As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configurando um endpoint de servidor SFTP, FTPS ou FTP
<a name="tf-server-endpoint"></a>

Você pode criar um servidor de transferência de arquivos usando o AWS Transfer Family serviço. Os seguintes protocolos de transferência de arquivos estão disponíveis:
+ (Secure Shell (SSH) (Protocolo de transferência de arquivos): transferência de arquivos por SSH. Para obter detalhes, consulte [Criar um servidor habilitado para SFTP](create-server-sftp.md).
**nota**  
Fornecemos um AWS CDK exemplo para criar um servidor SFTP Transfer Family. O exemplo usa TypeScript e está disponível GitHub [aqui](https://github.com/aws-samples/aws-cdk-examples/tree/master/typescript/aws-transfer-sftp-server).
+ Protocolo de Transferência de Arquivos Segura (FTPS): transferência de arquivos com criptografia TLS. Para obter detalhes, consulte [Criar um servidor habilitado para FTPS](create-server-ftps.md).
+ Protocolo de Transferência de Arquivos (FTP): transferência de arquivos não criptografados. Para obter detalhes, consulte [Criar um servidor habilitado para FTP](create-server-ftp.md).
+ Declaração de aplicabilidade 2 (AS2) — Transferência de arquivos para transporte de dados estruturados business-to-business. Para obter detalhes, consulte [Configurando AS2](create-b2b-server.md). Pois AS2, você pode criar rapidamente uma CloudFormation pilha para fins de demonstração. Este procedimento está descrito em [Use um modelo para criar uma AS2 pilha de demonstração do Transfer Family](create-as2-transfer-server.md#as2-cfn-demo-template).

É possível criar um servidor com vários protocolos.

**nota**  
Se você tiver vários protocolos habilitados para o mesmo endpoint do servidor, e quiser fornecer acesso usando o mesmo nome de usuário em vários protocolos, poderá fazer isso desde que as credenciais específicas do protocolo tenham sido configuradas no seu provedor de identidade. Para FTP, recomendamos manter credenciais separadas do SFTP e do FTPS. Isso ocorre porque, diferentemente do SFTP e do FTPS, o FTP transmite credenciais em texto não criptografado. Ao isolar as credenciais de FTP do SFTP ou FTPS, se as credenciais de FTP forem compartilhadas ou expostas, suas cargas de trabalho usando SFTP ou FTPS permanecerão seguras.

Ao criar um servidor, você escolhe um específico Região da AWS para executar as solicitações de operação de arquivo dos usuários atribuídos a esse servidor. Além de atribuir ao servidor um ou mais protocolos, você também atribui um dos seguintes tipos de provedor de identidade:
+ **Serviço gerenciado usando chaves SSH**. Para obter detalhes, consulte [Trabalhar com usuários gerenciados por serviços](service-managed-users.md).
+ **AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD)**. Esse método permite que você integre seus grupos do Microsoft Active Directory para fornecer acesso aos seus servidores Transfer Family. Para obter detalhes, consulte [Usando o AWS Directory Service para o Microsoft Active Directory](directory-services-users.md).
+ **Um provedor de identidade personalizado**. O Transfer Family oferece várias opções para usar um provedor de identidade personalizado, conforme descrito no [Trabalhar com provedores de identidade personalizados](custom-idp-intro.md) tópico.

Você também atribui ao servidor um tipo de endpoint (acessível publicamente ou hospedado em VPC) e um nome de host usando o endpoint padrão do servidor, ou um nome de host personalizado usando o serviço Amazon Route 53 ou usando um serviço de Sistema de Nomes de Domínio (DNS) de sua escolha. O nome de host do servidor deve ser exclusivo no Região da AWS local em que foi criado.

Além disso, você pode atribuir uma função de CloudWatch registro da Amazon para enviar eventos aos seus CloudWatch registros, escolher uma política de segurança que contenha os algoritmos criptográficos habilitados para uso pelo seu servidor e adicionar metadados ao servidor na forma de tags que são pares de valores-chave.

**Importante**  
Você será cobrado pelos custos de servidores instanciados e por transferência de dados. Para obter informações sobre preços e como usar AWS Calculadora de Preços para obter uma estimativa do custo de uso do Transfer Family, consulte [AWS Transfer Family preços](https://aws.amazon.com/aws-transfer-family/pricing/).

# Criar um servidor habilitado para SFTP
<a name="create-server-sftp"></a>

O File Transfer Protocol (SFTP) do Secure Shell (SSH) é um protocolo de rede usado para transferência segura de dados pela internet. O protocolo suporta toda a funcionalidade de segurança e autenticação do SSH. É amplamente usado para trocar dados, incluindo informações confidenciais entre parceiros de negócios em diversos setores, como serviços financeiros, saúde, varejo e publicidade.

**Observe o seguinte**
+ Os servidores SFTP do Transfer Family operam na porta 22. Para endpoints hospedados em VPC, os servidores SFTP Transfer Family também podem operar nas portas 2222, 2223 ou 22000. Para obter detalhes, consulte [Crie um servidor em uma VPC (virtual private cloud).](create-server-in-vpc.md).
+ Os endpoints públicos não podem restringir o tráfego por meio de grupos de segurança. Para usar grupos de segurança com seu servidor Transfer Family, você deve hospedar o endpoint do seu servidor em uma nuvem privada virtual (VPC), conforme descrito em. [Crie um servidor em uma VPC (virtual private cloud).](create-server-in-vpc.md)

**Consulte também**
+ Fornecemos um AWS CDK exemplo para criar um servidor SFTP Transfer Family. O exemplo usa TypeScript e está disponível GitHub [aqui](https://github.com/aws-samples/aws-cdk-examples/tree/master/typescript/aws-transfer-sftp-server).
+ Para ver um passo a passo de como implantar um servidor Transfer Family dentro de uma VPC, consulte [Use a lista de permissões de IP para proteger](https://aws.amazon.com/blogs//storage/use-ip-allow-list-to-secure-your-aws-transfer-for-sftp-servers/) seus servidores. AWS Transfer Family 

**Para criar um servidor habilitado para SFTP**

1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)e selecione **Servidores** no painel de navegação e escolha **Criar servidor**.

1. Em **Escolher protocolos**, selecione **SFTP** e escolha **Avançar**.

1. Em **Escolher um provedor de identidade**, escolha o provedor de identidade que você deseja usar para gerenciar o acesso do usuário. Você tem as seguintes opções:
   + **Serviço gerenciado** — Você armazena identidades e chaves de usuário em AWS Transfer Family. 
   + **AWS Directory Service for Microsoft Active Directory** — Você fornece um diretório Directory Service para acessar o endpoint. Ao fazer isso, será possível usar credenciais armazenadas no Active Directory para autenticar seus usuários. Para saber mais sobre como trabalhar com provedores de AWS Managed Microsoft AD identidade, consulte[Usando o AWS Directory Service para o Microsoft Active Directory](directory-services-users.md).
**nota**  
 Não há suporte para diretórios entre contas e compartilhados. AWS Managed Microsoft AD
Para configurar um servidor com o Directory Service como seu provedor de identidade, você precisa adicionar algumas Directory Service permissões. Para obter detalhes, consulte [Antes de começar a usar AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
   + **Provedor de identidade personalizado** — Escolha uma das seguintes opções:
     + **Use AWS Lambda para conectar seu provedor de identidade** — Você pode usar um provedor de identidade existente, apoiado por uma função Lambda. Você fornece o nome da função do Lambda. Para obter mais informações, consulte [Usando AWS Lambda para integrar seu provedor de identidade](custom-lambda-idp.md).
     + **Usar o Amazon API Gateway para conectar seu provedor de identidade** — É possível criar um método de API Gateway apoiado por uma função do Lambda para uso como provedor de identidade. Você fornece um URL do Amazon API Gateway e um perfil de invocação. Para obter mais informações, consulte [Usando para integrar seu provedor de identidade](authentication-api-gateway.md).  
![\[A seção do console Escolher um provedor de identidade com Provedor de identidade personalizada selecionado. Também tem o valor padrão selecionado, que é que os usuários podem se autenticar usando sua senha ou chave.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/custom-lambda-console.png)

1. Escolha **Próximo**.

1. Em **Escolha um endpoint**, faça o seguinte:

   1. Em **Tipo de endpoint**, escolha o tipo de endpoint **Acessível publicamente**. Para um endpoint **hospedado no VPC**, consulte [Crie um servidor em uma VPC (virtual private cloud).](create-server-in-vpc.md).

   1.  Para o **tipo de endereço IP**, escolha **IPv4**(padrão) para compatibilidade com versões anteriores ou **Dual-Stack** para habilitar ambas IPv4 e IPv6 conexões com seu endpoint.
**nota**  
O modo Dual-Stack permite que seu endpoint Transfer Family se comunique com clientes habilitados e com ambos IPv4 . IPv6 Isso permite que você faça a transição gradual de sistemas IPv6 baseados IPv4 para sistemas baseados sem precisar alternar tudo de uma vez.

   1. (Opcional) Em **Nome de host personalizado**, escolha **Nenhum**.

      Você recebe um nome de host do servidor fornecido por AWS Transfer Family. O nome do host do servidor tem a forma de `serverId.server.transfer.regionId.amazonaws.com`.

      Para um nome de host personalizado, você especifica um alias personalizado para o endpoint do seu servidor. Para saber mais sobre como trabalhar com nomes de host personalizados, consulte [Trabalhar com nomes de host personalizados](requirements-dns.md).

   1. (Opcional) Para **FIPS ativado**, marque a caixa de seleção **Endpoint habilitado para FIPS** para garantir que o endpoint esteja em conformidade com os Padrões Federais de Processamento de Informações (FIPS).
**nota**  
Os endpoints habilitados para FIPS só estão disponíveis nas regiões AWS da América do Norte. Para saber as regiões disponíveis, consulte [Endpoints e cotas do AWS Transfer Family](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) em *Referência geral da AWS*. Para obter mais informações, consulte [FIPS – Padrão federal de processamento de informações 140-2](https://aws.amazon.com/compliance/fips/).

   1. Escolha **Próximo**.

1. Na página **Escolher domínio**, escolha o serviço AWS de armazenamento que você deseja usar para armazenar e acessar seus dados pelo protocolo selecionado:
   + Escolha o **Amazon S3** para armazenar e acessar seus arquivos como objetos no protocolo selecionado.
   + Escolha o **Amazon EFS** para armazenar e acessar seus arquivos em seu sistema de arquivos Amazon EFS usando o protocolo selecionado.

   Escolha **Próximo**.

