As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Crie um servidor em uma VPC (virtual private cloud).
<a name="create-server-in-vpc"></a>

Você pode hospedar o endpoint do seu servidor em uma nuvem privada virtual (VPC) para usar na transferência de dados de e para um bucket do Amazon S3 ou arquivo do Amazon EFS sem usar a internet pública.

**nota**  
 Depois de 19 de maio de 2021, você não poderá criar um servidor usando `EndpointType=VPC_ENDPOINT` sua AWS conta se ela ainda não tiver feito isso antes de 19 de maio de 2021. Se você já criou servidores `EndpointType=VPC_ENDPOINT` em sua AWS conta em ou antes de 21 de fevereiro de 2021, você não será afetado. Após essa data, use `EndpointType`=**VPC**. Para obter mais informações, consulte [Interromper o uso do VPC\$1ENDPOINT](#deprecate-vpc-endpoint).

Se você usa a Amazon Virtual Private Cloud (Amazon VPC) para hospedar seus AWS recursos, você pode estabelecer uma conexão privada entre sua VPC e um servidor. Você pode usar esse servidor em seguida para transferir dados do seu cliente de e para o bucket do Amazon S3 sem usar endereçamento IP público ou exigir um gateway da internet.

Usando o Amazon VPC, você pode lançar AWS recursos em uma rede virtual personalizada. Você pode usar uma VPC para controlar as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para obter mais informações VPCs, consulte [O que é o Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)? no Guia do *usuário da Amazon VPC*.

Na próxima seção, você pode encontrar instruções sobre como conectar sua VPC a um servidor. Como visão geral, você faz isso da seguinte maneira:

1. Configure um servidor usando um endpoint da VPC.

1. Conecte-se ao seu servidor usando um cliente que está dentro da sua VPC, por meio do endpoint da VPC. Isso permite que você transfira dados que estão armazenados em seu bucket do Amazon S3 pelo seu cliente usando AWS Transfer Family. Você pode realizar essa transferência mesmo que a rede esteja desconectada da internet pública.

1.  Além disso, se você optar por tornar o endpoint do seu servidor voltado para a Internet, poderá associar endereços IP elásticos ao seu endpoint. Isso permite que clientes fora da sua VPC se conectem ao seu servidor. Você pode usar grupos de segurança da VPC para controlar o acesso a usuários autenticados cujas solicitações são originadas apenas de endereços permitidos.

**nota**  
AWS Transfer Family oferece suporte a endpoints de pilha dupla, permitindo que seu servidor se comunique por meio de e. IPv4 IPv6 Para ativar o suporte de pilha dupla, selecione a opção **Ativar endpoint de pilha dupla de DNS ao criar seu VPC endpoint**. Observe que tanto a VPC quanto as sub-redes devem ser configuradas para oferecer suporte IPv6 antes que você possa usar esse recurso. O suporte de pilha dupla é particularmente útil quando você tem clientes que precisam se conectar usando qualquer um dos protocolos.  
Para obter informações sobre endpoints de duas pilhas (IPv4 e IPv6) de servidor, consulte. [IPv6 suporte para servidores Transfer Family](ipv6-support.md)

**Topics**
+ [Crie um endpoint de servidor que possa ser acessado apenas em sua VPC](#create-server-endpoint-in-vpc)
+ [Criar um endpoint voltado para a internet para seu servidor](#create-internet-facing-endpoint)
+ [Altere o tipo de endpoint para o seu servidor](#change-server-endpoint-type)
+ [Interromper o uso do VPC\$1ENDPOINT](#deprecate-vpc-endpoint)
+ [Limitando o acesso ao VPC endpoint para servidores Transfer Family](#limit-vpc-endpoint-access)
+ [Recursos adicionais de rede](#additional-networking-features)
+ [Atualização do tipo de endpoint AWS Transfer Family do servidor de VPC\$1ENDPOINT para VPC](update-endpoint-type-vpc.md)

## Crie um endpoint de servidor que possa ser acessado apenas em sua VPC
<a name="create-server-endpoint-in-vpc"></a>

No procedimento a seguir, você cria um endpoint de servidor acessível apenas aos recursos dentro da sua VPC.

**Para criar um endpoint de servidor dentro de uma VPC**

1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. No painel de navegação, selecione **Servidores** e escolha **Criar servidor**.

1. Em **Escolher protocolos**, selecione um ou mais protocolos e escolha **Avançar**. Para obter mais informações sobre protocolos, consulte [Etapa 2: Criar um servidor habilitado para SFTP](getting-started.md#getting-started-server).

1. Em **Escolher um provedor de identidade**, escolha **Serviço gerenciado** para armazenar identidades e chaves de usuário e AWS Transfer Family, em seguida, escolha **Avançar**.

   Este procedimento usa a opção gerenciada por serviço. Se escolher **Personalizado**, você fornecerá um endpoint do Amazon API Gateway e um perfil (IAM) do AWS Identity and Access Management para acessar o endpoint. Ao fazer isso, você poderá integrar seu serviço de diretório para autenticar e autorizar seus usuários. Para saber mais sobre como trabalhar com provedores de identidade personalizada, consulte [Trabalhar com provedores de identidade personalizados](custom-idp-intro.md).

1. Em **Escolha um endpoint**, faça o seguinte:

   1. Em **Tipo de endpoint**, escolha o tipo de endpoint **Hospedado em VPC** para hospedar o endpoint do seu servidor.

   1. Em **Acesso**, escolha **Interno** para tornar seu endpoint acessível apenas aos clientes que usam os endereços IP privados do endpoint.

