Crea un connettore SFTP con uscita basata su VPC - AWS Transfer Family
Prerequisiti per i connettori SFTP compatibili con VPC_LatticeCrea un connettore SFTP compatibile con VPC_LatticeMonitoraggio dello stato del connettore VPCConsiderazioni e limitazioniConsiderazioni sui costiEsempi di connettività VPC

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un connettore SFTP con uscita basata su VPC

Questo argomento fornisce step-by-step istruzioni per creare connettori SFTP con connettività VPC. I connettori abilitati a VPC_Lattice utilizzano Amazon VPC Lattice per indirizzare il traffico attraverso il tuo Virtual Private Cloud, abilitando connessioni sicure a endpoint privati o utilizzando i tuoi gateway NAT per l'accesso a Internet.

Quando utilizzare la connettività VPC

Utilizza la connettività VPC per i connettori SFTP in questi scenari:

  • Server SFTP privati: Connettiti ai server SFTP accessibili solo dal tuo VPC.

  • Connettività locale: connettiti ai server SFTP locali tramite AWS Direct Connect o AWS Site-to-Site connessioni VPN.

  • Indirizzi IP personalizzati: utilizza i tuoi gateway NAT e indirizzi IP elastici, inclusi gli scenari BYOIP.

  • Controlli di sicurezza centralizzati: indirizza i trasferimenti di file attraverso i controlli centrali dell'organizzazione. ingress/egress

Diagramma dell'architettura che mostra l'uscita basata su VPC per i connettori SFTP, che illustra come l'accesso alle risorse Cross-VPC consente connessioni sicure tramite il Virtual Private Cloud.

Prerequisiti per i connettori SFTP compatibili con VPC_Lattice

Prima di creare un connettore SFTP abilitato per VPC_Lattice, è necessario completare i seguenti prerequisiti:

Come funziona la connettività basata su VPC

VPC Lattice ti consente di condividere in modo sicuro le risorse VPC con altri servizi. AWS AWS Transfer Family utilizza una rete di servizi per semplificare il processo di condivisione delle risorse. I componenti principali sono:

  • Resource Gateway: funge da punto di accesso al tuo VPC. Puoi crearlo nel tuo VPC con un minimo di due zone di disponibilità.

  • Configurazione delle risorse: contiene l'indirizzo IP privato o il nome DNS pubblico del server SFTP a cui desideri connetterti.

Quando crei un connettore abilitato a VPC_Lattice, AWS Transfer Family utilizza Forward Access Session (FAS) per ottenere temporaneamente le tue credenziali e associare la tua configurazione delle risorse alla nostra rete di servizi.

Passaggi di configurazione richiesti

  1. Infrastruttura VPC: assicurati di disporre di un VPC configurato correttamente con le sottoreti, le tabelle di routing e i gruppi di sicurezza necessari per i requisiti di connettività del server SFTP.

  2. Resource Gateway: crea un Resource Gateway nel tuo VPC usando il comando VPC Lattice. create-resource-gateway Il Resource Gateway deve essere associato a sottoreti in almeno due zone di disponibilità. Per ulteriori informazioni, consulta Resource gateway nella Amazon VPC Lattice User Guide.

  3. Configurazione delle risorse: crea una configurazione delle risorse che rappresenti il server SFTP di destinazione utilizzando il comando VPC create-resource-configuration Lattice. È possibile specificare una delle seguenti opzioni:

    • Un indirizzo IP privato per endpoint privati

    • Un nome DNS pubblico per gli endpoint pubblici (gli indirizzi IP non sono supportati per gli endpoint pubblici)

  4. Credenziali di autenticazione: memorizza le credenziali utente SFTP come descritto in. Gestione dei segreti AWS Memorizza le credenziali di autenticazione per i connettori SFTP in Secrets Manager

Importante

Resource Gateway e Resource Configuration devono essere creati nello stesso account. AWS Quando si crea una configurazione delle risorse, è necessario innanzitutto disporre di un Resource Gateway.

Per ulteriori informazioni sulle configurazioni delle risorse VPC, consulta Configurazioni delle risorse nella Amazon VPC Lattice User Guide.

Nota

La connettività VPC per i connettori SFTP è disponibile laddove sono disponibili Regioni AWS risorse Amazon VPC Lattice. Per ulteriori informazioni, consulta VPC Lattice. FAQs Il supporto per le zone di disponibilità varia in base alla regione e i Resource Gateway richiedono un minimo di due zone di disponibilità.

