As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Acesse seus sistemas de arquivos FSx for NetApp ONTAP com Transfer Family
**Contents**
+ [Visão geral do](#fsx-overview)
+ [Pré-requisitos](#fsx-prerequisites)
+ [Requisitos do FSx para NetApp ONTAP](#fsx-ontap-requirements)
+ [Permissões obrigatórias do IAM](#required-iam-permissions)
+ [Como o armazenamento FSx funciona com o Transfer Family](#how-fsx-storage-works)
+ [Identidade do usuário do sistema de arquivos](#file-system-user-identity)
+ [Criando um ponto de acesso S3 para FSx](#creating-s3-access-point)
+ [Nomeação de pontos de acesso](#access-point-naming)
+ [Criando um ponto de acesso para FSx for ONTAP NetApp](#creating-access-point-ontap)
+ [Configurando permissões do sistema de arquivos](#configuring-file-system-permissions)
+ [Usando aliases de ponto de acesso S3 com FSx](#using-s3-access-point-aliases)
+ [Sobre aliases de pontos de acesso](#about-access-point-aliases)
+ [Encontrando seu alias de ponto de acesso](#finding-access-point-alias)
+ [Configurando o Transfer Family para armazenamento FSx](#configuring-transfer-family-fsx)
+ [Criar um perfil do IAM](#creating-iam-role-fsx)
+ [Gerenciando usuários para armazenamento FSx](#managing-users-fsx)
+ [Criar um usuário](#creating-user-fsx)
+ [Configurando vários mapeamentos de diretórios](#multiple-directory-mappings)
+ [Configurando clientes de transferência de arquivos](#configuring-file-transfer-clients)
+ [Configuração WinSCP](#winscp-configuration)
+ [Outros clientes SFTP](#other-sftp-clients)
+ [Solução de problemas de armazenamento FSx](#troubleshooting-fsx-storage)
+ [Problemas de operação de arquivos](#file-operation-issues)
## Visão geral do
O Transfer Family oferece suporte ao Amazon FSx for NetApp ONTAP por meio de pontos de acesso S3. O Amazon FSx for NetApp ONTAP é um serviço totalmente gerenciado que fornece armazenamento de arquivos altamente confiável, escalável, de alto desempenho e rico em recursos, baseado no popular sistema de arquivos ONTAP. NetApp Quando você configura o Transfer Family com um sistema de arquivos FSx, seus usuários se conectam aos endpoints do Transfer Family usando clientes de transferência de arquivos padrão. O Transfer Family roteia as operações de arquivos por meio de um ponto de acesso S3 conectado ao seu volume FSx, enquanto seus dados permanecem no sistema de arquivos FSx. Para saber mais sobre o FSx for NetApp ONTAP, consulte O que é o [Amazon FSx for](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html) ONTAP? NetApp
Essa integração permite que você:
+ Transfira arquivos usando protocolos SFTP, FTPS ou FTP para armazenamento de arquivos de nível corporativo
+ Acesse os mesmos dados por meio de vários protocolos (SFTP, NFS, SMB)
+ Use recursos do FSx, como instantâneos, backups e hierarquização de dados
**Importante**
Algumas operações de arquivo não são suportadas ao usar sistemas de arquivos FSx com Transfer Family, incluindo operações de renomeação e adição. Para operações de upload, os tamanhos dos arquivos são limitados a 5 GB. Para obter uma lista completa das limitações, consulte [Compatibilidade de pontos de acesso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-object-api-support.html).
## Pré-requisitos
Antes de configurar o Transfer Family com o Amazon FSx, você deve atender aos seguintes requisitos.
### Requisitos do FSx para NetApp ONTAP
Para usar o FSx for NetApp ONTAP com Transfer Family, você precisa:
+ Um FSx para sistema de arquivos NetApp ONTAP executando o ONTAP versão 9.17.1 ou posterior
+ O sistema de arquivos e o ponto de acesso S3 na mesma região AWS
+ A mesma AWS conta proprietária do sistema de arquivos e do ponto de acesso
Para saber mais, consulte [Introdução ao Amazon FSx for NetApp ](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/getting-started.html) ONTAP.
