Aspectos generales

P: ¿Qué es AWS Transfer Family?

R: AWS Transfer Family ofrece soporte completamente administrado para transferir archivos a través de SFTP, FTPS y FTP directamente hacia y desde Amazon S3 o Amazon EFS. Puede migrar, automatizar y monitorear sin problemas flujos de trabajo de transferencia de archivos con las configuraciones actuales del lado del cliente para autenticación, acceso y firewalls, por lo que no hay cambios para sus clientes, socios y equipos internos, o sus aplicaciones.

P: ¿Qué es SFTP?

R: SFTP significa Secure Shell (SSH) File Transfer Protocol (protocolo de transferencia de archivos de shell seguro), un protocolo de red que se utiliza para transferir datos a través de Internet de forma segura. El protocolo, que admite la funcionalidad plena de seguridad y autenticación de SSH, se utiliza ampliamente para intercambiar datos entre socios comerciales en una variedad de sectores: servicios financieros, salud, medios y entretenimiento, venta minorista, publicidad, entre otros.

P: ¿Qué es FTP?

R: FTP significa File Transfer Protocol (protocolo de transferencia de archivos), un protocolo de red utilizado para la transferencia de datos. El FTP usa canales diferentes para el control y la transferencia de datos. El canal de control permanece abierto hasta que se cierra o finaliza el tiempo de espera por inactividad, mientras que el canal de datos continúa activo durante el tiempo que dura la transferencia. El FTP usa texto no cifrado y no permite cifrar el tráfico.

P: ¿Qué es FTPS?

R: FTPS significa File Transfer Protocol over SSL (protocolo de transferencia de archivos a través de SSL) y es una extensión del FTP. Usa los protocolos criptográficos de seguridad de la capa de transporte (TLS) y la capa de sockets seguros (SSL) para cifrar el tráfico. El FTPS permite cifrar las conexiones tanto del canal de control como de datos, de forma simultánea o independiente.

P: ¿Por qué debería utilizar AWS Transfer Family?

A: AWS Transfer Family es compatible con diferentes protocolos para transferencias de archivos de empresa a empresa (B2B) a fin de intercambiar datos de manera fácil y segura entre los inversores, proveedores terceros, socios de negocios o clientes. Si no utiliza Transfer Family, debe alojar y administrar su propio servicio de transferencia de archivos, lo que implica que deberá invertir en la operación y administración de infraestructura, la aplicación de parches en los servidores, el monitoreo del tiempo de actividad y la disponibilidad, y la creación de mecanismos únicos para aprovisionar usuarios y auditar su actividad. AWS Transfer Family resuelve estos desafíos porque proporciona soporte completamente administrado para SFTP, FTPS y FTP que puede reducir su carga operativa, a la vez que mantiene los flujos de trabajo de transferencias existentes para los usuarios finales. Los flujos de trabajo administrados de procesamiento de archivos de AWS Transfer Family permiten crear, automatizar y monitorear su transferencia de archivos y procesamiento de datos sin la necesidad de mantener su propio código o infraestructura. El servicio almacena datos transferidos como objetos en su bucket de Amazon S3 o como archivos en su sistema de archivos de Amazon EFS a fin de que pueda aprovecharlos en un lago de datos, en flujos de trabajo de un sistema de administración de relaciones con el cliente (CRM) o de planificación de recursos empresariales (ERP) o para el archivado en AWS.

P: ¿Cuáles son los beneficios de usar AWS Transfer Family?

R: AWS Transfer Family le proporciona un servicio de transferencia de archivos de alta disponibilidad y completamente gestionado con capacidades de escalado automático, lo que elimina la necesidad de gestionar la infraestructura relacionada con la transferencia de archivos. Los flujos de trabajo de los usuarios finales permanecen sin cambios, mientras que los datos cargados y descargados a través de los protocolos seleccionados se almacenan en su bucket de Amazon S3 o en el sistema de archivos de Amazon EFS. Ahora puede usar fácilmente los datos almacenados en AWS con la amplia gama de servicios de AWS para procesarlos, gestionar su contenido, analizarlos, someterlos a tareas de aprendizaje automático y almacenarlos en un entorno que puede cumplir sus requisitos de conformidad.