Crea un connettore SFTP compatibile con VPC_Lattice

Dopo aver completato i prerequisiti, è possibile creare un connettore SFTP con connettività VPC utilizzando la AWS CLI console di AWS gestione o. AWS SDKs

Console
Per creare un connettore SFTP compatibile con VPC_Lattice

  1. Apri AWS Transfer Family la console all'https://console.aws.amazon.com/transfer/indirizzo.

  2. Nel riquadro di navigazione a sinistra, scegli Connettori SFTP, quindi scegli Crea connettore SFTP.

  3. Nella sezione Configurazione del connettore, per il tipo di uscita, scegli VPC Lattice.

    Questa opzione indirizza il traffico attraverso il tuo VPC utilizzando Amazon VPC Lattice per l'accesso alle risorse tra VPC. Puoi utilizzare questa opzione per connetterti a endpoint server ospitati privatamente, instradare il traffico attraverso i controlli di sicurezza del tuo VPC o utilizzare i tuoi gateway NAT e indirizzi IP elastici. L'indirizzo del server SFTP remoto è rappresentato come configurazione delle risorse nel tuo VPC. Per ulteriori informazioni sulle configurazioni delle risorse, consulta Configurazioni delle risorse per le risorse VPC nella Amazon VPC Lattice User Guide.

  4. Completa la configurazione del connettore:

    • Per il ruolo Access, scegli l'Amazon Resource Name (ARN) del ruolo AWS Identity and Access Management (IAM) da utilizzare.

      • Assicurati che questo ruolo fornisca l'accesso in lettura e scrittura alla directory principale della posizione del file utilizzata nella StartFileTransfer richiesta.

      • Assicurati che questo ruolo fornisca l'autorizzazione secretsmanager:GetSecretValue per accedere al segreto.

        Nota

        Nella policy, è necessario specificare l'ARN per il segreto. L'ARN contiene il nome segreto, ma aggiunge al nome sei caratteri alfanumerici casuali. Un ARN per un segreto ha il seguente formato.

        arn:aws:secretsmanager:region:account-id:secret:aws/transfer/SecretName-6RandomCharacters

      • Assicurati che questo ruolo contenga una relazione di fiducia che consenta al connettore di accedere alle tue risorse per soddisfare le richieste di trasferimento degli utenti. Per i dettagli su come stabilire una relazione di fiducia, consulta. Per stabilire una relazione di trust

      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
        "Sid": "AllowListingOfUserFolder",
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketLocation"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket"
        ]
    },
    {
        "Sid": "HomeDirObjectAccess",
        "Effect": "Allow",
        "Action": [
            "s3:PutObject",
            "s3:GetObject",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion",
            "s3:GetObjectVersion",
            "s3:GetObjectACL",
            "s3:PutObjectACL"
        ],
        "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    },
    {
        "Sid": "GetConnectorSecretValue",
        "Effect": "Allow",
        "Action": [
            "secretsmanager:GetSecretValue"
        ],
        "Resource": "arn:aws:secretsmanager:us-west-2:111122223333:secret:aws/transfer/SecretName-6RandomCharacters"
    }
  ]
}
      Nota

      Per il ruolo di accesso, l'esempio concede l'accesso a un singolo segreto. Tuttavia, puoi utilizzare un carattere jolly, che può far risparmiare lavoro se desideri riutilizzare lo stesso ruolo IAM per più utenti e segreti. Ad esempio, la seguente dichiarazione di risorsa concede le autorizzazioni per tutti i segreti il cui nome inizia con. aws/transfer

      "Resource": "arn:aws:secretsmanager:region:account-id:secret:aws/transfer/*"

      È inoltre possibile archiviare i segreti contenenti le credenziali SFTP in un altro. Account AWS Per i dettagli sull'abilitazione dell'accesso segreto tra account, consulta Autorizzazioni ai Gestione dei segreti AWS segreti per gli utenti di un altro account.

    • Per Resource Configuration ARN, inserisci l'ARN della VPC Lattice Resource Configuration che punta al tuo server SFTP:

      arn:aws:vpc-lattice:region:account-id:resourceconfiguration/rcfg-12345678

    • (Facoltativo) Per il ruolo Logging, scegli il ruolo IAM per il connettore da utilizzare per inviare eventi ai tuoi log. CloudWatch 

      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:DescribeLogStreams",
                "logs:CreateLogGroup",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/transfer/*"
        }
    ]
}

  5. Nella sezione Configurazione SFTP, fornisci le seguenti informazioni:

    • Per le credenziali del connettore, scegliete il nome di un segreto Gestione dei segreti AWS che contiene la chiave privata o la password dell'utente SFTP.

    • Per le chiavi host affidabili, incollate la parte pubblica della chiave host utilizzata per identificare il server esterno oppure lasciatela vuota per configurarla in un secondo momento utilizzando il TestConnection comando.

      Poiché questa chiave host è per un connettore VPC_LATTICE, rimuovi il nome host nella chiave

    • (Facoltativo) Per il numero massimo di connessioni simultanee, scegliete il numero di connessioni simultanee che il connettore crea al server remoto (l'impostazione predefinita è 5).

