorse VPC nella Amazon VPC](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-configuration.html) Lattice User Guide.
1. Completa la configurazione del connettore:
+ Per il **ruolo Access**, scegli l'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) da utilizzare.
+ **Assicurati che questo ruolo fornisca l'accesso in lettura e scrittura** alla directory principale della posizione del file utilizzata nella `StartFileTransfer` richiesta.
+ **Assicurati che questo ruolo fornisca l'autorizzazione** `secretsmanager:GetSecretValue` per accedere al segreto.
**Nota**
Nella policy, è necessario specificare l'ARN per il segreto. L'ARN contiene il nome segreto, ma aggiunge al nome sei caratteri alfanumerici casuali. Un ARN per un segreto ha il seguente formato.
```
arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters
```
+ **Assicurati che questo ruolo contenga una relazione di fiducia** che consenta al connettore di accedere alle tue risorse per soddisfare le richieste di trasferimento degli utenti. Per i dettagli su come stabilire una relazione di fiducia, consulta. [Per stabilire una relazione di trust](requirements-roles.md#establish-trust-transfer)
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Sid": "GetConnectorSecretValue",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
}
]
}
```
**Nota**
Per il ruolo di accesso, l'esempio concede l'accesso a un singolo segreto. Tuttavia, puoi utilizzare un carattere jolly, che può far risparmiare lavoro se desideri riutilizzare lo stesso ruolo IAM per più utenti e segreti. Ad esempio, la seguente dichiarazione di risorsa concede le autorizzazioni per tutti i segreti il cui nome inizia con. `aws/transfer`
```
"Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"
```
È inoltre possibile archiviare i segreti contenenti le credenziali SFTP in un altro. Account AWS Per i dettagli sull'abilitazione dell'accesso segreto tra account, consulta [Autorizzazioni ai Gestione dei segreti AWS segreti per gli utenti](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) di un altro account.
+ Per **Resource Configuration ARN**, inserisci l'ARN della VPC Lattice Resource Configuration che punta al tuo server SFTP:
```
arn:aws:vpc-lattice:region:account-id:resourceconfiguration/rcfg-12345678
```
+ (Facoltativo) Per il ruolo **Logging, scegli il ruolo** IAM per il connettore da utilizzare per inviare eventi ai tuoi log. CloudWatch
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
}
]
}
```
1. Nella sezione **Configurazione SFTP**, fornisci le seguenti informazioni:
+ Per **le credenziali del connettore**, scegliete il nome di un segreto Gestione dei segreti AWS che contiene la chiave privata o la password dell'utente SFTP.
+ Per **le chiavi host affidabili**, incollate la parte pubblica della chiave host utilizzata per identificare il server esterno oppure lasciatela vuota per configurarla in un secondo momento utilizzando il `TestConnection` comando.
Poiché questa chiave host è per un connettore VPC\$1LATTICE, rimuovi il nome host nella chiave
+ (Facoltativo) Per il numero **massimo di connessioni simultanee**, scegliete il numero di connessioni simultanee che il connettore crea al server remoto (l'impostazione predefinita è 5).
1. Nella sezione **Opzioni dell'algoritmo di crittografia**, scegli una **politica di sicurezza dall'elenco** a discesa.
1. (Facoltativo) Nella sezione **Tag**, aggiungi i tag come coppie chiave-valore.
1. Scegli **Crea connettore SFTP per creare il connettore SFTP abilitato** a VPC\$1Lattice.
Il connettore verrà creato con lo stato di `PENDING` durante il provisioning dell'associazione di risorse, operazione che in genere richiede diversi minuti. Una volta modificato lo stato`ACTIVE`, il connettore è pronto per l'uso.
------
#### [ CLI ]
Utilizzate il seguente comando per creare un connettore SFTP compatibile con VPC\$1Lattice:
```
aws transfer create-connector \
--url "sftp://my.sftp.server.com:22" \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-secret-id,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0} \
--security-policy-name TransferSecurityPolicy-2024-01
```
Il parametro chiave per la connettività VPC è`--egress-config`, che specifica l'ARN di configurazione delle risorse che definisce la destinazione del server SFTP.
------
## Monitoraggio dello stato del connettore VPC
I connettori abilitati a VPC\$1Lattice hanno un processo di configurazione asincrono. Dopo la creazione, monitora lo stato del connettore:
+ **IN SOSPESO**: è in corso il provisioning del connettore. Il provisioning della rete di assistenza è in corso e in genere richiede alcuni minuti.
+ **ATTIVO**: Il connettore è pronto all'uso e può trasferire file.
