Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Accedi ai tuoi file system FSx for NetApp ONTAP con Transfer Family
**Contents**
+ [Panoramica di](#fsx-overview)
+ [Prerequisiti](#fsx-prerequisites)
+ [FSx per i NetApp requisiti ONTAP](#fsx-ontap-requirements)
+ [Autorizzazioni IAM richieste](#required-iam-permissions)
+ [Come funziona FSx lo storage con Transfer Family](#how-fsx-storage-works)
+ [Identità dell'utente del file system](#file-system-user-identity)
+ [Creazione di un punto di accesso S3 per FSx](#creating-s3-access-point)
+ [Denominazione dei punti di accesso](#access-point-naming)
+ [Creazione di un punto di accesso per ONTAP FSx NetApp](#creating-access-point-ontap)
+ [Configurazione delle autorizzazioni del file system](#configuring-file-system-permissions)
+ [Utilizzo degli alias dei punti di accesso S3 con FSx](#using-s3-access-point-aliases)
+ [Informazioni sugli alias dei punti di accesso](#about-access-point-aliases)
+ [Individuazione dell'alias del punto di accesso](#finding-access-point-alias)
+ [Configurazione di Transfer Family per lo storage FSx](#configuring-transfer-family-fsx)
+ [Creazione di un ruolo IAM](#creating-iam-role-fsx)
+ [Gestione degli utenti per FSx lo storage](#managing-users-fsx)
+ [Creazione di un utente](#creating-user-fsx)
+ [Configurazione di più mappature di directory](#multiple-directory-mappings)
+ [Configurazione dei client per il trasferimento di file](#configuring-file-transfer-clients)
+ [Configurazione WinSCP](#winscp-configuration)
+ [Altri client SFTP](#other-sftp-clients)
+ [Risoluzione dei problemi FSx di archiviazione](#troubleshooting-fsx-storage)
+ [Problemi relativi al funzionamento dei file](#file-operation-issues)
## Panoramica di
Transfer Family supporta Amazon FSx for NetApp ONTAP tramite punti di accesso S3. Amazon FSx for NetApp ONTAP è un servizio completamente gestito che fornisce uno storage di file altamente affidabile, scalabile, ad alte prestazioni e ricco di funzionalità basato sul NetApp popolare file system ONTAP. Quando configuri Transfer Family con un FSx file system, i tuoi utenti si connettono agli endpoint Transfer Family utilizzando client di trasferimento file standard. Transfer Family indirizza le operazioni sui file tramite un punto di accesso S3 collegato al FSx volume, mentre i dati rimangono nel FSx file system. Per ulteriori informazioni su FSx NetApp ONTAP, consulta [What is Amazon FSx for NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html)?
Questa integrazione ti consente di:
+ Trasferisci file utilizzando i protocolli SFTP, FTPS o FTP su uno storage di file di livello aziendale
+ Accedi agli stessi dati tramite più protocolli (SFTP, NFS, SMB)
+ Utilizza FSx funzionalità come istantanee, backup e suddivisione dei dati su più livelli
**Importante**
Alcune operazioni sui file non sono supportate quando si utilizzano FSx file system con Transfer Family, incluse le operazioni di ridenominazione e aggiunta. Per le operazioni di caricamento, le dimensioni dei file sono limitate a 5 GB. Per un elenco completo delle limitazioni, consulta [Compatibilità con i punti di accesso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-object-api-support.html).
## Prerequisiti
Prima di configurare Transfer Family con Amazon FSx, devi soddisfare i seguenti requisiti.
### FSx per i NetApp requisiti ONTAP
FSx Per utilizzare NetApp ONTAP con Transfer Family, devi:
+ E FSx per il file system NetApp ONTAP che esegue ONTAP versione 9.17.1 o successiva
+ Il file system e il punto di accesso S3 nella stessa regione AWS
+ Lo stesso AWS account che possiede sia il file system che il punto di accesso
Per ulteriori informazioni, consulta la pagina [Guida introduttiva ad Amazon FSx for NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/getting-started.html).