1. Em **Configuração de detalhes adicionais**, faça o seguinte:

   1. Para registro em log, especifique um grupo de logs existente ou crie um novo (a opção padrão). Se você escolher um grupo de registros existente, deverá selecionar um que esteja associado ao seu Conta da AWS.  
![\[Painel de registro em log para configurar detalhes adicionais no assistente de criação de servidor. Escolha um grupo de logs existente está selecionado.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/logging-server-choose-existing-group.png)

      Se você escolher **Criar grupo de registros**, o CloudWatch console ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) abrirá a página **Criar grupo de registros**. Para obter detalhes, consulte [Criar um grupo de CloudWatch registros em Registros](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group). 

   1.  (Opcional) Para **fluxos de trabalho gerenciados**, escolha o fluxo de trabalho IDs (e uma função correspondente) que o Transfer Family deve assumir ao executar o fluxo de trabalho. É possível escolher um fluxo de trabalho para executar em um upload completo e outro para executar em um upload parcial. Para saber mais sobre como processar seus arquivos usando fluxos de trabalho gerenciados, consulte [AWS Transfer Family fluxos de trabalho gerenciados](transfer-workflows.md).  
![\[A seção do console Fluxos de trabalho gerenciados.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/workflows-addtoserver.png)

   1. Para **Opções de algoritmo criptográfico**, escolha uma política de segurança que contenha os algoritmos criptográficos habilitados para uso pelo seu servidor. Nossa política de segurança mais recente é a padrão: para obter detalhes, consulte[Políticas de segurança para AWS Transfer Family servidores](security-policies.md).

   1. (Opcional) Em **Chave de host do servidor**, insira uma chave privada RSA ou ECDSA que será usada para identificar seu servidor quando os clientes se conectarem a ele por SFTP. ED25519 Você também pode adicionar uma descrição para diferenciar entre várias chaves de host. 

      Depois de criar seu servidor, é possível adicionar mais chaves de host. Ter várias chaves de host é útil se você quiser rotar chaves ou se quiser ter diferentes tipos de chaves, como uma chave RSA e também uma chave ECDSA.
**nota**  
A seção **Chave do host do servidor** é usada somente para migrar usuários de um servidor habilitado para SFTP existente.

   1. (Opcional) Em **Tags**, para **Chave** e **Valor**, insira uma ou mais tags como pares de valor-chave e escolha **Adicionar tag**.

   1. Escolha **Próximo**.

   1. Você pode otimizar o desempenho dos seus diretórios do Amazon S3. Por exemplo, suponha que você acesse seu diretório inicial e tenha 10.000 subdiretórios. Em outras palavras, seu bucket do Amazon S3 tem 10.000 pastas. Nesse cenário, se você executar o comando `ls` (list), a operação de lista levará entre seis e oito minutos. No entanto, se você otimizar seus diretórios, essa operação levará apenas alguns segundos.

      Quando você cria seu servidor usando o console, os diretórios otimizados são habilitados por padrão. Se você criar seu servidor usando a API, esse comportamento não será ativado por padrão.  
![\[A seção do console de diretórios otimizados.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/optimized-directories.png)

   1. (Opcional) Configure AWS Transfer Family servidores para exibir mensagens personalizadas, como políticas organizacionais ou termos e condições, para seus usuários finais. Em **Banner de exibição**, na caixa de texto do **Banner de exibição de pré-autenticação**, insira a mensagem de texto que você deseja exibir para seus usuários antes que eles se autentiquem.

   1. (Opcional) É possível configurar as seguintes opções adicionais.
      + **SetStat opção**: habilite essa opção para ignorar o erro gerado quando um cliente tenta usar `SETSTAT` em um arquivo que você está carregando em um bucket do Amazon S3. Para obter detalhes adicionais, consulte a `SetStatOption` documentação no [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html).
      + **Retomada da sessão TLS**: essa opção só estará disponível se você tiver habilitado o FTPS como um dos protocolos desse servidor.
      + **IP passivo**: essa opção só estará disponível se você tiver habilitado o FTPS ou o FTP como um dos protocolos desse servidor.  
![\[Tela de opções adicionais para a página de detalhes do servidor.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/create-server-configure-additional-items-sftp.png)

1. Em **Revisar e criar**, revise as suas escolhas.
   + Se você quiser editar algum deles, escolha **Editar** ao lado da etapa.
**nota**  
Você deve revisar cada etapa após a etapa que você escolheu editar.
   + Se você não tiver alterações, escolha **Criar servidor** para criar seu servidor. Você será direcionado à página **Servidores**, exibida a seguir, onde seu novo servidor estará listado.

Pode levar alguns minutos até que o status de seu novo servidor mude para **Online**. Nesse ponto, seu servidor pode realizar operações com arquivos, mas primeiro você precisa criar um usuário. Para obter detalhes sobre a criação de usuários, consulte[Gerenciando usuários para endpoints de servidor](create-user.md).

# Criar um servidor habilitado para FTPS
<a name="create-server-ftps"></a>

O protocolo de Transferência de Arquivos em SSL (FTPS) é uma extensão do FTP. Ele usa os protocolos criptográficos Transport Layer Security (TLS) e Secure Sockets Layer (SSL) para criptografar o tráfego. O FTPS permite a criptografia das conexões do canal de controle e de dados simultaneamente ou de forma independente.

**nota**  
Para considerações importantes sobre balanceadores de carga de rede, consulte. [Evite colocar NLBs e NATs na frente dos AWS Transfer Family servidores](infrastructure-security.md#nlb-considerations)

**Para criar um servidor habilitado para FTPS**

1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)e selecione **Servidores** no painel de navegação e escolha **Criar servidor**.

1. Em **Escolher protocolos**, selecione **FTPS.**

   **Em **Certificado de servidor**, escolha um certificado armazenado em AWS Certificate Manager (ACM) que será usado para identificar seu servidor quando os clientes se conectarem a ele via FTPS e, em seguida, escolha Avançar.**

   Para solicitar um novo certificado público, consulte [Solicitar um certificado público](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) no *Guia do usuário do AWS Certificate Manager *.

   Para importar um certificado existente para o ACM, consulte [Importar certificados para o ACM](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) no *Guia do usuário do AWS Certificate Manager *.

   Para solicitar um certificado privado para usar FTPS por meio de endereços IP privados, consulte [Solicitar um certificado privado](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) no *Guia do usuário do AWS Certificate Manager *.

   Os certificados com os seguintes algoritmos criptográficos e tamanhos de chave são compatíveis:
   + RSA de 2048 bits (RSA\$12048)
   + RSA de 4096 bits (RSA\$14096)
   + Elliptic Prime Curve de 256 bits (EC\$1prime256v1)
   + Elliptic Prime Curve de 384 bits (EC\$1secp384r1)
   + Elliptic Prime Curve de 521 bits (EC\$1secp521r1)
**nota**  
O certificado deve ser um certificado SSL/TLS X.509 versão 3 válido com FQDN ou endereço IP especificado e conter informações sobre o emissor.

1. Em **Escolher um provedor de identidade**, escolha o provedor de identidade que você deseja usar para gerenciar o acesso do usuário. Você tem as seguintes opções:
   + **AWS Directory Service for Microsoft Active Directory**— Você fornece um Directory Service diretório para acessar o endpoint. Ao fazer isso, será possível usar credenciais armazenadas no Active Directory para autenticar seus usuários. Para saber mais sobre como trabalhar com provedores de AWS Managed Microsoft AD identidade, consulte[Usando o AWS Directory Service para o Microsoft Active Directory](directory-services-users.md).
**nota**  
 Não há suporte para diretórios entre contas e compartilhados. AWS Managed Microsoft AD
Para configurar um servidor com o Directory Service como seu provedor de identidade, você precisa adicionar algumas Directory Service permissões. Para obter detalhes, consulte [Antes de começar a usar AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
   + **Provedor de identidade personalizado** — Escolha uma das seguintes opções:
     + **Use AWS Lambda para conectar seu provedor de identidade** — Você pode usar um provedor de identidade existente, apoiado por uma função Lambda. Você fornece o nome da função do Lambda. Para obter mais informações, consulte [Usando AWS Lambda para integrar seu provedor de identidade](custom-lambda-idp.md).
     + **Usar o Amazon API Gateway para conectar seu provedor de identidade** — É possível criar um método de API Gateway apoiado por uma função do Lambda para uso como provedor de identidade. Você fornece um URL do Amazon API Gateway e um perfil de invocação. Para obter mais informações, consulte [Usando para integrar seu provedor de identidade](authentication-api-gateway.md).  
![\[A seção do console Escolher um provedor de identidade com Provedor de identidade personalizada selecionado.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/custom-lambda-console-no-sftp.png)

1. Escolha **Próximo**.

1. Em **Escolha um endpoint**, faça o seguinte:
**nota**  
 Os servidores FTPS do Transfer Family operam na porta 21 (canal de controle) e no intervalo de portas 8192—8200 (canal de dados).

   1. Em **Tipo de endpoint**, escolha o tipo de endpoint **Hospedado em VPC** para hospedar o endpoint do seu servidor. Para obter mais informações sobre como configurar endpoint hospedado no VPC, consulte [Crie um servidor em uma VPC (virtual private cloud).](create-server-in-vpc.md).
**nota**  
Não há suporte para endpoints acessíveis publicamente.

   1. (Opcional) Para **FIPS ativado**, marque a caixa de seleção **Endpoint habilitado para FIPS** para garantir que o endpoint esteja em conformidade com os Padrões Federais de Processamento de Informações (FIPS).
**nota**  
Os endpoints habilitados para FIPS só estão disponíveis nas regiões AWS da América do Norte. Para saber as regiões disponíveis, consulte [Endpoints e cotas do AWS Transfer Family](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) em *Referência geral da AWS*. Para obter mais informações, consulte [FIPS – Padrão federal de processamento de informações 140-2](https://aws.amazon.com/compliance/fips/).

   1. Escolha **Próximo**.  
![\[A seção do console Escolher um endpoint com a opção Hospedado no VPC selecionada.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/create-server-choose-endpoint-vpc-internal.png)

1. Na página **Escolher domínio**, escolha o serviço AWS de armazenamento que você deseja usar para armazenar e acessar seus dados pelo protocolo selecionado:
   + Escolha o **Amazon S3** para armazenar e acessar seus arquivos como objetos no protocolo selecionado.
   + Escolha o **Amazon EFS** para armazenar e acessar seus arquivos em seu sistema de arquivos Amazon EFS usando o protocolo selecionado.

   Escolha **Próximo**.

1. Em **Configuração de detalhes adicionais**, faça o seguinte:

   1. Para registro em log, especifique um grupo de logs existente ou crie um novo (a opção padrão).  
![\[Painel de registro em log para configurar detalhes adicionais no assistente de criação de servidor. Escolha um grupo de logs existente está selecionado.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/logging-server-choose-existing-group.png)

      Se você escolher **Criar grupo de registros**, o CloudWatch console ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) abrirá a página **Criar grupo de registros**. Para obter detalhes, consulte [Criar um grupo de CloudWatch registros em Registros](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group). 

