As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Transferindo de ou para o AWS armazenamento com AWS DataSync
Com AWS DataSync, você pode transferir dados de ou para vários serviços de AWS armazenamento. Para obter mais informações, consulte [Com onde posso transferir meus dados DataSync?](working-with-locations.md)
**Topics**
+ [Configurando AWS DataSync transferências com o Amazon S3](create-s3-location.md)
+ [Configurando AWS DataSync transferências com o Amazon EFS](create-efs-location.md)
+ [Configurando transferências com o FSx Windows File Server](create-fsx-location.md)
+ [Configurando DataSync transferências com FSx for Lustre](create-lustre-location.md)
+ [Configurando DataSync transferências com a Amazon FSx para OpenZFS](create-openzfs-location.md)
+ [Configurando transferências com a Amazon FSx para ONTAP NetApp](create-ontap-location.md)
# Configurando AWS DataSync transferências com o Amazon S3
*Para transferir dados para ou do seu bucket do Amazon S3, você cria um local de AWS DataSync transferência.* DataSync pode usar esse local como origem ou destino para transferir dados.
## Fornecendo DataSync acesso aos buckets do S3
DataSync precisa acessar o bucket do S3 para o qual você está transferindo ou do qual você está transferindo. Para fazer isso, você deve criar uma função AWS Identity and Access Management (IAM) que DataSync assuma as permissões necessárias para acessar o bucket. Em seguida, você especifica essa função ao [criar sua localização no Amazon S3](#create-s3-location-how-to) para. DataSync
**Contents**
+ [Permissões obrigatórias](#create-s3-location-required-permissions)
+ [Criação de uma função do IAM DataSync para acessar sua localização no Amazon S3](#create-role-manually)
+ [Acessar buckets do S3 usando criptografia no lado do servidor](#create-s3-location-encryption)
+ [Acesso aos buckets restritos do S3](#denying-s3-access)
+ [Acesso aos buckets do S3 com acesso restrito à VPC](#create-s3-location-restricted-vpc)
### Permissões obrigatórias
As permissões que sua função do IAM precisa podem depender se o bucket é um local de DataSync origem ou destino. O Amazon S3 no Outposts requer um conjunto diferente de permissões.
------
#### [ Amazon S3 (source location) ]
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Action": [
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
#### [ Amazon S3 (destination location) ]
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectTagging"
],
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "123456789012"
}
}
}
]
}
```
------
#### [ Amazon S3 on Outposts ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3-outposts:ListBucket",
"s3-outposts:ListBucketMultipartUploads"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/outpost-id/bucket/amzn-s3-demo-bucket",
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/outpost-id/accesspoint/bucket-access-point-name"
]
},
{
"Action": [
"s3-outposts:AbortMultipartUpload",
"s3-outposts:DeleteObject",
"s3-outposts:GetObject",
"s3-outposts:GetObjectTagging",
"s3-outposts:GetObjectVersion",
"s3-outposts:GetObjectVersionTagging",
"s3-outposts:ListMultipartUploadParts",
"s3-outposts:PutObject",
"s3-outposts:PutObjectTagging"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/outpost-id/bucket/amzn-s3-demo-bucket/*",
"arn:aws:s3-outposts:us-east-1:123456789012:outpost/outpost-id/accesspoint/bucket-access-point-name/*"
]
},
{
"Action": "s3-outposts:GetAccessPoint",
"Effect": "Allow",
"Resource": "arn:aws:s3-outposts:us-east-1:123456789012:outpost/outpost-id/accesspoint/bucket-access-point-name"
}
]
}
```
------
### Criação de uma função do IAM DataSync para acessar sua localização no Amazon S3
Ao [criar sua localização do Amazon S3](#create-s3-location-how-to) no console, DataSync você pode criar e assumir automaticamente uma função do IAM que normalmente tem as permissões certas para acessar seu bucket do S3.
Em algumas situações, talvez seja necessário criar essa função manualmente (por exemplo, acessar buckets com camadas extras de segurança ou transferir para ou de um bucket em outro Contas da AWS).
#### Criação manual de uma função do IAM para DataSync
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação esquerdo, em **Gerenciamento de acesso**, escolha **Perfis** e, em seguida, escolha **Criar perfil**.
1. Na página **Selecionar entidade confiável**, para **Tipo de entidade confiável**, escolha **AWS service (Serviço da AWS)**.
1. **Em Caso de uso**, escolha **DataSync**na lista suspensa e selecione. **DataSync** Escolha **Próximo**.
1. Na página **Adicionar permissões**, escolha **Próximo**. Forneça um nome ao perfil e escolha **Criar perfil**.
1. Na página **Perfis**, procure o perfil que você acabou de criar e escolha seu nome.
1. Na página do perfil, escolha a guia **Permissões**. Selecione **Adicionar permissões** e, em seguida, **Criar política em linha**.
1. Escolha a guia **JSON** e [adicione as permissões necessárias](#create-s3-location-required-permissions) para acessar o bucket no editor de políticas.
1. Escolha **Próximo**. Digite um nome para a política e escolha **Criar política**.
1. (Recomendado) Para evitar o [problema “confused deputy” entre serviços](cross-service-confused-deputy-prevention.md), faça o seguinte:
1. Na página Detalhes do perfil, escolha a guia **Relações de confiança**. Escolha **Editar política de confiança**.
1. Atualize a política de confiança usando o exemplo a seguir, que inclui as chaves de contexto de condição global `aws:SourceArn` e `aws:SourceAccount`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "444455556666"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:datasync:us-east-1:444455556666:*"
}
}
}
]
}
```
------
1. Escolha **Atualizar política**.
Você pode especificar esse perfil ao criar seu local no Amazon S3.
### Acessar buckets do S3 usando criptografia no lado do servidor
DataSync pode transferir dados de ou para [buckets do S3 que usam criptografia do lado do servidor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html). O tipo de chave de criptografia que um bucket usa pode determinar se você precisa de uma política personalizada que DataSync permita acessar o bucket.
Ao usar DataSync com buckets S3 que usam criptografia do lado do servidor, lembre-se do seguinte:
+ **Se seu bucket do S3 estiver criptografado com uma chave AWS gerenciada**, DataSync poderá acessar os objetos do bucket por padrão se todos os seus recursos estiverem no mesmo Conta da AWS.
+ **Se seu bucket do S3 estiver criptografado com uma chave gerenciada pelo cliente AWS Key Management Service (AWS KMS) (SSE-KMS)**, a [política da chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) deve incluir a função do IAM DataSync usada para acessar o bucket.
+ **Se seu bucket do S3 estiver criptografado com uma chave SSE-KMS gerenciada pelo cliente e em uma chave diferente Conta da AWS**, DataSync precisará de permissão para acessar o bucket no outro. Conta da AWS Para isso, você pode configurar fazendo o seguinte:
+ Na função do IAM DataSync usada, você deve especificar a chave SSE-KMS do bucket entre contas usando o Amazon Resource Name (ARN) totalmente qualificado da chave. Esse é o mesmo ARN da chave que você usa para configurar a criptografia [padrão](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html) do bucket. Você não pode especificar um ID de chave, um nome alias ou um ARN alias nessa situação.
Aqui está um exemplo de ARN de chave:
`arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab`
Para obter mais informações sobre a especificação de chaves do KMS em instruções de política do IAM, consulte o *[Guia do desenvolvedor do AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/cmks-in-iam-policies.html)*.
+ Na política de chaves SSE-KMS, [especifique a função do IAM usada](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html) por. DataSync
+ **Se seu bucket do S3 for criptografado com uma AWS KMS chave gerenciada pelo cliente (DSSE-KMS) para criptografia de camada dupla no lado do servidor**, a [política da chave deve incluir a função do IAM usada](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) para acessar o bucket. DataSync (Lembre-se de que o DSSE-KMS não é compatível com [chaves de bucket do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html), o que pode reduzir AWS KMS os custos da solicitação.)
+ **Se seu bucket do S3 estiver criptografado com uma chave de criptografia fornecida pelo cliente (SSE-C)**, não é DataSync possível acessar esse bucket.
#### Exemplo: política de chaves SSE-KMS para DataSync
O exemplo a seguir é uma [política de chave](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) para uma chave SSE-KMS gerenciada pelo cliente. A política está associada a um bucket do S3 que usa criptografia no lado do servidor.
Se você desejar usar esse exemplo, substitua os valores a seguir pelos seus:
+ *account-id*— Seu Conta da AWS.
+ *admin-role-name*— O nome da função do IAM que pode administrar a chave.
+ *datasync-role-name*— O nome da função do IAM que permite DataSync usar a chave ao acessar o bucket.
------
#### [ JSON ]
****
```
{
"Id": "key-consolepolicy-3",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Enable IAM Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Sid": "Allow access for Key Administrators",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/admin-role-name"
},
"Action": [
"kms:Create*",
"kms:Describe*",
"kms:Enable*",
"kms:List*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Get*",
"kms:Delete*",
"kms:TagResource",
"kms:UntagResource",
"kms:ScheduleKeyDeletion",
"kms:CancelKeyDeletion"
],
"Resource": "*"
},
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/datasync-role-name"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*"
],
"Resource": "*"
}
]
}
```
------
### Acesso aos buckets restritos do S3
Se você precisar transferir para ou de um bucket do S3 que normalmente nega todo o acesso, você pode editar a política do bucket para que DataSync possa acessar o bucket somente para sua transferência.
#### Exemplo: permissão de acesso com base nos perfis do IAM
1. Copie a política de bucket do S3 a seguir.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "Deny-access-to-bucket",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringNotLike": {
"aws:userid": [
"datasync-iam-role-id:*",
"your-iam-role-id"
]
}
}
}]
}
```
------
1. Na política, substitua os seguintes valores:
+ `amzn-s3-demo-bucket`: especifique o nome do bucket restrito do S3.
+ `datasync-iam-role-id`— Especifique o ID da [função do IAM DataSync usada](#create-s3-location-access) para acessar o bucket.
Execute o AWS CLI comando a seguir para obter o ID da função do IAM:
`aws iam get-role --role-name datasync-iam-role-name`
Na saída, procure o valor `RoleId`:
`"RoleId": "ANPAJ2UCCR6DPCEXAMPLE"`
+ `your-iam-role-id`— Especifique o ID da função do IAM que você usa para criar sua DataSync localização para o bucket.
Execute o comando a seguir para criar a ID do perfil do IAM:
`aws iam get-role --role-name your-iam-role-name`
Na saída, procure o valor `RoleId`:
`"RoleId": "AIDACKCEVSQ6C2EXAMPLE"`
1. [Adicione essa política](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) à política do bucket do S3.
1. Quando você terminar de usar DataSync o bucket restrito, remova as condições para ambas as funções do IAM da política do bucket.
### Acesso aos buckets do S3 com acesso restrito à VPC
Um bucket do Amazon S3 que [limita o acesso a endpoints específicos de nuvem privada virtual (VPC) ou VPCs negará a transferência DataSync de ou](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies-vpc-endpoint.html) para esse bucket. Para permitir transferências nessas situações, você pode atualizar a política do bucket para incluir a função do IAM que você [especifica com sua DataSync localização](#create-s3-location-how-to).
------
#### [ Option 1: Allowing access based on DataSync location role ARN ]
Na política de bucket do S3, você pode especificar o Amazon Resource Name (ARN) da DataSync sua função de localização do IAM.
O exemplo a seguir é uma política de bucket do S3 que nega o acesso de todos, exceto dois VPCs (`vpc-1234567890abcdef0`e`vpc-abcdef01234567890`). No entanto, a política também inclui a [ArnNotLikeIfExists](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)condição e a chave de PrincipalArn condição [aws:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalarn), que permitem que o ARN de uma função de DataSync localização acesse o bucket.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-VPCs-only",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringNotEqualsIfExists": {
"aws:SourceVpc": [
"vpc-1234567890abcdef0",
"vpc-abcdef01234567890"
]
},
"ArnNotLikeIfExists": {
"aws:PrincipalArn": [
"arn:aws:iam::111122223333:role/datasync-location-role-name"
]
}
}
}
]
}
```
------
#### [ Option 2: Allowing access based on DataSync location role tag ]
Na política de bucket do S3, você pode especificar uma tag anexada à sua função de DataSync localização do IAM.