### Autorizzazioni IAM richieste
Puoi configurare ogni punto di accesso S3 con autorizzazioni e controlli di rete distinti che S3 applica per qualsiasi richiesta effettuata utilizzando quel punto di accesso. I punti di accesso S3 supportano le policy delle risorse IAM che puoi utilizzare per controllare l'uso del punto di accesso in base alla risorsa, all'utente o ad altre condizioni. Affinché un'applicazione o un utente possa accedere ai file tramite un punto di accesso, sia il punto di accesso che il volume sottostante devono consentire la richiesta. Per ulteriori informazioni, consulta le [politiche dei punti di accesso IAM](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/s3-ap-manage-access-fsxn.html).
Punti di accesso Amazon S3 per l' FSx utilizzo di un modello di autorizzazione a doppio livello che combina le autorizzazioni IAM con le autorizzazioni a livello di file system. Questo approccio garantisce che le richieste di accesso ai dati siano autorizzate correttamente sia a livello di AWS servizio che a livello di file system sottostante.
Affinché un'applicazione o un utente possa accedere correttamente ai dati tramite un punto di accesso, sia la policy del punto di accesso S3 che il FSx volume sottostante devono consentire la richiesta.
Per creare e configurare questa integrazione, sono necessarie le seguenti autorizzazioni:
+ `fsx:CreateAndAttachS3AccessPoint`
+ `s3:CreateAccessPoint`
+ `s3:GetAccessPoint`
+ `s3:PutAccessPointPolicy`(se si crea una policy opzionale per i punti di accesso)
## Come funziona FSx lo storage con Transfer Family
Quando si configura Transfer Family con un FSx file system, i seguenti componenti interagiscono per abilitare i trasferimenti di file:
1. Un utente si connette al server Transfer Family utilizzando un client SFTP, FTPS o FTP.
1. Transfer Family autentica l'utente utilizzando identità gestite dal servizio, un provider di identità personalizzato o. AWS Directory Service for Microsoft Active Directory Una volta autenticata, Transfer Family assume il ruolo IAM associato all'utente.
1. Per ogni operazione sui file, Transfer Family funge da client API S3 standard, inoltra richieste all'Access Point S3 utilizzando il ruolo IAM presunto dell'utente e verifica le autorizzazioni rispetto alla policy del punto di accesso S3.
1. Il FSx file system verifica che l'utente del file system associato al punto di accesso sia autorizzato a eseguire l'operazione richiesta. L'operazione sul file viene quindi eseguita sul FSx volume.
Affinché un'operazione sui file abbia esito positivo, entrambi i livelli di autorizzazione devono consentire la richiesta.
**Nota**
Il collegamento di un punto di accesso S3 a un FSx volume non modifica il comportamento del volume in caso di accesso diretto tramite NFS o SMB. L'accesso al protocollo di file esistente continua a funzionare invariato.
### Identità dell'utente del file system
Ogni punto di accesso utilizza un'identità utente del file system specificata durante la creazione del punto di accesso. Questa identità autorizza tutte le richieste di accesso ai file effettuate tramite quel punto di accesso. L'utente del file system è un account utente sul FSx file system Amazon sottostante. Se l'utente del file system ha accesso in sola lettura, vengono autorizzate solo le richieste di lettura effettuate utilizzando il punto di accesso e le richieste di scrittura vengono bloccate. Se l'utente del file system dispone di accesso in lettura/scrittura, sono autorizzate sia le richieste di lettura che quelle di scrittura al volume allegato effettuate utilizzando il punto di accesso.
## Creazione di un punto di accesso S3 per FSx
Prima di configurare Transfer Family, devi creare un punto di accesso S3 collegato al tuo FSx volume. I punti di accesso S3 sono endpoint di rete denominati collegati a un'origine dati come un bucket o un volume Amazon FSx for ONTAP. Puoi creare e collegare un punto di accesso a un FSx for NetApp ONTAP utilizzando la FSx console Amazon, la AWS CLI o l'API. Una volta collegato, puoi utilizzare l'oggetto S3 APIs per accedere ai dati del file. I tuoi dati continuano a risiedere nel FSx file system Amazon e continuano ad essere direttamente accessibili per i carichi di lavoro esistenti. Continui a gestire lo storage utilizzando tutte le funzionalità FSx di gestione dello storage di NetApp ONTAP, inclusi backup, istantanee, quote di utenti e gruppi e compressione.
