Crie uma conexão privada entre uma VPC e AWS Transfer Family APIs - AWS Transfer Family
Controle do acesso usando políticas de VPC endpointCriar endpoint da VPC

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie uma conexão privada entre uma VPC e AWS Transfer Family APIs

Você pode estabelecer uma conexão privada entre sua VPC e criar uma interface VPC endpoint, AWS Transfer Family APIs alimentada por. AWS PrivateLink Você pode acessar AWS Transfer Family APIs como se estivesse em sua VPC, sem usar um gateway de internet, dispositivo NAT, conexão VPN ou conexão AWS Direct Connect. As instâncias na VPC não precisam de endereços IP públicos para a comunicação com o AWS Transfer Family APIs.

Criaremos um endpoint de interface de rede em cada sub-rede que você habilitar para o endpoint de interface. Para obter mais informações, consulte Acesse os AWS serviços AWS PrivateLink no AWS PrivateLink Guia. Antes de configurar uma interface para o VPC endpoint AWS Transfer Family APIs, leia as considerações no guia.AWS PrivateLink

Controle do acesso usando políticas de VPC endpoint

Por padrão, o acesso total ao AWS Transfer Family APIs é permitido por meio do endpoint. Você pode controlar o acesso ao endpoint de interface usando as políticas de endpoint da VPC. É possível anexar uma política de endpoint ao endpoint da VPC que controla o acesso ao AWS Transfer Family APIs. Essa política especifica as seguintes informações:

  • A entidade principal que pode realizar ações.

  • As ações que podem ser realizadas.

  • Os recursos aos quais as ações podem ser aplicadas.

Para mais informações, consulte Controlar o acesso a serviços com VPC endpoints no Guia do usuário da Amazon VPC.

Veja a seguir um exemplo de uma política de endpoint para AWS Transfer Family APIs. Quando anexada a um endpoint, essa política concede acesso a todas as AWS Transfer Family APIs ações em todos os recursos, exceto aquelas marcadas com chave Environment e valorTest.

{
    "Statement": [{
        "Effect": "Deny",
        "Action": "transfer:StartFileTransfer",
        "Principal": "*",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:ResourceTag/Environment": "Test"
            }
        }
    }, {
        "Effect": "Allow",
        "Action": "transfer:*",
        "Principal": "*",
        "Resource": "*"
    }]
}

Criar um VPC endpoint de interface para APIs do AWS Transfer Family

Você pode criar um VPC endpoint para AWS Transfer Family APIs usar o console Amazon VPC ou a interface de linha de AWS comando ().AWS CLI Para obter mais informações, consulte Create a VPC endpoint (Criar um endpoint da VPC) no Guia do AWS PrivateLink.

Crie um VPC endpoint para AWS Transfer Family APIs usar um dos seguintes nomes de serviço:

  • com.amazonaws.region.transfer

  • com.amazonaws.region.transfer-fips— Criar uma interface VPC endpoint que esteja em conformidade com o padrão do governo dos EUA da publicação 140-3 do Federal Information Processing Standard (FIPS).

Se você habilitar o DNS privado para o endpoint, poderá fazer solicitações de API para o AWS Transfer Family APIs usando seu nome DNS padrão para a região, por exemplo, transfer.us-east-1.amazonaws.com.