O exemplo a seguir é uma política de bucket do S3 que nega o acesso de todos, exceto dois VPCs (`vpc-1234567890abcdef0`e`vpc-abcdef01234567890`). No entanto, a política também inclui a [StringNotEqualsIfExists](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)condição e [aws: PrincipalTag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag) condition key, que permitem um principal com a chave `exclude-from-vpc-restriction` e o valor da tag`true`. Você pode tentar uma abordagem semelhante em sua política de bucket especificando uma tag anexada à sua função de DataSync localização.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Access-to-specific-VPCs-only",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringNotEqualsIfExists": {
"aws:SourceVpc": [
"vpc-1234567890abcdef0",
"vpc-abcdef01234567890"
],
"aws:PrincipalTag/exclude-from-vpc-restriction": "true"
}
}
}
]
}
```
------
## Considerações sobre a classes de armazenamento com transferências do Amazon S3
Quando o Amazon S3 é seu local de destino, DataSync você pode transferir seus dados diretamente para uma classe de armazenamento específica do [Amazon S3](https://aws.amazon.com/s3/storage-classes/).
Algumas classes de armazenamento têm comportamentos que podem afetar os custos de armazenamento do Amazon S3. Ao usar classes de armazenamento que podem gerar custos adicionais por substituição, exclusão ou recuperação de objetos, as alterações em dados ou metadados de objetos resultam nesses custos. Para obter mais informações, consulte [Preço do Amazon S3](https://aws.amazon.com/s3/pricing/).
**Importante**
Novos objetos transferidos para o local de destino no Amazon S3 são armazenados usando a classe de armazenamento que você especifica ao [criar o local](#create-s3-location-how-to).
Por padrão, DataSync preserva a classe de armazenamento dos objetos existentes em seu local de destino, a menos que você configure sua tarefa para [transferir todos os dados](configure-metadata.md#task-option-transfer-mode). Nessas situações, a classe de armazenamento que você especifica ao criar o local é usada para todos os objetos.
| Classe de armazenamento do Amazon S3 | Considerações |
| --- | --- |
| S3 Standard | Selecione S3 Standard (Padrão) para armazenar seus arquivos acessados com frequência de forma redundante em várias zonas de disponibilidade separadas geograficamente. Esse será o padrão se você não especificar uma classe de armazenamento. |
| S3 Intelligent-Tiering | Escolha S3 Intelligent-Tiering para otimizar os custos de armazenamento movendo automaticamente os dados para o nível de acesso de armazenamento mais econômico. Você paga uma taxa mensal por objeto armazenado na classe de armazenamento S3 Intelligent-Tiering. Essa cobrança do Amazon S3 inclui o monitoramento de padrões de acesso a dados e a movimentação de objetos entre níveis. |
| S3 Standard – IA | Selecione S3 Standard-IA para armazenar seus objetos raramente acessados de forma redundante em várias zonas de disponibilidade separadas geograficamente. Os objetos armazenados na classe de armazenamento S3 Standard-IA podem incorrer em cobranças adicionais pela substituição, exclusão ou recuperação. Considere a frequência com que esses objetos mudam, por quanto tempo você planeja manter esses objetos e com que frequência você precisa acessá-los. Alterações nos dados ou metadados do objeto equivalem a excluir um objeto e criar um novo para substituí-lo. Isso resulta em cobranças adicionais para objetos armazenados na classe de armazenamento S3 Standard-IA. Objetos com menos de 128 KB são menores que a cobrança de capacidade mínima por objeto na classe de armazenamento S3 Standard-IA. Esses objetos são armazenados na classe de armazenamento S3 Standard. |
| S3 One Zone-IA | Selecione S3 One Zone-IA para armazenar seus objetos raramente acessados em uma única zona de disponibilidade. Os objetos armazenados na classe de armazenamento S3 One Zone-IA podem incorrer em cobranças adicionais pela substituição, exclusão ou recuperação. Considere a frequência com que esses objetos mudam, por quanto tempo você planeja manter esses objetos e com que frequência você precisa acessá-los. Alterações nos dados ou metadados do objeto equivalem a excluir um objeto e criar um novo para substituí-lo. Isso resulta em cobranças adicionais para objetos armazenados na classe de armazenamento S3 One Zone-IA. Objetos com menos de 128 KB são menores que a cobrança de capacidade mínima por objeto na classe de armazenamento S3 One Zone-IA. Esses objetos são armazenados na classe de armazenamento S3 Standard. |
| S3 Glacier Instant Retrieval | Escolha o S3 Glacier Instant Retrieval para arquivar objetos que raramente são acessados, mas que precisam ser recuperados em milissegundos. Os dados armazenados na classe de armazenamento S3 Glacier Instant Retrieval oferecem economia de custos em comparação à classe de armazenamento S3 Standard – IA, com a mesma latência e performance do throughput. Contudo, os custos de acesso a dados do S3 Glacier Instant Retrieval são mais altos que os do S3 Standard-IA. Os objetos armazenados no S3 Glacier Instant Retrieval podem incorrer em cobranças adicionais pela substituição, exclusão ou recuperação. Considere a frequência com que esses objetos mudam, por quanto tempo você planeja manter esses objetos e com que frequência você precisa acessá-los. Alterações nos dados ou metadados do objeto equivalem a excluir um objeto e criar um novo para substituí-lo. Isso resulta em cobranças adicionais para objetos armazenados na classe de armazenamento S3 Glacier Instant Retrieval. Objetos com menos de 128 KB são menores que a cobrança mínima de capacidade por objeto na classe de armazenamento S3 Glacier Instant Retrieval. Esses objetos são armazenados na classe de armazenamento S3 Standard. |
| S3 Glacier Flexible Retrieval | Escolha S3 Glacier Flexible Retrieval para arquivos mais ativos.Os objetos armazenados na classe S3 Glacier Flexible Retrieval podem incorrer em cobranças adicionais pela substituição, exclusão ou recuperação. Considere a frequência com que esses objetos mudam, por quanto tempo você planeja manter esses objetos e com que frequência você precisa acessá-los. Alterações nos dados ou metadados do objeto equivalem a excluir um objeto e criar um novo para substituí-lo. Isso resulta em cobranças adicionais para objetos armazenados na classe de armazenamento S3 Glacier Flexible Retrieval.A classe de armazenamento S3 Glacier Flexible Retrieval exige 40 KB de metadados adicionais para cada objeto arquivado. DataSync coloca objetos com menos de 40 KB na classe de armazenamento S3 Standard. Você deve restaurar objetos arquivados nessa classe de armazenamento antes de DataSync poder lê-los. Para obter mais informações, consulte [Trabalhar com objetos arquivados](https://docs.aws.amazon.com/AmazonS3/latest/userguide/archived-objects.html) no Guia do usuário do Amazon S3.Ao usar o S3 Glacier Flexible Retrieval, escolha a opção de tarefa **Verificar somente os dados transferidos** para comparar somas de verificação de dados e metadados no final da transferência. Você não pode usar a opção **Verificar todos os dados no destino** para essa classe de armazenamento, pois requer a recuperação de todos os objetos existentes do destino. |
| S3 Glacier Deep Archive | Escolha S3 Glacier Deep Archive para arquivar seus objetos para retenção de dados de longo prazo e preservação digital, no caso em que os dados são acessados uma ou duas vezes por ano. Os objetos armazenados no S3 Glacier Deep Archive podem incorrer em cobranças adicionais pela substituição, exclusão ou recuperação. Considere a frequência com que esses objetos mudam, por quanto tempo você planeja manter esses objetos e com que frequência você precisa acessá-los. Alterações nos dados ou metadados do objeto equivalem a excluir um objeto e criar um novo para substituí-lo. Isso resulta em cobranças adicionais para objetos armazenados na classe de armazenamento S3 Glacier Deep Archive. A classe de armazenamento S3 Glacier Deep Archive exige 40 KB de metadados adicionais para cada objeto arquivado. DataSync coloca objetos com menos de 40 KB na classe de armazenamento S3 Standard. Você deve restaurar objetos arquivados nessa classe de armazenamento antes de DataSync poder lê-los. Para obter mais informações, consulte [Trabalhar com objetos arquivados](https://docs.aws.amazon.com/AmazonS3/latest/userguide/archived-objects.html) no *Guia do usuário do Amazon S3*. Ao usar o S3 Glacier Deep Archive, escolha a opção de tarefa **Verificar somente os dados transferidos** para comparar somas de verificação de dados e metadados no final da transferência. Você não pode usar a opção **Verificar todos os dados no destino** para essa classe de armazenamento, pois requer a recuperação de todos os objetos existentes do destino. |
| S3 Outposts | Classe de armazenamento para o Amazon S3 no Outposts. |
## Avaliando os custos de solicitação do S3 ao usar DataSync
Com os locais do Amazon S3, você incorre em custos relacionados às solicitações de API do S3 feitas por. DataSync Esta seção pode ajudá-lo a entender como DataSync usa essas solicitações e como elas podem afetar seus custos do [Amazon S3](https://aws.amazon.com/s3/pricing/).
**Topics**
+ [Solicitações do S3 feitas por DataSync](#create-s3-location-s3-requests-made)
+ [Considerações sobre custos](#create-s3-location-s3-requests-cost)
### Solicitações do S3 feitas por DataSync
A tabela a seguir descreve as solicitações do S3 que você DataSync pode fazer quando você está copiando dados de ou para um local do Amazon S3.
| Solicitação do S3 | Como DataSync o usa |
| --- | --- |
| [ListObjectV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) | DataSync faz pelo menos uma `LIST` solicitação para cada objeto que termina em uma barra (`/`) para listar os objetos que começam com esse prefixo. Essa solicitação é chamada durante a fase de [preparação](run-task.md#understand-task-execution-statuses) de uma tarefa. |
| [HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html) | DataSync faz `HEAD` solicitações para recuperar metadados do objeto durante as fases de [preparação](run-task.md#understand-task-execution-statuses) e [verificação](run-task.md#understand-task-execution-statuses) de uma tarefa. Pode haver várias `HEAD` solicitações por objeto, dependendo de como você DataSync deseja [verificar a integridade dos dados que ele transfere](configure-data-verification-options.md). |
| [GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) | DataSync faz `GET` solicitações para ler dados de um objeto durante a fase de [transferência](run-task.md#understand-task-execution-statuses) de uma tarefa. Pode haver várias solicitações de `GET` para objetos grandes. |
| [GetObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html) | Se você configurar sua tarefa para [copiar tags de objeto](configure-metadata.md), DataSync faça essas `GET` solicitações para verificar as tags de objeto durante as fases de [preparação](run-task.md#understand-task-execution-statuses) e [transferência](run-task.md#understand-task-execution-statuses) da tarefa. |
| [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) | DataSync faz `PUT` solicitações para criar objetos e prefixos em um bucket do S3 de destino durante a fase de [transferência](run-task.md#understand-task-execution-statuses) de uma tarefa. Como DataSync usa o [recurso de upload de várias partes do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/mpuoverview.html), pode haver várias `PUT` solicitações para objetos grandes. Para ajudar a minimizar os custos de armazenamento, recomendamos o uso de uma [configuração de ciclo de vida]() para impedir uploads incompletos de várias partes. |
| [PutObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html) | Se seus objetos de origem tiverem tags e você configurar sua tarefa para [copiar tags de objetos](configure-metadata.md), DataSync faça essas `PUT` solicitações ao [transferir](run-task.md#understand-task-execution-statuses) essas tags. |
| [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) | DataSync faz uma `COPY` solicitação para criar uma cópia de um objeto somente se os metadados desse objeto mudarem. Isso pode acontecer se você copiou originalmente os dados para o bucket do S3 usando outro serviço ou ferramenta que não transferiu seus metadados. |
### Considerações sobre custos
DataSync faz solicitações do S3 nos buckets do S3 toda vez que você executa sua tarefa. Isso pode fazer com que as cobranças aumentem em determinadas situações. Por exemplo:
+ Você está frequentemente transferindo objetos para ou de um bucket do S3.
+ Talvez você não esteja transferindo muitos dados, mas o bucket do S3 contém muitos objetos. Você ainda pode ver altas cobranças nesse cenário porque DataSync faz solicitações do S3 em cada um dos objetos do bucket.
