Crea un'app web Transfer Family in un VPC - AWS Transfer Family
Crea un'app web Transfer FamilyFasi successive alla creazionePolitica di condivisione delle risorse tra origini (CORS)Limitazione dell'accesso a un endpoint VPC specifico

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un'app web Transfer Family in un VPC

Questa sezione descrive le procedure per creare un'app web Transfer Family in un VPC. Puoi ospitare l'endpoint della tua app Web all'interno di un cloud privato virtuale (VPC) da utilizzare per il trasferimento di dati da e verso un bucket Amazon S3 senza passare dalla rete Internet pubblica. Per assegnare utenti e gruppi che possono utilizzare la tua app web, consulta. Assegna o aggiungi utenti o gruppi a un'app web Transfer Family

Nota

Per garantire un flusso di end-to-end dati privato quando si utilizza un endpoint VPC dell'app Web Transfer Family, è necessario implementare tre componenti aggiuntivi. Innanzitutto, configura un PrivateLink endpoint per le operazioni dell'API Amazon S3 Control, necessario per le chiamate API Amazon S3 Access Grants. In secondo luogo, configura un endpoint per l'accesso ai dati di Amazon S3 utilizzando un endpoint Amazon PrivateLink S3 Gateway (per il traffico proveniente dal tuo VPC) o un endpoint Amazon S3 Interface (per il traffico proveniente da reti locali tramite VPN o Direct Connect). In terzo luogo, blocca l'accesso al bucket Amazon S3 aggiornando le policy del bucket per consentire solo il traffico proveniente da questi endpoint VPC. Questa combinazione garantisce che tutti i trasferimenti di dati rimangano all'interno dell'infrastruttura di rete privata e non attraversino mai la rete Internet pubblica.

Crea un'app web Transfer Family

Prerequisiti

Nota

AWS IAM Identity Center non supporta gli endpoint VPC; tutte le richieste di autenticazione transitano sulla rete Internet pubblica. Inoltre, le applicazioni web Transfer Family richiedono l'accesso a Internet per caricare contenuti statici (come JavaScript file CSS e HTML). I requisiti per l'accesso pubblico a Internet sono diversi dall'accesso ai dati. L'endpoint VPC garantisce che le connessioni vengano instradate attraverso l'infrastruttura VPC.

Per creare un'app web Transfer Family

  1. Accedi a Console di gestione AWS e apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/.

  2. Nel riquadro di navigazione a sinistra, scegli App Web.

  3. Scegli Crea app web. Per l'accesso tramite autenticazione, il riquadro viene compilato come segue.

    • Se hai già creato un'organizzazione o un'istanza di account in AWS IAM Identity Center, vedrai questo messaggio: La tua AWS Transfer Family applicazione è connessa a un'istanza di account di IAM Identity Center.

    • Se disponi già di un'istanza di account e sei membro di un'istanza dell'organizzazione, hai la possibilità di scegliere a quale istanza connettere.

    • Se non disponi già di un'istanza di account o sei membro di un'istanza dell'organizzazione, ti vengono presentate le opzioni per creare un'istanza di account.

  4. Nella sezione Configurazione degli endpoint, scegli in che modo gli utenti accederanno alla tua app web:

    • Accessibile pubblicamente: l'endpoint dell'app Web è accessibile al pubblico tramite HTTPS. Questa opzione non richiede alcuna configurazione VPC, il che la rende semplice da configurare e adatta ad applicazioni destinate a un ampio uso pubblico.

    • Ospitato su VPC: l'endpoint dell'app Web è ospitato all'interno del Virtual Private Cloud (VPC), che fornisce l'accesso alla rete privata tramite la rete VPC o le connessioni VPN. AWS Direct Connect Questa opzione offre una maggiore sicurezza grazie all'isolamento della rete ed è consigliata per le applicazioni interne.

      Nota

      È necessario disporre di una configurazione VPC dual-stack. Per ulteriori informazioni, consulta Esempio di configurazione VPC dual-stack nella Amazon Virtual Private Cloud User Guide.

