使用 Transfer 系列存取 FSx for NetApp ONTAP 檔案系統 - AWS Transfer Family
概觀先決條件FSx 儲存如何與 Transfer 系列搭配使用為 FSx 建立 S3 存取點搭配 FSx 使用 S3 存取點別名設定 FSx 儲存的 Transfer 系列管理 FSx 儲存體的使用者設定檔案傳輸用戶端對 FSx 儲存體進行故障診斷

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Transfer 系列存取 FSx for NetApp ONTAP 檔案系統

概觀

Transfer Family 透過 S3 存取點支援 Amazon FSx for NetApp ONTAP。Amazon FSx for NetApp ONTAP 是一項全受管服務,可提供以 NetApp 熱門 ONTAP 檔案系統為基礎的高度可靠、可擴展、高效能且功能豐富的檔案儲存。當您使用 FSx 檔案系統設定 Transfer Family 時,您的使用者會使用標準檔案傳輸用戶端連線至 Transfer Family 端點。Transfer Family 透過連接至 FSx 磁碟區的 S3 存取點路由檔案操作,同時您的資料仍保留在 FSx 檔案系統上。若要進一步了解 FSx for NetApp ONTAP,請參閱什麼是 Amazon FSx for NetApp ONTAP?

此整合可讓您:

  • 使用 SFTP、FTPS 或 FTP 通訊協定將檔案傳輸到企業級檔案儲存

  • 透過多個通訊協定 (SFTP、NFS、SMB) 存取相同的資料

  • 使用快照、備份和資料分層等 FSx 功能

重要

搭配 Transfer Family 使用 FSx 檔案系統時,不支援某些檔案操作,包括重新命名和附加操作。對於上傳操作,檔案大小限制為 5 GB。如需限制的完整清單,請參閱存取點相容性

先決條件

使用 Amazon FSx 設定 Transfer Family 之前,您必須符合下列要求。

FSx for NetApp ONTAP 要求

若要將 FSx for NetApp ONTAP 與 Transfer Family 搭配使用,您需要:

  • 執行 ONTAP 9.17.1 版或更新版本的 FSx for NetApp ONTAP 檔案系統

  • 相同區域中的檔案系統和 S3 存取點 AWS

  • 同時擁有檔案系統和存取點的相同 AWS 帳戶

若要進一步了解,請參閱 Amazon FSx for NetApp ONTAP 入門

所需的 IAM 許可

您可以使用不同的許可和網路控制來設定每個 S3 存取點,S3許可和網路控制適用於使用該存取點提出的任何請求。S3 存取點支援 IAM 資源政策,可用來依資源、使用者或其他條件控制存取點的使用。若要讓應用程式或使用者透過存取點存取檔案,存取點和基礎磁碟區都必須允許請求。如需詳細資訊,請參閱 IAM 存取點政策

FSx 的 Amazon S3 存取點使用雙層授權模型,結合 IAM 許可與檔案系統層級許可。此方法可確保資料存取請求在 AWS 服務層級和基礎檔案系統層級獲得適當授權。

若要讓應用程式或使用者成功透過存取點存取資料,S3 存取點政策和基礎 FSx 磁碟區都必須允許請求。

若要建立和設定此整合,您需要下列許可:

  • fsx:CreateAndAttachS3AccessPoint

  • s3:CreateAccessPoint

  • s3:GetAccessPoint

  • s3:PutAccessPointPolicy (如果建立選用存取點政策)

FSx 儲存如何與 Transfer 系列搭配使用

當您使用 FSx 檔案系統設定 Transfer Family 時,下列元件可一起運作以啟用檔案傳輸:

  1. 使用者使用 SFTP、FTPS 或 FTP 用戶端連線至 Transfer Family 伺服器。

  2. Transfer Family 會使用服務受管身分、自訂身分提供者或 來驗證使用者 AWS Directory Service for Microsoft Active Directory。驗證後,Transfer Family 會擔任與使用者相關聯的 IAM 角色。

  3. 對於每個檔案操作,Transfer Family 充當標準 S3 API 用戶端,使用使用者的假設 IAM 角色向 S3 存取點提出請求,並根據 S3 存取點政策驗證許可。

  4. FSx 檔案系統會驗證與存取點相關聯的檔案系統使用者是否具有執行請求操作的許可。檔案操作接著會在 FSx 磁碟區上執行。

若要讓檔案操作成功,兩個授權層都必須允許請求。

注意

將 S3 存取點連接至 FSx 磁碟區並不會變更透過 NFS 或 SMB 直接存取磁碟區時的行為。現有的檔案通訊協定存取會繼續保持不變。

檔案系統使用者身分

每個存取點都會使用您在建立存取點時指定的檔案系統使用者身分。此身分會授權透過該存取點提出的所有檔案存取請求。檔案系統使用者是基礎 Amazon FSx 檔案系統上的使用者帳戶。如果檔案系統使用者具有唯讀存取權,則只會授權使用存取點提出的讀取請求,並封鎖寫入請求。如果檔案系統使用者具有讀寫存取權,則會授權對使用存取點建立之連接磁碟區的讀寫請求。