      Para obter detalhes sobre a opção **Voltado para a internet**, consulte [Criar um endpoint voltado para a internet para seu servidor](#create-internet-facing-endpoint). Um servidor que é criado em uma VPC para acesso interno não oferece suporte a nomes de host personalizados.

   1. Para **VPC**, escolha um ID da VPC existente ou escolha **Criar uma VPC** para criar uma nova VPC.

   1. Na seção **Zonas de disponibilidade**, escolha até três Zonas de Disponibilidade e sub-redes associadas.

   1. Na seção **Grupos de segurança**, escolha uma ID de grupo de segurança existente IDs ou escolha **Criar um grupo de segurança** para criar um novo grupo de segurança. Para obter mais informações sobre grupos de segurança da VPC, consulte [Grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) no *Guia do usuário da Amazon Virtual Private Cloud*. Para criar um grupo de segurança, consulte [Criando um grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) no *Guia do usuário da Amazon Virtual Private Cloud*.
**nota**  
Sua VPC vem automaticamente com um grupo de segurança padrão. Se você não especificar um grupo de segurança ou grupos diferentes ao lançar o servidor, associaremos o grupo de segurança padrão ao seu servidor.
      + Para as regras de entrada do grupo de segurança, você pode configurar o tráfego SSH para usar as portas 22, 2222, 22000 ou qualquer combinação. A porta 22 é configurada por padrão. Para usar a porta 2222 ou a porta 22000, você adiciona uma regra de entrada ao seu grupo de segurança. Para o tipo, escolha **TCP personalizado** e, em seguida, insira um **2222** ou **22000** para **Intervalo de portas** e, para a origem, insira o mesmo intervalo CIDR que você tem para sua regra de porta SSH 22.
      + Para as regras de entrada do grupo de segurança, configure o tráfego FTP e FTPS para usar o **intervalo de portas** para o canal de controle e **21** **8192-8200** para o canal de dados.
**nota**  
Você também pode usar a porta 2223 para clientes que precisam de TCP “piggy-back” ACKs ou a capacidade do pacote final do handshake tridirecional TCP também conter dados.  
Alguns softwares do cliente podem ser incompatíveis com a porta 2223: por exemplo, um cliente que exige que o servidor envie a string de identificação do SFTP antes que o cliente o faça.  
![\[As regras de entrada para um exemplo de grupo de segurança, mostrando uma regra para SSH na porta 22 e TCP personalizado na porta 2222.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/alternate-port-rule.png)

   1. (Opcional) Para **FIPS ativado**, marque a caixa de seleção **Endpoint habilitado para FIPS** para assegurar que o endpoint esteja em conformidade com os Padrões Federais de Processamento de Informações (FIPS).
**nota**  
Os endpoints habilitados para FIPS só estão disponíveis nas regiões AWS da América do Norte. Para saber as regiões disponíveis, consulte [Endpoints e cotas do AWS Transfer Family](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) em *Referência geral da AWS*. Para obter mais informações, consulte [FIPS – Padrão federal de processamento de informações 140-2](https://aws.amazon.com/compliance/fips/).

   1. Escolha **Próximo**.

1. Em **Configuração adicional**, faça o seguinte:

   1. Para **CloudWatch registrar**, escolha uma das opções a seguir para permitir que a Amazon CloudWatch registre sua atividade de usuário:
      + **Crie uma nova função** para permitir que o Transfer Family crie automaticamente o perfil do IAM, desde que você tenha as permissões certas para criar uma nova função. O perfil do IAM criado é chamado `AWSTransferLoggingAccess`.
      + **Escolha a partir de uma função existente** para selecionar um perfil do IAM existente da sua conta. Em **Função de registro em log**, escolha a função. Esse perfil do IAM deve incluir uma política de confiança com o **Serviço** definido como `transfer.amazonaws.com`.

        Para obter mais informações sobre CloudWatch registro em log, consulte[Configurar função de CloudWatch registro](configure-cw-logging-role.md).
**nota**  
Você não pode ver a atividade do usuário final CloudWatch se não especificar uma função de registro.
Se você não quiser configurar uma função de CloudWatch registro, selecione **Escolher uma função existente**, mas não selecione uma função de registro.

   1. Para **Opções de algoritmo criptográfico**, escolha uma política de segurança que contenha os algoritmos criptográficos habilitados para uso pelo seu servidor.
**nota**  
Por padrão, a política de segurança do `TransferSecurityPolicy-2024-01` é anexada ao seu servidor, a menos que você escolha uma diferente.

      Para obter mais informações sobre as políticas de segurança, consulte [Políticas de segurança para AWS Transfer Family servidores](security-policies.md).

   1. (Opcional: esta seção é somente para migrar usuários de um servidor habilitado para SFTP existente.) Em **Chave de host do servidor**, insira uma chave privada RSA ou ECDSA que será usada para identificar seu servidor quando os clientes se conectarem a ele por SFTP. ED25519

   1. (Opcional) Em **Tags**, para **Chave** e **Valor**, insira uma ou mais tags como pares de valor-chave e escolha **Adicionar tag**.

   1. Escolha **Próximo**.

1. Em **Revisar e criar**, revise as suas escolhas. Se você:
   + Se você quiser editar algum deles, escolha **Editar** ao lado da etapa.
**nota**  
Você deve revisar cada etapa após a etapa que você escolheu editar.
   + Se você não tiver alterações, escolha **Criar servidor** para criar seu servidor. Você será direcionado à página **Servidores**, exibida a seguir, onde seu novo servidor estará listado.