   1.  (Opcional) Para **fluxos de trabalho gerenciados**, escolha o fluxo de trabalho IDs (e uma função correspondente) que o Transfer Family deve assumir ao executar o fluxo de trabalho. É possível escolher um fluxo de trabalho para executar em um upload completo e outro para executar em um upload parcial. Para saber mais sobre como processar seus arquivos usando fluxos de trabalho gerenciados, consulte [AWS Transfer Family fluxos de trabalho gerenciados](transfer-workflows.md).  
![\[A seção do console Fluxos de trabalho gerenciados.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/workflows-addtoserver.png)

   1. Para **Opções de algoritmo criptográfico**, escolha uma política de segurança que contenha os algoritmos criptográficos habilitados para uso pelo seu servidor. Nossa política de segurança mais recente é a padrão: para obter detalhes, consulte[Políticas de segurança para AWS Transfer Family servidores](security-policies.md).

   1. Em **Chave do host do servidor**, mantenha-a em branco.

   1. (Opcional) Em **Tags**, para **Chave** e **Valor**, insira uma ou mais tags como pares de valor-chave e escolha **Adicionar tag**.

   1. Você pode otimizar o desempenho dos seus diretórios do Amazon S3. Por exemplo, suponha que você acesse seu diretório inicial e tenha 10.000 subdiretórios. Em outras palavras, seu bucket do Amazon S3 tem 10.000 pastas. Nesse cenário, se você executar o comando `ls` (list), a operação de lista levará entre seis e oito minutos. No entanto, se você otimizar seus diretórios, essa operação levará apenas alguns segundos.

      Quando você cria seu servidor usando o console, os diretórios otimizados são habilitados por padrão. Se você criar seu servidor usando a API, esse comportamento não será ativado por padrão.  
![\[A seção do console de diretórios otimizados.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/optimized-directories.png)

   1. Escolha **Próximo**.

   1. (Opcional) Você pode configurar AWS Transfer Family servidores para exibir mensagens personalizadas, como políticas organizacionais ou termos e condições, para seus usuários finais. Você também pode exibir a Mensagem do Dia (MOTD) personalizada para usuários que se autenticaram com sucesso.

      Em **Banner de exibição**, na caixa de texto **Banner de exibição de pré-autenticação**, insira a mensagem de texto que você deseja exibir para seus usuários antes da autenticação e, na caixa de texto **Banner de exibição de pós-autenticação**, insira o texto que você deseja exibir para seus usuários após a autenticação bem-sucedida.

   1. (Opcional) É possível configurar as seguintes opções adicionais.
      + **SetStat opção**: habilite essa opção para ignorar o erro gerado quando um cliente tenta usar `SETSTAT` em um arquivo que você está carregando em um bucket do Amazon S3. Para obter detalhes adicionais, consulte a `SetStatOption` documentação no [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)tópico.
      + **Retomada da sessão TLS**: fornece um mecanismo para retomar ou compartilhar uma chave secreta negociada entre o controle e a conexão de dados para uma sessão FTPS. Para obter detalhes adicionais, consulte a `TlsSessionResumptionMode` documentação no [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)tópico.
      + **IP Passivo**: indica o modo passivo, para protocolos FTP e FTPS. Insira um único IPv4 endereço, como o endereço IP público de um firewall, roteador ou balanceador de carga. Para obter detalhes adicionais, consulte a `PassiveIp` documentação no [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)tópico.  
![\[A tela de configuração adicional mostrando os parâmetros SetStat de retomada da sessão TLS e IP passivo.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/create-server-configure-additional-items-all.png)

1. Em **Revisar e criar**, revise as suas escolhas.
   + Se você quiser editar algum deles, escolha **Editar** ao lado da etapa.
**nota**  
Você deve revisar cada etapa após a etapa que você escolheu editar.
   + Se você não tiver alterações, escolha **Criar servidor** para criar seu servidor. Você será direcionado à página **Servidores**, exibida a seguir, onde seu novo servidor estará listado.

Pode levar alguns minutos até que o status de seu novo servidor mude para **Online**. Nesse momento, seu servidor poderá realizar operações de arquivo para seus usuários.

**Próximas etapas**: Para a próxima etapa, continue em [Trabalhar com provedores de identidade personalizados](custom-idp-intro.md) para configurar usuários.

# Criar um servidor habilitado para FTP
<a name="create-server-ftp"></a>

O Protocolo de Transferência de Arquivos (SFTP) é um protocolo de rede usado para transferência segura de dados. O FTP usa um canal separado para controle e transferência de dados. O canal de controle está aberto até ser encerrado ou até o tempo limite de inatividade. O canal de dados fica ativo durante a transferência. O FTP usa texto não criptografado e não suporta criptografia de tráfego.

**nota**  
Ao habilitar o FTP, você deve escolher a opção de acesso interno para o endpoint hospedado em VPC. Se você precisar que seu servidor tenha dados atravessando a rede pública, você deve usar protocolos seguros, como SFTP ou FTPS. 

**nota**  
Para considerações importantes sobre balanceadores de carga de rede, consulte. [Evite colocar NLBs e NATs na frente dos AWS Transfer Family servidores](infrastructure-security.md#nlb-considerations)

**Para criar um servidor habilitado para FTP**

1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)e selecione **Servidores** no painel de navegação e escolha **Criar servidor**.

1. Em **Escolher protocolos**, selecione **FTP** e escolha **Avançar**.

1. Em **Escolher um provedor de identidade**, escolha o provedor de identidade que você deseja usar para gerenciar o acesso do usuário. Você tem as seguintes opções:
   + **AWS Directory Service for Microsoft Active Directory**— Você fornece um Directory Service diretório para acessar o endpoint. Ao fazer isso, será possível usar credenciais armazenadas no Active Directory para autenticar seus usuários. Para saber mais sobre como trabalhar com provedores de AWS Managed Microsoft AD identidade, consulte[Usando o AWS Directory Service para o Microsoft Active Directory](directory-services-users.md).
**nota**  
 Não há suporte para diretórios entre contas e compartilhados. AWS Managed Microsoft AD
Para configurar um servidor com o Directory Service como seu provedor de identidade, você precisa adicionar algumas Directory Service permissões. Para obter detalhes, consulte [Antes de começar a usar AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
   + **Provedor de identidade personalizado** — Escolha uma das seguintes opções:
     + **Use AWS Lambda para conectar seu provedor de identidade** — Você pode usar um provedor de identidade existente, apoiado por uma função Lambda. Você fornece o nome da função do Lambda. Para obter mais informações, consulte [Usando AWS Lambda para integrar seu provedor de identidade](custom-lambda-idp.md).
     + **Usar o Amazon API Gateway para conectar seu provedor de identidade** — É possível criar um método de API Gateway apoiado por uma função do Lambda para uso como provedor de identidade. Você fornece um URL do Amazon API Gateway e um perfil de invocação. Para obter mais informações, consulte [Usando para integrar seu provedor de identidade](authentication-api-gateway.md).  
![\[A seção do console Escolher um provedor de identidade com Provedor de identidade personalizada selecionado.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/custom-lambda-console-no-sftp.png)

1. Escolha **Próximo**.

1. Em **Escolha um endpoint**, faça o seguinte:
**nota**  
Os servidores FTP do Transfer Family operam na porta 21 (canal de controle) e no intervalo de portas 8192—8200 (canal de dados).

   1. Em **Tipo de endpoint**, escolha **Hospedado no VPC** para hospedar o endpoint do seu servidor. Para obter mais informações sobre como configurar endpoint hospedado no VPC, consulte [Crie um servidor em uma VPC (virtual private cloud).](create-server-in-vpc.md).
**nota**  
Não há suporte para endpoints acessíveis publicamente.

   1. Para **FIPS ativado**, mantenha a caixa de seleção **FIPS habilitado endpoint** desmarcada.
**nota**  
Os endpoints habilitados para FIPS não são compatíveis com servidores FTP.

   1. Escolha **Próximo**.  
![\[A seção do console Escolher um endpoint com a opção Hospedado no VPC selecionada.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/create-server-choose-endpoint-vpc-internal.png)

1. Na página **Escolher domínio**, escolha o serviço AWS de armazenamento que você deseja usar para armazenar e acessar seus dados pelo protocolo selecionado.
   + Escolha o **Amazon S3** para armazenar e acessar seus arquivos como objetos no protocolo selecionado.
   + Escolha o **Amazon EFS** para armazenar e acessar seus arquivos em seu sistema de arquivos Amazon EFS usando o protocolo selecionado.

   Escolha **Próximo**.

1. Em **Configuração de detalhes adicionais**, faça o seguinte:

   1. Para registro em log, especifique um grupo de logs existente ou crie um novo (a opção padrão).  
![\[Painel de registro em log para configurar detalhes adicionais no assistente de criação de servidor. Escolha um grupo de logs existente está selecionado.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/logging-server-choose-existing-group.png)

      Se você escolher **Criar grupo de registros**, o CloudWatch console ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) abrirá a página **Criar grupo de registros**. Para obter detalhes, consulte [Criar um grupo de CloudWatch registros em Registros](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group). 

   1.  (Opcional) Para **fluxos de trabalho gerenciados**, escolha o fluxo de trabalho IDs (e uma função correspondente) que o Transfer Family deve assumir ao executar o fluxo de trabalho. É possível escolher um fluxo de trabalho para executar em um upload completo e outro para executar em um upload parcial. Para saber mais sobre como processar seus arquivos usando fluxos de trabalho gerenciados, consulte [AWS Transfer Family fluxos de trabalho gerenciados](transfer-workflows.md).  
![\[A seção do console Fluxos de trabalho gerenciados.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/workflows-addtoserver.png)

   1. Para **Opções de algoritmo criptográfico**, escolha uma política de segurança que contenha os algoritmos criptográficos habilitados para uso pelo seu servidor.
**nota**  
O Transfer Family atribui a política de segurança mais recente ao seu servidor FTP. No entanto, como o protocolo FTP não usa criptografia, os servidores FTP não usam nenhum dos algoritmos de política de segurança. A menos que seu servidor também use o protocolo FTPS ou SFTP, a política de segurança permanece sem uso.

   1. Em **Chave do host do servidor**, mantenha-a em branco.

   1. (Opcional) Em **Tags**, para **Chave** e **Valor**, insira uma ou mais tags como pares de valor-chave e escolha **Adicionar tag**.