P: ¿Cómo se usa AWS Transfer Family?

R: En 3 simples pasos, puede activar un punto de enlace de servidor de funcionamiento continuo habilitado para SFTP, FTPS o FTP. En primer lugar, seleccione los protocolos que desea habilitar para que los usuarios finales se conecten a su punto de enlace. A continuación, se configura el acceso de los usuarios mediante el gestor de autenticación integrado de Transfer Family (gestionado por el servicio), Microsoft Active Directory (AD), o integrando su propio proveedor de identidades o el de un tercero, como Okta o Microsoft AzureAD (autenticación “BYO”). Por último, seleccione el servidor para acceder a los buckets S3 o a los sistemas de archivos EFS. Cuando los protocolos, el proveedor de identidad y el acceso a los sistemas de archivos estén disponibles, los usuarios podrán continuar usando los clientes y las configuraciones existentes de SFTP, FTPS o FTP, mientras que los datos a los que acceden se almacenarán en los sistemas de archivos seleccionados. 

P: ¿Cuál es la diferencia entre SFTP y FTPS? ¿Cuándo debo utilizar cada uno de ellos?

R: Tanto FTPS como SFTP se pueden usar para realizar transferencias seguras. Como son protocolos diferentes, usan tecnologías y clientes distintos para ofrecer un canal seguro destinado a la transmisión de comandos y datos. SFTP, un protocolo más nuevo que usa un único canal para comandos y datos, necesita menos aperturas de puertos que FTPS.

P: ¿Mis usuarios podrán continuar usando sus aplicaciones y clientes de transferencia de archivos existentes?

R: Sí, cualquier aplicación o cliente de transferencia de archivos existente seguirá funcionando siempre y cuando haya habilitado el punto de enlace para los protocolos seleccionados. Los ejemplos de clientes comúnmente utilizados incluyen clientes de WinSCP, FileZilla, CyberDuck, lftp y OpenSSH. 

P: ¿Puedo usar CloudFormation para automatizar la implementación de usuarios y servidores?

R: Sí, puede implementar plantillas de CloudFormation para automatizar la creación de usuarios y servidores o para integrar un proveedor de identidad. Consulte la guía de uso para obtener información acerca de cómo utilizar recursos de AWS Transfer en plantillas de CloudFormation.

P: ¿Los usuarios pueden usar SCP, HTTPS o AS2 para transferir archivos con este servicio?

R: No, los usuarios deberán usar SFTP, FTPS o FTP para transferir archivos. La mayoría de los clientes de transferencia de archivos ofrece estos protocolos como opción que deberá seleccionarse durante el proceso de autenticación. Indíquenos a través de AWS Support o mediante su equipo de cuentas de AWS los protocolos específicos que le gustaría ver compatible.

Opciones de punto de enlace del servidor

P: ¿Puedo usar un nombre de dominio corporativo (sftp.nombredemicompañía.com) para obtener acceso al punto de enlace?

R: Sí. Si ya tiene un nombre de dominio, puede usar Amazon Route 53 o cualquier servicio DNS para dirigir el tráfico de sus usuarios desde el dominio registrado al punto de enlace del servidor en AWS. Consulte la documentación sobre cómo AWS Transfer Family utiliza Amazon Route 53 para nombres de dominio personalizados (aplicable solo a puntos de enlace expuestos a Internet).

P: ¿Puedo seguir usando el servicio si no tengo un nombre de dominio?

R: Sí, si no tiene un nombre de dominio, sus usuarios pueden acceder al punto de enlace con el nombre de host proporcionado por el servicio. Opcionalmente, puede registrar un nuevo dominio con la consola o la API de Amazon Route 53 y enrutar el tráfico desde este dominio al nombre de host del punto de enlace provisto por el servicio.