Pode levar alguns minutos até que o status de seu novo servidor mude para **Online**. Nesse ponto, seu servidor pode realizar operações com arquivos, mas primeiro você precisa criar um usuário. Para obter detalhes sobre a criação de usuários, consulte[Gerenciando usuários para endpoints de servidor](create-user.md).

## Criar um endpoint voltado para a internet para seu servidor
<a name="create-internet-facing-endpoint"></a>

No procedimento a seguir, crie um endpoint do servidor. Esse endpoint pode ser acessado pela internet apenas para clientes cujos endereços IP de origem são permitidos no grupo de segurança padrão da sua VPC. Além disso, ao usar endereços IP elásticos para tornar seu endpoint voltado para a internet, seus clientes podem usar o endereço IP elástico para permitir acesso ao seu endpoint em seus firewalls.

**nota**  
Apenas SFTP e FTPS podem ser usados em um endpoint hospedado em uma VPC voltado para a internet.

**Para criar um endpoint voltado para a internet**

1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. No painel de navegação, selecione **Servidores** e escolha **Criar servidor**.

1. Em **Escolher protocolos**, selecione um ou mais protocolos e escolha **Avançar**. Para obter mais informações sobre protocolos, consulte [Etapa 2: Criar um servidor habilitado para SFTP](getting-started.md#getting-started-server).

1. Em **Escolher um provedor de identidade**, escolha **Serviço gerenciado** para armazenar identidades e chaves de usuário e AWS Transfer Family, em seguida, escolha **Avançar**.

   Este procedimento usa a opção gerenciada por serviço. Se escolher **Personalizado**, você fornecerá um endpoint do Amazon API Gateway e um perfil (IAM) do AWS Identity and Access Management para acessar o endpoint. Ao fazer isso, você poderá integrar seu serviço de diretório para autenticar e autorizar seus usuários. Para saber mais sobre como trabalhar com provedores de identidade personalizada, consulte [Trabalhar com provedores de identidade personalizados](custom-idp-intro.md).

1. Em **Escolha um endpoint**, faça o seguinte:

   1. Em **Tipo de endpoint**, escolha o tipo de endpoint **Hospedado em VPC** para hospedar o endpoint do seu servidor.

   1. Em **Acesso**, escolha **Voltado para a internet** para tornar seu endpoint acessível aos clientes pela internet.
**nota**  
Ao escolher **Voltado para a internet**, você pode escolher um endereço IP elástico existente em cada sub-rede ou sub-redes. Ou você pode acessar o console da VPC ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) para alocar um ou mais novos endereços IP elásticos. Esses endereços podem ser de sua propriedade AWS ou de sua propriedade. Você não pode associar endereços IP elásticos que já estão em uso com seu endpoint.

   1. (Opcional) Em **Nome de host personalizado**, escolha uma das seguintes:
**nota**  
Clientes que AWS GovCloud (US) precisam se conectar diretamente por meio do endereço IP elástico ou criar um registro de nome de host no Commercial Route 53 que aponte para seu EIP. Para obter mais informações sobre o uso do Route 53 para GovCloud endpoints, consulte [Configurando o Amazon Route 53 com seus AWS GovCloud (US) recursos](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-route53.html) no *Guia do AWS GovCloud (US) usuário*. 
      + **Alias de DNS do Amazon Route 53** — se o nome do host que você deseja usar estiver registrado no Route 53. Em seguida, você pode inserir o nome do host.
      + **Outro DNS** - se o nome do host que você deseja usar estiver registrado em outro provedor DNS. Em seguida, você pode inserir o nome do host.
      + **Nenhum** - para usar o endpoint do servidor e não um nome de host personalizado. O nome do host do servidor tem a forma de `server-id.server.transfer.region.amazonaws.com`.
**nota**  
Para clientes em AWS GovCloud (US), selecionar **Nenhum** não cria um nome de host nesse formato.

      Para saber mais sobre como trabalhar com nomes de host personalizados, consulte [Trabalhar com nomes de host personalizados](requirements-dns.md).

   1. Para **VPC**, escolha um ID da VPC existente ou escolha **Criar uma VPC** para criar uma nova VPC.

   1. Na seção **Zonas de disponibilidade**, escolha até três Zonas de Disponibilidade e sub-redes associadas. Em **IPv4Endereços**, escolha um **endereço IP elástico** para cada sub-rede. Esse é o endereço IP que seus clientes podem usar para permitir o acesso ao seu endpoint em seus firewalls.

      **Dica:** você deve usar uma sub-rede pública para suas zonas de disponibilidade ou primeiro configurar um gateway de internet se quiser usar uma sub-rede privada.