+ Você está transferindo entre buckets do S3, assim DataSync como fazendo solicitações do S3 na origem e no destino.
Para ajudar a minimizar os custos de solicitação do S3 relacionados a DataSync, considere o seguinte:
**Topics**
+ [Quais classes de armazenamento do S3 eu estou usando?](#create-s3-location-s3-requests-storage-classes)
+ [Com que frequência preciso transferir meus dados?](#create-s3-location-s3-requests-recurring-transfers)
#### Quais classes de armazenamento do S3 eu estou usando?
As taxas de solicitação do S3 podem variar de acordo com a classe de armazenamento do Amazon S3 que os objetos estão usando, principalmente para classes que arquivam objetos (como S3 Glacier Instant Retrieval, S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive).
Aqui estão alguns cenários nos quais as classes de armazenamento podem afetar suas cobranças de solicitação do S3 durante o uso DataSync:
+ Sempre que você executa uma tarefa, DataSync faz `HEAD` solicitações para recuperar metadados do objeto. Essas solicitações resultam em cobranças mesmo se você não estiver movendo nenhum objeto. O quanto essas solicitações afetam sua fatura depende da classe de armazenamento que seus objetos estão usando, juntamente com o número de objetos DataSync digitalizados.
+ Se você moveu objetos para a classe de armazenamento S3 Glacier Instant Retrieval (diretamente ou por meio de uma configuração de ciclo de vida do bucket), as solicitações de objetos dessa classe são mais caras do que de outras classes de armazenamento.
+ Se você configurar sua DataSync tarefa para [verificar se os locais de origem e destino estão totalmente sincronizados](configure-data-verification-options.md), haverá `GET` solicitações para cada objeto em todas as classes de armazenamento (exceto S3 Glacier Flexible Retrieval e S3 Glacier Deep Archive).
+ Além das solicitações de `GET`, você incorre em custos de recuperação de dados para objetos nas classes de armazenamento S3 Standard-IA, S3 One Zone-IA ou S3 Glacier Instant Retrieval.
Para obter mais informações, consulte [Definição de preço do Amazon S3](https://aws.amazon.com/s3/pricing/).
#### Com que frequência preciso transferir meus dados?
Se você precisar mover dados de forma recorrente, pense em um [cronograma](task-scheduling.md) que não execute mais tarefas do que o necessário.
Você também pode considerar limitar o escopo de suas transferências. Por exemplo, você pode configurar DataSync para focar em objetos em determinados prefixos ou [filtrar quais dados são transferidos](filtering.md). Essas opções podem ajudar a reduzir o número de solicitações do S3 feitas sempre que você executa sua DataSync tarefa.
## Outras considerações sobre transferências do Amazon S3
+ Se você estiver transferindo de um bucket S3, use a [Lente de Armazenamento do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/storage_lens_basics_metrics_recommendations.html) para descobrir quantos objetos você está movendo.
+ [Ao transferir entre buckets do S3, recomendamos usar o [modo de tarefa aprimorado](choosing-task-mode.md) porque você não está sujeito às DataSync cotas de tarefas.](datasync-limits.md)
+ DataSync talvez não transfira um objeto com caracteres não padrão em seu nome. Para obter mais informações, consulte [Diretrizes de nomeação de chave de objeto](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-keys.html#object-key-guidelines) no *Guia do usuário do Amazon S3*.
+ Ao usar DataSync com um bucket do S3 que usa controle de [versão, lembre-se do](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html) seguinte:
+ Ao transferir para um bucket do S3, DataSync cria uma nova versão de um objeto se esse objeto for modificado na origem. Isso resulta em custos adicionais.
+ Um objeto tem uma versão diferente IDs nos buckets de origem e destino.
+ Somente a versão mais recente de cada objeto é transferida do bucket de origem. Versões anteriores não são copiadas para o destino.
+ Depois de transferir inicialmente os dados de um bucket do S3 para um sistema de arquivos (por exemplo, NFS ou Amazon FSx), as execuções subsequentes da mesma DataSync tarefa não incluirão objetos que foram modificados, mas têm o mesmo tamanho da primeira transferência.
## Como criar o local de transferência para um bucket de uso geral do Amazon S3
Para criar um local para a transferência, você precisa de um bucket de uso geral do S3 existente. Se você não tiver um, consulte o [https://docs.aws.amazon.com/AmazonS3/latest/userguide/GetStartedWithS3.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/GetStartedWithS3.html).
**Importante**
Antes de criar seu local, leia as seguintes seções:
[Considerações sobre a classes de armazenamento com transferências do Amazon S3](#using-storage-classes)
[Avaliando os custos de solicitação do S3 ao usar DataSync](#create-s3-location-s3-requests)
### Usando o DataSync console
1. Abra o AWS DataSync console em [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/).
1. No painel de navegação esquerdo, expanda **Transferência de dados** e escolha **Locais** e **Criar local**.
1. Para **Tipo de local**, escolha **Amazon S3** e, em seguida, escolha **Bucket de uso geral**.
1. Para **URI do S3**, insira ou escolha o bucket e o prefixo que você deseja usar para o local.
**Atenção**
DataSync não é possível transferir objetos com um prefixo que comece com uma barra (`/`) ou inclua `//``/./`, ou `/../` padrões. Por exemplo:
`/photos`
`photos//2006/January`
`photos/./2006/February`
`photos/../2006/March`
1. Para **Classe de armazenamento do S3 quando usada como destino**, escolha uma classe de armazenamento que você deseja que os objetos usem quando o Amazon S3 for um destino de transferência.
Para obter mais informações, consulte [Considerações sobre a classes de armazenamento com transferências do Amazon S3](#using-storage-classes).
1. Em **Perfil do IAM**, siga um destes procedimentos:
+ Escolha **Autogenerate** DataSync para criar automaticamente uma função do IAM com as permissões necessárias para acessar o bucket do S3.
Se uma função do IAM foi criada DataSync anteriormente para esse bucket do S3, essa função é escolhida por padrão.
+ Escolha um perfil do IAM personalizado que você criou. Para obter mais informações, consulte [Criação de uma função do IAM DataSync para acessar sua localização no Amazon S3](#create-role-manually).
1. (Opcional) Escolha **Adicionar nova tag** para marcar o local no Amazon S3.
Tags ajudam a gerenciar, filtrar e procurar recursos. Recomendamos criar uma etiqueta de nome para a sua localização.
1. Escolha **Criar local**.
### Usando o AWS CLI
1. Copie o seguinte comando `create-location-s3`:
```
aws datasync create-location-s3 \
--s3-bucket-arn 'arn:aws:s3:::amzn-s3-demo-bucket' \
--s3-storage-class 'your-S3-storage-class' \
--s3-config 'BucketAccessRoleArn=arn:aws:iam::account-id:role/role-allowing-datasync-operations' \
--subdirectory /your-prefix-name
```
1. Em `--s3-bucket-arn`, especifique o ARN do bucket do S3 que você deseja usar como um local.
1. Em `--s3-storage-class`, especifique uma classe de armazenamento que você deseja que os objetos usem quando o Amazon S3 for um destino de transferência.
1. Para`--s3-config`, especifique o ARN da função do IAM que DataSync precisa acessar seu bucket.
Para obter mais informações, consulte [Criação de uma função do IAM DataSync para acessar sua localização no Amazon S3](#create-role-manually).
1. Para`--subdirectory`, especifique um prefixo no bucket do S3 que DataSync leia ou grave (dependendo se o bucket é um local de origem ou destino).
**Atenção**
DataSync não é possível transferir objetos com um prefixo que comece com uma barra (`/`) ou inclua `//``/./`, ou `/../` padrões. Por exemplo:
`/photos`
`photos//2006/January`
`photos/./2006/February`
`photos/../2006/March`
1. Execute o comando `create-location-s3`.
Se o comando for bem-sucedido, você receberá uma resposta que mostra o ARN do local que você criou. Por exemplo:
```
{
"LocationArn": "arn:aws:datasync:us-east-1:111222333444:location/loc-0b3017fc4ba4a2d8d"
}
```
Você pode usar esse local como origem ou destino para sua DataSync tarefa.
## Como criar seu local de transferência para um bucket do S3 no Outposts
Para criar um local para a transferência, você precisa de um bucket existente do Amazon S3 no Outposts. Se você não tiver um, consulte o [https://docs.aws.amazon.com/AmazonS3/latest/s3-outposts/S3onOutposts.html](https://docs.aws.amazon.com/AmazonS3/latest/s3-outposts/S3onOutposts.html).
Você também precisa de um DataSync agente. Para obter mais informações, consulte [Implantando seu agente do modo Básico em AWS Outposts](deploy-agents.md#outposts-agent).
Ao transferir de um prefixo de bucket do S3 on Outposts que contém um grande conjunto de dados (como centenas de milhares ou milhões de objetos), sua tarefa pode atingir o tempo limite. DataSync Para evitar isso, considere usar um [DataSync manifesto](transferring-with-manifest.md), que permite especificar os objetos exatos que você precisa transferir.
### Usando o DataSync console
1. Abra o AWS DataSync console em [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/).
1. No painel de navegação esquerdo, expanda **Transferência de dados** e escolha **Locais** e **Criar local**.
1. Para **Tipo de local**, escolha **Amazon S3** e, em seguida, escolha **Bucket do Outposts**.
1. Para **Bucket do S3**, escolha um ponto de acesso Amazon S3 que possa acessar seu bucket do S3 no Outposts.
Para obter mais informações, consulte o [https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points.html).
1. Para **Classe de armazenamento do S3 quando usada como destino**, escolha uma classe de armazenamento que você deseja que os objetos usem quando o Amazon S3 for um destino de transferência.
Para obter mais informações, consulte[Considerações sobre a classes de armazenamento com transferências do Amazon S3](#using-storage-classes). DataSync por padrão, usa a classe de armazenamento S3 Outposts para Amazon S3 on Outposts.
1. Para **agentes**, especifique o Amazon Resource Name (ARN) do DataSync agente em seu Outpost.
1. Em **Pasta**, insira um prefixo no bucket do S3 que DataSync lê ou grava (dependendo se o bucket é um local de origem ou destino).
**Atenção**
DataSync não é possível transferir objetos com um prefixo que comece com uma barra (`/`) ou inclua `//``/./`, ou `/../` padrões. Por exemplo:
`/photos`
`photos//2006/January`
`photos/./2006/February`
`photos/../2006/March`
1. Em **Perfil do IAM**, siga um destes procedimentos:
+ Escolha **Autogenerate** DataSync para criar automaticamente uma função do IAM com as permissões necessárias para acessar o bucket do S3.
Se uma função do IAM foi criada DataSync anteriormente para esse bucket do S3, essa função é escolhida por padrão.
+ Escolha um perfil do IAM personalizado que você criou. Para obter mais informações, consulte [Criação de uma função do IAM DataSync para acessar sua localização no Amazon S3](#create-role-manually).
1. (Opcional) Escolha **Adicionar nova tag** para marcar o local no Amazon S3.
Tags ajudam a gerenciar, filtrar e procurar recursos. Recomendamos criar uma etiqueta de nome para a sua localização.
1. Escolha **Criar local**.
### Usando o AWS CLI
1. Copie o seguinte comando `create-location-s3`:
```
aws datasync create-location-s3 \
--s3-bucket-arn 'bucket-access-point' \
--s3-storage-class 'your-S3-storage-class' \
--s3-config 'BucketAccessRoleArn=arn:aws:iam::account-id:role/role-allowing-datasync-operations' \
--subdirectory /your-folder \
--agent-arns 'arn:aws:datasync:your-region:account-id::agent/agent-agent-id'
```
1. Para `--s3-bucket-arn`, especifique o ARN de um ponto de acesso Amazon S3 que possa acessar o bucket do S3 no Outposts.
Para obter mais informações, consulte o [https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points.html).
1. Em `--s3-storage-class`, especifique uma classe de armazenamento que você deseja que os objetos usem quando o Amazon S3 for um destino de transferência.
Para obter mais informações, consulte[Considerações sobre a classes de armazenamento com transferências do Amazon S3](#using-storage-classes). DataSync por padrão, usa a classe de armazenamento S3 Outposts para S3 on Outposts.