### Permissões obrigatórias do IAM
Você pode configurar cada ponto de acesso do S3 com permissões e controles de rede distintos que o S3 aplica a qualquer solicitação feita usando esse ponto de acesso. Os pontos de acesso do S3 oferecem suporte às políticas de recursos do IAM que você pode usar para controlar o uso do ponto de acesso por recurso, usuário ou outras condições. Para que um aplicativo ou usuário acesse arquivos por meio de um ponto de acesso, tanto o ponto de acesso quanto o volume subjacente devem permitir a solicitação. Para obter mais informações, consulte as [políticas de pontos de acesso do IAM](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/s3-ap-manage-access-fsxn.html).
Os pontos de acesso do Amazon S3 para FSx usam um modelo de autorização de camada dupla que combina permissões do IAM com permissões no nível do sistema de arquivos. Essa abordagem garante que as solicitações de acesso aos dados sejam devidamente autorizadas tanto no nível do AWS serviço quanto no nível do sistema de arquivos subjacente.
Para que um aplicativo ou usuário acesse com êxito os dados por meio de um ponto de acesso, tanto a política de ponto de acesso do S3 quanto o volume FSx subjacente devem permitir a solicitação.
Para criar e configurar essa integração, você precisa das seguintes permissões:
+ `fsx:CreateAndAttachS3AccessPoint`
+ `s3:CreateAccessPoint`
+ `s3:GetAccessPoint`
+ `s3:PutAccessPointPolicy`(se estiver criando uma política de ponto de acesso opcional)
## Como o armazenamento FSx funciona com o Transfer Family
Quando você configura o Transfer Family com um sistema de arquivos FSx, os seguintes componentes trabalham juntos para permitir transferências de arquivos:
1. Um usuário se conecta ao servidor Transfer Family usando um cliente SFTP, FTPS ou FTP.
1. O Transfer Family autentica o usuário usando identidades gerenciadas pelo serviço, um provedor de identidade personalizado ou. AWS Directory Service for Microsoft Active Directory Depois de autenticado, o Transfer Family assume a função do IAM associada ao usuário.
1. Para cada operação de arquivo, o Transfer Family atua como um cliente de API S3 padrão, fazendo solicitações ao S3 Access Point usando a função assumida do usuário no IAM e verifica as permissões em relação à política de ponto de acesso do S3.
1. O sistema de arquivos FSx verifica se o usuário do sistema de arquivos associado ao ponto de acesso tem permissão para realizar a operação solicitada. A operação do arquivo é então executada no volume FSx.
Para que uma operação de arquivo seja bem-sucedida, ambas as camadas de autorização devem permitir a solicitação.
**nota**
Anexar um ponto de acesso S3 a um volume FSx não altera o comportamento do volume quando acessado diretamente por meio de NFS ou SMB. O acesso ao protocolo de arquivos existente continua funcionando inalterado.
### Identidade do usuário do sistema de arquivos
Cada ponto de acesso usa uma identidade de usuário do sistema de arquivos que você especifica ao criar o ponto de acesso. Essa identidade autoriza todas as solicitações de acesso a arquivos feitas por meio desse ponto de acesso. O usuário do sistema de arquivos é uma conta de usuário no sistema de arquivos Amazon FSx subjacente. Se o usuário do sistema de arquivos tiver acesso somente para leitura, somente as solicitações de leitura feitas usando o ponto de acesso serão autorizadas e as solicitações de gravação serão bloqueadas. Se o usuário do sistema de arquivos tiver acesso de leitura e gravação, as solicitações de leitura e gravação no volume conectado feitas usando o ponto de acesso serão autorizadas.