   1. Na seção **Grupos de segurança**, escolha uma ID de grupo de segurança existente IDs ou escolha **Criar um grupo de segurança** para criar um novo grupo de segurança. Para obter mais informações sobre grupos de segurança da VPC, consulte [Grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) no *Guia do usuário da Amazon Virtual Private Cloud*. Para criar um grupo de segurança, consulte [Criando um grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) no *Guia do usuário da Amazon Virtual Private Cloud*.
**nota**  
Sua VPC vem automaticamente com um grupo de segurança padrão. Se você não especificar um grupo de segurança ou grupos diferentes ao lançar o servidor, associaremos o grupo de segurança padrão ao seu servidor.
      + Para as regras de entrada do grupo de segurança, você pode configurar o tráfego SSH para usar as portas 22, 2222, 22000 ou qualquer combinação. A porta 22 é configurada por padrão. Para usar a porta 2222 ou a porta 22000, você adiciona uma regra de entrada ao seu grupo de segurança. Para o tipo, escolha **TCP personalizado** e, em seguida, insira um **2222** ou **22000** para **Intervalo de portas** e, para a origem, insira o mesmo intervalo CIDR que você tem para sua regra de porta SSH 22.
      + Para as regras de entrada do grupo de segurança, configure o tráfego FTPS para usar o **intervalo de portas** **21** para o canal de controle e **8192-8200** para o canal de dados.
**nota**  
Você também pode usar a porta 2223 para clientes que precisam de TCP “piggy-back” ACKs ou a capacidade do pacote final do handshake tridirecional TCP também conter dados.  
Alguns softwares do cliente podem ser incompatíveis com a porta 2223: por exemplo, um cliente que exige que o servidor envie a string de identificação do SFTP antes que o cliente o faça.  
![\[As regras de entrada para um exemplo de grupo de segurança, mostrando uma regra para SSH na porta 22 e TCP personalizado na porta 2222.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/alternate-port-rule.png)

   1. (Opcional) Para **FIPS ativado**, marque a caixa de seleção **Endpoint habilitado para FIPS** para assegurar que o endpoint esteja em conformidade com os Padrões Federais de Processamento de Informações (FIPS).
**nota**  
Os endpoints habilitados para FIPS só estão disponíveis nas regiões AWS da América do Norte. Para saber as regiões disponíveis, consulte [Endpoints e cotas do AWS Transfer Family](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) em *Referência geral da AWS*. Para obter mais informações, consulte [FIPS – Padrão federal de processamento de informações 140-2](https://aws.amazon.com/compliance/fips/).

   1. Escolha **Próximo**.

1. Em **Configuração adicional**, faça o seguinte:

   1. Para **CloudWatch registrar**, escolha uma das opções a seguir para permitir que a Amazon CloudWatch registre sua atividade de usuário:
      + **Crie uma nova função** para permitir que o Transfer Family crie automaticamente o perfil do IAM, desde que você tenha as permissões certas para criar uma nova função. O perfil do IAM criado é chamado `AWSTransferLoggingAccess`.
      + **Escolha a partir de uma função existente** para selecionar um perfil do IAM existente da sua conta. Em **Função de registro em log**, escolha a função. Esse perfil do IAM deve incluir uma política de confiança com o **Serviço** definido como `transfer.amazonaws.com`.

        Para obter mais informações sobre CloudWatch registro em log, consulte[Configurar função de CloudWatch registro](configure-cw-logging-role.md).
**nota**  
Você não pode ver a atividade do usuário final CloudWatch se não especificar uma função de registro.
Se você não quiser configurar uma função de CloudWatch registro, selecione **Escolher uma função existente**, mas não selecione uma função de registro.

   1. Para **Opções de algoritmo criptográfico**, escolha uma política de segurança que contenha os algoritmos criptográficos habilitados para uso pelo seu servidor.
**nota**  
Por padrão, a política de segurança do `TransferSecurityPolicy-2024-01` é anexada ao seu servidor, a menos que você escolha uma diferente.

      Para obter mais informações sobre as políticas de segurança, consulte [Políticas de segurança para AWS Transfer Family servidores](security-policies.md).

   1. (Opcional: esta seção é somente para migrar usuários de um servidor habilitado para SFTP existente.) Em **Chave de host do servidor**, insira uma chave privada RSA ou ECDSA que será usada para identificar seu servidor quando os clientes se conectarem a ele por SFTP. ED25519

   1. (Opcional) Em **Tags**, para **Chave** e **Valor**, insira uma ou mais tags como pares de valor-chave e escolha **Adicionar tag**.

   1. Escolha **Próximo**.

   1.  (Opcional) Para **fluxos de trabalho gerenciados**, escolha o fluxo de trabalho IDs (e uma função correspondente) que o Transfer Family deve assumir ao executar o fluxo de trabalho. É possível escolher um fluxo de trabalho para executar em um upload completo e outro para executar em um upload parcial. Para saber mais sobre como processar seus arquivos usando fluxos de trabalho gerenciados, consulte [AWS Transfer Family fluxos de trabalho gerenciados](transfer-workflows.md).  
![\[A seção do console Fluxos de trabalho gerenciados.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/workflows-addtoserver.png)

1. Em **Revisar e criar**, revise as suas escolhas. Se você:
   + Se você quiser editar algum deles, escolha **Editar** ao lado da etapa.
**nota**  
Você deve revisar cada etapa após a etapa que você escolheu editar.
   + Se você não tiver alterações, escolha **Criar servidor** para criar seu servidor. Você será direcionado à página **Servidores**, exibida a seguir, onde seu novo servidor estará listado.

Você pode escolher o ID do servidor para consultar as configurações detalhadas do servidor que acabou de criar. Depois que a coluna ** IPv4 Endereço público** for preenchida, os endereços IP elásticos que você forneceu serão associados com sucesso ao endpoint do seu servidor.

**nota**  
Quando seu servidor em uma VPC está on-line, somente as sub-redes podem ser modificadas e somente por meio da API. [UpdateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html) Você deve [parar o servidor](edit-server-config.md#edit-online-offline) para adicionar ou alterar os endereços IP elásticos do endpoint do servidor.

## Altere o tipo de endpoint para o seu servidor
<a name="change-server-endpoint-type"></a>

Se você tem um servidor existente que pode ser acessado pela Internet (ou seja, tem um tipo de endpoint público), pode alterar o endpoint para um endpoint da VPC.