1. Para`--s3-config`, especifique o ARN da função do IAM que DataSync precisa acessar seu bucket.
Para obter mais informações, consulte [Criação de uma função do IAM DataSync para acessar sua localização no Amazon S3](#create-role-manually).
1. Para`--subdirectory`, especifique um prefixo no bucket do S3 que DataSync leia ou grave (dependendo se o bucket é um local de origem ou destino).
**Atenção**
DataSync não é possível transferir objetos com um prefixo que comece com uma barra (`/`) ou inclua `//``/./`, ou `/../` padrões. Por exemplo:
`/photos`
`photos//2006/January`
`photos/./2006/February`
`photos/../2006/March`
1. Para`--agent-arns`, especifique o ARN do DataSync agente em seu Posto Avançado.
1. Execute o comando `create-location-s3`.
Se o comando for bem-sucedido, você receberá uma resposta que mostra o ARN do local que você criou. Por exemplo:
```
{
"LocationArn": "arn:aws:datasync:us-east-1:111222333444:location/loc-0b3017fc4ba4a2d8d"
}
```
Você pode usar esse local como origem ou destino para sua DataSync tarefa.
## Transferências do Amazon S3 entre Contas da AWS
[Com DataSync, você pode mover dados de ou para buckets do S3 em diferentes. Contas da AWS](working-with-locations.md#working-with-locations-across-accounts) Para obter mais informações, consulte os seguintes tutoriais:
+ [Transferência de dados do armazenamento local para o Amazon S3 em Contas da AWS](s3-cross-account-transfer.md)
+ [Transferência de dados do Amazon S3 para o Amazon S3 em Contas da AWS](tutorial_s3-s3-cross-account-transfer.md)
## Transferências do Amazon S3 entre comerciais e AWS GovCloud (US) Regions
Por padrão, DataSync não é transferido entre buckets S3 em ambientes comerciais e. AWS GovCloud (US) Regions Porém, você ainda pode configurar esse tipo de transferência criando um local de armazenamento de objetos para um dos buckets do S3 da transferência. Você pode realizar esse tipo de transferência com ou sem um atendente. Se você usa um atendente, a tarefa deve ser configurada para o modo **Básico**. Para transferir sem um atendente, você deve usar o modo **Avançado**.
**Antes de começar**: certifique-se de que compreende as implicações de custos de transferir entre regiões. Para obter mais informações, consulte [Preços do AWS DataSync](https://aws.amazon.com/datasync/pricing/).
**Contents**
+ [Fornecendo DataSync acesso ao bucket do seu local de armazenamento de objetos](#create-s3-location-govcloud-iam)
+ [Criando seu DataSync agente (opcional)](#create-s3-location-govcloud-create-agent)
+ [Criação de um local de armazenamento de objetos para o bucket do S3](#create-s3-location-govcloud-how-to)
### Fornecendo DataSync acesso ao bucket do seu local de armazenamento de objetos
Ao criar o local de armazenamento de objetos para essa transferência, você deve fornecer DataSync as credenciais de um usuário do IAM com permissão para acessar o bucket S3 do local. Para obter mais informações, consulte [Permissões obrigatórias](#create-s3-location-required-permissions).
**Atenção**
Os usuários do IAM têm credenciais de longo prazo, o que representa um risco de segurança. Para ajudar a reduzir esse risco, recomendamos que você forneça a esses usuários somente as permissões necessárias para realizar a tarefa e que você os remova quando não forem mais necessários.
### Criando seu DataSync agente (opcional)
Se você quiser executar a transferência usando o modo **Básico**, precisará usar um atendente. Como você está se transferindo entre um comercial e um AWS GovCloud (US) Region, você implanta seu DataSync agente como uma instância do Amazon EC2 em uma das regiões. Recomendamos que o agente use um endpoint de serviço da VPC para evitar custos de transferência de dados para a Internet pública. Para obter mais informações, consulte [Amazon EC2 Data Transfer pricing](https://aws.amazon.com/ec2/pricing/on-demand/#Data_Transfer).
Escolha um dos cenários a seguir que descrevem como criar um agente com base na região em que você planeja executar sua DataSync tarefa.
#### Ao executar uma DataSync tarefa em uma região comercial
O diagrama a seguir mostra uma transferência em que sua DataSync tarefa e seu agente estão na região comercial.
![\[Um DataSync agente implantado em uma região comercial para uma transferência entre regiões para um bucket S3 em um. AWS GovCloud (US) Region\]](http://docs.aws.amazon.com/pt_br/datasync/latest/userguide/images/s3-task-in-commercial.png)
| Referência | Description |
| --- | --- |
| 1 | Na região comercial em que você está executando uma DataSync tarefa, os dados são transferidos do bucket S3 de origem. O bucket de origem é configurado como um [local no Amazon S3](#create-s3-location-how-to) na região comercial. |
| 2 | [Transferências de dados por meio do DataSync agente, que está na mesma VPC e sub-rede em que o endpoint do serviço VPC e as interfaces de rede estão localizados.](required-network-interfaces.md) |
| 3 | Transferências de dados para o bucket do S3 de destino na AWS GovCloud (US) Region. O bucket de destino é configurado como um [local de armazenamento de objetos](#create-s3-location-govcloud-how-to) na região comercial. |
Você também pode usar essa mesma configuração para transferir a direção oposta da AWS GovCloud (US) Region para a região comercial.
**Para criar seu DataSync agente**
1. [Implante um agente do Amazon EC2](deploy-agents.md#ec2-deploy-agent-how-to) em sua região comercial.
1. Configure o agente para usar um [endpoint de serviço da VPC](choose-service-endpoint.md#datasync-in-vpc).
1. [Ative o agente](activate-agent.md).
#### Ao executar uma DataSync tarefa em uma região GovCloud (EUA)
O diagrama a seguir mostra uma transferência em que sua DataSync tarefa e seu agente estão no AWS GovCloud (US) Region.
![\[Um DataSync agente implantado em uma transferência AWS GovCloud (US) Region ou entre regiões para um bucket do S3 na mesma. AWS GovCloud (US) Region\]](http://docs.aws.amazon.com/pt_br/datasync/latest/userguide/images/s3-task-in-govcloud-1.png)
| Referência | Description |
| --- | --- |
| 1 | Transferências de dados do bucket S3 de origem na região comercial para o AWS GovCloud (US) Region local em que você está executando uma DataSync tarefa. O bucket de origem é configurado como um [local de armazenamento de objetos](#create-s3-location-govcloud-how-to) na AWS GovCloud (US) Region. |
| 2 | [No AWS GovCloud (US) Region, os dados são transferidos por meio do DataSync agente na mesma VPC e sub-rede em que o endpoint do serviço VPC e as interfaces de rede estão localizados.](required-network-interfaces.md) |
| 3 | Transferências de dados para o bucket do S3 de destino na AWS GovCloud (US) Region. O bucket de destino é configurado como um [local do Amazon S3](#create-s3-location-how-to) na AWS GovCloud (US) Region. |
Você também pode usar essa mesma configuração para transferir a direção oposta da AWS GovCloud (US) Region para a região comercial.
**Para criar seu DataSync agente**
1. [Implante um agente do Amazon EC2](deploy-agents.md#ec2-deploy-agent-how-to) em seu. AWS GovCloud (US) Region
1. Configure o agente para usar um [endpoint de serviço da VPC](choose-service-endpoint.md#datasync-in-vpc).
1. [Ative o agente](activate-agent.md).
Se o conjunto de dados for altamente compactável, você poderá ter uma redução de custos se criar o agente em uma região comercial enquanto executa uma tarefa em uma AWS GovCloud (US) Region. Há necessidade de mais configuração do que o normal para criar esse agente, incluindo preparar o agente para uso em uma região comercial. Para obter informações sobre como criar um agente para essa configuração, consulte o AWS DataSync blog [Mover dados para dentro e para fora AWS GovCloud (US) com](https://aws.amazon.com/blogs/publicsector/move-data-in-out-aws-govcloud-datasync/).
### Criação de um local de armazenamento de objetos para o bucket do S3
Você precisa de um local de armazenamento de objetos para o bucket do S3 que esteja na região em que você não está executando sua DataSync tarefa.
#### Usando o DataSync console
1. Abra o AWS DataSync console em [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/).
1. Verifique se você está na mesma região em que planeja executar a tarefa.
1. No painel de navegação esquerdo, expanda **Transferência de dados** e escolha **Locais** e **Criar local**.
1. Em **Tipo de localização**, escolha **Armazenamento de objetos**.
1. Para **Agentes**, escolha o DataSync agente que você criou para essa transferência.
1. Em **Servidor**, insira um endpoint do Amazon S3 para o bucket usando um dos seguintes formatos:
+ **Bucket de região comercial:** `s3.your-region.amazonaws.com`
+ **Bucket de AWS GovCloud (US) Region **: `s3.your-gov-region.amazonaws.com`
Para obter uma lista dos endpoints do Amazon S3, consulte *[Referência geral da AWS](https://docs.aws.amazon.com/general/latest/gr/s3.html)*.
1. Em nome do **bucket**, insira o nome do bucket do S3.
1. Em **Pasta**, insira um prefixo no bucket do S3 que DataSync lê ou grava (dependendo se o bucket é um local de origem ou destino).
**Atenção**
DataSync não é possível transferir objetos com um prefixo que comece com uma barra (`/`) ou inclua `//``/./`, ou `/../` padrões. Por exemplo:
`/photos`
`photos//2006/January`
`photos/./2006/February`
`photos/../2006/March`
1. Selecione **Exige credenciais** e faça o seguinte:
+ Para **Chave de acesso**, insira a chave de acesso de um [usuário do IAM](#create-s3-location-govcloud-iam) que possa acessar o bucket.
+ Em **Chave secreta**, insira a mesma chave secreta do usuário do IAM.
1. (Opcional) Escolha **Adicionar tag** para marcar sua localização.
Tags ajudam a gerenciar, filtrar e procurar recursos. Recomendamos criar uma etiqueta de nome para a sua localização.
1. Escolha **Criar local**.
#### Usando o AWS CLI
1. Copie o seguinte comando `create-location-object-storage`:
```
aws datasync create-location-object-storage \
--server-hostname s3-endpoint \
--bucket-name amzn-s3-demo-bucket \
--agent-arns arn:aws:datasync:your-region:123456789012:agent/agent-01234567890deadfb
```
1. No parâmetro `--server-hostname`, especifique um endpoint do Amazon S3 para o bucket usando um dos seguintes formatos:
+ **Bucket de região comercial:** `s3.your-region.amazonaws.com`
+ **Bucket de AWS GovCloud (US) Region **: `s3.your-gov-region.amazonaws.com`
Para a região no endpoint, certifique-se de especificar a mesma região em que você planeja executar a tarefa.
Para obter uma lista dos endpoints do Amazon S3, consulte *[Referência geral da AWS](https://docs.aws.amazon.com/general/latest/gr/s3.html)*.
1. No parâmetro `--bucket-name`, especifique o nome do bucket do S3.
1. Para o `--agent-arns` parâmetro, especifique o DataSync agente que você criou para essa transferência.
1. No parâmetro `--access-key`, especifique a chave de acesso para um [usuário do IAM](#create-s3-location-govcloud-iam) que possa acessar o bucket.
1. No parâmetro `--secret-key`, insira a mesma chave secreta do usuário do IAM.
1. (Opcional) Para o `--subdirectory` parâmetro, especifique um prefixo no bucket do S3 que DataSync lê ou grava (dependendo se o bucket é um local de origem ou destino).
**Atenção**
DataSync não é possível transferir objetos com um prefixo que comece com uma barra (`/`) ou inclua `//``/./`, ou `/../` padrões. Por exemplo:
`/photos`
`photos//2006/January`
`photos/./2006/February`
`photos/../2006/March`
1. (Opcional) No parâmetro `--tags`, especifique os pares chave-valor que representam as tags para o recurso do local.
Tags ajudam a gerenciar, filtrar e procurar recursos. Recomendamos criar uma etiqueta de nome para a sua localização.
1. Execute o comando `create-location-object-storage`.
Você recebe uma resposta que mostra o ARN do local que você acabou de criar.