P: ¿Puedo usar mi dominio que ya tiene una zona pública?

R: Sí, deberá crear un CNAME para el dominio en el nombre de host del punto de enlace suministrado por el servicio.

P: ¿Puedo configurar mi servidor para que los recursos solo puedan obtener acceso a él desde adentro de una VPC?

R: Sí. Al crear un servidor o actualizar uno existente, tiene la opción de especificar si desea que el punto de enlace sea accesible a través de la Internet pública o esté alojado dentro de su VPC. Utilizar el punto de enlace alojado en la VPC para el servidor permite restringirlo a fin de que solamente quede accesible para los clientes dentro de la misma VPC, otras VPC que especifique o en entornos en las instalaciones mediante el uso de tecnologías de red que extiendan su VPC, tales como AWS Direct Connect, AWS VPN o interconexión de la VPC. Puede restringir aún más el acceso a recursos en subredes específicas dentro de su VPC mediante listas de control de acceso a red (NACL) de subredes o grupos de seguridad. Consulte la documentación sobre cómo crear el punto de enlace del servidor dentro de una VPC mediante AWS PrivateLink para obtener más información.

P: ¿Puedo usar el FTP con un punto de enlace expuesto a Internet?

R: No, cuando habilite el FTP, solamente podrá usar la opción de acceso interno del punto de enlace alojado en la VPC. Si el tráfico necesita atravesar la red pública, se deben utilizar protocolos seguros, como SFTP o FTPS.

P: ¿Qué sucede si necesito utilizar el FTP para realizar transferencias mediante la Internet pública?

R: El servicio no permite utilizar el FTP en redes públicas porque, cuando crea un servidor habilitado para FTP, los recursos solo pueden acceder al punto de enlace del servidor dentro de la VPC. Si necesita utilizar el FTP para intercambiar datos a través de la Internet pública, puede cubrir el punto de enlace de la VPC del servidor con un balanceador de carga de red (NLB) expuesto a Internet. Para asistir a clientes del FTP que no trabajan con esta configuración, utilice su servidor en modo PASV.

P: ¿Puedo utilizar el FTP sin una VPC?

R: No. La VPC se necesita para alojar puntos de enlace de servidores de FTP. Consulte la documentación sobre plantillas de CloudFormation para automatizar la creación de recursos de VPC destinada a alojar el punto de enlace durante la creación de servidores.

P: ¿Mis usuarios finales pueden usar direcciones IP fijas para permitir el acceso al punto de enlace de un servidor en sus firewalls?

R: Sí. Puede habilitar el uso de direcciones IP fijas en el punto de enlace de su servidor si selecciona el punto de enlace alojado de la VPC para su servidor y elige la opción con exposición a Internet. Esto le permitirá adjuntar IP elásticas (incluidas IP propias) directamente al punto de enlace, que se asigna como la dirección IP del punto de enlace. Consulte la sección sobre la creación de un punto de enlace expuesto a Internet en la documentación: Creación del punto de enlace del servidor dentro de la VPC.

P: ¿Puedo restringir el tráfico entrante mediante las direcciones IP de origen de los usuarios finales?

R: Sí. Tiene tres opciones para restringir el tráfico entrante mediante las direcciones IP de origen de los usuarios. Si aloja el punto de enlace de su servidor dentro de la VPC, consulte esta publicación del blog sobre cómo utilizar grupos de seguridad para permitir enumerar las direcciones IP de origen o utilizar el servicio AWS Network Firewall. Si utiliza un servidor público de transferencia EndpointType y API Gateway para integrar los sistemas de administración de identidad, también puede utilizar AWS WAF a fin de permitir, bloquear o limitar la velocidad de acceso de la dirección IP de origen de sus usuarios finales.