**nota**  
Se você tiver um servidor existente em uma VPC exibido como `VPC_ENDPOINT`, recomendamos modificá-lo para o novo tipo de endpoint da VPC. Com esse novo tipo de endpoint, você não precisa mais usar um Network Load Balancer (NLB) para associar endereços IP elásticos ao endpoint do seu servidor. Além disso, você pode usar grupos de segurança da VPC para restringir o acesso ao endpoint do seu servidor. No entanto, você pode continuar a usar o tipo de endpoint `VPC_ENDPOINT` conforme necessário.

O procedimento a seguir pressupõe que você tenha um servidor que usa o tipo de endpoint público atual ou o tipo `VPC_ENDPOINT` mais antigo.

**Para alterar o tipo de endpoint para o seu servidor**

1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. No painel de navegação, selecione **Servidores**.

1. Marque a caixa de seleção da predefinição do servidor no qual você deseja alterar o tipo de endpoint.
**Importante**  
Você deve interromper o servidor antes de alterar o endpoint.

1. Em **Ações**, escolha **Interromper**.

1. Na caixa de diálogo de confirmação exibida, escolha **Parar** para confirmar que quer interromper o servidor.
**nota**  
Antes de prosseguir para a próxima etapa, em **Detalhes do endpoint**, aguarde até que o **Status** do servidor mude para **Offline**; isso pode levar alguns minutos. Talvez você precise selecionar **Atualizar** na página dos **Servidores** para ver a alteração de status.  
Não será possível fazer edições até que o servidor esteja **Offline**.

1. Em **Detalhes do endpoint**, escolha **Editar**.

1. Em **Editar configuração do endpoint**, faça o seguinte:

   1. Para **Tipo de endpoint**, selecione **hospedado na VPC**.

   1. Para **Ações**, escolha uma das seguinte opções:
      + **Interno** para tornar seu endpoint acessível apenas aos clientes que usam os endereços IP privados do endpoint.
      + **Voltado para a internet** para tornar seu endpoint acessível aos clientes pela internet pública.
**nota**  
Ao escolher **Voltado para a internet**, você pode escolher um endereço IP elástico existente em cada sub-rede ou sub-redes. Ou você pode acessar o console da VPC ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) para alocar um ou mais novos endereços IP elásticos. Esses endereços podem ser de sua propriedade AWS ou de sua propriedade. Você não pode associar endereços IP elásticos que já estão em uso com seu endpoint.

   1. (Opcional somente para acesso voltado para a Internet) Em **Nome de host personalizado**, escolha uma das seguintes opções:
      + **Alias de DNS do Amazon Route 53** — se o nome do host que você deseja usar estiver registrado no Route 53. Em seguida, você pode inserir o nome do host.
      + **Outro DNS** - se o nome do host que você deseja usar estiver registrado em outro provedor DNS. Em seguida, você pode inserir o nome do host.
      + **Nenhum** - para usar o endpoint do servidor e não um nome de host personalizado. O nome do host do servidor tem a forma de `serverId.server.transfer.regionId.amazonaws.com`.

        Para saber mais sobre como trabalhar com nomes de host personalizados, consulte [Trabalhar com nomes de host personalizados](requirements-dns.md).

   1. Para **VPC**, escolha um ID da VPC existente ou escolha **Criar uma VPC** para criar uma nova VPC.

   1. Na seção **Zonas de disponibilidade**, escolha até três Zonas de Disponibilidade e sub-redes associadas. Se a opção **Voltado para a internet** for escolhida, escolha também um endereço IP elástico para cada sub-rede.
**nota**  
Se você quiser o máximo de três zonas de disponibilidade, mas não houver disponibilidade suficiente, crie-as no console VPC () [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).  
Se você modificar as sub-redes ou os endereços IP elásticos, o servidor levará alguns minutos para ser atualizado. Você não pode salvar suas alterações até que a atualização do servidor seja concluída.

   1. Escolha **Salvar**.

1. Em **Ações**, escolha **Iniciar** e aguarde até que o status do servidor mude para **Online**; isso pode levar alguns minutos.
**nota**  
Se você alterou um tipo de endpoint público para um tipo de endpoint da VPC, observe que o **Tipo de endpoint** do seu servidor mudou para **VPC**.

O grupo de segurança padrão é anexado ao endpoint. Para alterar ou adicionar outros grupos de segurança, consulte [Criar grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups).

## Interromper o uso do VPC\$1ENDPOINT
<a name="deprecate-vpc-endpoint"></a>

AWS Transfer Family interrompeu a capacidade de criar servidores com quatro `EndpointType=VPC_ENDPOINT` novas AWS contas. A partir de 19 de maio de 2021, AWS as contas que não possuem AWS Transfer Family servidores com um tipo de endpoint não `VPC_ENDPOINT` poderão criar novos servidores com`EndpointType=VPC_ENDPOINT`. Se você já é proprietário de servidores que usam o tipo de endpoint `VPC_ENDPOINT`, recomendamos que você comece a usar o `EndpointType=VPC` o mais rápido possível. Para obter detalhes, consulte [Atualizar o tipo de endpoint AWS Transfer Family do servidor de VPC\$1ENDPOINT para VPC](https://aws.amazon.com/blogs/storage/update-your-aws-transfer-family-server-endpoint-type-from-vpc_endpoint-to-vpc/).