## Criando um ponto de acesso S3 para FSx
Antes de configurar o Transfer Family, você deve criar um ponto de acesso S3 conectado ao seu volume FSx. Os pontos de acesso S3 são endpoints de rede denominados que são conectados a uma fonte de dados, como um bucket ou volume Amazon FSx for ONTAP. Você pode criar e conectar um ponto de acesso a um FSx for NetApp ONTAP usando o console, a AWS CLI ou a API do Amazon FSx. Depois de anexado, você pode usar as APIs de objeto do S3 para acessar seus dados de arquivo. Seus dados continuam residindo no sistema de arquivos do Amazon FSx e continuam diretamente acessíveis para suas workloads existentes. Você continua gerenciando seu armazenamento usando todos os recursos de gerenciamento de armazenamento do FSx for NetApp ONTAP, incluindo backups, instantâneos, cotas de usuários e grupos e compactação.
Para obter mais informações, consulte [Criar pontos de acesso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/create-access-points.html).
### Nomeação de pontos de acesso
Ao nomear seu ponto de acesso, siga estas diretrizes:
+ Os nomes dos pontos de acesso devem ser exclusivos em sua AWS conta e região.
+ Os nomes não podem terminar com `-ext-s3alias` (reservados para aliases).
+ Evite incluir informações confidenciais nos nomes porque eles são publicados no DNS.
Para obter uma lista completa das regras de nomenclatura, consulte Regras de [nomenclatura, restrições e limitações dos pontos de acesso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-point-for-fsxn-restrictions-limitations-naming-rules.html).
### Criando um ponto de acesso para FSx for ONTAP NetApp
Use o procedimento a seguir para criar um ponto de acesso S3 para um volume FSx NetApp for ONTAP.
**Para criar um ponto de acesso (console)**
1. Abra o console do Amazon FSx em. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)
1. No painel de navegação, escolha **Sistemas de arquivos**.
1. Escolha seu FSx para o sistema de arquivos NetApp ONTAP.
1. Escolha a guia **Volumes**.
1. Selecione o volume que você deseja conectar.
1. Em **Ações**, escolha **Criar ponto de acesso S3**.
1. **Em Nome do ponto de acesso**, insira um nome descritivo (por exemplo,`transfer-family-ap`).
1. Para **Tipo de identidade de usuário do sistema de arquivos**, escolha uma das seguintes opções:
+ **Identidade UNIX** - Para volumes com estilo de segurança UNIX
+ **Identidade do Windows** - Para volumes com estilo de segurança NTFS
1. (Opcional) **Em Política de ponto de acesso**, insira uma política do IAM que define quais diretores do IAM podem realizar quais operações em objetos acessados por meio desse ponto de acesso. Para obter mais informações, consulte [Gerenciando o acesso ao ponto de acesso](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/s3-ap-manage-access-fsxn.html).
1. Escolha **Criar**.
1. Após a criação, anote o alias do ponto de acesso para uso na configuração do Transfer Family.
**nota**
Quando AWS Transfer Family acessa os recursos do S3 em nome dos SFTP/FTPS usuários conectados, as solicitações se originam da AWS Transfer Family infraestrutura, não da sua VPC. Por esse motivo, os pontos de acesso S3 configurados com uma origem de rede VPC negarão essas solicitações. No entanto, mesmo se você usar um Access Point configurado com uma origem de rede na Internet, todo o tráfego entre o Transfer Family e o Access Point permanece privado e viaja pela rede de AWS backbone — ele não atravessa a Internet pública.
### Configurando permissões do sistema de arquivos
O usuário do sistema de arquivos que você especifica determina quais operações os usuários do Transfer Family podem realizar. Você deve configurar as permissões apropriadas em seu volume FSx.
**Exemplo de UNIX:**
```
# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users
# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users
# Set permissions
chmod 755 /vol1/transfer-users
```
**Exemplo do Windows:**
```
# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory
# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T
# Verify permissions
icacls "D:\vol1\transfer-users"
```
## Usando aliases de ponto de acesso S3 com FSx
Ao usar sistemas de arquivos FSx com Transfer Family, você deve usar aliases de ponto de acesso S3. O Transfer Family não suporta o uso de ARNs de pontos de acesso ou outros métodos de referência para armazenamento FSx.
**Importante**
AWS Transfer Family só suporta aliases de ponto de acesso S3 ao usar sistemas de arquivos FSx. Você não pode usar ARNs de ponto de acesso ou URIs de estilo hospedado virtual.