Per ulteriori informazioni, consulta [Creazione dei punti di accesso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/create-access-points.html).
### Denominazione dei punti di accesso
Quando assegnate un nome al punto di accesso, seguite queste linee guida:
+ I nomi dei punti di accesso devono essere univoci all'interno del tuo AWS account e della tua regione.
+ I nomi non possono terminare con `-ext-s3alias` (riservato agli alias).
+ Evita di includere informazioni sensibili nei nomi perché sono pubblicati nel DNS.
Per un elenco completo delle regole di denominazione, consulta Regole[, restrizioni e limitazioni di denominazione dei punti di accesso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-point-for-fsxn-restrictions-limitations-naming-rules.html).
### Creazione di un punto di accesso per ONTAP FSx NetApp
Usa la seguente procedura per creare un punto di accesso S3 per un volume FSx for NetApp ONTAP.
**Per creare un punto di accesso (console)**
1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Nel riquadro di navigazione, scegli **File system**.
1. Scegli il tuo file system FSx per NetApp ONTAP.
1. Scegli la scheda **Volumi**.
1. Seleziona il volume che desideri allegare.
1. Per **Azioni**, scegli **Crea punto di accesso S3**.
1. Per il **nome del punto di accesso**, inserisci un nome descrittivo (ad esempio,`transfer-family-ap`).
1. Per **Tipo di identità utente del file system**, scegliete una delle seguenti opzioni:
+ **Identità UNIX**: per volumi con stile di sicurezza UNIX
+ **Identità Windows**: per volumi con stile di sicurezza NTFS
1. (Facoltativo) Per la **policy dei punti di accesso**, inserisci una policy IAM che definisca quali presidi IAM possono eseguire quali operazioni sugli oggetti a cui si accede tramite questo punto di accesso. Per ulteriori informazioni, consulta [Gestione dell'accesso ai punti di accesso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/s3-ap-manage-access-fsxn.html).
1. Scegli **Create** (Crea).
1. Dopo la creazione, annota l'alias del punto di accesso da utilizzare nella configurazione Transfer Family.
**Nota**
Quando AWS Transfer Family accede alle risorse S3 per conto dei tuoi SFTP/FTPS utenti connessi, le richieste provengono dall' AWS Transfer Family infrastruttura, non dal tuo VPC. Per questo motivo, gli access point S3 configurati con un'origine di rete VPC negheranno queste richieste. Tuttavia, anche se si utilizza un Access Point configurato con un'origine di rete Internet, tutto il traffico tra Transfer Family e l'Access Point rimane privato e viaggia sulla rete AWS dorsale, senza attraversare la rete Internet pubblica.
### Configurazione delle autorizzazioni del file system
L'utente del file system specificato determina le operazioni che gli utenti di Transfer Family possono eseguire. È necessario configurare le autorizzazioni appropriate sul FSx volume.
**Esempio UNIX:**
```
# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users
# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users
# Set permissions
chmod 755 /vol1/transfer-users
```
**Esempio di Windows:**
```
# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory
# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T
# Verify permissions
icacls "D:\vol1\transfer-users"
```
## Utilizzo degli alias dei punti di accesso S3 con FSx
Quando si utilizzano FSx file system con Transfer Family, è necessario utilizzare gli alias dei punti di accesso S3. Transfer Family non supporta l'utilizzo di punti di accesso ARNs o altri metodi di riferimento per l' FSx archiviazione.
**Importante**
AWS Transfer Family supporta solo gli alias dei punti di accesso S3 quando si utilizzano FSx file system. Non è possibile utilizzare il punto ARNs di accesso o. virtual-hosted-style URIs
**Importante**
Il punto di accesso deve trovarsi nella stessa regione del volume.