```
{
"LocationArn": "arn:aws:datasync:us-east-1:123456789012:location/loc-01234567890abcdef"
}
```
Você pode usar esse local como origem ou destino para sua DataSync tarefa. Para o outro bucket do S3 nessa transferência, [crie um local do Amazon S3](#create-s3-location-how-to).
## Próximas etapas
Algumas das próximas etapas possíveis incluem:
1. Se necessário, crie outro local. Para obter mais informações, consulte [Para onde posso transferir meus dados AWS DataSync?](working-with-locations.md).
1. [Defina as configurações da DataSync tarefa](task-options.md), como quais arquivos transferir, como lidar com metadados, entre outras opções.
1. [Defina um cronograma](task-scheduling.md) para sua DataSync tarefa.
1. [Configure o monitoramento](monitoring-overview.md) para sua DataSync tarefa.
1. [Inicie](run-task.md) a tarefa.
# Configurando AWS DataSync transferências com o Amazon EFS
Para transferir dados para ou do seu sistema de arquivos Amazon EFS, você deve criar um *local AWS DataSync * de transferência. DataSync pode usar esse local como origem ou destino para transferir dados.
## Fornecendo DataSync acesso aos sistemas de arquivos do Amazon EFS
[Criar um local](#create-efs-location-how-to) envolve entender como DataSync acessar seu armazenamento. Para o Amazon EFS, DataSync monta seu sistema de arquivos como usuário raiz a partir da sua nuvem privada virtual (VPC) [usando](required-network-interfaces.md) interfaces de rede.
**Contents**
+ [Determinar a sub-rede e os grupos de segurança do destino de montagem](#create-efs-location-mount-target)
+ [Acesso a sistemas de arquivos restritos](#create-efs-location-iam)
+ [Criação de uma função DataSync do IAM para acesso ao sistema de arquivos](#create-efs-location-iam-role)
+ [Exemplo de política de sistema de arquivos que permite DataSync acesso](#create-efs-location-iam-policy)
### Determinar a sub-rede e os grupos de segurança do destino de montagem
Ao criar sua localização, você especifica a sub-rede e os grupos de segurança que permitem DataSync a conexão com um dos [destinos de montagem](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs.html) do seu sistema de arquivos Amazon EFS.
A sub-rede especificada deve estar localizada:
+ Na mesma VPC que o sistema de arquivos.
+ Na mesma zona de disponibilidade que pelo menos um destino de montagem do sistema de arquivos.
**nota**
Você não precisa especificar uma sub-rede que inclua um destino de montagem do sistema de arquivos.
Os grupos de segurança que você especificar devem permitir tráfego de entrada na porta NFS 2049. Para obter informações sobre a criação e a atualização de grupos de segurança para seus destinos de montagem, consulte o [https://docs.aws.amazon.com/efs/latest/ug/network-access.html](https://docs.aws.amazon.com/efs/latest/ug/network-access.html).
**Especificação de grupos de segurança associados a um destino de montagem**
Você pode especificar um grupo de segurança associado a um dos destinos de montagem do sistema de arquivos. Recomendamos essa abordagem do ponto de vista do gerenciamento de rede.
**Especificação de grupos de segurança não associados a um destino de montagem**
Você pode especificar um grupo de segurança que não esteja associado a um dos destinos de montagem do sistema de arquivos. Porém, esse grupo de segurança deve ser capaz de se comunicar com o grupo de segurança de um destino de montagem.
Por exemplo, veja como você pode criar uma relação entre o grupo de segurança D (para DataSync) e o grupo de segurança M (para o destino de montagem):
+ O grupo de segurança D, que você especifica ao criar o local, deve ter uma regra que permita conexões de saída na porta NFS 2049 com o grupo de segurança M.
+ O grupo de segurança M, associado ao destino de montagem, deve permitir o acesso de entrada na porta 2049 NFS do grupo de segurança D.
**Para encontrar o grupo de segurança de um destino de montagem**
As instruções a seguir podem ajudá-lo a identificar o grupo de segurança de um destino de montagem do sistema de arquivos Amazon EFS que você deseja usar DataSync para sua transferência.
1. No AWS CLI, execute o `describe-mount-targets` comando a seguir.
```
aws efs describe-mount-targets \
--region file-system-region \
--file-system-id file-system-id
```
Esse comando retorna informações sobre os destinos de montagem do sistema de arquivos (semelhante ao exemplo de saída a seguir).
```
{
"MountTargets": [
{
"OwnerId": "111222333444",
"MountTargetId": "fsmt-22334a10",
"FileSystemId": "fs-123456ab",
"SubnetId": "subnet-f12a0e34",
"LifeCycleState": "available",
"IpAddress": "11.222.0.123",
"NetworkInterfaceId": "eni-1234a044"
}
]
}
```
1. Anote o valor de `MountTargetId` que você deseja usar.
1. Execute o comando `describe-mount-target-security-groups` a seguir usando o `MountTargetId` para ver o grupo de segurança do destino de montagem.
```
aws efs describe-mount-target-security-groups \
--region file-system-region \
--mount-target-id mount-target-id
```
Você pode especificar um grupo de segurança ao [criar o local](#create-efs-location-how-to).
### Acesso a sistemas de arquivos restritos
DataSync podem ser transferidos de ou para sistemas de arquivos do Amazon EFS que restringem o acesso por meio de [pontos de acesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html) e [políticas do IAM](https://docs.aws.amazon.com/efs/latest/ug/iam-access-control-nfs-efs.html).
**nota**
[Se DataSync acessar um sistema de arquivos de destino por meio de um ponto de acesso que [impõe a identidade do usuário](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html#enforce-identity-access-points), o usuário e o grupo POSIX IDs para seus dados de origem não serão preservados se você configurar sua DataSync tarefa para copiar a propriedade.](configure-metadata.md) Em vez disso, os arquivos e pastas transferidos são definidos para o usuário e o grupo do ponto de acesso IDs. Quando isso acontece, a verificação da tarefa falha porque DataSync detecta uma incompatibilidade entre os metadados nos locais de origem e destino.
**Contents**
+ [Criação de uma função DataSync do IAM para acesso ao sistema de arquivos](#create-efs-location-iam-role)
+ [Exemplo de política de sistema de arquivos que permite DataSync acesso](#create-efs-location-iam-policy)
#### Criação de uma função DataSync do IAM para acesso ao sistema de arquivos
Se você tiver um sistema de arquivos Amazon EFS que restringe o acesso por meio de uma política do IAM, você pode criar uma função do IAM que forneça DataSync permissão para ler ou gravar dados no sistema de arquivos. Depois, talvez seja necessário especificar esse perfil na [política do sistema de arquivos](#create-efs-location-iam-policy).
**Para criar a função DataSync do IAM**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação esquerdo, em **Gerenciamento de acesso**, escolha **Perfis** e, em seguida, escolha **Criar perfil**.
1. Na página **Selecionar entidade confiável**, em **Tipo de entidade confiável**, escolha **Política de confiança personalizada**.
1. Cole o JSON a seguir no editor de política:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {
"Service": "datasync.amazonaws.com"
},
"Action": "sts:AssumeRole"
}]
}
```
------
1. Escolha **Próximo**. Na página **Adicionar permissões**, escolha **Próximo**.
1. Forneça um nome ao perfil e escolha **Criar perfil**.
Você pode especificar esse perfil ao [criar o local](#create-efs-location-how-to).
#### Exemplo de política de sistema de arquivos que permite DataSync acesso
O exemplo de política de sistema de arquivos a seguir mostra como o acesso a um sistema de arquivos do Amazon EFS (identificado na política como`fs-1234567890abcdef0`) é restrito, mas ainda permite o acesso DataSync por meio de uma função do IAM chamada`MyDataSyncRole`:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "ExampleEFSFileSystemPolicy",
"Statement": [{
"Sid": "AccessEFSFileSystem",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/MyDataSyncRole"
},
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientRootAccess"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:111122223333:file-system/fs-1234567890abcdef0",
"Condition": {
"Bool": {
"aws:SecureTransport": "true"
},
"StringEquals": {
"elasticfilesystem:AccessPointArn": "arn:aws:elasticfilesystem:us-east-1:111122223333:access-point/fsap-abcdef01234567890"
}
}
}]
}
```
------
+ `Principal`— Especifica uma [função do IAM](#create-efs-location-iam) que dá DataSync permissão para acessar o sistema de arquivos.
+ `Action`— Fornece acesso DataSync root e permite que ele leia e grave no sistema de arquivos.
+ `aws:SecureTransport`: exige que clientes do NFS usem TLS ao se conectar ao sistema de arquivos.
+ `elasticfilesystem:AccessPointArn`: permite o acesso ao sistema de arquivos somente por um ponto de acesso específico.
## Considerações de rede com transferências do Amazon EFS
VPCs que você usa com DataSync deve ter locação padrão. VPCs com locação dedicada não são suportadas.
## Considerações de performance com transferências do Amazon EFS
O modo de throughput do sistema de arquivos Amazon EFS pode afetar a duração da transferência e a performance do sistema de arquivos durante a transferência. Considere o seguinte:
+ Para obter melhores resultados, recomendamos o uso do modo de throughput elástico. Se você não usar o modo de throughput elástico, a transferência pode demorar mais.
+ Se você usar o modo de taxa de transferência intermitente, o desempenho dos aplicativos do seu sistema de arquivos poderá ser afetado porque DataSync consome créditos de intermitência do sistema de arquivos.
+ A forma como você [configura DataSync para verificar os dados transferidos](configure-data-verification-options.md) pode afetar o desempenho do sistema de arquivos e os custos de acesso aos dados.
Para obter mais informações, consulte [Amazon EFS performance](https://docs.aws.amazon.com/efs/latest/ug/performance.html) no *Amazon Elastic File System User Guide* e a página [Amazon EFS Pricing](https://aws.amazon.com/efs/pricing/).
## Criar seu local de transferência do Amazon EFS
Para criar o local de transferência, você precisa de um sistema de arquivos do Amazon EFS. Se você não tiver um, consulte [Introdução ao Amazon Elastic File System](https://docs.aws.amazon.com/efs/latest/ug/getting-started.html) no *Guia do usuário do Amazon Elastic File System*.
### Usando o DataSync console
1. Abra o AWS DataSync console em [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/).
1. No painel de navegação esquerdo, expanda **Transferência de dados** e escolha **Locais** e **Criar local**.
1. Em **Tipo de localização**, escolha **Sistema de arquivos Amazon EFS**.
Você configurará esse local como origem ou destino posteriormente.
1. Para **Sistema de arquivos**, escolha o sistema de arquivos do Amazon EFS que você deseja usar como um local.
1. Em **Caminho da montagem**, digite o caminho de montagem para o sistema de arquivos Amazon EFS.
Isso especifica onde DataSync lê ou grava dados (dependendo se esse é um local de origem ou destino) no seu sistema de arquivos.
Por padrão, DataSync usa o diretório raiz (ou [ponto de acesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html), se você fornecer um para a configuração do **ponto de acesso EFS**). Você também pode especificar subdiretórios usando barras (por exemplo,). `/path/to/directory`
1. Em **Sub-rede**, escolha uma sub-rede na qual você deseja DataSync criar as [interfaces de rede](required-network-interfaces.md) para gerenciar seu tráfego de transferência de dados.
A sub-rede deve estar localizada:
+ Na mesma VPC que o sistema de arquivos.
+ Na mesma zona de disponibilidade que pelo menos um destino de montagem.
**nota**
Você não precisa especificar uma sub-rede que inclua um destino de montagem do sistema de arquivos.
1. Em **Grupos de segurança**, escolha o grupo de segurança associado ao destino de montagem do sistema de arquivos Amazon EFS. Você pode escolher mais de um grupo de segurança.
**nota**
O grupo de segurança que você especificar deve permitir tráfego de entrada na porta NFS 2049. Para obter mais informações, consulte [Determinar a sub-rede e os grupos de segurança do destino de montagem](#create-efs-location-mount-target).
1. Para **criptografia em trânsito**, escolha se você deseja usar DataSync a criptografia TLS (Transport Layer Security) ao transferir dados para ou do seu sistema de arquivos.
**nota**
Você deve habilitar essa configuração para configurar um ponto de acesso, um perfil do IAM ou ambos com o local do Amazon EFS.