  6. Nella sezione Opzioni dell'algoritmo di crittografia, scegli una politica di sicurezza dall'elenco a discesa.

  7. (Facoltativo) Nella sezione Tag, aggiungi i tag come coppie chiave-valore.

  8. Scegli Crea connettore SFTP per creare il connettore SFTP abilitato a VPC_Lattice.

Il connettore verrà creato con lo stato di PENDING durante il provisioning dell'associazione di risorse, operazione che in genere richiede diversi minuti. Una volta che lo stato cambia inACTIVE, il connettore è pronto per l'uso.

CLI

Utilizzate il seguente comando per creare un connettore SFTP compatibile con VPC_Lattice:

aws transfer create-connector \
    --url "sftp://my.sftp.server.com:22" \
    --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
    --sftp-config UserSecretId=my-secret-id,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
    --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0} \
    --security-policy-name TransferSecurityPolicy-2024-01

Il parametro chiave per la connettività VPC è--egress-config, che specifica l'ARN di configurazione delle risorse che definisce la destinazione del server SFTP.

Monitoraggio dello stato del connettore VPC

I connettori abilitati a VPC_Lattice hanno un processo di configurazione asincrono. Dopo la creazione, monitora lo stato del connettore:

  • IN SOSPESO: è in corso il provisioning del connettore. Il provisioning della rete di assistenza è in corso, operazione che in genere richiede alcuni minuti.

  • ATTIVO: Il connettore è pronto all'uso e può trasferire file.

  • ERRORE: il provisioning del connettore non è riuscito. Controlla i dettagli dell'errore per informazioni sulla risoluzione dei problemi.

Controlla lo stato del connettore usando il describe-connector comando:

aws transfer describe-connector --connector-id c-1234567890abcdef0

Durante lo stato PENDING, l'test-connectionAPI restituirà «Connettore non disponibile» fino al completamento del provisioning.

Considerazioni e limitazioni

  • Endpoint pubblici: quando ti connetti a endpoint pubblici tramite VPC, devi fornire un nome DNS nella configurazione delle risorse. Gli indirizzi IP pubblici non sono supportati.

  • Disponibilità regionale: la connettività VPC è disponibile in alcune versioni. Regioni AWS La condivisione delle risorse tra regioni non è supportata.

  • Requisiti della zona di disponibilità: i Resource Gateway devono essere associati a sottoreti in almeno due zone di disponibilità. Non tutte le zone di disponibilità supportano VPC Lattice in tutte le regioni.

  • Limiti di connessione: massimo 350 connessioni per risorsa con un timeout di inattività di 350 secondi per le connessioni TCP.

Considerazioni sui costi

Non sono previsti costi aggiuntivi oltre ai normali costi di AWS Transfer Family servizio. Tuttavia, i clienti potrebbero essere soggetti a costi aggiuntivi da parte di Amazon VPC Lattice associati alla condivisione delle proprie risorse Amazon Virtual Private Cloud e ai costi del gateway NAT se utilizzano i propri gateway NAT per l'accesso a Internet.

Per informazioni complete AWS Transfer Family sui prezzi, consulta la pagina dei prezzi.AWS Transfer Family

Esempi di connettività VPC per connettori SFTP

Questa sezione fornisce esempi di creazione di connettori SFTP con connettività VPC per vari scenari. Prima di utilizzare questi esempi, assicurati di aver completato la configurazione dell'infrastruttura VPC come descritto nella documentazione sulla connettività VPC.

Esempio: connessione endpoint privata

Questo esempio mostra come creare un connettore SFTP che si connette a un server SFTP privato accessibile solo dal tuo VPC.

Prerequisiti

  1. Crea un Resource Gateway nel tuo VPC:

    aws vpc-lattice create-resource-gateway \
    --name my-private-server-gateway \
    --vpc-identifier vpc-1234567890abcdef0 \
    --subnet-ids subnet-1234567890abcdef0 subnet-0987654321fedcba0

  2. Crea una configurazione delle risorse per il tuo server SFTP privato:

    aws vpc-lattice create-resource-configuration \
    --name my-private-server-config \
    --resource-gateway-identifier rgw-1234567890abcdef0 \
    --resource-configuration-definition ipResource={ipAddress="10.0.1.100"} \
    --port-ranges 22
Crea il connettore abilitato a VPC_Lattice

  1. Crea il connettore SFTP con connettività VPC:

    aws transfer create-connector \    
    --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
    --sftp-config UserSecretId=my-private-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
    --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22}

  2. Monitora lo stato del connettore finché non diventa: ACTIVE

    aws transfer describe-connector --connector-id c-1234567890abcdef0

Il server SFTP remoto vedrà le connessioni provenienti dall'indirizzo IP del Resource Gateway all'interno dell'intervallo CIDR VPC.