   1. Você pode otimizar o desempenho dos seus diretórios do Amazon S3. Por exemplo, suponha que você acesse seu diretório inicial e tenha 10.000 subdiretórios. Em outras palavras, seu bucket do Amazon S3 tem 10.000 pastas. Nesse cenário, se você executar o comando `ls` (list), a operação de lista levará entre seis e oito minutos. No entanto, se você otimizar seus diretórios, essa operação levará apenas alguns segundos.

      Quando você cria seu servidor usando o console, os diretórios otimizados são habilitados por padrão. Se você criar seu servidor usando a API, esse comportamento não será ativado por padrão.  
![\[A seção do console de diretórios otimizados.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/optimized-directories.png)

   1. Escolha **Próximo**.

   1. (Opcional) Você pode configurar AWS Transfer Family servidores para exibir mensagens personalizadas, como políticas organizacionais ou termos e condições, para seus usuários finais. Você também pode exibir a Mensagem do Dia (MOTD) personalizada para usuários que se autenticaram com sucesso.

      Em **Banner de exibição**, na caixa de texto **Banner de exibição de pré-autenticação**, insira a mensagem de texto que você deseja exibir para seus usuários antes da autenticação e, na caixa de texto **Banner de exibição de pós-autenticação**, insira o texto que você deseja exibir para seus usuários após a autenticação bem-sucedida.

   1. (Opcional) É possível configurar as seguintes opções adicionais.
      + **SetStat opção**: habilite essa opção para ignorar o erro gerado quando um cliente tenta usar `SETSTAT` em um arquivo que você está carregando em um bucket do Amazon S3. Para obter detalhes adicionais, consulte a `SetStatOption` documentação no [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)tópico.
      + **Retomada da sessão TLS**: fornece um mecanismo para retomar ou compartilhar uma chave secreta negociada entre o controle e a conexão de dados para uma sessão FTPS. Para obter detalhes adicionais, consulte a `TlsSessionResumptionMode` documentação no [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)tópico.
      + **IP Passivo**: indica o modo passivo, para protocolos FTP e FTPS. Insira um único IPv4 endereço, como o endereço IP público de um firewall, roteador ou balanceador de carga. Para obter detalhes adicionais, consulte a `PassiveIp` documentação no [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)tópico.  
![\[A tela de configuração adicional mostrando os parâmetros SetStat de retomada da sessão TLS e IP passivo.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/create-server-configure-additional-items-all.png)

1. Em **Revisar e criar**, revise as suas escolhas.
   + Se você quiser editar algum deles, escolha **Editar** ao lado da etapa.
**nota**  
Você deve revisar cada etapa após a etapa que você escolheu editar.
   + Se você não tiver alterações, escolha **Criar servidor** para criar seu servidor. Você será direcionado à página **Servidores**, exibida a seguir, onde seu novo servidor estará listado.

Pode levar alguns minutos até que o status de seu novo servidor mude para **Online**. Nesse momento, seu servidor poderá realizar operações de arquivo para seus usuários.

**Próximas etapas** - Para a próxima etapa, continue em [Trabalhar com provedores de identidade personalizados](custom-idp-intro.md) para configurar usuários.

# Crie um servidor em uma VPC (virtual private cloud).
<a name="create-server-in-vpc"></a>

Você pode hospedar o endpoint do seu servidor em uma nuvem privada virtual (VPC) para usar na transferência de dados de e para um bucket do Amazon S3 ou arquivo do Amazon EFS sem usar a internet pública.

**nota**  
 Depois de 19 de maio de 2021, você não poderá criar um servidor usando `EndpointType=VPC_ENDPOINT` sua AWS conta se ela ainda não tiver feito isso antes de 19 de maio de 2021. Se você já criou servidores `EndpointType=VPC_ENDPOINT` em sua AWS conta em ou antes de 21 de fevereiro de 2021, você não será afetado. Após essa data, use `EndpointType`=**VPC**. Para obter mais informações, consulte [Interromper o uso do VPC\$1ENDPOINT](#deprecate-vpc-endpoint).

Se você usa a Amazon Virtual Private Cloud (Amazon VPC) para hospedar seus AWS recursos, você pode estabelecer uma conexão privada entre sua VPC e um servidor. Você pode usar esse servidor em seguida para transferir dados do seu cliente de e para o bucket do Amazon S3 sem usar endereçamento IP público ou exigir um gateway da internet.

Usando o Amazon VPC, você pode lançar AWS recursos em uma rede virtual personalizada. Você pode usar uma VPC para controlar as configurações de rede, como o intervalo de endereços IP, sub-redes, tabelas de rotas e gateways de rede. Para obter mais informações VPCs, consulte [O que é o Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)? no Guia do *usuário da Amazon VPC*.

Na próxima seção, você pode encontrar instruções sobre como conectar sua VPC a um servidor. Como visão geral, você faz isso da seguinte maneira:

1. Configure um servidor usando um endpoint da VPC.

1. Conecte-se ao seu servidor usando um cliente que está dentro da sua VPC, por meio do endpoint da VPC. Isso permite que você transfira dados que estão armazenados em seu bucket do Amazon S3 pelo seu cliente usando AWS Transfer Family. Você pode realizar essa transferência mesmo que a rede esteja desconectada da internet pública.

1.  Além disso, se você optar por tornar o endpoint do seu servidor voltado para a Internet, poderá associar endereços IP elásticos ao seu endpoint. Isso permite que clientes fora da sua VPC se conectem ao seu servidor. Você pode usar grupos de segurança da VPC para controlar o acesso a usuários autenticados cujas solicitações são originadas apenas de endereços permitidos.

**nota**  
AWS Transfer Family oferece suporte a endpoints de pilha dupla, permitindo que seu servidor se comunique por meio de e. IPv4 IPv6 Para ativar o suporte de pilha dupla, selecione a opção **Ativar endpoint de pilha dupla de DNS ao criar seu VPC endpoint**. Observe que tanto a VPC quanto as sub-redes devem ser configuradas para oferecer suporte IPv6 antes que você possa usar esse recurso. O suporte de pilha dupla é particularmente útil quando você tem clientes que precisam se conectar usando qualquer um dos protocolos.  
Para obter informações sobre endpoints de duas pilhas (IPv4 e IPv6) de servidor, consulte. [IPv6 suporte para servidores Transfer Family](ipv6-support.md)

**Topics**
+ [Crie um endpoint de servidor que possa ser acessado apenas em sua VPC](#create-server-endpoint-in-vpc)
+ [Criar um endpoint voltado para a internet para seu servidor](#create-internet-facing-endpoint)
+ [Altere o tipo de endpoint para o seu servidor](#change-server-endpoint-type)
+ [Interromper o uso do VPC\$1ENDPOINT](#deprecate-vpc-endpoint)
+ [Limitando o acesso ao VPC endpoint para servidores Transfer Family](#limit-vpc-endpoint-access)
+ [Recursos adicionais de rede](#additional-networking-features)
+ [Atualização do tipo de endpoint AWS Transfer Family do servidor de VPC\$1ENDPOINT para VPC](update-endpoint-type-vpc.md)

## Crie um endpoint de servidor que possa ser acessado apenas em sua VPC
<a name="create-server-endpoint-in-vpc"></a>

No procedimento a seguir, você cria um endpoint de servidor acessível apenas aos recursos dentro da sua VPC.

**Para criar um endpoint de servidor dentro de uma VPC**

1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. No painel de navegação, selecione **Servidores** e escolha **Criar servidor**.

1. Em **Escolher protocolos**, selecione um ou mais protocolos e escolha **Avançar**. Para obter mais informações sobre protocolos, consulte [Etapa 2: Criar um servidor habilitado para SFTP](getting-started.md#getting-started-server).

1. Em **Escolher um provedor de identidade**, escolha **Serviço gerenciado** para armazenar identidades e chaves de usuário e AWS Transfer Family, em seguida, escolha **Avançar**.

   Este procedimento usa a opção gerenciada por serviço. Se escolher **Personalizado**, você fornecerá um endpoint do Amazon API Gateway e um perfil (IAM) do AWS Identity and Access Management para acessar o endpoint. Ao fazer isso, você poderá integrar seu serviço de diretório para autenticar e autorizar seus usuários. Para saber mais sobre como trabalhar com provedores de identidade personalizada, consulte [Trabalhar com provedores de identidade personalizados](custom-idp-intro.md).

1. Em **Escolha um endpoint**, faça o seguinte:

   1. Em **Tipo de endpoint**, escolha o tipo de endpoint **Hospedado em VPC** para hospedar o endpoint do seu servidor.

   1. Em **Acesso**, escolha **Interno** para tornar seu endpoint acessível apenas aos clientes que usam os endereços IP privados do endpoint.

      Para obter detalhes sobre a opção **Voltado para a internet**, consulte [Criar um endpoint voltado para a internet para seu servidor](#create-internet-facing-endpoint). Um servidor que é criado em uma VPC para acesso interno não oferece suporte a nomes de host personalizados.

   1. Para **VPC**, escolha um ID da VPC existente ou escolha **Criar uma VPC** para criar uma nova VPC.

   1. Na seção **Zonas de disponibilidade**, escolha até três Zonas de Disponibilidade e sub-redes associadas.

   1. Na seção **Grupos de segurança**, escolha uma ID de grupo de segurança existente IDs ou escolha **Criar um grupo de segurança** para criar um novo grupo de segurança. Para obter mais informações sobre grupos de segurança da VPC, consulte [Grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) no *Guia do usuário da Amazon Virtual Private Cloud*. Para criar um grupo de segurança, consulte [Criando um grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) no *Guia do usuário da Amazon Virtual Private Cloud*.
**nota**  
Sua VPC vem automaticamente com um grupo de segurança padrão. Se você não especificar um grupo de segurança ou grupos diferentes ao lançar o servidor, associaremos o grupo de segurança padrão ao seu servidor.
      + Para as regras de entrada do grupo de segurança, você pode configurar o tráfego SSH para usar as portas 22, 2222, 22000 ou qualquer combinação. A porta 22 é configurada por padrão. Para usar a porta 2222 ou a porta 22000, você adiciona uma regra de entrada ao seu grupo de segurança. Para o tipo, escolha **TCP personalizado** e, em seguida, insira um **2222** ou **22000** para **Intervalo de portas** e, para a origem, insira o mesmo intervalo CIDR que você tem para sua regra de porta SSH 22.
      + Para as regras de entrada do grupo de segurança, configure o tráfego FTP e FTPS para usar o **intervalo de portas** para o canal de controle e **21** **8192-8200** para o canal de dados.
**nota**  
Você também pode usar a porta 2223 para clientes que precisam de TCP “piggy-back” ACKs ou a capacidade do pacote final do handshake tridirecional TCP também conter dados.  
Alguns softwares do cliente podem ser incompatíveis com a porta 2223: por exemplo, um cliente que exige que o servidor envie a string de identificação do SFTP antes que o cliente o faça.  
![\[As regras de entrada para um exemplo de grupo de segurança, mostrando uma regra para SSH na porta 22 e TCP personalizado na porta 2222.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/alternate-port-rule.png)

   1. (Opcional) Para **FIPS ativado**, marque a caixa de seleção **Endpoint habilitado para FIPS** para assegurar que o endpoint esteja em conformidade com os Padrões Federais de Processamento de Informações (FIPS).
**nota**  
Os endpoints habilitados para FIPS só estão disponíveis nas regiões AWS da América do Norte. Para saber as regiões disponíveis, consulte [Endpoints e cotas do AWS Transfer Family](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) em *Referência geral da AWS*. Para obter mais informações, consulte [FIPS – Padrão federal de processamento de informações 140-2](https://aws.amazon.com/compliance/fips/).