1. (Opcional) Para o **ponto de acesso EFS**, escolha um ponto de acesso que DataSync possa ser usado para montar seu sistema de arquivos.
Para obter mais informações, consulte [Acesso a sistemas de arquivos restritos](#create-efs-location-iam).
1. (Opcional) Para a **função do IAM**, especifique uma função que DataSync permita acessar seu sistema de arquivos.
Para obter informações sobre como criar essa função, consulte [Criação de uma função DataSync do IAM para acesso ao sistema de arquivos](#create-efs-location-iam-role).
1. (Opcional) Selecione **Adicionar tag** para marcar o sistema de arquivos.
Uma *tag* é um par de chave-valor que ajuda você a gerenciar, filtrar e pesquisar seus locais.
1. Escolha **Criar local**.
### Usando o AWS CLI
1. Copie o seguinte comando `create-location-efs`:
```
aws datasync create-location-efs \
--efs-filesystem-arn 'arn:aws:elasticfilesystem:region:account-id:file-system/file-system-id' \
--subdirectory /path/to/your/subdirectory \
--ec2-config SecurityGroupArns='arn:aws:ec2:region:account-id:security-group/security-group-id',SubnetArn='arn:aws:ec2:region:account-id:subnet/subnet-id' \
--in-transit-encryption TLS1_2 \
--access-point-arn 'arn:aws:elasticfilesystem:region:account-id:access-point/access-point-id' \
--file-system-access-role-arn 'arn:aws:iam::account-id:role/datasync-efs-access-role
```
1. Em `--efs-filesystem-arn`, especifique o nome do recurso da Amazon (ARN) do sistema de arquivos Amazon EFS que você está transferindo de ou para.
1. Em `--subdirectory`, especifique um caminho de montagem para o sistema de arquivos.
É aqui que DataSync lê ou grava dados (dependendo se esse é um local de origem ou destino) no seu sistema de arquivos.
Por padrão, DataSync usa o diretório raiz (ou [ponto de acesso](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html), se você fornecer um`--access-point-arn`). Você também pode especificar subdiretórios usando barras (por exemplo,). `/path/to/directory`
1. Para `--ec2-config`, faça o seguinte:
+ Em `SecurityGroupArns`, especifique o ARN do grupo de segurança associado ao destino de montagem do sistema de arquivos. Você pode especificar mais de um grupo de segurança.
**nota**
O grupo de segurança que você especificar deve permitir tráfego de entrada na porta NFS 2049. Para obter mais informações, consulte [Determinar a sub-rede e os grupos de segurança do destino de montagem](#create-efs-location-mount-target).
+ Para`SubnetArn`, especifique o ARN da sub-rede em que você deseja criar as [interfaces de rede DataSync ](required-network-interfaces.md) para gerenciar seu tráfego de transferência de dados.
A sub-rede deve estar localizada:
+ Na mesma VPC que o sistema de arquivos.
+ Na mesma zona de disponibilidade que pelo menos um destino de montagem.
**nota**
Você não precisa especificar uma sub-rede que inclua um destino de montagem do sistema de arquivos.
1. Para`--in-transit-encryption`, especifique se você deseja usar DataSync a criptografia TLS (Transport Layer Security) ao transferir dados para ou do seu sistema de arquivos.
**nota**
Você deve definir isso como `TLS1_2` para configurar um ponto de acesso, um perfil do IAM ou ambos com o local do Amazon EFS.
1. (Opcional) Para`--access-point-arn`, especifique o ARN de um ponto de acesso que DataSync pode ser usado para montar seu sistema de arquivos.
Para obter mais informações, consulte [Acesso a sistemas de arquivos restritos](#create-efs-location-iam).
1. (Opcional) Para`--file-system-access-role-arn`, especifique o ARN de uma função do IAM que permite DataSync acessar seu sistema de arquivos.
Para obter informações sobre como criar essa função, consulte [Criação de uma função DataSync do IAM para acesso ao sistema de arquivos](#create-efs-location-iam-role).
1. Execute o comando `create-location-efs`.
Se o comando for bem-sucedido, você receberá uma resposta que mostra o ARN do local que você criou. Por exemplo:
```
{
"LocationArn": "arn:aws:datasync:us-east-1:111222333444:location/loc-0b3017fc4ba4a2d8d"
}
```
# Configurando transferências com o FSx Windows File Server
Para transferir dados para ou do seu sistema de arquivos Amazon FSx for Windows File Server, você deve criar um *local AWS DataSync * de transferência. DataSync pode usar esse local como origem ou destino para transferir dados.
## Fornecendo DataSync acesso aos sistemas FSx de arquivos do Windows File Server
DataSync [se conecta ao seu sistema FSx de arquivos do Windows File Server com o protocolo Server Message Block (SMB) e o monta a partir da sua nuvem privada virtual (VPC) usando interfaces de rede.](required-network-interfaces.md)
**nota**
VPCs que você usa com DataSync deve ter locação padrão. VPCs com locação dedicada não são suportadas.
**Topics**
+ [Permissões obrigatórias](#create-fsx-windows-location-permissions)
+ [Protocolos de autenticação necessários](#configuring-fsx-windows-authentication-protocols)
+ [Namespaces do DFS](#configuring-fsx-windows-location-dfs)
### Permissões obrigatórias
Você deve fornecer DataSync ao usuário os direitos necessários para montar e acessar seus FSx arquivos, pastas e metadados de arquivos do Windows File Server.
Recomendamos que esse usuário pertença a um grupo do Microsoft Active Directory para administrar o sistema de arquivos. As especificidades desse grupo dependem da configuração do Active Directory:
+ Se você estiver usando AWS Directory Service for Microsoft Active Directory com FSx o Windows File Server, o usuário deverá ser membro do grupo ** FSx Administradores AWS Delegados**.
+ Se você estiver usando o Active Directory FSx autogerenciado com o Windows File Server, o usuário deverá ser membro de um dos dois grupos:
+ O grupo **Administradores de domínio**, que é o grupo padrão dos administradores delegados.
+ Um grupo personalizado de administradores delegados com direitos de usuário que permitem DataSync copiar permissões de propriedade de objetos e listas de controle de acesso do Windows ()ACLs.
**Importante**
Você não pode alterar o grupo de administradores delegados depois que o sistema de arquivos foi implantado. Você deve reimplantar o sistema de arquivos ou restaurá-lo a partir de um backup para usar o grupo personalizado de administradores delegados com os seguintes direitos de usuário que DataSync precisam copiar metadados.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/datasync/latest/userguide/create-fsx-location.html)
+ Se você quiser copiar o Windows ACLs e estiver transferindo entre um servidor de arquivos SMB e FSx para o sistema de arquivos Windows File Server ou entre FSx sistemas de arquivos Windows File Server, os usuários fornecidos DataSync devem pertencer ao mesmo domínio do Active Directory ou ter uma relação de confiança do Active Directory entre seus domínios.
**Atenção**
Seu FSx usuário do sistema de arquivos do Windows File Server deve ter permissões de **controle total** em todas as pastas do seu sistema de arquivos. Não altere as permissões de NTFS ACL para esse usuário em suas pastas. Se você fizer isso, DataSync poderá alterar as permissões do sistema de arquivos de uma forma que torne seu compartilhamento de arquivos inacessível e impeça que os backups do sistema de arquivos sejam utilizáveis. Para obter mais informações sobre o acesso em nível de arquivo e pasta, consulte o Guia do *[usuário do Amazon FSx para Windows File Server](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/limit-access-file-folder.html)*.
### Protocolos de autenticação necessários
Seu servidor de arquivos FSx para Windows deve usar a autenticação NTLM DataSync para acessá-lo. DataSyncnão consigo acessar um servidor de arquivos que usa a autenticação Kerberos.
### Namespaces do DFS
DataSync não oferece suporte a namespaces do Microsoft Distributed File System (DFS). Em vez disso, recomendamos especificar um servidor ou compartilhamento de arquivos subjacente ao criar sua DataSync localização.
Para obter mais informações, consulte [Agrupando vários sistemas de arquivos com namespaces DFS no Guia do usuário](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/group-file-systems.html) do *Amazon FSx para Windows File Server*.
## Criando seu local de transferência FSx para o Windows File Server
Antes de começar, verifique se você tem um servidor FSx de arquivos do Windows existente no seu Região da AWS. Para obter mais informações, consulte [Introdução à Amazon FSx ](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/getting-started.html) no *Guia do usuário do Amazon FSx para Windows File Server*.
### Usando o DataSync console
1. Abra o AWS DataSync console em [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/).
1. No painel de navegação esquerdo, expanda **Transferência de dados** e escolha **Locais** e **Criar local**.
1. Para **Tipo de localização**, escolha **Amazon FSx**.
1. Para **sistema de FSx arquivos**, escolha o FSx sistema de arquivos do Windows File Server que você deseja usar como local.
1. Em **Nome do compartilhamento**, insira um caminho de montagem FSx para o Windows File Server usando barras.
Isso especifica o caminho onde DataSync lê ou grava dados (dependendo se esse é um local de origem ou destino).
Você também pode incluir subdiretórios (por exemplo, `/path/to/directory`).
1. Para **grupos de segurança**, escolha até cinco grupos de segurança do Amazon EC2 que forneçam acesso à sub-rede preferencial do sistema de arquivos.
Os grupos de segurança que você escolher devem ser capazes de se comunicar com os grupos de segurança do sistema de arquivos. Para obter informações sobre a configuração de grupos de segurança para acesso ao sistema de arquivos, consulte o [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/limit-access-security-groups.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/limit-access-security-groups.html).
**nota**
Se você escolher um grupo de segurança que não permite conexões de dentro de si mesmo, siga um destes procedimentos:
Configure o grupo de segurança para permitir que ele se comunique dentro de si próprio.
Escolha outro grupo de segurança diferente que possa se comunicar com o grupo de segurança do destino de montagem.
1. Em **Usuário**, insira o nome de um usuário que pode acessar o seu FSx para o Windows File Server.
Para obter mais informações, consulte [Permissões obrigatórias](#create-fsx-windows-location-permissions).
1. Para **Senha**, insira a senha do nome de usuário.
1. (Opcional) Em **Domínio**, insira o nome do domínio do Windows ao qual seu sistema FSx de arquivos do Windows File Server pertence.
Se você tiver vários domínios do Active Directory em seu ambiente, definir essa configuração garante que ele DataSync se conecte ao sistema de arquivos correto.
1. (Opcional) Insira valores para os campos **Chave** e **Valor** para marcar o FSx Windows File Server.
As tags ajudam você a gerenciar, filtrar e pesquisar seus AWS recursos. Recomendamos criar pelo menos uma etiqueta de nome para a sua localização.
1. Escolha **Criar local**.
### Usando o AWS CLI
**Para criar um local FSx para o Windows File Server usando o AWS CLI**
+ Use o comando a seguir para criar uma FSx localização na Amazon.
```
aws datasync create-location-fsx-windows \
--fsx-filesystem-arn arn:aws:fsx:region:account-id:file-system/filesystem-id \
--security-group-arns arn:aws:ec2:region:account-id:security-group/group-id \
--user smb-user --password password
```
No comando `create-location-fsx-windows`, faça o seguinte:
+ `fsx-filesystem-arn`: especifique o nome do recurso da Amazon (ARN) do sistema de arquivos para o qual ou do qual deseja transferir.
+ `security-group-arns`: especifique os ARNs de até cinco grupos de segurança do Amazon EC2 que fornecem acesso à sub-rede preferencial do sistema de arquivos.
Os grupos de segurança que você especificar devem ser capazes de se comunicar com os grupos de segurança do seu sistema de arquivos. Para obter informações sobre a configuração de grupos de segurança para acesso ao sistema de arquivos, consulte o [https://docs.aws.amazon.com/fsx/latest/WindowsGuide/limit-access-security-groups.html](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/limit-access-security-groups.html).
**nota**
Se você escolher um grupo de segurança que não permite conexões de dentro de si mesmo, siga um destes procedimentos:
Configure o grupo de segurança para permitir que ele se comunique dentro de si próprio.
Escolha outro grupo de segurança diferente que possa se comunicar com o grupo de segurança do destino de montagem.