**Importante**
O ponto de acesso deve estar na mesma região do volume.
### Sobre aliases de pontos de acesso
Quando você cria um ponto de acesso S3 conectado a um volume FSx, o Amazon S3 gera automaticamente um alias de ponto de acesso. Esse alias é um identificador exclusivo que você pode usar em qualquer lugar em que use um nome de bucket do S3.
Para pontos de acesso conectados a volumes FSx, o alias usa o seguinte formato:
```
access-point-name-metadata-ext-s3alias
```
**Exemplo de alias:**
```
my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
```
**nota**
O `-ext-s3alias` sufixo é reservado para aliases de pontos de acesso FSx. Você não pode usar esse sufixo em nomes de pontos de acesso.
### Encontrando seu alias de ponto de acesso
Você pode encontrar o alias do ponto de acesso depois de criar o ponto de acesso.
**Para encontrar o alias do ponto de acesso (console)**
1. Abra o console do Amazon FSx em. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)
1. No painel de navegação, escolha **Sistemas de arquivos**.
1. Escolha o sistema de arquivos.
1. Escolha a guia **Volumes** e selecione o volume para o qual você criou o ponto de acesso.
1. Vá para a coluna **de detalhes do ponto de acesso S3**.
1. O alias é exibido na coluna **Alias**.
**Para encontrar o alias do ponto de acesso (CLI)**
Use o comando `describe-s3-access-point-attachments`.
```
aws fsx describe-s3-access-point-attachments \
--filters Name=file-system-id,Values=fs-0123456789abcdef0
```
A resposta inclui o alias:
```
{
"S3AccessPointAttachments": [
{
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
"Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
}
}
]
}
```
Ao configurar usuários do Transfer Family, use o alias do ponto de acesso nos mapeamentos do diretório inicial.
**Formato do diretório inicial:**
```
/access-point-alias/path/to/directory
```
**Exemplo:**
```
/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith
```
## Configurando o Transfer Family para armazenamento FSx
Depois de criar o ponto de acesso S3, configure um servidor Transfer Family para usá-lo.
### Criar um perfil do IAM
Você deve criar uma função do IAM que conceda à Transfer Family acesso ao ponto de acesso do S3.
**Importante**
As políticas do IAM exigem o formato ARN do ponto de acesso, não o alias. Use o formato `arn:aws:s3:region:account-id:accesspoint/access-point-name` em suas declarações de recursos de política do IAM. O alias do ponto de acesso (terminado em`-ext-s3alias`) é usado somente para mapeamentos do diretório inicial.
**Para criar perfil do IAM**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Funções** e, em seguida, escolha **Criar função**.
1. Em **Tipo de entidade confiável**, escolha **Serviços da AWS **.
1. **Em Caso de uso**, escolha **Transferir**.
1. Escolha **Próximo**.
1. Escolha **Criar política** e insira sua política (veja o exemplo de política abaixo).
1. Anexe a política à função e escolha **Criar função**.
**Exemplo de política do IAM:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowFileOperations",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:GetObjectTagging",
"s3:PutObjectTagging"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
},
{
"Sid": "AllowDirectoryOperations",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
}
]
}
```
## Gerenciando usuários para armazenamento FSx
Crie usuários do Transfer Family com mapeamentos de diretório inicial que usam o alias do ponto de acesso S3.
### Criar um usuário
Ao criar um usuário para armazenamento FSx, use o alias do ponto de acesso nos mapeamentos do diretório inicial.
**Para criar um usuário do Service Managed (console)**
1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. No painel de navegação, selecione **Servidores**.
1. Escolha seu servidor.
1. Na seção Usuários, escolha **Adicionar usuário**.
1. Em **Nome de usuário**, insira um nome de usuário.
1. Em **Role**, escolha a função do IAM que você criou.
1. **Em Diretório pessoal**, escolha **Restrito**.