### Informazioni sugli alias dei punti di accesso
Quando crei un punto di accesso S3 collegato a un FSx volume, Amazon S3 genera automaticamente un alias del punto di accesso. Questo alias è un identificatore univoco che puoi usare ovunque utilizzi un nome di bucket S3.
Per i punti di accesso collegati ai FSx volumi, l'alias utilizza il seguente formato:
```
access-point-name-metadata-ext-s3alias
```
**Alias di esempio:**
```
my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
```
**Nota**
Il `-ext-s3alias` suffisso è riservato agli alias dei punti di FSx accesso. Non è possibile utilizzare questo suffisso nei nomi dei punti di accesso.
### Individuazione dell'alias del punto di accesso
È possibile trovare l'alias del punto di accesso dopo averlo creato.
**Per trovare l'alias del punto di accesso (console)**
1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Nel riquadro di navigazione, scegli **File system**.
1. Scegli il tuo file system.
1. Scegli la scheda **Volumi** e seleziona il volume per cui hai creato il punto di accesso.
1. Vai alla colonna dei **dettagli del punto di accesso S3**.
1. L'alias viene visualizzato nella colonna **Alias**.
**Per trovare l'alias del punto di accesso (CLI)**
Utilizza il comando `describe-s3-access-point-attachments`.
```
aws fsx describe-s3-access-point-attachments \
--filters Name=file-system-id,Values=fs-0123456789abcdef0
```
La risposta include l'alias:
```
{
"S3AccessPointAttachments": [
{
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
"Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
}
}
]
}
```
Quando configuri gli utenti Transfer Family, usa l'alias del punto di accesso nelle mappature delle home directory.
**Formato della home directory:**
```
/access-point-alias/path/to/directory
```
**Esempio**:
```
/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith
```
## Configurazione di Transfer Family per lo storage FSx
Dopo aver creato il punto di accesso S3, configura un server Transfer Family per utilizzarlo.
### Creazione di un ruolo IAM
Devi creare un ruolo IAM che conceda a Transfer Family l'accesso al punto di accesso S3.
**Importante**
Le policy IAM richiedono il formato Access Point ARN, non l'alias. Utilizza il formato `arn:aws:s3:region:account-id:accesspoint/access-point-name` nelle dichiarazioni relative alle risorse relative alla policy IAM. L'alias del punto di accesso (che termina con`-ext-s3alias`) viene utilizzato solo per le mappature delle home directory.
**Per creare il ruolo IAM**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. **Nel riquadro di navigazione, scegli **Ruoli**, quindi scegli Crea ruolo.**
1. Per **Tipo di entità attendibile**, scegli **Servizio AWS **.
1. Per **Caso d'uso**, scegli **Trasferisci**.
1. Scegli **Next (Successivo)**.
1. Scegli **Crea politica** e inserisci la tua politica (vedi esempio di politica di seguito).
1. Allega la politica al ruolo e scegli **Crea ruolo**.
**Esempio di policy IAM:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowFileOperations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectTagging",
"s3:PutObjectTagging"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
},
{
"Sid": "AllowDirectoryOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
}
]
}
```
## Gestione degli utenti per FSx lo storage
Crea utenti Transfer Family con mappature della home directory che utilizzano l'alias del punto di accesso S3.
### Creazione di un utente
Quando crei un utente per l' FSx archiviazione, usa l'alias del punto di accesso nelle mappature delle home directory.
**Per creare un utente Service Managed (console)**
1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Nel riquadro di navigazione, selezionare **Servers (Server)**.
1. Scegli il tuo server.
1. Nella sezione Utenti, scegli **Aggiungi utente**.
1. Per **Nome utente**, inserisci un nome utente.
1. Per **Ruolo**, scegli il ruolo IAM che hai creato.
1. Per **Home directory**, scegli **Restricted**.
1. Per i **mapping della home directory, aggiungi una mappatura** utilizzando l'alias del punto di accesso:
```
[{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]
```
**Per creare un utente (CLI)**
Utilizza il comando `create-user`. Sostituisci l'alias del punto di accesso con il tuo alias.