+ A Região da AWS — A região que você especifica é aquela em que seu sistema de FSx arquivos da Amazon de destino está localizado.
O comando anterior retorna um ARN do local semelhante ao exibido a seguir.
```
{
"LocationArn": "arn:aws:datasync:us-west-2:111222333444:location/loc-07db7abfc326c50fb"
}
```
# Configurando DataSync transferências com FSx for Lustre
Para transferir dados para ou do seu sistema de arquivos Amazon FSx for Lustre, você deve criar um *local* de AWS DataSync transferência. DataSync pode usar esse local como origem ou destino para transferir dados.
## Fornecendo DataSync acesso aos FSx sistemas de arquivos Lustre
DataSync acessa seu sistema de arquivos FSx for Lustre usando o cliente Lustre. DataSyncrequer acesso a todos os dados em seu sistema de arquivos FSx for Lustre. Para ter esse nível de acesso, DataSync monta seu sistema de arquivos como usuário raiz usando um ID de usuário (UID) e um ID de grupo (GID) do. `0`
DataSync monta seu sistema de arquivos a partir da sua nuvem privada virtual (VPC) [usando](required-network-interfaces.md) interfaces de rede. DataSync gerencia totalmente a criação, o uso e a exclusão dessas interfaces de rede em seu nome.
**nota**
VPCs que você usa com DataSync deve ter locação padrão. VPCs com locação dedicada não são suportadas.
## Criando seu local FSx de transferência para Lustre
Para criar o local de transferência, você precisa de um sistema de arquivos existente FSx para o Lustre. Para obter mais informações, consulte [Introdução ao Amazon FSx for Lustre no Guia](https://docs.aws.amazon.com/fsx/latest/LustreGuide/getting-started.html) do *usuário do Amazon FSx for Lustre.*
### Usando o DataSync console
1. Abra o AWS DataSync console em [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/).
1. No painel de navegação esquerdo, expanda **Transferência de dados** e escolha **Locais** e **Criar local**.
1. Para **Tipo de localização**, escolha **Amazon FSx**.
Você configurará esse local como origem ou destino posteriormente.
1. Para **sistema de FSx arquivos**, escolha o FSx sistema de arquivos Lustre que você deseja usar como local.
1. Em **Mount path**, insira o caminho de montagem do seu sistema de arquivos FSx for Lustre.
O caminho pode incluir um subdiretório. Quando o local é usado como fonte, DataSync lê os dados do caminho de montagem. Quando o local é usado como destino, DataSync grava todos os dados no caminho de montagem. Se um subdiretório não for fornecido, DataSync usa o diretório raiz (`/`).
1. Para **grupos de segurança**, escolha até cinco grupos de segurança que fornecem acesso ao seu sistema de arquivos FSx for Lustre.
Os grupos de segurança devem conseguir acessar as portas do sistema de arquivos. O sistema de arquivos também deve permitir o acesso a partir dos grupos de segurança.
Para obter mais informações sobre grupos de segurança, consulte [Controle de acesso ao sistema de arquivos com Amazon VPC no Guia](https://docs.aws.amazon.com/fsx/latest/LustreGuide/limit-access-security-groups.html) do usuário do *Amazon FSx for Lustre.*
1. (Opcional) Insira valores para os campos **Chave** e **Valor** para marcar o FSx sistema de arquivos do Lustre.
As tags ajudam você a gerenciar, filtrar e pesquisar seus AWS recursos. Recomendamos criar pelo menos uma etiqueta de nome para a sua localização.
1. Escolha **Criar local**.
### Usando o AWS CLI
**Para criar um local FSx para o Lustre usando o AWS CLI**
+ Use o comando a seguir para criar um local FSx para o Lustre.
```
aws datasync create-location-fsx-lustre \
--fsx-filesystem-arn arn:aws:fsx:region:account-id:file-system:filesystem-id \
--security-group-arns arn:aws:ec2:region:account-id:security-group/group-id
```
Os parâmetros a seguir são obrigatórios no comandos `create-location-fsx-lustre`.
+ `fsx-filesystem-arn`: o nome do recurso da Amazon (ARN) totalmente qualificado do sistema de arquivos no qual deseja ler ou gravar.
+ `security-group-arns`: o ARN de um grupo de segurança do Amazon EC2 que pode ser aplicado às [interfaces de rede](required-network-interfaces.md) da sub-rede preferencial do sistema de arquivos.
O comando anterior retorna um ARN do local semelhante ao seguir.
```
{
"LocationArn": "arn:aws:datasync:us-west-2:111222333444:location/loc-07sb7abfc326c50fb"
}
```
# Configurando DataSync transferências com a Amazon FSx para OpenZFS
*Para transferir dados para ou do seu sistema de arquivos Amazon FSx for OpenZFS, você deve criar um local de AWS DataSync transferência.* DataSync pode usar esse local como origem ou destino para transferir dados.
## Fornecendo DataSync acesso a FSx sistemas de arquivos OpenZFS
DataSync [monta seu sistema de arquivos FSx para OpenZFS a partir de sua nuvem privada virtual (VPC) usando interfaces de rede.](required-network-interfaces.md) DataSyncgerencia totalmente a criação, o uso e a exclusão dessas interfaces de rede em seu nome.
**nota**
VPCs que você usa com DataSync deve ter locação padrão. VPCs com locação dedicada não são suportadas.
## Configurando a autorização do FSx sistema de arquivos OpenZFS
DataSync acessa seu sistema de arquivos FSx para OpenZFS como um cliente NFS, montando o sistema de arquivos como um usuário root com um ID de usuário (UID) e ID de grupo (GID) de. `0`
DataSync Para copiar todos os metadados do seu arquivo, você deve definir as configurações de exportação de NFS nos volumes do sistema de arquivos usando. `no_root_squash` No entanto, você pode limitar esse nível de acesso somente a uma DataSync tarefa específica.
Para obter mais informações, consulte [Propriedades de volume](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/managing-volumes.html#volume-properties) no Guia do *usuário do Amazon FSx for OpenZFS*.
### Configurando exportações NFS específicas para DataSync (recomendado)
Você pode configurar uma exportação NFS específica para cada volume acessado somente pela sua DataSync tarefa. Faça isso para o volume ancestral mais recente do caminho de montagem que você especificou ao criar sua localização FSx para OpenZFS.
**Para configurar uma exportação NFS específica para DataSync**
1. Crie sua [DataSynctarefa](create-task-how-to.md).
Isso cria as interfaces de rede da tarefa que você especifica nas configurações de exportação de NFS.
1. Localize os endereços IP privados das interfaces de rede da tarefa usando o console do Amazon EC2 ou. AWS CLI
1. FSx Para o volume do sistema de arquivos OpenZFS, defina as seguintes configurações de exportação NFS para cada uma das interfaces de rede da tarefa:
+ **Endereço do cliente**: insira o endereço IP privado da interface de rede (por exemplo, `10.24.34.0`).
+ **Opções de NFS**: insira `rw,no_root_squash`.
### Configurar exportações do NFS para todos os clientes
Você pode especificar uma exportação do NFS que permita acesso à raiz a todos os clientes.
**Configurar uma exportação NFS para todos os clientes**
+ FSx Para o volume do sistema de arquivos OpenZFS, defina as seguintes configurações de exportação de NFS:
+ **Endereço do cliente**: insira `*`.
+ **Opções de NFS**: insira `rw,no_root_squash`.
## Criando seu local FSx de transferência para o OpenZFS
Para criar o local, você precisa de um sistema de arquivos existente FSx para OpenZFS. Se você não tiver um, consulte [Introdução ao Amazon FSx for OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/getting-started.html) no Guia do usuário do *Amazon FSx for OpenZFS*.
### Usando o DataSync console
1. Abra o AWS DataSync console em [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/).
1. No painel de navegação à esquerda, escolha **Locais** e, em seguida, **Criar local**.
1. Para **Tipo de localização**, escolha **Amazon FSx**.
Você configurará esse local como origem ou destino posteriormente.
1. Para **sistema de FSx arquivos**, escolha o FSx sistema de arquivos OpenZFS que você deseja usar como local.
1. Em **Mount path**, insira o caminho de montagem do seu sistema de arquivos FSx para OpenZFS.
O caminho deve começar com `/fsx` e pode ser qualquer caminho de diretório existente no sistema de arquivos. Quando o local é usado como fonte, DataSync lê os dados do caminho de montagem. Quando o local é usado como destino, DataSync grava todos os dados no caminho de montagem. Se um subdiretório não for fornecido, DataSync usa o diretório do volume raiz (por exemplo,`/fsx`).
1. Para **grupos de segurança**, escolha até cinco grupos de segurança que fornecem acesso de rede ao seu sistema de arquivos FSx para OpenZFS.
Os grupos de segurança devem fornecer acesso às portas de rede que são usadas pelo sistema de arquivos FSx for OpenZFS. O sistema de arquivos deve permitir o acesso à rede dos grupos de segurança.
Para obter mais informações sobre grupos de segurança, consulte [Controle de acesso ao sistema de arquivos com o Amazon VPC no Guia](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/limit-access-security-groups.html) do usuário do *Amazon FSx for OpenZFS*.
1. (Opcional) Expanda **Configurações adicionais** e, para a **versão NFS**, escolha a versão NFS que DataSync usa para acessar seu sistema de arquivos.
Por padrão, DataSync usa a versão 4.1 do NFS.
1. (Opcional) Insira valores para os campos **Chave** e **Valor** para marcar o sistema FSx de arquivos OpenZFS.
Tags ajudam a gerenciar, filtrar e procurar seu local. Recomendamos criar pelo menos uma etiqueta de nome para a sua localização.
1. Escolha **Criar local**.
### Usando o AWS CLI
**Para criar um local FSx para o OpenZFS usando o AWS CLI**
1. Copie o seguinte comando `create-location-fsx-open-zfs`:
```
aws datasync create-location-fsx-open-zfs \
--fsx-filesystem-arn arn:aws:fsx:region:account-id:file-system/filesystem-id \
--security-group-arns arn:aws:ec2:region:account-id:security-group/group-id \
--protocol NFS={}
```
1. Especifique os parâmetros exigidos a seguir no comando:
+ Para `fsx-filesystem-arn`, especifique o Nome do recursos da Amazon (ARN) totalmente qualificado do sistema de arquivos de localização. Isso inclui o Região da AWS local em que seu sistema de arquivos reside Conta da AWS, seu e o ID do sistema de arquivos.
+ Para`security-group-arns`, especifique o ARN do grupo de segurança Amazon EC2 que fornece acesso às interfaces de rede de FSx sua [sub-rede preferencial](required-network-interfaces.md) do sistema de arquivos OpenZFS. Isso inclui Região da AWS onde sua instância do Amazon EC2 reside, seu ID e o ID do Conta da AWS grupo de segurança.
Para obter mais informações sobre grupos de segurança, consulte [Controle de acesso ao sistema de arquivos com Amazon VPC no Guia](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/limit-access-security-groups.html) do usuário do *Amazon FSx for OpenZFS*.
+ Para`protocol`, especifique o protocolo DataSync usado para acessar seu sistema de arquivos. (DataSync atualmente suporta somente NFS.)
1. Execute o comando. Você recebe uma resposta que mostra o local que você acabou de criar.
```
{
"LocationArn": "arn:aws:datasync:us-west-2:123456789012:location/loc-abcdef01234567890"
}
```
# Configurando transferências com a Amazon FSx para ONTAP NetApp
Para transferir dados para ou do seu sistema de arquivos Amazon FSx for NetApp ONTAP, você deve criar um *local* de AWS DataSync transferência. DataSync pode usar esse local como origem ou destino para transferir dados.
## Fornecendo DataSync acesso aos FSx sistemas de arquivos ONTAP
Para acessar um sistema de arquivos FSx for ONTAP, DataSync monta uma máquina virtual de armazenamento (SVM) em seu sistema de arquivos usando [interfaces de rede](required-network-interfaces.md) em sua nuvem privada virtual (VPC). DataSync cria essas interfaces de rede na sub-rede preferencial do seu sistema de arquivos somente quando você cria uma tarefa que inclui sua localização FSx para ONTAP.
**nota**
VPCs que você usa com DataSync deve ter locação padrão. VPCs com locação dedicada não são suportadas.