      Quando configuri un endpoint ospitato da VPC, devi specificare:

      • VPC: seleziona un VPC esistente o creane uno nuovo. È disponibile il pulsante Crea un VPC.

      • Zone di disponibilità: scegli le zone di disponibilità in cui verrà distribuito l'endpoint.

      • Sottoreti: seleziona le sottoreti all'interno di ciascuna zona di disponibilità scelta.

      • Gruppi di sicurezza: seleziona o crea gruppi di sicurezza per controllare l'accesso in base agli indirizzi IP di origine. Se non specificato, viene utilizzato il gruppo di sicurezza predefinito del VPC. Gestisci i gruppi di sicurezza tramite la console VPC. Configura i gruppi di sicurezza VPC per consentire il traffico in entrata dalla rete tramite HTTPS sulla porta TCP 443. Ciò è necessario per l'autenticazione IAM Identity Center e il caricamento dei contenuti statici delle app Web.

      Nota

      L'endpoint di accesso non può essere personalizzato per gli endpoint VPC. Per aggiungere un URL personalizzato, utilizza l'endpoint pubblico.

Fasi successive alla creazione

Politica di condivisione delle risorse tra origini (CORS)

È necessario configurare la condivisione delle risorse tra le origini (CORS) per tutti i bucket utilizzati dall'app Web. Per ulteriori informazioni sulla funzionalità CORS, consulta Configura CORS (Cross-origin resource sharing) per il tuo bucket.

Importante

Prima di utilizzare la seguente politica di esempio, sostituisci Allowed Origin con il tuo endpoint di accesso. In caso contrario, gli utenti finali riceveranno un errore quando tentano di accedere a una posizione sulla tua app web.

Esempio di politica:

[
  {
    "AllowedHeaders": [
      "*"
    ],
    "AllowedMethods": [
      "GET",
      "PUT",
      "POST",
      "DELETE",
      "HEAD"
    ],
    "AllowedOrigins": [
      "https://vpce-1234567-example.vpce-mq.transfer-webapp.us-east-1.on.aws"
    ],
    "ExposeHeaders": [
      "last-modified",
      "content-length",
      "etag",
      "x-amz-version-id",
      "content-type",
      "x-amz-request-id",
      "x-amz-id-2",
      "date",
      "x-amz-cf-id",
      "x-amz-storage-class",
      "access-control-expose-headers"
    ],
    "MaxAgeSeconds": 3000
  }
]

Limitazione dell'accesso a un endpoint VPC specifico

Di seguito è riportato un esempio di policy del bucket Amazon S3 che limita l'accesso a un bucket specifico, amzn-s3-demo-bucket, solo dall'endpoint VPC con l'ID vpce-1a2b3c4d. Se l'endpoint specificato non viene utilizzato, la policy nega l'accesso al bucket. La condizione aws:SourceVpce specifica l'endpoint. La condizione aws:SourceVpce non richiede un ARN per la risorsa dell'endpoint VPC, ma solo l'ID dell'endpoint VPC. Per ulteriori informazioni sull'aggiornamento della policy del bucket per consentire solo il traffico proveniente dal tuo VPC, consulta Controllare l'accesso dagli endpoint VPC con le policy dei bucket. Per ulteriori informazioni sull'utilizzo delle condizioni in una policy, consulta Esempi di policy Bucket che utilizzano le chiavi di condizione. Come prerequisito per l'applicazione di questa policy, è necessario creare un endpoint VPC Amazon S3.

Importante

Prima di utilizzare la policy di esempio seguente, sostituire l'ID endpoint VPC con un valore appropriato per il caso d'uso. In caso contrario, non sarà possibile accedere al bucket.

{
  "Version":"2012-10-17",
  "Id": "Policy1415115909152",
  "Statement": [
    {
      "Sid": "Access-to-specific-VPCE-only",
      "Principal": "*",
      "Action": "s3:*",
      "Effect": "Deny",
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                   "arn:aws:s3:::amzn-s3-demo-bucket/*"],
      "Condition": {
        "StringNotEquals": {
          "aws:SourceVpce": "vpce-1a2b3c4d"
        }
      }
    }
  ]
}