   1. Escolha **Próximo**.

1. Em **Configuração adicional**, faça o seguinte:

   1. Para **CloudWatch registrar**, escolha uma das opções a seguir para permitir que a Amazon CloudWatch registre sua atividade de usuário:
      + **Crie uma nova função** para permitir que o Transfer Family crie automaticamente o perfil do IAM, desde que você tenha as permissões certas para criar uma nova função. O perfil do IAM criado é chamado `AWSTransferLoggingAccess`.
      + **Escolha a partir de uma função existente** para selecionar um perfil do IAM existente da sua conta. Em **Função de registro em log**, escolha a função. Esse perfil do IAM deve incluir uma política de confiança com o **Serviço** definido como `transfer.amazonaws.com`.

        Para obter mais informações sobre CloudWatch registro em log, consulte[Configurar função de CloudWatch registro](configure-cw-logging-role.md).
**nota**  
Você não pode ver a atividade do usuário final CloudWatch se não especificar uma função de registro.
Se você não quiser configurar uma função de CloudWatch registro, selecione **Escolher uma função existente**, mas não selecione uma função de registro.

   1. Para **Opções de algoritmo criptográfico**, escolha uma política de segurança que contenha os algoritmos criptográficos habilitados para uso pelo seu servidor.
**nota**  
Por padrão, a política de segurança do `TransferSecurityPolicy-2024-01` é anexada ao seu servidor, a menos que você escolha uma diferente.

      Para obter mais informações sobre as políticas de segurança, consulte [Políticas de segurança para AWS Transfer Family servidores](security-policies.md).

   1. (Opcional: esta seção é somente para migrar usuários de um servidor habilitado para SFTP existente.) Em **Chave de host do servidor**, insira uma chave privada RSA ou ECDSA que será usada para identificar seu servidor quando os clientes se conectarem a ele por SFTP. ED25519

   1. (Opcional) Em **Tags**, para **Chave** e **Valor**, insira uma ou mais tags como pares de valor-chave e escolha **Adicionar tag**.

   1. Escolha **Próximo**.

1. Em **Revisar e criar**, revise as suas escolhas. Se você:
   + Se você quiser editar algum deles, escolha **Editar** ao lado da etapa.
**nota**  
Você deve revisar cada etapa após a etapa que você escolheu editar.
   + Se você não tiver alterações, escolha **Criar servidor** para criar seu servidor. Você será direcionado à página **Servidores**, exibida a seguir, onde seu novo servidor estará listado.

Pode levar alguns minutos até que o status de seu novo servidor mude para **Online**. Nesse ponto, seu servidor pode realizar operações com arquivos, mas primeiro você precisa criar um usuário. Para obter detalhes sobre a criação de usuários, consulte[Gerenciando usuários para endpoints de servidor](create-user.md).

## Criar um endpoint voltado para a internet para seu servidor
<a name="create-internet-facing-endpoint"></a>

No procedimento a seguir, crie um endpoint do servidor. Esse endpoint pode ser acessado pela internet apenas para clientes cujos endereços IP de origem são permitidos no grupo de segurança padrão da sua VPC. Além disso, ao usar endereços IP elásticos para tornar seu endpoint voltado para a internet, seus clientes podem usar o endereço IP elástico para permitir acesso ao seu endpoint em seus firewalls.

**nota**  
Apenas SFTP e FTPS podem ser usados em um endpoint hospedado em uma VPC voltado para a internet.

**Para criar um endpoint voltado para a internet**

1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. No painel de navegação, selecione **Servidores** e escolha **Criar servidor**.

1. Em **Escolher protocolos**, selecione um ou mais protocolos e escolha **Avançar**. Para obter mais informações sobre protocolos, consulte [Etapa 2: Criar um servidor habilitado para SFTP](getting-started.md#getting-started-server).

1. Em **Escolher um provedor de identidade**, escolha **Serviço gerenciado** para armazenar identidades e chaves de usuário e AWS Transfer Family, em seguida, escolha **Avançar**.

   Este procedimento usa a opção gerenciada por serviço. Se escolher **Personalizado**, você fornecerá um endpoint do Amazon API Gateway e um perfil (IAM) do AWS Identity and Access Management para acessar o endpoint. Ao fazer isso, você poderá integrar seu serviço de diretório para autenticar e autorizar seus usuários. Para saber mais sobre como trabalhar com provedores de identidade personalizada, consulte [Trabalhar com provedores de identidade personalizados](custom-idp-intro.md).

1. Em **Escolha um endpoint**, faça o seguinte:

   1. Em **Tipo de endpoint**, escolha o tipo de endpoint **Hospedado em VPC** para hospedar o endpoint do seu servidor.

   1. Em **Acesso**, escolha **Voltado para a internet** para tornar seu endpoint acessível aos clientes pela internet.
**nota**  
Ao escolher **Voltado para a internet**, você pode escolher um endereço IP elástico existente em cada sub-rede ou sub-redes. Ou você pode acessar o console da VPC ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) para alocar um ou mais novos endereços IP elásticos. Esses endereços podem ser de sua propriedade AWS ou de sua propriedade. Você não pode associar endereços IP elásticos que já estão em uso com seu endpoint.

   1. (Opcional) Em **Nome de host personalizado**, escolha uma das seguintes:
**nota**  
Clientes que AWS GovCloud (US) precisam se conectar diretamente por meio do endereço IP elástico ou criar um registro de nome de host no Commercial Route 53 que aponte para seu EIP. Para obter mais informações sobre o uso do Route 53 para GovCloud endpoints, consulte [Configurando o Amazon Route 53 com seus AWS GovCloud (US) recursos](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-route53.html) no *Guia do AWS GovCloud (US) usuário*. 
      + **Alias de DNS do Amazon Route 53** — se o nome do host que você deseja usar estiver registrado no Route 53. Em seguida, você pode inserir o nome do host.
      + **Outro DNS** - se o nome do host que você deseja usar estiver registrado em outro provedor DNS. Em seguida, você pode inserir o nome do host.
      + **Nenhum** - para usar o endpoint do servidor e não um nome de host personalizado. O nome do host do servidor tem a forma de `server-id.server.transfer.region.amazonaws.com`.
**nota**  
Para clientes em AWS GovCloud (US), selecionar **Nenhum** não cria um nome de host nesse formato.

      Para saber mais sobre como trabalhar com nomes de host personalizados, consulte [Trabalhar com nomes de host personalizados](requirements-dns.md).

   1. Para **VPC**, escolha um ID da VPC existente ou escolha **Criar uma VPC** para criar uma nova VPC.

   1. Na seção **Zonas de disponibilidade**, escolha até três Zonas de Disponibilidade e sub-redes associadas. Em **IPv4Endereços**, escolha um **endereço IP elástico** para cada sub-rede. Esse é o endereço IP que seus clientes podem usar para permitir o acesso ao seu endpoint em seus firewalls.

      **Dica:** você deve usar uma sub-rede pública para suas zonas de disponibilidade ou primeiro configurar um gateway de internet se quiser usar uma sub-rede privada.

   1. Na seção **Grupos de segurança**, escolha uma ID de grupo de segurança existente IDs ou escolha **Criar um grupo de segurança** para criar um novo grupo de segurança. Para obter mais informações sobre grupos de segurança da VPC, consulte [Grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) no *Guia do usuário da Amazon Virtual Private Cloud*. Para criar um grupo de segurança, consulte [Criando um grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) no *Guia do usuário da Amazon Virtual Private Cloud*.
**nota**  
Sua VPC vem automaticamente com um grupo de segurança padrão. Se você não especificar um grupo de segurança ou grupos diferentes ao lançar o servidor, associaremos o grupo de segurança padrão ao seu servidor.
      + Para as regras de entrada do grupo de segurança, você pode configurar o tráfego SSH para usar as portas 22, 2222, 22000 ou qualquer combinação. A porta 22 é configurada por padrão. Para usar a porta 2222 ou a porta 22000, você adiciona uma regra de entrada ao seu grupo de segurança. Para o tipo, escolha **TCP personalizado** e, em seguida, insira um **2222** ou **22000** para **Intervalo de portas** e, para a origem, insira o mesmo intervalo CIDR que você tem para sua regra de porta SSH 22.
      + Para as regras de entrada do grupo de segurança, configure o tráfego FTPS para usar o **intervalo de portas** **21** para o canal de controle e **8192-8200** para o canal de dados.
**nota**  
Você também pode usar a porta 2223 para clientes que precisam de TCP “piggy-back” ACKs ou a capacidade do pacote final do handshake tridirecional TCP também conter dados.  
Alguns softwares do cliente podem ser incompatíveis com a porta 2223: por exemplo, um cliente que exige que o servidor envie a string de identificação do SFTP antes que o cliente o faça.  
![\[As regras de entrada para um exemplo de grupo de segurança, mostrando uma regra para SSH na porta 22 e TCP personalizado na porta 2222.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/alternate-port-rule.png)

   1. (Opcional) Para **FIPS ativado**, marque a caixa de seleção **Endpoint habilitado para FIPS** para assegurar que o endpoint esteja em conformidade com os Padrões Federais de Processamento de Informações (FIPS).
**nota**  
Os endpoints habilitados para FIPS só estão disponíveis nas regiões AWS da América do Norte. Para saber as regiões disponíveis, consulte [Endpoints e cotas do AWS Transfer Family](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) em *Referência geral da AWS*. Para obter mais informações, consulte [FIPS – Padrão federal de processamento de informações 140-2](https://aws.amazon.com/compliance/fips/).

   1. Escolha **Próximo**.

1. Em **Configuração adicional**, faça o seguinte:

   1. Para **CloudWatch registrar**, escolha uma das opções a seguir para permitir que a Amazon CloudWatch registre sua atividade de usuário:
      + **Crie uma nova função** para permitir que o Transfer Family crie automaticamente o perfil do IAM, desde que você tenha as permissões certas para criar uma nova função. O perfil do IAM criado é chamado `AWSTransferLoggingAccess`.
      + **Escolha a partir de uma função existente** para selecionar um perfil do IAM existente da sua conta. Em **Função de registro em log**, escolha a função. Esse perfil do IAM deve incluir uma política de confiança com o **Serviço** definido como `transfer.amazonaws.com`.