DataSync pode se conectar a um FSx SVM do sistema de arquivos ONTAP e copiar dados usando o protocolo Network File System (NFS) ou Server Message Block (SMB).
**Topics**
+ [Usar o protocolo NFS](#create-ontap-location-supported-protocols)
+ [Usar o protocolo SMB](#create-ontap-location-smb)
+ [Protocolos incompatíveis](#create-ontap-location-unsupported-protocols)
+ [Escolhendo o protocolo certo](#create-ontap-location-choosing-protocol)
+ [Acessando SnapLock volumes](#create-ontap-location-snaplock)
### Usar o protocolo NFS
Com o protocolo NFS, DataSync usa o mecanismo de `AUTH_SYS` segurança com um ID de usuário (UID) e ID de grupo (GID) `0` para se autenticar com sua SVM.
**nota**
DataSync atualmente só oferece suporte ao NFS versão 3 com quatro localizações FSx ONTAP.
### Usar o protocolo SMB
Com o protocolo SMB, DataSync usa as credenciais que você fornece para se autenticar com seu SVM.
**Versões compatíveis do SMB**
Por padrão, escolhe DataSync automaticamente uma versão do protocolo SMB com base na negociação com seu servidor de arquivos SMB. Você também pode configurar DataSync para usar uma versão específica, mas recomendamos fazer isso somente se DataSync tiver problemas para negociar com o servidor de arquivos SMB automaticamente. Por motivos de segurança, recomendamos usar a versão 3.0.2 ou posterior do SMB.
Consulte a tabela a seguir para obter uma lista de opções no DataSync console e na API para configurar uma versão SMB com sua localização FSx para ONTAP:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/datasync/latest/userguide/create-ontap-location.html)
**Permissões obrigatórias**
Você deve fornecer a DataSync um usuário local em seu SVM ou a um usuário de domínio em seu Microsoft Active Directory os direitos necessários para montar e acessar seus arquivos, pastas e metadados de arquivos.
Se você fornecer um usuário no Active Directory, observe o seguinte:
+ Se você estiver usando AWS Directory Service for Microsoft Active Directory, o usuário deverá ser membro do grupo ** FSxAdministradores AWS Delegados**.
+ Se você estiver usando um Microsoft Active Directory autogerenciado, o usuário deverá ser membro de um de dois grupos:
+ O grupo **Administradores de domínio**, que é o grupo padrão dos administradores delegados.
+ Um grupo personalizado de administradores delegados com direitos de usuário que permitem DataSync copiar permissões de propriedade de objetos e listas de controle de acesso do Windows ()ACLs.
**Importante**
Você não pode alterar o grupo de administradores delegados depois que o sistema de arquivos foi implantado. Você deve reimplantar o sistema de arquivos ou restaurá-lo a partir de um backup para usar o grupo personalizado de administradores delegados com os seguintes direitos de usuário que DataSync precisam copiar metadados.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/datasync/latest/userguide/create-ontap-location.html)
+ Se você quiser copiar o Windows ACLs e estiver fazendo transferências FSx para sistemas de arquivos ONTAP usando SMB (ou outros tipos de sistemas de arquivos usando SMB), os usuários fornecidos DataSync devem pertencer ao mesmo domínio do Active Directory ou ter uma relação de confiança do Active Directory entre seus domínios.
**Protocolos de autenticação necessários**
DataSync Para acessar seu compartilhamento SMB, seu FSx sistema de arquivos do ONTAP deve usar a autenticação NTLM. DataSync não consigo acessar os sistemas FSx de arquivos ONTAP que usam a autenticação Kerberos.
**Namespaces do DFS**
DataSync não oferece suporte a namespaces do Microsoft Distributed File System (DFS). Em vez disso, recomendamos especificar um servidor ou compartilhamento de arquivos subjacente ao criar sua DataSync localização.
### Protocolos incompatíveis
DataSync não consigo acessar os sistemas FSx de arquivos ONTAP usando o protocolo iSCSI (Internet Small Computer Systems Interface).
### Escolhendo o protocolo certo
Para preservar os metadados do arquivo nas FSx migrações do ONTAP, configure seus locais de DataSync origem e destino para usar o mesmo protocolo. Entre os protocolos compatíveis, o SMB preserva os metadados com a mais alta fidelidade (consulte [Entendendo como DataSync manipula metadados de arquivos e objetos](metadata-copied.md) para obter detalhes).
Ao migrar de um servidor Unix (Linux) ou compartilhamento de armazenamento conectado à rede (NAS) que atenda aos usuários por meio do NFS, faça o seguinte:
1. [Crie um local NFS](create-nfs-location.md) para o servidor Unix (Linux) ou compartilhamento NAS. (Esse será seu local de origem.)
1. Configure o volume ONTAP FSx para o qual você está transferindo dados com o estilo de segurança [Unix](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-volumes.html#volume-security-style).
1. Crie um local para o seu FSx sistema de arquivos do ONTAP que esteja configurado para NFS. (Esse será seu local de destino.)
Ao migrar de um servidor Windows ou compartilhamento NAS que atende usuários por meio de SMB, faça o seguinte:
1. [Crie um local SMB](create-smb-location.md) para o servidor Windows ou compartilhamento NAS. (Esse será seu local de origem.)
1. Configure o volume ONTAP FSx para o qual você está transferindo dados com o estilo de segurança [NTFS](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-volumes.html#volume-security-style).
1. Crie um local para o seu FSx sistema de arquivos do ONTAP que esteja configurado para SMB. (Esse será seu local de destino.)
Se o seu ambiente FSx for ONTAP usa vários protocolos, recomendamos trabalhar com um especialista em AWS armazenamento. Para saber mais sobre as melhores práticas para acesso multiprotocolo, consulte [Habilitando cargas de trabalho multiprotocolo com a Amazon FSx ](https://aws.amazon.com/blogs/storage/enabling-multiprotocol-workloads-with-amazon-fsx-for-netapp-ontap/) para ONTAP. NetApp
### Acessando SnapLock volumes
Se você estiver transferindo dados para um [SnapLock volume](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/snaplock.html) em um sistema de arquivos FSx para ONTAP, certifique-se de que as SnapLock configurações **Autocommit** e **Modo de acréscimo de volume** estejam desativadas no volume durante a transferência. É possível reabilitar essas configurações quando terminar de transferir dados.
## Criando seu local FSx de transferência para ONTAP
Para criar o local, você precisa de um sistema de arquivos existente FSx para ONTAP. Se você não tiver um, consulte [Introdução ao Amazon FSx for NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/getting-started.html) no Guia do *usuário do Amazon FSx for NetApp ONTAP*.
### Usando o DataSync console
1. Abra o AWS DataSync console em [https://console.aws.amazon.com/datasync/](https://console.aws.amazon.com/datasync/).
1. No painel de navegação esquerdo, expanda **Transferência de dados** e escolha **Locais** e **Criar local**.
1. Para **Tipo de localização**, escolha **Amazon FSx**.
Você configurará esse local como origem ou destino posteriormente.
1. Para **sistema de FSx arquivos**, escolha o FSx sistema de arquivos ONTAP que você deseja usar como local.
1. Em **Máquina virtual de armazenamento**, escolha uma máquina virtual de armazenamento (SVM) no sistema de arquivos para o qual e do qual você copia dados.
1. Em **Montar caminho**, especifique um caminho para o compartilhamento de arquivos no SVM no qual que você copiará os dados.
Você pode especificar um caminho de união (também conhecido como ponto de montagem), caminho qtree (para compartilhamentos de arquivos NFS) ou nome de compartilhamento (para compartilhamentos de arquivos SMB). Por exemplo, seu caminho de montagem pode ser `/vol1`, `/vol1/tree1` ou `/share1`.
**dica**
Não especifique um caminho no volume raiz do SVM. Para obter mais informações, consulte [Gerenciamento FSx de máquinas virtuais de armazenamento ONTAP no Guia](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/managing-svms.html) do *usuário do Amazon FSx for NetApp ONTAP*.
1. Para **grupos de segurança**, escolha até cinco grupos de segurança do Amazon EC2 que forneçam acesso à sub-rede preferencial do sistema de arquivos.
Os grupos de segurança devem permitir tráfego de saída nas seguintes portas (dependendo do protocolo em uso):
+ **NFS**: portas TCP 111, 635 e 2049
+ **SMB**: porta TCP 445
Os grupos de segurança do seu sistema de arquivos também devem permitir tráfego de entrada na mesma porta.
1. Em **Protocolo**, escolha o protocolo de transferência de dados DataSync usado para acessar o SVM do seu sistema de arquivos.
Para obter mais informações, consulte [Escolhendo o protocolo certo](#create-ontap-location-choosing-protocol).
------
#### [ NFS ]
DataSync usa NFS versão 3.
------
#### [ SMB ]
Configure uma versão do SMB, o nome de usuário, a senha e o nome de domínio do Active Directory (se necessário) para acessar a SVM.
+ (Opcional) Expanda **Configurações adicionais** e escolha uma **versão SMB** DataSync para usar ao acessar seu SVM.
Por padrão, escolhe DataSync automaticamente uma versão com base na negociação com o servidor de arquivos SMB. Para obter mais informações, consulte [Usar o protocolo SMB](#create-ontap-location-smb).
+ Em **Usuário**, especifique um nome de usuário que possa montar e acessar os arquivos, as pastas e os metadados que você deseja transferir na SVM.
Para obter mais informações, consulte [Usar o protocolo SMB](#create-ontap-location-smb).
+ Em **Senha**, insira a senha do usuário que você especificou e que pode acessar a SVM.
+ (Opcional) Em **nome de domínio do Active Directory**, insira o nome de domínio totalmente qualificado (FQDN) do Active Directory ao qual a SVM pertence.
Se você tiver vários domínios em seu ambiente, definir essa configuração garante que ele se DataSync conecte ao SVM correto.
------
1. (Opcional) Insira valores para os campos **Chave** e **Valor** para marcar o FSx sistema de arquivos ONTAP.
As tags ajudam você a gerenciar, filtrar e pesquisar seus AWS recursos. Recomendamos criar pelo menos uma etiqueta de nome para a sua localização.
1. Escolha **Criar local**.
### Usando o AWS CLI
**Para criar um local FSx para o ONTAP usando o AWS CLI**
1. Copie o seguinte comando `create-location-fsx-ontap`:
```
aws datasync create-location-fsx-ontap \
--storage-virtual-machine-arn arn:aws:fsx:region:account-id:storage-virtual-machine/fs-file-system-id \
--security-group-arns arn:aws:ec2:region:account-id:security-group/group-id \
--protocol data-transfer-protocol={}
```
1. Especifique os parâmetros exigidos a seguir no comando:
+ Para `storage-virtual-machine-arn`, especifique o Nome do recursos da Amazon (ARN) de uma máquina virtual de armazenamento (SVM) no seu sistema de arquivos para o qual ou do qual você copie dados.
Esse ARN inclui o Região da AWS local em que seu sistema de arquivos reside Conta da AWS, seu e o sistema de arquivos e a SVM. IDs
+ Para `security-group-arns`, especifique os ARNs dos grupos de segurança do Amazon EC2 que fornecem acesso às [interfaces de rede](required-network-interfaces.md) da sub-rede preferencial do seu sistema de arquivos.
Isso inclui Região da AWS onde sua instância do Amazon EC2 reside Conta da AWS, você e seu grupo de segurança. IDs Você pode especificar até cinco grupos de segurança ARNs.
Para obter mais informações sobre grupos de segurança, consulte [Controle de acesso ao sistema de arquivos com Amazon VPC no Guia](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/limit-access-security-groups.html) do usuário do *Amazon FSx for NetApp ONTAP.*
+ Para`protocol`, configure o protocolo DataSync usado para acessar o SVM do seu sistema de arquivos.
+ Para NFS, você pode usar a configuração padrão:
`--protocol NFS={}`
+ Para SMB, você deve especificar um nome de usuário e uma senha que possam acessar a SVM:
`--protocol SMB={User=smb-user,Password=smb-password}`
1. Execute o comando .
Você recebe uma resposta que mostra o local que você acabou de criar.
```
{
"LocationArn": "arn:aws:datasync:us-west-2:123456789012:location/loc-abcdef01234567890"
}
```