Lançamos o novo tipo de endpoint `VPC` no início de 2020. Para obter mais informações, consulte [AWS Transfer Family para SFTP oferece suporte a grupos de segurança de VPC e endereços IP elásticos](https://aws.amazon.com/about-aws/whats-new/2020/01/aws-transfer-for-sftp-supports-vpc-security-groups-and-elastic-ip-addresses/). Esse novo endpoint é mais rico em recursos e econômico, além de não PrivateLink cobrar nada. Para obter mais informações, consulte [Preços do AWS PrivateLink ](https://aws.amazon.com/privatelink/pricing/). 

Esse tipo de endpoint é funcionalmente equivalente ao tipo de endpoint anterior (`VPC_ENDPOINT`). Você pode anexar endereços IP elásticos diretamente ao endpoint para torná-lo voltado para a internet e usar grupos de segurança para filtragem de IP de origem. Para obter mais informações, consulte a postagem do blog [Use IP allow to protect your AWS Transfer Family for SFTP servers](https://aws.amazon.com/blogs/storage/use-ip-whitelisting-to-secure-your-aws-transfer-for-sftp-servers/).

Você também pode hospedar esse endpoint em um ambiente VPC compartilhado. Para obter mais informações, consulte [AWS Transfer Family agora oferece suporte a ambientes VPC de serviços compartilhados](https://aws.amazon.com/about-aws/whats-new/2020/11/aws-transfer-family-now-supports-shared-services-vpc-environments/). 

Além do SFTP, você pode usar a VPC `EndpointType` para habilitar FTPS e FTP. Não planejamos adicionar esses recursos e FTPS/FTP suporte ao`EndpointType=VPC_ENDPOINT`. Também removemos esse tipo de endpoint como uma opção do AWS Transfer Family console. 

<a name="deprecate-vpc-endpoint.title"></a>Você pode alterar o tipo de endpoint do seu servidor usando o console Transfer Family AWS CLI, API, SDKs, ou CloudFormation. Para alterar o tipo de endpoint do seu servidor, consulte [Atualização do tipo de endpoint AWS Transfer Family do servidor de VPC\$1ENDPOINT para VPC](update-endpoint-type-vpc.md).

Se você tiver alguma dúvida, entre em contato com AWS Support nossa equipe de AWS contas.

**nota**  
Não planejamos adicionar esses recursos e suporte a FTPS ou FTP ao =VPC\$1ENDPOINT. EndpointType Não estamos mais oferecendo isso como uma opção no console do AWS Transfer Family . 

Se você tiver outras dúvidas, entre em contato conosco por meio da AWS Support equipe de sua conta.

## Limitando o acesso ao VPC endpoint para servidores Transfer Family
<a name="limit-vpc-endpoint-access"></a>

Ao criar um AWS Transfer Family servidor com o tipo de endpoint VPC, seus usuários e diretores do IAM precisam de permissões para criar e excluir endpoints de VPC. No entanto, as políticas de segurança da sua organização podem restringir essas permissões. Você pode usar políticas do IAM para permitir a criação e exclusão de endpoints VPC especificamente para Transfer Family, mantendo as restrições para outros serviços.

**Importante**  
A política do IAM a seguir permite que os usuários criem e excluam VPC endpoints somente para servidores Transfer Family, enquanto negam essas operações para outros serviços:

```
{
    "Effect": "Deny",
    "Action": [
        "ec2:CreateVpcEndpoint",
        "ec2:DeleteVpcEndpoints"
    ],
    "Resource": ["*"],
    "Condition": {
        "ForAnyValue:StringNotLike": {
            "ec2:VpceServiceName": [
                "com.amazonaws.INPUT-YOUR-REGION.transfer.server.*"
            ]
        },
        "StringNotLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/INPUT-YOUR-ROLE"
            ]
        }
    }
}
```

*INPUT-YOUR-REGION*Substitua por sua AWS região (por exemplo,**us-east-1**) e *INPUT-YOUR-ROLE* pela função do IAM à qual você deseja conceder essas permissões.

## Recursos adicionais de rede
<a name="additional-networking-features"></a>

AWS Transfer Family fornece vários recursos avançados de rede que aprimoram a segurança e a flexibilidade ao usar configurações de VPC:
+ **Suporte ao ambiente VPC compartilhado** — você pode hospedar seu endpoint do servidor Transfer Family em um ambiente VPC compartilhado. Para obter mais informações, consulte Como [usar endpoints hospedados em VPC em compartilhado](https://aws.amazon.com/blogs/storage/using-vpc-hosted-endpoints-in-shared-vpcs-with-aws-transfer-family/) com. VPCs AWS Transfer Family
+ **Autenticação e segurança** - Você pode usar um AWS Web Application Firewall para proteger seu endpoint do Amazon API Gateway. Para obter mais informações, consulte [Segurança AWS Transfer Family com o AWS Web Application Firewall e o Amazon API Gateway](https://aws.amazon.com/blogs/storage/securing-aws-transfer-family-with-aws-web-application-firewall-and-amazon-api-gateway/).

# Atualização do tipo de endpoint AWS Transfer Family do servidor de VPC\$1ENDPOINT para VPC
<a name="update-endpoint-type-vpc"></a>

Você pode usar a Console de gerenciamento da AWS, CloudFormation, ou a API Transfer Family para atualizar a API de um servidor `EndpointType` de `VPC_ENDPOINT` para`VPC`. Procedimentos detalhados e exemplos para usar cada um desses métodos para atualizar um tipo de endpoint de servidor são apresentados nas seções a seguir. Se você tiver servidores em várias AWS regiões e em várias AWS contas, poderá usar o script de exemplo fornecido na seção a seguir, com modificações, para identificar servidores usando o `VPC_ENDPOINT` tipo que você precisará atualizar.