+ **ERRORE: il** provisioning del connettore non è riuscito. Controlla i dettagli dell'errore per informazioni sulla risoluzione dei problemi.
Controlla lo stato del connettore usando il `describe-connector` comando:
```
aws transfer describe-connector --connector-id c-1234567890abcdef0
```
Durante lo stato PENDING, l'`test-connection`API restituirà «Connettore non disponibile» fino al completamento del provisioning.
## Considerazioni e limitazioni
+ **Endpoint pubblici**: quando ti connetti a endpoint pubblici tramite VPC, devi fornire un nome DNS nella configurazione delle risorse. Gli indirizzi IP pubblici non sono supportati.
+ **Disponibilità regionale: la** connettività VPC è disponibile in alcune versioni. Regioni AWS La condivisione delle risorse tra regioni non è supportata.
+ **Requisiti della zona di disponibilità: i** Resource Gateway devono essere associati a sottoreti in almeno due zone di disponibilità. Non tutte le zone di disponibilità supportano VPC Lattice in tutte le regioni.
+ **Limiti di connessione**: massimo 350 connessioni per risorsa con un timeout di inattività di 350 secondi per le connessioni TCP.
## Considerazioni sui costi
Non sono previsti costi aggiuntivi oltre ai normali costi di AWS Transfer Family servizio. Tuttavia, i clienti potrebbero essere soggetti a costi aggiuntivi da parte di Amazon VPC Lattice associati alla condivisione delle proprie risorse Amazon Virtual Private Cloud e ai costi del gateway NAT se utilizzano i propri gateway NAT per l'accesso a Internet.
[Per informazioni complete AWS Transfer Family sui prezzi, consulta la pagina dei prezzi.AWS Transfer Family](https://aws.amazon.com/aws-transfer-family/pricing/)
## Esempi di connettività VPC per connettori SFTP
Questa sezione fornisce esempi di creazione di connettori SFTP con connettività VPC per vari scenari. Prima di utilizzare questi esempi, assicurati di aver completato la configurazione dell'infrastruttura VPC come descritto nella documentazione sulla connettività VPC.
### Esempio: connessione endpoint privata
Questo esempio mostra come creare un connettore SFTP che si connette a un server SFTP privato accessibile solo dal tuo VPC.
**Prerequisiti**
1. Crea un Resource Gateway nel tuo VPC:
```
aws vpc-lattice create-resource-gateway \
--name my-private-server-gateway \
--vpc-identifier vpc-1234567890abcdef0 \
--subnet-ids subnet-1234567890abcdef0 subnet-0987654321fedcba0
```
1. Crea una configurazione delle risorse per il tuo server SFTP privato:
```
aws vpc-lattice create-resource-configuration \
--name my-private-server-config \
--resource-gateway-identifier rgw-1234567890abcdef0 \
--resource-configuration-definition ipResource={ipAddress="10.0.1.100"} \
--port-ranges 22
```
**Crea il connettore abilitato a VPC\$1Lattice**
1. Crea il connettore SFTP con connettività VPC:
```
aws transfer create-connector \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-private-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22}
```
1. Monitora lo stato del connettore finché non diventa: `ACTIVE`
```
aws transfer describe-connector --connector-id c-1234567890abcdef0
```
Il server SFTP remoto vedrà le connessioni provenienti dall'indirizzo IP del Resource Gateway all'interno dell'intervallo CIDR VPC.
### Esempio: endpoint pubblico tramite VPC
Questo esempio mostra come instradare le connessioni a un server SFTP pubblico tramite il VPC per sfruttare i controlli di sicurezza centralizzati e utilizzare i propri indirizzi IP del gateway NAT.
**Prerequisiti**
1. Crea un Resource Gateway nel tuo VPC (come nell'esempio di un endpoint privato).
1. Crea una configurazione delle risorse per il server SFTP pubblico usando il suo nome DNS:
```
aws vpc-lattice create-resource-configuration \
--name my-public-server-config \
--resource-gateway-identifier rgw-1234567890abcdef0 \
--resource-configuration-definition dnsResource={domainName="sftp.example.com"} \
--port-ranges 22
```
**Nota**
Per gli endpoint pubblici, è necessario utilizzare un nome DNS, non un indirizzo IP.
**Crea il connettore**
+ Crea il connettore SFTP:
```
aws transfer create-connector \
--access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
--sftp-config UserSecretId=my-public-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0987654321fedcba0,PortNumber=22}
```
Il traffico fluirà dal connettore al Resource Gateway, quindi attraverso il gateway NAT per raggiungere il server SFTP pubblico. Il server remoto vedrà come origine l'indirizzo IP elastico del gateway NAT.