```
aws transfer create-user \
--server-id s-0123456789abcdef0 \
--user-name jsmith \
--role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
--home-directory-type LOGICAL \
--home-directory-mappings '[
{
"Entry": "/",
"Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
}
]'
```
### Configurazione di più mappature di directory
È possibile mappare più directory virtuali su percorsi diversi sul volume. FSx
**Esempio: directory di caricamento e download separate**
```
aws transfer create-user \
--server-id s-0123456789abcdef0 \
--user-name jsmith \
--role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
--home-directory-type LOGICAL \
--home-directory-mappings '[
{
"Entry": "/inbox",
"Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
},
{
"Entry": "/outbox",
"Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
}
]'
```
## Configurazione dei client per il trasferimento di file
Quando si utilizzano FSx file system con Transfer Family, è necessario configurare i client di trasferimento file per disabilitare le funzionalità non supportate.
### Configurazione WinSCP
Per impostazione predefinita, WinSCP utilizza una funzionalità di ridenominazione temporanea che non è supportata con i punti di accesso S3 per. FSx
**avvertimento**
Se non si disattiva la funzionalità di ridenominazione temporanea in WinSCP, il caricamento dei file avrà esito negativo.
**Per disabilitare la ridenominazione temporanea in WinSCP**
1. Apri WinSCP.
1. Nella finestra di dialogo di accesso, scegli **Modifica** per modificare le impostazioni della sessione.
1. Scegli **Avanzato**.
1. Nella barra di navigazione a sinistra, in **Trasferimento**, scegli **Resistenza**.
1. **Per **Abilita il trasferimento resume/transfer al nome di file temporaneo, scegli** Disabilita.**
1. Scegliete **OK** per salvare le impostazioni.
In alternativa, puoi disabilitare questa impostazione per una sessione esistente:
1. Connect al server Transfer Family.
1. Scegli **Opzioni**, quindi **Preferenze**.
1. Scegli **Trasferimento**, quindi **Resistenza**.
1. **Per **Abilita il trasferimento resume/transfer al nome di file temporaneo, scegli** Disabilita.**
1. Scegli **OK**.
### Altri client SFTP
Per altri client SFTP, disabilitate le seguenti funzionalità, se disponibili:
+ Caricamenti temporanei di file (caricamento su file temporaneo, quindi ridenominazione)
+ Riprendi i trasferimenti utilizzando file temporanei
+ Caricamenti atomici utilizzando operazioni di ridenominazione
+ Modalità di aggiunta per i caricamenti
Consultate la documentazione del cliente per i passaggi di configurazione specifici.
## Risoluzione dei problemi FSx di archiviazione
Questa sezione descrive come identificare e risolvere i problemi più comuni quando si utilizza Transfer Family con i FSx file system.
### Problemi relativi al funzionamento dei file
**Autorizzazione negata**
Se ricevi errori relativi all'autorizzazione negata:
1. Verifica che il ruolo IAM disponga delle autorizzazioni corrette per l'alias del punto di accesso. Puoi farlo testando direttamente con S3. APIs
1. Verifica che la policy del punto di accesso consenta il ruolo IAM.
1. Verifica che l'utente del file system disponga delle autorizzazioni sul percorso di destinazione.
1. Conferma che la mappatura della home directory utilizzi l'alias corretto del punto di accesso.
**Il caricamento non riesce con WinSCP**
Se il caricamento dei file fallisce con WinSCP, disabilita la ridenominazione temporanea:
1. **In WinSCP, **scegliete Opzioni, quindi Preferenze**.**
1. **Scegli **Trasferimento**, quindi Resistenza.**
1. **Per **Abilita il trasferimento resume/transfer al nome di file temporaneo, scegli** Disabilita.**
Per ulteriori informazioni, consulta [Configurazione dei client per il trasferimento di file](#configuring-file-transfer-clients).
**Il caricamento del file non riesce**
Se il caricamento dei file fallisce:
1. Verifica che la dimensione del file sia inferiore a 5 GB.
1. Verifica che sul FSx volume sia disponibile spazio di archiviazione sufficiente.
1. Monitora le CloudWatch metriche relative alla limitazione.