**Topics**
+ [Identificação de servidores usando o tipo de endpoint `VPC_ENDPOINT`](#id-servers)
+ [Atualizando o tipo de endpoint do servidor usando o Console de gerenciamento da AWS](#update-endpoint-console)
+ [Atualizando o tipo de endpoint do servidor usando CloudFormation](#update-endpoint-cloudformation)
+ [Atualizando o servidor EndpointType usando a API](#update-endpoint-cli)

## Identificação de servidores usando o tipo de endpoint `VPC_ENDPOINT`
<a name="id-servers"></a>

Você pode identificar quais servidores estão usando o `VPC_ENDPOINT` com o Console de gerenciamento da AWS.

**Para identificar servidores usando o tipo de endpoint `VPC_ENDPOINT` usando o console**

1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Escolha **Servidores** no painel de navegação para exibir a lista de servidores em sua conta nessa Região.

1. Classifique a lista de servidores pelo **Tipo de endpoint** para ver todos os servidores usando `VPC_ENDPOINT`.

**Para identificar servidores que usam `VPC_ENDPOINT` em várias AWS regiões e contas**

Se você tiver servidores em várias AWS regiões e em várias AWS contas, poderá usar o script de exemplo a seguir, com modificações, para identificar servidores usando o tipo de `VPC_ENDPOINT` endpoint. O script de exemplo usa o Amazon EC2 [DescribeRegions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRegions.html)e as operações da [https://docs.aws.amazon.com/transfer/latest/APIReference/API_ListServers.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ListServers.html)API Transfer Family. Se você tiver muitas contas da AWS , poderá percorrê-las usando um perfil do IAM com acesso de auditor somente de leitura se você se autenticar usando perfis de sessão no seu provedor de identidade.

1. Veja a seguir um exemplo simples.

   ```
   import boto3
   
   profile = input("Enter the name of the AWS account you'll be working in: ")
   session = boto3.Session(profile_name=profile)
   
   ec2 = session.client("ec2")
   
   regions = ec2.describe_regions()
   
   for region in regions['Regions']:
       region_name = region['RegionName']
       if region_name=='ap-northeast-3': #https://github.com/boto/boto3/issues/1943
           continue
       transfer = session.client("transfer", region_name=region_name)
       servers = transfer.list_servers()
       for server in servers['Servers']:
          if server['EndpointType']=='VPC_ENDPOINT':
              print(server['ServerId'], region_name)
   ```

1. Depois que você tiver a lista dos servidores a serem atualizados, poderá usar um dos métodos descritos nas seções a seguir para atualizar o `EndpointType` para `VPC`.

## Atualizando o tipo de endpoint do servidor usando o Console de gerenciamento da AWS
<a name="update-endpoint-console"></a>

1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. No painel de navegação, selecione **Servidores**.

1. Marque a caixa de seleção da predefinição do servidor no qual você deseja alterar o tipo de endpoint.
**Importante**  
Você deve interromper o servidor antes de alterar o endpoint.

1. Em **Ações**, escolha **Interromper**.

1. Na caixa de diálogo de confirmação exibida, escolha **Parar** para confirmar que quer interromper o servidor.
**nota**  
Antes de prosseguir para a próxima etapa, aguarde até que o **Status** do servidor mude para **Offline**; isso pode levar alguns minutos. Talvez você precise selecionar **Atualizar** na página dos **Servidores** para ver a alteração de status.

1. Depois que o status mudar para **Offline**, escolha o servidor para exibir a página de detalhes do servidor.

1. Na seção **Detalhes do endpoint**, escolha **Editar**.

1. Escolha **VPC hospedada** para o **Tipo de endpoint**.

1. Escolha **Salvar**.

1. Em **Ações**, escolha **Iniciar** e aguarde até que o status do servidor mude para **Online**; isso pode levar alguns minutos.

## Atualizando o tipo de endpoint do servidor usando CloudFormation
<a name="update-endpoint-cloudformation"></a>

Esta seção descreve como usar CloudFormation para atualizar um servidor `EndpointType` para`VPC`. Use esse procedimento para os servidores Transfer Family que você implantou usando CloudFormation. Neste exemplo, o modelo de CloudFormation original usado para implantar o servidor do Transfer Family é mostrado a seguir:

```
AWS TemplateFormatVersion: '2010-09-09'
Description: 'Create AWS Transfer Server with VPC_ENDPOINT endpoint type'
Parameters:
  SecurityGroupId:
    Type: AWS::EC2::SecurityGroup::Id
  SubnetIds:
    Type: List<AWS::EC2::Subnet::Id>
  VpcId:
    Type: AWS::EC2::VPC::Id
Resources:
  TransferServer:
    Type: AWS::Transfer::Server
    Properties:
      Domain: S3
      EndpointDetails:
        VpcEndpointId: !Ref VPCEndpoint
      EndpointType: VPC_ENDPOINT
      IdentityProviderType: SERVICE_MANAGED
      Protocols:
        - SFTP
  VPCEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: com.amazonaws.us-east-1.transfer.server
      SecurityGroupIds:
        - !Ref SecurityGroupId
      SubnetIds:
        - !Select [0, !Ref SubnetIds]
        - !Select [1, !Ref SubnetIds]
        - !Select [2, !Ref SubnetIds]
      VpcEndpointType: Interface
      VpcId: !Ref VpcId
```

O modelo é atualizado com as seguintes alterações:
+ O `EndpointType` foi alterado para `VPC`.
+ O recurso `AWS::EC2::VPCEndpoint` foi removido.
+ O `SecurityGroupId`, o `SubnetIds` e o `VpcId` foram movidos para a seção `EndpointDetails` do recurso `AWS::Transfer::Server`,
+ A propriedade `VpcEndpointId` de `EndpointDetails` foi removida.