        Para obter mais informações sobre CloudWatch registro em log, consulte[Configurar função de CloudWatch registro](configure-cw-logging-role.md).
**nota**  
Você não pode ver a atividade do usuário final CloudWatch se não especificar uma função de registro.
Se você não quiser configurar uma função de CloudWatch registro, selecione **Escolher uma função existente**, mas não selecione uma função de registro.

   1. Para **Opções de algoritmo criptográfico**, escolha uma política de segurança que contenha os algoritmos criptográficos habilitados para uso pelo seu servidor.
**nota**  
Por padrão, a política de segurança do `TransferSecurityPolicy-2024-01` é anexada ao seu servidor, a menos que você escolha uma diferente.

      Para obter mais informações sobre as políticas de segurança, consulte [Políticas de segurança para AWS Transfer Family servidores](security-policies.md).

   1. (Opcional: esta seção é somente para migrar usuários de um servidor habilitado para SFTP existente.) Em **Chave de host do servidor**, insira uma chave privada RSA ou ECDSA que será usada para identificar seu servidor quando os clientes se conectarem a ele por SFTP. ED25519

   1. (Opcional) Em **Tags**, para **Chave** e **Valor**, insira uma ou mais tags como pares de valor-chave e escolha **Adicionar tag**.

   1. Escolha **Próximo**.

   1.  (Opcional) Para **fluxos de trabalho gerenciados**, escolha o fluxo de trabalho IDs (e uma função correspondente) que o Transfer Family deve assumir ao executar o fluxo de trabalho. É possível escolher um fluxo de trabalho para executar em um upload completo e outro para executar em um upload parcial. Para saber mais sobre como processar seus arquivos usando fluxos de trabalho gerenciados, consulte [AWS Transfer Family fluxos de trabalho gerenciados](transfer-workflows.md).  
![\[A seção do console Fluxos de trabalho gerenciados.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/workflows-addtoserver.png)

1. Em **Revisar e criar**, revise as suas escolhas. Se você:
   + Se você quiser editar algum deles, escolha **Editar** ao lado da etapa.
**nota**  
Você deve revisar cada etapa após a etapa que você escolheu editar.
   + Se você não tiver alterações, escolha **Criar servidor** para criar seu servidor. Você será direcionado à página **Servidores**, exibida a seguir, onde seu novo servidor estará listado.

Você pode escolher o ID do servidor para consultar as configurações detalhadas do servidor que acabou de criar. Depois que a coluna ** IPv4 Endereço público** for preenchida, os endereços IP elásticos que você forneceu serão associados com sucesso ao endpoint do seu servidor.

**nota**  
Quando seu servidor em uma VPC está on-line, somente as sub-redes podem ser modificadas e somente por meio da API. [UpdateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html) Você deve [parar o servidor](edit-server-config.md#edit-online-offline) para adicionar ou alterar os endereços IP elásticos do endpoint do servidor.

## Altere o tipo de endpoint para o seu servidor
<a name="change-server-endpoint-type"></a>

Se você tem um servidor existente que pode ser acessado pela Internet (ou seja, tem um tipo de endpoint público), pode alterar o endpoint para um endpoint da VPC.

**nota**  
Se você tiver um servidor existente em uma VPC exibido como `VPC_ENDPOINT`, recomendamos modificá-lo para o novo tipo de endpoint da VPC. Com esse novo tipo de endpoint, você não precisa mais usar um Network Load Balancer (NLB) para associar endereços IP elásticos ao endpoint do seu servidor. Além disso, você pode usar grupos de segurança da VPC para restringir o acesso ao endpoint do seu servidor. No entanto, você pode continuar a usar o tipo de endpoint `VPC_ENDPOINT` conforme necessário.

O procedimento a seguir pressupõe que você tenha um servidor que usa o tipo de endpoint público atual ou o tipo `VPC_ENDPOINT` mais antigo.

**Para alterar o tipo de endpoint para o seu servidor**

1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. No painel de navegação, selecione **Servidores**.

1. Marque a caixa de seleção da predefinição do servidor no qual você deseja alterar o tipo de endpoint.
**Importante**  
Você deve interromper o servidor antes de alterar o endpoint.

1. Em **Ações**, escolha **Interromper**.

1. Na caixa de diálogo de confirmação exibida, escolha **Parar** para confirmar que quer interromper o servidor.
**nota**  
Antes de prosseguir para a próxima etapa, em **Detalhes do endpoint**, aguarde até que o **Status** do servidor mude para **Offline**; isso pode levar alguns minutos. Talvez você precise selecionar **Atualizar** na página dos **Servidores** para ver a alteração de status.  
Não será possível fazer edições até que o servidor esteja **Offline**.

1. Em **Detalhes do endpoint**, escolha **Editar**.

1. Em **Editar configuração do endpoint**, faça o seguinte:

   1. Para **Tipo de endpoint**, selecione **hospedado na VPC**.

   1. Para **Ações**, escolha uma das seguinte opções:
      + **Interno** para tornar seu endpoint acessível apenas aos clientes que usam os endereços IP privados do endpoint.
      + **Voltado para a internet** para tornar seu endpoint acessível aos clientes pela internet pública.
**nota**  
Ao escolher **Voltado para a internet**, você pode escolher um endereço IP elástico existente em cada sub-rede ou sub-redes. Ou você pode acessar o console da VPC ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) para alocar um ou mais novos endereços IP elásticos. Esses endereços podem ser de sua propriedade AWS ou de sua propriedade. Você não pode associar endereços IP elásticos que já estão em uso com seu endpoint.

   1. (Opcional somente para acesso voltado para a Internet) Em **Nome de host personalizado**, escolha uma das seguintes opções:
      + **Alias de DNS do Amazon Route 53** — se o nome do host que você deseja usar estiver registrado no Route 53. Em seguida, você pode inserir o nome do host.
      + **Outro DNS** - se o nome do host que você deseja usar estiver registrado em outro provedor DNS. Em seguida, você pode inserir o nome do host.
      + **Nenhum** - para usar o endpoint do servidor e não um nome de host personalizado. O nome do host do servidor tem a forma de `serverId.server.transfer.regionId.amazonaws.com`.

        Para saber mais sobre como trabalhar com nomes de host personalizados, consulte [Trabalhar com nomes de host personalizados](requirements-dns.md).

   1. Para **VPC**, escolha um ID da VPC existente ou escolha **Criar uma VPC** para criar uma nova VPC.

   1. Na seção **Zonas de disponibilidade**, escolha até três Zonas de Disponibilidade e sub-redes associadas. Se a opção **Voltado para a internet** for escolhida, escolha também um endereço IP elástico para cada sub-rede.
**nota**  
Se você quiser o máximo de três zonas de disponibilidade, mas não houver disponibilidade suficiente, crie-as no console VPC () [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).  
Se você modificar as sub-redes ou os endereços IP elásticos, o servidor levará alguns minutos para ser atualizado. Você não pode salvar suas alterações até que a atualização do servidor seja concluída.

   1. Escolha **Salvar**.

1. Em **Ações**, escolha **Iniciar** e aguarde até que o status do servidor mude para **Online**; isso pode levar alguns minutos.
**nota**  
Se você alterou um tipo de endpoint público para um tipo de endpoint da VPC, observe que o **Tipo de endpoint** do seu servidor mudou para **VPC**.

O grupo de segurança padrão é anexado ao endpoint. Para alterar ou adicionar outros grupos de segurança, consulte [Criar grupos de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups).

## Interromper o uso do VPC\$1ENDPOINT
<a name="deprecate-vpc-endpoint"></a>

AWS Transfer Family interrompeu a capacidade de criar servidores com quatro `EndpointType=VPC_ENDPOINT` novas AWS contas. A partir de 19 de maio de 2021, AWS as contas que não possuem AWS Transfer Family servidores com um tipo de endpoint não `VPC_ENDPOINT` poderão criar novos servidores com`EndpointType=VPC_ENDPOINT`. Se você já é proprietário de servidores que usam o tipo de endpoint `VPC_ENDPOINT`, recomendamos que você comece a usar o `EndpointType=VPC` o mais rápido possível. Para obter detalhes, consulte [Atualizar o tipo de endpoint AWS Transfer Family do servidor de VPC\$1ENDPOINT para VPC](https://aws.amazon.com/blogs/storage/update-your-aws-transfer-family-server-endpoint-type-from-vpc_endpoint-to-vpc/).

Lançamos o novo tipo de endpoint `VPC` no início de 2020. Para obter mais informações, consulte [AWS Transfer Family para SFTP oferece suporte a grupos de segurança de VPC e endereços IP elásticos](https://aws.amazon.com/about-aws/whats-new/2020/01/aws-transfer-for-sftp-supports-vpc-security-groups-and-elastic-ip-addresses/). Esse novo endpoint é mais rico em recursos e econômico, além de não PrivateLink cobrar nada. Para obter mais informações, consulte [Preços do AWS PrivateLink ](https://aws.amazon.com/privatelink/pricing/). 

Esse tipo de endpoint é funcionalmente equivalente ao tipo de endpoint anterior (`VPC_ENDPOINT`). Você pode anexar endereços IP elásticos diretamente ao endpoint para torná-lo voltado para a internet e usar grupos de segurança para filtragem de IP de origem. Para obter mais informações, consulte a postagem do blog [Use IP allow to protect your AWS Transfer Family for SFTP servers](https://aws.amazon.com/blogs/storage/use-ip-whitelisting-to-secure-your-aws-transfer-for-sftp-servers/).

Você também pode hospedar esse endpoint em um ambiente VPC compartilhado. Para obter mais informações, consulte [AWS Transfer Family agora oferece suporte a ambientes VPC de serviços compartilhados](https://aws.amazon.com/about-aws/whats-new/2020/11/aws-transfer-family-now-supports-shared-services-vpc-environments/). 

Além do SFTP, você pode usar a VPC `EndpointType` para habilitar FTPS e FTP. Não planejamos adicionar esses recursos e FTPS/FTP suporte ao`EndpointType=VPC_ENDPOINT`. Também removemos esse tipo de endpoint como uma opção do AWS Transfer Family console. 

<a name="deprecate-vpc-endpoint.title"></a>Você pode alterar o tipo de endpoint do seu servidor usando o console Transfer Family AWS CLI, API, SDKs, ou CloudFormation. Para alterar o tipo de endpoint do seu servidor, consulte [Atualização do tipo de endpoint AWS Transfer Family do servidor de VPC\$1ENDPOINT para VPC](update-endpoint-type-vpc.md).