Esempio: endpoint pubblico tramite VPC

Questo esempio mostra come instradare le connessioni a un server SFTP pubblico tramite il VPC per sfruttare i controlli di sicurezza centralizzati e utilizzare i propri indirizzi IP del gateway NAT.

Prerequisiti

  1. Crea un Resource Gateway nel tuo VPC (come nell'esempio di un endpoint privato).

  2. Crea una configurazione delle risorse per il server SFTP pubblico usando il suo nome DNS:

    aws vpc-lattice create-resource-configuration \
    --name my-public-server-config \
    --resource-gateway-identifier rgw-1234567890abcdef0 \
    --resource-configuration-definition dnsResource={domainName="sftp.example.com"} \
    --port-ranges 22
    Nota

    Per gli endpoint pubblici, è necessario utilizzare un nome DNS, non un indirizzo IP.

Crea il connettore

  • Crea il connettore SFTP:

    aws transfer create-connector \
    --access-role arn:aws:iam::123456789012:role/TransferConnectorRole \
    --sftp-config UserSecretId=my-public-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
    --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:123456789012:resourceconfiguration/rcfg-0987654321fedcba0,PortNumber=22}

Il traffico fluirà dal connettore al Resource Gateway, quindi attraverso il gateway NAT per raggiungere il server SFTP pubblico. Il server remoto vedrà come origine l'indirizzo IP elastico del gateway NAT.

Esempio: endpoint privato con più account

Questo esempio mostra come connettersi a un server SFTP privato con un AWS account diverso utilizzando la condivisione delle risorse.

Nota

Se hai già abilitato la condivisione delle risorse tra VPC tramite altri meccanismi, ad esempio AWS Transit Gateway, non è necessario configurare la condivisione delle risorse descritta qui. I meccanismi di routing esistenti, come le tabelle di routing Transit Gateway, vengono utilizzati automaticamente dai connettori SFTP. È sufficiente creare una configurazione delle risorse nello stesso account in cui si sta creando il connettore SFTP.

Account A (Resource Provider): condividi la configurazione delle risorse

  1. Crea Resource Gateway e Resource Configuration nell'Account A (come negli esempi precedenti).

  2. Condividi la configurazione delle risorse con l'account B utilizzando AWS Resource Access Manager:

    aws ram create-resource-share \
    --name cross-account-sftp-share \
    --resource-arns arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0 \
    --principals 222222222222
Account B (Resource Consumer): accetta e utilizza la condivisione

  1. Accetta l'invito alla condivisione delle risorse:

    aws ram accept-resource-share-invitation \
    --resource-share-invitation-arn arn:aws:ram:us-east-1:111111111111:resource-share-invitation/invitation-id

  2. Crea il connettore SFTP nell'account B:

    aws transfer create-connector \
    --access-role arn:aws:iam::222222222222:role/TransferConnectorRole \
    --sftp-config UserSecretId=cross-account-server-credentials,TrustedHostKeys="ssh-rsa AAAAB3NzaC..." \
    --egress-config VpcLattice={ResourceConfigurationArn=arn:aws:vpc-lattice:us-east-1:111111111111:resourceconfiguration/rcfg-1234567890abcdef0,PortNumber=22}

Il connettore nell'account B può ora accedere al server SFTP privato nell'account A tramite la configurazione delle risorse condivisa.

Scenari per la risoluzione dei problemi comuni

Ecco le soluzioni per i problemi più comuni relativi alla creazione di connettori abilitati per VPC_Lattice:

  • Connettore bloccato nello stato IN SOSPESO: verifica che il Resource Gateway sia ATTIVO e che disponga di sottoreti nelle zone di disponibilità supportate. Se il connettore è ancora bloccato con lo stato PENDING, chiama UpdateConnector utilizzando gli stessi parametri di configurazione utilizzati inizialmente. Ciò attiva un nuovo evento di stato che potrebbe risolvere il problema.

  • Timeout di connessione: verifica che le regole del gruppo di sicurezza consentano il traffico sulla porta 22 e che il routing del VPC sia corretto.

  • Problemi di risoluzione DNS: per gli endpoint pubblici, assicurati che il tuo VPC disponga di connettività Internet tramite un gateway NAT o un gateway Internet.

  • Accesso tra account negato: verifica che la condivisione delle risorse sia accettata e che l'ARN di configurazione delle risorse sia corretto. Se la politica di autorizzazione appropriata è allegata alla configurazione delle risorse quando l'account di origine crea la condivisione di risorse, sono necessarie le seguenti autorizzazioni:vpc-lattice:AssociateViaAWSService,,,vpc-lattice:AssociateViaAWSService-EventsAndStates. vpc-lattice:CreateServiceNetworkResourceAssociation vpc-lattice:GetResourceConfiguration