O modelo atualizado é semelhante ao seguinte:

```
AWS TemplateFormatVersion: '2010-09-09'
Description: 'Create AWS Transfer Server with VPC endpoint type'
Parameters:
  SecurityGroupId:
    Type: AWS::EC2::SecurityGroup::Id
  SubnetIds:
    Type: List<AWS::EC2::Subnet::Id>
  VpcId:
    Type: AWS::EC2::VPC::Id
Resources:
  TransferServer:
    Type: AWS::Transfer::Server
    Properties:
      Domain: S3
      EndpointDetails:
        SecurityGroupIds:
          - !Ref SecurityGroupId
        SubnetIds:
          - !Select [0, !Ref SubnetIds]
          - !Select [1, !Ref SubnetIds]
          - !Select [2, !Ref SubnetIds]
        VpcId: !Ref VpcId
      EndpointType: VPC
      IdentityProviderType: SERVICE_MANAGED
      Protocols:
        - SFTP
```

**Para atualizar o tipo de endpoint dos servidores Transfer Family implantados usando CloudFormation**

1. Pare o servidor que você deseja atualizar usando as etapas a seguir.

   1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

   1. No painel de navegação, selecione **Servidores**.

   1. Marque a caixa de seleção da predefinição do servidor no qual você deseja alterar o tipo de endpoint.
**Importante**  
Você deve interromper o servidor antes de alterar o endpoint.

   1. Em **Ações**, escolha **Interromper**.

   1. Na caixa de diálogo de confirmação exibida, escolha **Parar** para confirmar que quer interromper o servidor.
**nota**  
Antes de prosseguir para a próxima etapa, aguarde até que o **Status** do servidor mude para **Offline**; isso pode levar alguns minutos. Talvez você precise selecionar **Atualizar** na página dos **Servidores** para ver a alteração de status.

1. Atualize a CloudFormation pilha

   1. Abra o CloudFormation console em [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).

   1. Escolha a pilha usada para criar o servidor do Transfer Family.

   1. Selecione **Atualizar**.

   1. Escolha **Substituir modelo atual** 

   1. Faça o upload do novo modelo. CloudFormation Os conjuntos de alterações ajudam você a entender como as alterações do modelo afetarão os recursos em execução antes de implementá-las. Neste exemplo, o recurso do servidor de transferência será modificado e o VPCEndpoint recurso será removido. O servidor do tipo endpoint da VPC cria um Endpoint da VPC em seu nome, substituindo o recurso `VPCEndpoint` original.

      Depois de carregar o novo modelo, o conjunto de alterações será semelhante ao seguinte:  
![\[Mostra a página de visualização do conjunto de alterações para substituir o CloudFormation modelo atual.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/vpc-endpoint-update-cfn.png)

   1. Atualize a pilha.

1. Quando a atualização da pilha estiver concluída, navegue até o console de gerenciamento do Transfer Family em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Reinicie o servidor. Escolha o servidor no qual você atualizou e CloudFormation, em seguida, escolha **Iniciar** no menu **Ações**.

## Atualizando o servidor EndpointType usando a API
<a name="update-endpoint-cli"></a>

Você pode usar o comando AWS CLI [describe-server](https://docs.aws.amazon.com/cli/latest/reference/transfer/update-server.html) ou o comando da API [UpdateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html). O script de exemplo a seguir interrompe o servidor Transfer Family, atualiza o EndpointType, remove o VPC\$1ENDPOINT e inicia o servidor.

```
import boto3
import time

profile = input("Enter the name of the AWS account you'll be working in: ")
region_name = input("Enter the AWS Region you're working in: ")
server_id = input("Enter the AWS Transfer Server Id: ")

session = boto3.Session(profile_name=profile)

ec2 = session.client("ec2", region_name=region_name)
transfer = session.client("transfer", region_name=region_name)

group_ids=[]

transfer_description = transfer.describe_server(ServerId=server_id)
if transfer_description['Server']['EndpointType']=='VPC_ENDPOINT':
    transfer_vpc_endpoint = transfer_description['Server']['EndpointDetails']['VpcEndpointId']
    transfer_vpc_endpoint_descriptions = ec2.describe_vpc_endpoints(VpcEndpointIds=[transfer_vpc_endpoint])
    for transfer_vpc_endpoint_description in transfer_vpc_endpoint_descriptions['VpcEndpoints']:
        subnet_ids=transfer_vpc_endpoint_description['SubnetIds']
        group_id_list=transfer_vpc_endpoint_description['Groups']
        vpc_id=transfer_vpc_endpoint_description['VpcId']
        for group_id in group_id_list:
             group_ids.append(group_id['GroupId'])
    if transfer_description['Server']['State']=='ONLINE':
        transfer_stop = transfer.stop_server(ServerId=server_id)
        print(transfer_stop)
        time.sleep(300) #safe
        transfer_update = transfer.update_server(ServerId=server_id,EndpointType='VPC',EndpointDetails={'SecurityGroupIds':group_ids,'SubnetIds':subnet_ids,'VpcId':vpc_id})
        print(transfer_update)
        time.sleep(10) 
        transfer_start = transfer.start_server(ServerId=server_id)
        print(transfer_start)
        delete_vpc_endpoint = ec2.delete_vpc_endpoints(VpcEndpointIds=[transfer_vpc_endpoint])
```