Se você tiver alguma dúvida, entre em contato com AWS Support nossa equipe de AWS contas.

**nota**  
Não planejamos adicionar esses recursos e suporte a FTPS ou FTP ao =VPC\$1ENDPOINT. EndpointType Não estamos mais oferecendo isso como uma opção no console do AWS Transfer Family . 

Se você tiver outras dúvidas, entre em contato conosco por meio da AWS Support equipe de sua conta.

## Limitando o acesso ao VPC endpoint para servidores Transfer Family
<a name="limit-vpc-endpoint-access"></a>

Ao criar um AWS Transfer Family servidor com o tipo de endpoint VPC, seus usuários e diretores do IAM precisam de permissões para criar e excluir endpoints de VPC. No entanto, as políticas de segurança da sua organização podem restringir essas permissões. Você pode usar políticas do IAM para permitir a criação e exclusão de endpoints VPC especificamente para Transfer Family, mantendo as restrições para outros serviços.

**Importante**  
A política do IAM a seguir permite que os usuários criem e excluam VPC endpoints somente para servidores Transfer Family, enquanto negam essas operações para outros serviços:

```
{
    "Effect": "Deny",
    "Action": [
        "ec2:CreateVpcEndpoint",
        "ec2:DeleteVpcEndpoints"
    ],
    "Resource": ["*"],
    "Condition": {
        "ForAnyValue:StringNotLike": {
            "ec2:VpceServiceName": [
                "com.amazonaws.INPUT-YOUR-REGION.transfer.server.*"
            ]
        },
        "StringNotLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/INPUT-YOUR-ROLE"
            ]
        }
    }
}
```

*INPUT-YOUR-REGION*Substitua por sua AWS região (por exemplo,**us-east-1**) e *INPUT-YOUR-ROLE* pela função do IAM à qual você deseja conceder essas permissões.

## Recursos adicionais de rede
<a name="additional-networking-features"></a>

AWS Transfer Family fornece vários recursos avançados de rede que aprimoram a segurança e a flexibilidade ao usar configurações de VPC:
+ **Suporte ao ambiente VPC compartilhado** — você pode hospedar seu endpoint do servidor Transfer Family em um ambiente VPC compartilhado. Para obter mais informações, consulte Como [usar endpoints hospedados em VPC em compartilhado](https://aws.amazon.com/blogs/storage/using-vpc-hosted-endpoints-in-shared-vpcs-with-aws-transfer-family/) com. VPCs AWS Transfer Family
+ **Autenticação e segurança** - Você pode usar um AWS Web Application Firewall para proteger seu endpoint do Amazon API Gateway. Para obter mais informações, consulte [Segurança AWS Transfer Family com o AWS Web Application Firewall e o Amazon API Gateway](https://aws.amazon.com/blogs/storage/securing-aws-transfer-family-with-aws-web-application-firewall-and-amazon-api-gateway/).

# Atualização do tipo de endpoint AWS Transfer Family do servidor de VPC\$1ENDPOINT para VPC
<a name="update-endpoint-type-vpc"></a>

Você pode usar a Console de gerenciamento da AWS, CloudFormation, ou a API Transfer Family para atualizar a API de um servidor `EndpointType` de `VPC_ENDPOINT` para`VPC`. Procedimentos detalhados e exemplos para usar cada um desses métodos para atualizar um tipo de endpoint de servidor são apresentados nas seções a seguir. Se você tiver servidores em várias AWS regiões e em várias AWS contas, poderá usar o script de exemplo fornecido na seção a seguir, com modificações, para identificar servidores usando o `VPC_ENDPOINT` tipo que você precisará atualizar.

**Topics**
+ [Identificação de servidores usando o tipo de endpoint `VPC_ENDPOINT`](#id-servers)
+ [Atualizando o tipo de endpoint do servidor usando o Console de gerenciamento da AWS](#update-endpoint-console)
+ [Atualizando o tipo de endpoint do servidor usando CloudFormation](#update-endpoint-cloudformation)
+ [Atualizando o servidor EndpointType usando a API](#update-endpoint-cli)

## Identificação de servidores usando o tipo de endpoint `VPC_ENDPOINT`
<a name="id-servers"></a>

Você pode identificar quais servidores estão usando o `VPC_ENDPOINT` com o Console de gerenciamento da AWS.

**Para identificar servidores usando o tipo de endpoint `VPC_ENDPOINT` usando o console**

1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Escolha **Servidores** no painel de navegação para exibir a lista de servidores em sua conta nessa Região.

1. Classifique a lista de servidores pelo **Tipo de endpoint** para ver todos os servidores usando `VPC_ENDPOINT`.

**Para identificar servidores que usam `VPC_ENDPOINT` em várias AWS regiões e contas**

Se você tiver servidores em várias AWS regiões e em várias AWS contas, poderá usar o script de exemplo a seguir, com modificações, para identificar servidores usando o tipo de `VPC_ENDPOINT` endpoint. O script de exemplo usa o Amazon EC2 [DescribeRegions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRegions.html)e as operações da [https://docs.aws.amazon.com/transfer/latest/APIReference/API_ListServers.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ListServers.html)API Transfer Family. Se você tiver muitas contas da AWS , poderá percorrê-las usando um perfil do IAM com acesso de auditor somente de leitura se você se autenticar usando perfis de sessão no seu provedor de identidade.

1. Veja a seguir um exemplo simples.

   ```
   import boto3
   
   profile = input("Enter the name of the AWS account you'll be working in: ")
   session = boto3.Session(profile_name=profile)
   
   ec2 = session.client("ec2")
   
   regions = ec2.describe_regions()
   
   for region in regions['Regions']:
       region_name = region['RegionName']
       if region_name=='ap-northeast-3': #https://github.com/boto/boto3/issues/1943
           continue
       transfer = session.client("transfer", region_name=region_name)
       servers = transfer.list_servers()
       for server in servers['Servers']:
          if server['EndpointType']=='VPC_ENDPOINT':
              print(server['ServerId'], region_name)
   ```

1. Depois que você tiver a lista dos servidores a serem atualizados, poderá usar um dos métodos descritos nas seções a seguir para atualizar o `EndpointType` para `VPC`.

## Atualizando o tipo de endpoint do servidor usando o Console de gerenciamento da AWS
<a name="update-endpoint-console"></a>

1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. No painel de navegação, selecione **Servidores**.

1. Marque a caixa de seleção da predefinição do servidor no qual você deseja alterar o tipo de endpoint.
**Importante**  
Você deve interromper o servidor antes de alterar o endpoint.

1. Em **Ações**, escolha **Interromper**.

1. Na caixa de diálogo de confirmação exibida, escolha **Parar** para confirmar que quer interromper o servidor.
**nota**  
Antes de prosseguir para a próxima etapa, aguarde até que o **Status** do servidor mude para **Offline**; isso pode levar alguns minutos. Talvez você precise selecionar **Atualizar** na página dos **Servidores** para ver a alteração de status.

1. Depois que o status mudar para **Offline**, escolha o servidor para exibir a página de detalhes do servidor.

1. Na seção **Detalhes do endpoint**, escolha **Editar**.

1. Escolha **VPC hospedada** para o **Tipo de endpoint**.

1. Escolha **Salvar**.

1. Em **Ações**, escolha **Iniciar** e aguarde até que o status do servidor mude para **Online**; isso pode levar alguns minutos.

## Atualizando o tipo de endpoint do servidor usando CloudFormation
<a name="update-endpoint-cloudformation"></a>

Esta seção descreve como usar CloudFormation para atualizar um servidor `EndpointType` para`VPC`. Use esse procedimento para os servidores Transfer Family que você implantou usando CloudFormation. Neste exemplo, o modelo de CloudFormation original usado para implantar o servidor do Transfer Family é mostrado a seguir:

```
AWS TemplateFormatVersion: '2010-09-09'
Description: 'Create AWS Transfer Server with VPC_ENDPOINT endpoint type'
Parameters:
  SecurityGroupId:
    Type: AWS::EC2::SecurityGroup::Id
  SubnetIds:
    Type: List<AWS::EC2::Subnet::Id>
  VpcId:
    Type: AWS::EC2::VPC::Id
Resources:
  TransferServer:
    Type: AWS::Transfer::Server
    Properties:
      Domain: S3
      EndpointDetails:
        VpcEndpointId: !Ref VPCEndpoint
      EndpointType: VPC_ENDPOINT
      IdentityProviderType: SERVICE_MANAGED
      Protocols:
        - SFTP
  VPCEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: com.amazonaws.us-east-1.transfer.server
      SecurityGroupIds:
        - !Ref SecurityGroupId
      SubnetIds:
        - !Select [0, !Ref SubnetIds]
        - !Select [1, !Ref SubnetIds]
        - !Select [2, !Ref SubnetIds]
      VpcEndpointType: Interface
      VpcId: !Ref VpcId
```

O modelo é atualizado com as seguintes alterações:
+ O `EndpointType` foi alterado para `VPC`.
+ O recurso `AWS::EC2::VPCEndpoint` foi removido.
+ O `SecurityGroupId`, o `SubnetIds` e o `VpcId` foram movidos para a seção `EndpointDetails` do recurso `AWS::Transfer::Server`,
+ A propriedade `VpcEndpointId` de `EndpointDetails` foi removida.

O modelo atualizado é semelhante ao seguinte:

```
AWS TemplateFormatVersion: '2010-09-09'
Description: 'Create AWS Transfer Server with VPC endpoint type'
Parameters:
  SecurityGroupId:
    Type: AWS::EC2::SecurityGroup::Id
  SubnetIds:
    Type: List<AWS::EC2::Subnet::Id>
  VpcId:
    Type: AWS::EC2::VPC::Id
Resources:
  TransferServer:
    Type: AWS::Transfer::Server
    Properties:
      Domain: S3
      EndpointDetails:
        SecurityGroupIds:
          - !Ref SecurityGroupId
        SubnetIds:
          - !Select [0, !Ref SubnetIds]
          - !Select [1, !Ref SubnetIds]
          - !Select [2, !Ref SubnetIds]
        VpcId: !Ref VpcId
      EndpointType: VPC
      IdentityProviderType: SERVICE_MANAGED
      Protocols:
        - SFTP
```

**Para atualizar o tipo de endpoint dos servidores Transfer Family implantados usando CloudFormation**

1. Pare o servidor que você deseja atualizar usando as etapas a seguir.

   1. Abra o AWS Transfer Family console em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

   1. No painel de navegação, selecione **Servidores**.

   1. Marque a caixa de seleção da predefinição do servidor no qual você deseja alterar o tipo de endpoint.
**Importante**  
Você deve interromper o servidor antes de alterar o endpoint.