1. Para **mapeamentos do diretório inicial**, adicione um mapeamento usando o alias do ponto de acesso:
```
[{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]
```
**Para criar um usuário (CLI)**
Use o comando `create-user`. Substitua o alias do ponto de acesso pelo seu alias.
```
aws transfer create-user \
--server-id s-0123456789abcdef0 \
--user-name jsmith \
--role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
--home-directory-type LOGICAL \
--home-directory-mappings '[
{
"Entry": "/",
"Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
}
]'
```
### Configurando vários mapeamentos de diretórios
Você pode mapear vários diretórios virtuais para caminhos diferentes no volume FSx.
**Exemplo: diretórios separados de upload e download**
```
aws transfer create-user \
--server-id s-0123456789abcdef0 \
--user-name jsmith \
--role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
--home-directory-type LOGICAL \
--home-directory-mappings '[
{
"Entry": "/inbox",
"Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
},
{
"Entry": "/outbox",
"Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
}
]'
```
## Configurando clientes de transferência de arquivos
Ao usar sistemas de arquivos FSx com Transfer Family, você deve configurar seus clientes de transferência de arquivos para desativar recursos que não são suportados.
### Configuração WinSCP
O WinSCP usa um recurso de renomeação temporária por padrão que não é suportado com pontos de acesso S3 para FSx.
**Atenção**
Se você não desativar o recurso de renomeação temporária no WinSCP, os carregamentos de arquivos falharão.
**Para desativar a renomeação temporária no WinSCP**
1. Abra o WinSCP.
1. Na caixa de diálogo Login, escolha **Editar** para modificar as configurações da sessão.
1. Escolha **Advanced (Avançado)**.
1. No painel de navegação à esquerda, em **Transferir**, escolha **Resistência**.
1. **Em **Habilitar transferência resume/transfer para nome de arquivo temporário**, escolha Desabilitar.**
1. Escolha **OK** para salvar as configurações.
Como alternativa, você pode desativar essa configuração para uma sessão existente:
1. Conecte-se ao seu servidor Transfer Family.
1. Escolha **Opções** e, em seguida, **Preferências**.
1. Escolha **Transferência** e, em seguida, **Resistência.**
1. **Em **Habilitar transferência resume/transfer para nome de arquivo temporário**, escolha Desabilitar.**
1. Escolha **OK**.
### Outros clientes SFTP
Para outros clientes SFTP, desative os seguintes recursos, se disponíveis:
+ Uploads de arquivos temporários (faça upload para arquivo temporário e renomeie)
+ Retomar transferências usando arquivos temporários
+ Uploads atômicos usando operações de renomeação
+ Modo de anexação para uploads
Consulte a documentação do cliente para ver as etapas específicas de configuração.
## Solução de problemas de armazenamento FSx
Esta seção descreve como identificar e resolver problemas comuns ao usar o Transfer Family com sistemas de arquivos FSx.
### Problemas de operação de arquivos
**Permissão negada**
Se você receber erros de permissão negada:
1. Verifique se a função do IAM tem as permissões corretas para o alias do ponto de acesso. Você pode fazer isso testando diretamente com as APIs do S3.
1. Verifique se a política do ponto de acesso permite a função do IAM.
1. Verifique se o usuário do sistema de arquivos tem permissões no caminho de destino.
1. Confirme se o mapeamento do diretório inicial usa o alias de ponto de acesso correto.
**O upload falha com o WinSCP**
Se o upload do arquivo falhar com o WinSCP, desative a renomeação temporária:
1. **No WinSCP, **escolha** Opções e, em seguida, Preferências.**
1. Escolha **Transferência** e, em seguida, **Resistência.**
1. **Em **Habilitar transferência resume/transfer para nome de arquivo temporário**, escolha Desabilitar.**
Para obter mais informações, consulte [Configurando clientes de transferência de arquivos](#configuring-file-transfer-clients).
**Falha no upload do arquivo**
Se o upload do arquivo falhar:
1. Verifique se o tamanho do arquivo está abaixo de 5 GB.
1. Verifique se o volume FSx tem armazenamento disponível suficiente.
1. Monitore CloudWatch as métricas de limitação.