本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置 Transfer Family 网络应用程序
<a name="webapp-configure"></a>

本节介绍创建 Transfer Family 网络应用程序的过程。要分配可以使用它的用户和群组，请参阅[在 Transfer Family 网络应用中分配或添加用户或群组](webapp-add-users.md)。

**注意**  
重复这些步骤以添加其他 Web 应用程序。您可以重复使用之前创建的 IAM 角色。确保将新 Web 应用程序的访问端点添加到每个存储桶的 Cross-origin 资源共享 (CORS) 策略中。

## 创建 Transfer Family 网络应用程序
<a name="web-app-create"></a>

**注意**  
如果您没有使用身份提供商的 IAM Identity Center 目录，则在您已设置 IAM Identity Center 并配置第三方身份提供商之前，请不要尝试创建 Web 应用程序，如中所述[为 Transfer Family 网络应用程序配置您的身份提供商](webapp-identity-center.md)。

完成以下步骤即可创建 Transfer Family 网络应用程序。

**创建 Transfer Family 网络应用程序**

1. 登录 AWS 管理控制台 并打开 AWS Transfer Family 控制台，网址为[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)。

1. 在左侧导航窗格中，选择 **Web 应用程序**。

1. 选择**创建 Web 应用程序**。

   对于身份验证访问，窗格填充如下。
   + 如果您已经在中创建了组织或账户实例 AWS IAM Identity Center，则会看到以下消息：**您的 AWS Transfer Family 应用程序已连接到 IAM Identity Center 的账户实例**。
   + 如果您已经拥有账户实例并且是组织实例的成员，则可以选择连接哪个实例。
   + 如果您还没有账户实例，或者您是组织实例的成员，则可以选择创建账户实例。

1. 对于**端点类型**，选择**可公开访问**的端点类型。有关 **VPC 托管**的端点，请参阅 [在 VPC 中创建 Transfer Family 网络应用程序](create-webapp-in-vpc.md)。

1. 在**权限类型**窗格中，您可以使用先前创建的角色，也可以让服务为您创建一个角色。
   + 如果您已经创建了身份持有者角色，请选择 “**使用现有角色**”，然后从 “选择**现有角色” 菜单中选择您的角色**。
   + 要让服务为您创建角色，请选择**创建并使用新的服务角色**。

1. 在 **Web 应用程序单位**窗格中，选择一个值。一个 Web 应用程序单元允许来自多达 250 个独特会话的 Web 应用程序活动。创建 Web 应用程序时，您可以根据预期的峰值工作量配置所需的单元数量。更改您的 Web 应用程序单位会影响您的账单。有关定价的信息，请参阅[AWS Transfer Family 定价](https://aws.amazon.com/aws-transfer-family/pricing)。

1. 如果您在中使用 Transfer Family AWS GovCloud (US) Region，则可以在 “启用 **FIPS” 窗格中选中 “启用 **FIPS** 端点**” 复选框。对于所有其他选项 AWS 区域，此选项不可用。

1. （可选）添加标签以帮助您整理 Web 应用程序。我们建议您添加一个以 **Name** 作为键并以描述性名称作为值的标签。

1. 选择**下一步**。在此屏幕上，您可以选择为 Web 应用程序提供标题。如果您不提供标题，则会提供 Transfer **Web App** 的默认标题。您也可以上传徽标和网站图标的图片文件。

1. 选择 “**下一步**”，然后选择 “**创建 Web 应用程序**”。

![该屏幕显示 Web 应用程序仪表板以及用于从左侧导航面板中选择它的菜单项。](http://docs.aws.amazon.com/zh_cn/transfer/latest/userguide/images/webapp-transfer-dashboard.png)


**注意**  
请务必为从 Web 应用程序终端节点访问的所有存储分区设置 Cross-origin 资源共享 (CORS) 策略。

## IP 寻址
<a name="webapp-ip-addressing"></a>

Transfer Family 网络应用程序使用双栈端点，同时支持 IPv4 和 IPv6 连接。对于身份验证，Web 应用程序使用 AWS IAM Identity Center，它还通过双堆栈端点支持 IPv6。

如果在启动双栈 IAM Identity Center 终端节点支持时，您的账户在某个区域中有 Web 应用程序，则该账户和区域中的所有 Web 应用程序将继续使用 IPv4-only IAM Identity Center 终端节点以实现向后兼容。这适用于现有和新创建的 Web 应用程序。在启动时没有 Web 应用程序的账户使用 IAM Identity Center 双栈终端节点。如果您需要更改您的 Web 应用程序使用的 IAM 身份中心终端节点，请联系 AWS Support。

**注意**  
要确定您的 Web 应用程序使用哪个终端节点，请在重定向到 IAM Identity Center 登录页面时检查网址：  
IPv4-only: `[Region].signin.aws.amazon.com`
Dual-stack: `[Region].sso.signin.aws`

如果您的组织使用防火墙或网络网关，请将现有 IPv4 和新的双栈 IAM Identity Center 终端节点都列入白名单，以确保无论您的 Web 应用程序使用哪个终端节点，都能不间断地进行访问。有关要列入许可名单的域和 URL 终端节点的完整列表，请参阅 *IAM Identity Center 用户*指南中的[更新防火墙和网关以允许 AWS 访问访问门户](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-identity-center-portal-access.html)。