   1. Em **Ações**, escolha **Interromper**.

   1. Na caixa de diálogo de confirmação exibida, escolha **Parar** para confirmar que quer interromper o servidor.
**nota**  
Antes de prosseguir para a próxima etapa, aguarde até que o **Status** do servidor mude para **Offline**; isso pode levar alguns minutos. Talvez você precise selecionar **Atualizar** na página dos **Servidores** para ver a alteração de status.

1. Atualize a CloudFormation pilha

   1. Abra o CloudFormation console em [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/).

   1. Escolha a pilha usada para criar o servidor do Transfer Family.

   1. Selecione **Atualizar**.

   1. Escolha **Substituir modelo atual** 

   1. Faça o upload do novo modelo. CloudFormation Os conjuntos de alterações ajudam você a entender como as alterações do modelo afetarão os recursos em execução antes de implementá-las. Neste exemplo, o recurso do servidor de transferência será modificado e o VPCEndpoint recurso será removido. O servidor do tipo endpoint da VPC cria um Endpoint da VPC em seu nome, substituindo o recurso `VPCEndpoint` original.

      Depois de carregar o novo modelo, o conjunto de alterações será semelhante ao seguinte:  
![\[Mostra a página de visualização do conjunto de alterações para substituir o CloudFormation modelo atual.\]](http://docs.aws.amazon.com/pt_br/transfer/latest/userguide/images/vpc-endpoint-update-cfn.png)

   1. Atualize a pilha.

1. Quando a atualização da pilha estiver concluída, navegue até o console de gerenciamento do Transfer Family em [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Reinicie o servidor. Escolha o servidor no qual você atualizou e CloudFormation, em seguida, escolha **Iniciar** no menu **Ações**.

## Atualizando o servidor EndpointType usando a API
<a name="update-endpoint-cli"></a>

Você pode usar o comando AWS CLI [describe-server](https://docs.aws.amazon.com/cli/latest/reference/transfer/update-server.html) ou o comando da API [UpdateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html). O script de exemplo a seguir interrompe o servidor Transfer Family, atualiza o EndpointType, remove o VPC\$1ENDPOINT e inicia o servidor.

```
import boto3
import time

profile = input("Enter the name of the AWS account you'll be working in: ")
region_name = input("Enter the AWS Region you're working in: ")
server_id = input("Enter the AWS Transfer Server Id: ")

session = boto3.Session(profile_name=profile)

ec2 = session.client("ec2", region_name=region_name)
transfer = session.client("transfer", region_name=region_name)

group_ids=[]

transfer_description = transfer.describe_server(ServerId=server_id)
if transfer_description['Server']['EndpointType']=='VPC_ENDPOINT':
    transfer_vpc_endpoint = transfer_description['Server']['EndpointDetails']['VpcEndpointId']
    transfer_vpc_endpoint_descriptions = ec2.describe_vpc_endpoints(VpcEndpointIds=[transfer_vpc_endpoint])
    for transfer_vpc_endpoint_description in transfer_vpc_endpoint_descriptions['VpcEndpoints']:
        subnet_ids=transfer_vpc_endpoint_description['SubnetIds']
        group_id_list=transfer_vpc_endpoint_description['Groups']
        vpc_id=transfer_vpc_endpoint_description['VpcId']
        for group_id in group_id_list:
             group_ids.append(group_id['GroupId'])
    if transfer_description['Server']['State']=='ONLINE':
        transfer_stop = transfer.stop_server(ServerId=server_id)
        print(transfer_stop)
        time.sleep(300) #safe
        transfer_update = transfer.update_server(ServerId=server_id,EndpointType='VPC',EndpointDetails={'SecurityGroupIds':group_ids,'SubnetIds':subnet_ids,'VpcId':vpc_id})
        print(transfer_update)
        time.sleep(10) 
        transfer_start = transfer.start_server(ServerId=server_id)
        print(transfer_start)
        delete_vpc_endpoint = ec2.delete_vpc_endpoints(VpcEndpointIds=[transfer_vpc_endpoint])
```

# Trabalhar com nomes de host personalizados
<a name="requirements-dns"></a>

O *nome de host do servidor* é o nome do host que seus usuários inserem nos seus clientes ao se conectarem ao seu servidor . Você pode usar um domínio personalizado que você registrou para o nome de host do seu servidor ao trabalhar com AWS Transfer Family. Por exemplo, é possível usar um nome de host personalizado, como `mysftpserver.mysubdomain.domain.com`.

Para redirecionar o tráfego do domínio personalizado registrado para o endpoint do servidor, é possível usar o Amazon Route 53 ou qualquer provedor de Sistema de Nomes de Domínio (DNS). O Route 53 é o serviço DNS que AWS Transfer Family oferece suporte nativo.

**Topics**
+ [Usar o Amazon Route 53 como seu provedor de DNS.](#requirements-use-r53)
+ [Uso de outros provedores de DNS](#requirements-use-alt-dns)
+ [Nomes de host personalizados para servidores que não são criados por console](#tag-custom-hostname-cdk)

No console, é possível escolher uma destas opções para a configuração de um nome de host personalizado:
+ **Pseudônimo de DNS do Amazon Route 53** — se o nome do host que você deseja usar estiver registrado no Route 53. Em seguida, você pode inserir o nome do host.
+ **Outro DNS** - se o nome do host que você deseja usar estiver registrado em outro provedor DNS. Em seguida, você pode inserir o nome do host.
+ **Nenhum** - para usar o endpoint do servidor e não um nome de host personalizado.

Você define essa opção ao criar um novo servidor ou editar a configuração de um servidor existente. Para obter mais informações sobre como criar um novo servidor, consulte [Etapa 2: Criar um servidor habilitado para SFTP](getting-started.md#getting-started-server). Para obter mais informações sobre como editar a configuração de um servidor existente, consulte [Editar detalhes do servidor](edit-server-config.md).

Para obter mais detalhes sobre como usar seu próprio domínio para o nome do host do servidor e como AWS Transfer Family usa o Route 53, consulte as seções a seguir.

## Usar o Amazon Route 53 como seu provedor de DNS.
<a name="requirements-use-r53"></a>

Ao criar um servidor, é possível usar o Amazon Route 53 como provedor de DNS. Antes de usar um domínio no Route 53, registre o domínio. Para obter mais informações, consulte [Como funciona o registro de domínio](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-domain-registration.html) no *Guia do desenvolvedor do Amazon Route 53*.

Quando você usa o Route 53 para fornecer roteamento DNS ao seu servidor, AWS Transfer Family usa o nome de host personalizado que você inseriu para extrair sua zona hospedada. Ao AWS Transfer Family extrair uma zona hospedada, três coisas podem acontecer:

1. Se você é novo no Route 53 e não tem uma zona hospedada, AWS Transfer Family adiciona uma nova zona hospedada e um `CNAME` registro. O valor desse registro `CNAME` é o nome de host do endpoint para o seu servidor. Um *CNAME *é um nome de domínio alternativo.

1. Se você tiver uma zona hospedada no Route 53 sem registros de `CNAME`, o AWS Transfer Family adicionará um registro `CNAME` à zona hospedada.

1. Se o serviço detectar que um registro `CNAME` já existe na zona hospedada, você receberá uma mensagem de erro indicando que um registro `CNAME` já existe. Nesse caso, altere o valor do registro de `CNAME` para o nome de host do seu servidor. 

Para obter mais informações sobre zonas hospedadas no Route 53, consulte [Zona hospedada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) no *Guia do desenvolvedor do Amazon Route 53*.

## Uso de outros provedores de DNS
<a name="requirements-use-alt-dns"></a>

Ao criar um servidor, você também pode usar provedores de DNS diferentes do Amazon Route 53. Se você usar um provedor de DNS alternativo, precisará se certificar de que o tráfego do seu domínio é direcionado para o endpoint do servidor do .

Para isso, defina seu domínio para o nome de host do endpoint no servidor.
+ Para IPv4 endpoints, o nome do host tem a seguinte aparência no console:

   `serverid.server.transfer.region.amazonaws.com` 
+ Para endpoints de pilha dupla, o nome do host tem a seguinte aparência no console:

   `serverid.transfer-server.region.on.aws` 

**nota**  
Se seu servidor tiver um VPC endpoint, o formato do nome do host será diferente dos descritos acima. Para encontrar seu endpoint da VPC, selecione o VPC na página de detalhes do servidor e, em seguida, selecione o **ID do endpoint da VPC** no painel da VPC. O endpoint é o primeiro nome DNS dos listados.

## Nomes de host personalizados para servidores que não são criados por console
<a name="tag-custom-hostname-cdk"></a>

Ao criar um servidor usando AWS Cloud Development Kit (AWS CDK) CloudFormation, ou por meio da CLI, você deve adicionar uma tag se quiser que o servidor tenha um nome de host personalizado. Ao criar um servidor Transfer Family ao usar o console, a marcação é feita automaticamente.

**nota**  
Você também precisa criar um registro DNS para redirecionar o tráfego do seu domínio para o endpoint do servidor. Para obter detalhes, consulte Como [trabalhar com registros](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html) no *Guia do desenvolvedor do Amazon Route 53*.

Use as seguintes chaves para seu nome de host personalizado:
+ Adicione `transfer:customHostname` para exibir o nome de host personalizado no console.
+ Se você não está usando o Route 53 como provedor de DNS, adicione `transfer:route53HostedZoneId`. Essa tag vincula o nome do host personalizado ao seu ID de zona hospedada do Route 53.

Para adicionar o nome de host personalizado, emita o seguinte comando da CLI.

```
aws transfer tag-resource --arn arn:aws:transfer:region:Conta da AWS:server/server-ID --tags Key=transfer:customHostname,Value="custom-host-name"
```

Por exemplo:

```
aws transfer tag-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0 --tags Key=transfer:customHostname,Value="abc.example.com"
```

Se você estiver usando o Route 53, emita o comando a seguir para vincular seu nome de host personalizado ao ID da zona hospedada do Route 53.

```
aws transfer tag-resource --arn server-ARN:server/server-ID --tags Key=transfer:route53HostedZoneId,Value=HOSTED-ZONE-ID
```

Por exemplo:

```
aws transfer tag-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0 --tags Key=transfer:route53HostedZoneId,Value=ABCDE1111222233334444
```

Assumindo os valores de exemplo do comando anterior, execute o comando a seguir para visualizar suas tags:

```
aws transfer list-tags-for-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0
```

```
"Tags": [
   {
      "Key": "transfer:route53HostedZoneId",
      "Value": "/hostedzone/ABCDE1111222233334444"
   },
   {
      "Key": "transfer:customHostname",
      "Value": "abc.example.com"
   }
 ]
```

**nota**  
 Suas zonas públicas hospedadas e IDs as delas estão disponíveis no Amazon Route 53.   
Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).