### Esempio: endpoint privato con più account
Questo esempio mostra come connettersi a un server SFTP privato con un AWS account diverso utilizzando la condivisione delle risorse.
**Nota**
Se hai già abilitato la condivisione delle risorse tra VPC tramite altri meccanismi, ad esempio AWS Transit Gateway, non è necessario configurare la condivisione delle risorse descritta qui. I meccanismi di routing esistenti, come le tabelle di routing Transit Gateway, vengono utilizzati automaticamente dai connettori SFTP. È sufficiente creare una configurazione delle risorse nello stesso account in cui si sta creando il connettore SFTP.
**Account A (Resource Provider): condividi la configurazione delle risorse**
1. Crea Resource Gateway e Resource Configuration nell'Account A (come negli esempi precedenti).
1. Condividi la configurazione delle risorse con l'account B utilizzando AWS Resource Access Manager:
```
aws ram create-resource-share \
--name cross-account-sftp-share \
--resource-arns arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0 \
--principals 222222222222
```
**Account B (Resource Consumer): accetta e utilizza la condivisione**
1. Accetta l'invito alla condivisione delle risorse:
```
aws ram accept-resource-share-invitation \
--resource-share-invitation-arn arn:aws:ram:us-east-1:111111111111:resource-share-invitation/invitation-id
```
1. Crea il connettore SFTP nell'account B:
```
aws transfer create-connector \
--access-role arn:aws:iam::222222222222:role/TransferConnectorRole \
--sftp-config UserSecretId=cross-account-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
--egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22}
```
Il connettore nell'account B può ora accedere al server SFTP privato nell'account A tramite la configurazione delle risorse condivisa.
### Scenari per la risoluzione dei problemi comuni
Ecco le soluzioni per i problemi più comuni relativi alla creazione di connettori abilitati per VPC\$1Lattice:
+ **Connettore bloccato nello stato IN SOSPESO**: verifica che il Resource Gateway sia ATTIVO e che disponga di sottoreti nelle zone di disponibilità supportate. Se il connettore è ancora bloccato con lo stato PENDING, chiama `UpdateConnector` utilizzando gli stessi parametri di configurazione utilizzati inizialmente. Ciò attiva un nuovo evento di stato che potrebbe risolvere il problema.
+ **Timeout di connessione**: verifica che le regole del gruppo di sicurezza consentano il traffico sulla porta 22 e che il routing del VPC sia corretto.
+ **Problemi di risoluzione DNS**: per gli endpoint pubblici, assicurati che il tuo VPC disponga di connettività Internet tramite un gateway NAT o un gateway Internet.
+ **Accesso tra account negato**: verifica che la condivisione delle risorse sia accettata e che l'ARN di configurazione delle risorse sia corretto. Se la politica di autorizzazione appropriata è allegata alla configurazione delle risorse quando l'account di origine crea la condivisione di risorse, sono necessarie le seguenti autorizzazioni:`vpc-lattice:AssociateViaAWSService`,,,`vpc-lattice:AssociateViaAWSService-EventsAndStates`. `vpc-lattice:CreateServiceNetworkResourceAssociation` `vpc-lattice:GetResourceConfiguration`
# Prova un connettore SFTP
Dopo aver creato un connettore SFTP, si consiglia di testarlo prima di tentare di trasferire qualsiasi file utilizzando il nuovo connettore.
**Per testare un connettore SFTP**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Nel riquadro di navigazione a sinistra, scegli **Connettori SFTP** e seleziona un connettore.
1. Dal menu **Azioni**, scegli **Verifica connessione.**
![\[La console Transfer Family, che mostra un connettore SFTP selezionato, e l'azione Test connessione Test connessione evidenziata.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/connector-test-choose.png)
Il sistema restituisce un messaggio che indica se il test ha esito positivo o negativo. Se il test fallisce, il sistema fornisce un messaggio di errore in base al motivo per cui il test non è riuscito.
![\[Il pannello di verifica della connessione del connettore SFTP, che mostra l'esito positivo del test.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/connector-test-success.png)
![\[Il pannello di connessione per il test del connettore SFTP, che mostra un test non riuscito: il messaggio di errore indica che il ruolo di accesso per il connettore non è corretto.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/connector-test-fail-role.png)
**Nota**
Per utilizzare l'API per testare il connettore, consulta la documentazione dell'[https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection](https://docs.aws.amazon.com/transfer/latest/APIReference/API_TestConnection)API.