為 FSx 建立 S3 存取點

設定 Transfer Family 之前,您必須建立連接到 FSx 磁碟區的 S3 存取點。S3 存取點是連接至資料來源的具名網路端點,例如儲存貯體或 Amazon FSx for ONTAP 磁碟區。您可以使用 Amazon FSx 主控台、 AWS CLI 或 API,建立存取點並將其連接至 FSx for NetApp ONTAP。連接後,您可以使用 S3 物件 API 來存取您的檔案資料。您的資料會繼續駐留於 Amazon FSx 檔案系統,並繼續直接用於您現有的工作負載。您可以繼續使用所有 FSx for NetApp ONTAP 儲存體管理功能來管理儲存體,包括備份、快照、使用者和群組配額,以及壓縮。

如需詳細資訊,請參閱建立存取點

存取點命名

當您命名存取點時,請遵循下列準則:

  • 存取點名稱在 AWS 您的帳戶和區域中必須是唯一的。

  • 名稱不能以 結尾 -ext-s3alias(保留給別名)。

  • 避免在名稱中包含敏感資訊,因為它們會在 DNS 中發佈。

如需命名規則的完整清單,請參閱存取點命名規則、限制和限制

為 FSx for NetApp ONTAP 建立存取點

使用下列程序為 FSx for NetApp ONTAP 磁碟區建立 S3 存取點。

建立存取點 (主控台)

  1. https://console.aws.amazon.com/fsx/:// 開啟 Amazon FSx 主控台。

  2. 在導覽窗格中,選擇檔案系統

  3. 選擇 FSx for NetApp ONTAP 檔案系統。

  4. 選擇磁碟區索引標籤。

  5. 選取您要連接的磁碟區。

  6. 針對動作,選擇建立 S3 存取點

  7. 針對存取點名稱,輸入描述性名稱 (例如,transfer-family-ap)。

  8. 針對檔案系統使用者身分類型,選擇下列其中一項:

    • UNIX 身分 - 適用於具有 UNIX 安全樣式的磁碟區

    • Windows 身分 - 適用於具有 NTFS 安全樣式的磁碟區

  9. (選用) 對於存取點政策,輸入定義哪些 IAM 主體可以對透過此存取點存取的物件執行哪些操作的 IAM 政策。如需詳細資訊,請參閱管理存取點存取

  10. 選擇建立

  11. 建立之後,請注意要用於 Transfer Family 組態的存取點別名。

注意

當 代表您連接的 SFTP/FTPS 使用者 AWS Transfer Family 存取 S3 資源時,請求來自 AWS Transfer Family 基礎設施,而不是來自您的 VPC。因此,使用 VPC 網路原始伺服器設定的 S3 存取點將拒絕這些請求。不過,即使您使用設定網際網路來源的存取點,傳輸系列和存取點之間的所有流量都會保持私有,並透過 AWS 骨幹網路傳輸 - 它不會周遊公有網際網路。

設定檔案系統許可

您指定的檔案系統使用者會決定 Transfer Family 使用者可以執行的操作。您必須在 FSx 磁碟區上設定適當的許可。

UNIX 範例:

# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users

# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users

# Set permissions
chmod 755 /vol1/transfer-users

Windows 範例:

# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory

# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T

# Verify permissions
icacls "D:\vol1\transfer-users"

搭配 FSx 使用 S3 存取點別名

當您搭配 Transfer Family 使用 FSx 檔案系統時,您必須使用 S3 存取點別名。Transfer Family 不支援使用存取點 ARNs 或其他 FSx 儲存的參考方法。

重要

AWS Transfer Family 僅在使用 FSx 檔案系統時支援 S3 存取點別名。您無法使用存取點 ARNs或virtual-hosted-styleURIs。

重要

存取點必須與磁碟區位於相同的區域。

關於存取點別名

當您建立連接到 FSx 磁碟區的 S3 存取點時,Amazon S3 會自動產生存取點別名。此別名是唯一識別符,您可以在任何使用 S3 儲存貯體名稱的地方使用。

對於連接到 FSx 磁碟區的存取點,別名使用下列格式:

access-point-name-metadata-ext-s3alias

別名範例:

my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
注意

-ext-s3alias 字尾會保留給 FSx 存取點別名。您無法在存取點名稱中使用此尾碼。

尋找您的存取點別名

您可以在建立存取點之後找到存取點別名。

尋找存取點別名 (主控台)

  1. https://console.aws.amazon.com/fsx/:// 開啟 Amazon FSx 主控台。

  2. 在導覽窗格中,選擇檔案系統

  3. 選擇您的檔案系統。

  4. 選擇磁碟區索引標籤,然後選取您為其建立存取點的磁碟區。

  5. 移至 S3 存取點詳細資訊欄。

  6. 別名會顯示在別名欄中。

尋找存取點別名 (CLI)

使用 describe-s3-access-point-attachments 命令。

aws fsx describe-s3-access-point-attachments \
    --filters Name=file-system-id,Values=fs-0123456789abcdef0

回應包含別名:

{
    "S3AccessPointAttachments": [
        {
            "S3AccessPoint": {
                "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
                "Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
            }
        }
    ]
}

當您設定 Transfer Family 使用者時,請在主目錄映射中使用存取點別名。

主目錄格式:

/access-point-alias/path/to/directory

範例

/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith

設定 FSx 儲存的 Transfer 系列

建立 S3 存取點之後,請設定 Transfer Family 伺服器來使用它。

建立 IAM 角色

您必須建立授予 Transfer Family 存取 S3 存取點的 IAM 角色。

重要

IAM 政策需要存取點 ARN 格式,而不是別名。在您的 IAM 政策資源陳述式arn:aws:s3:region:account-id:accesspoint/access-point-name中使用 格式。存取點別名 (結尾為 -ext-s3alias) 僅用於主目錄映射。

建立 IAM 角色

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 在導覽窗格中,選擇角色,然後選擇建立角色

  3. 針對信任的實體類型,請選擇 AWS 服務

  4. 針對使用案例,選擇轉接

  5. 選擇下一步

  6. 選擇建立政策並輸入您的政策 (請參閱以下範例政策)。

  7. 將政策連接至角色,然後選擇建立角色

IAM 政策範例:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowFileOperations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
        },
        {
            "Sid": "AllowDirectoryOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
        }
    ]
}

管理 FSx 儲存體的使用者

使用使用 S3 存取點別名的主目錄映射建立 Transfer Family 使用者。

建立使用者

當您為 FSx 儲存體建立使用者時,請在主目錄映射中使用存取點別名。

建立服務受管使用者 (主控台)

  1. 在 https://https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台。

  2. 在導覽窗格中,選擇 Servers (伺服器)

  3. 選擇您的伺服器。

  4. 在使用者區段中,選擇新增使用者

  5. 針對使用者名稱,輸入使用者名稱。

  6. 針對角色,選擇您建立的 IAM 角色。

  7. 針對主目錄,選擇受限制

  8. 對於主目錄映射,請使用存取點別名新增映射:

    [{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]

建立使用者 (CLI)

使用 create-user 命令。將存取點別名取代為您的別名。

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
        }
    ]'

設定多個目錄映射

您可以將多個虛擬目錄映射到 FSx 磁碟區上的不同路徑。

範例:個別上傳和下載目錄

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/inbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
        },
        {
            "Entry": "/outbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
        }
    ]'

設定檔案傳輸用戶端

搭配 Transfer Family 使用 FSx 檔案系統時,您必須設定檔案傳輸用戶端以停用不支援的功能。

WinSCP 組態

WinSCP 預設使用 S3 FSx 存取點不支援的暫時重新命名功能。

警告

如果您未在 WinSCP 中停用暫時重新命名功能,檔案上傳將會失敗。

在 WinSCP 中停用暫時重新命名

  1. 開啟 WinSCP。

  2. 在登入對話方塊中,選擇編輯以修改工作階段設定。

  3. 選擇 Advanced (進階)

  4. 在左側導覽的 Transfer 下,選擇 Endurance

  5. 針對啟用傳輸繼續/傳輸到暫時檔案名稱,選擇停用

  6. 選擇確定以儲存設定。

或者,您可以停用現有工作階段的此設定:

  1. 連線至 Transfer Family 伺服器。

  2. 選擇選項,然後選擇偏好設定

  3. 選擇 Transfer,然後選擇 Endurance

  4. 針對啟用傳輸繼續/傳輸到暫時檔案名稱,選擇停用

  5. 選擇確定

其他 SFTP 用戶端

對於其他 SFTP 用戶端,如果可用,請停用下列功能:

  • 暫時檔案上傳 (上傳至暫存檔案,然後重新命名)

  • 使用暫存檔案繼續傳輸

  • 使用重新命名操作的原子上傳

  • 上傳的附加模式

如需特定組態步驟,請參閱您的用戶端文件。

對 FSx 儲存體進行故障診斷

本節說明如何識別和解決搭配使用 Transfer Family 與 FSx 檔案系統的常見問題。

檔案操作問題

許可遭拒

如果您收到許可遭拒錯誤:

  1. 確認 IAM 角色具有存取點別名的正確許可。您可以直接使用 S3 APIs 進行測試。

  2. 檢查存取點政策是否允許 IAM 角色。

  3. 確認檔案系統使用者具有目標路徑的許可。

  4. 確認主目錄映射使用正確的存取點別名。

使用 WinSCP 上傳失敗

如果使用 WinSCP 上傳失敗,請停用暫時重新命名:

  1. 在 WinSCP 中,選擇選項,然後選擇偏好設定

  2. 選擇 Transfer,然後選擇 Endurance

  3. 針對啟用傳輸繼續/傳輸到暫時檔案名稱,選擇停用

如需詳細資訊,請參閱設定檔案傳輸用戶端

檔案上傳失敗

如果檔案上傳失敗:

  1. 確認檔案大小低於 5 GB。

  2. 檢查 FSx 磁碟區是否有足夠的可用儲存空間。

  3. 監控 CloudWatch 指標以進行限流。