P: ¿Puedo alojar el punto de enlace de mi servidor en un entorno de VPC compartido?

R: Sí. Puede implementar el punto de enlace de su servidor con entornos de VPC compartidos que se usan normalmente al segmentar el entorno de AWS mediante herramientas como AWS Landing Zone para seguridad, supervisión de costos y escalabilidad. Consulte esta publicación del blog sobre cómo utilizar puntos de enlace alojados en la VPC en entornos de VPC compartidos con AWS Transfer Family.

P: ¿Cómo accedo a los archivos almacenados en un sitio SFTP o FTPS externo?

R: Consulte este blog sobre cómo utilizar AWS Fargate para conectarse a un sitio SFTP o FTPS externo y acceder a sus datos con AWS Transfer Family. Si busca una solución completamente administrada para conectarse a sitios externos, contáctenos a través de AWS Support o a través del equipo de su cuenta de AWS.

P: ¿Cómo mejoro el rendimiento de las transferencias de archivos para usuarios finales remotos?

R: Puede utilizar AWS Global Accelerator con el punto de enlace de su servidor de transferencias para mejorar el rendimiento de la transferencia de archivos y el tiempo de ida y vuelta. Consulte esta publicación del blog para obtener más información.

P: ¿Puedo seleccionar qué algoritmos criptográficos se pueden utilizar cuando los clientes de mis usuarios finales se conectan al punto de enlace de mi servidor?

R: Sí. Sí, en función de sus requisitos de seguridad y conformidad, puede seleccionar una de tres políticas de seguridad para controlar los algoritmos criptográficos que anunciarán los puntos de enlace de su servidor: Transfer-Security-Policy-2018-11 (predeterminada), Transfer-Security-Policy-2020-06 (restrictiva: sin algoritmos SHA -1) y Transfer-FIPS-2020-06 (algoritmos conforme FIPS). Cuando los clientes de transferencia de archivos de sus usuarios finales intenten conectarse a su servidor, solo se usarán los algoritmos especificados en la política para negociar la conexión. Consulte la documentación sobre políticas de seguridad predefinidas.

P: ¿Mis usuarios finales pueden usar direcciones IP fijas para acceder al servidor cuyo tipo de punto de enlace es PÚBLICO?

R: No. En la actualidad, las direcciones IP fijas que se utilizan normalmente para incluir firewalls en listas blancas no se admiten en el tipo de punto de enlace PÚBLICO. Use puntos de enlace alojados en la VPC para asignar direcciones IP estáticas para sus puntos de enlace.

P: ¿Qué intervalos de IP necesitarían los usuarios finales para permitir que la lista acceda al tipo de punto de enlace del servidor SFTP que es PÚBLICO?

R: Si está utilizando el tipo de punto de enlace PÚBLICO, los usuarios deberán permitir la lista de intervalos de direcciones IP de AWS publicados aquí. Consulte la documentación para obtener detalles sobre cómo mantenerse al día con los intervalos de direcciones IP de AWS.

P: ¿Se cambiará la clave de host del servidor AWS Transfer for SFTP después de que se cree el servidor?

R: No. La clave de host del servidor que se asigna cuando crea el servidor permanece igual hasta que lo elimine y cree uno nuevo.

P: ¿Puedo importar claves de mi servidor SFTP actual para que mis usuarios no tengan que volver a verificar la información de la sesión?

R: Sí. Puede especificar una clave de host RSA al momento de crear un servidor nuevo o actualizar uno existente. Los clientes de los usuarios finales utilizarán esta clave para identificar el servidor. Consulte la documentación sobre cómo utilizar la AWS CLI o los SDK para cargar una clave de anfitrión destinada al servidor.

P: ¿De qué forma los clientes FTPS de los usuarios finales verifican la identidad de mi servidor FTPS?

R: Cuando habilite el acceso al FTPS, deberá suministrar un certificado de Amazon Certificate Manager (ACM). Los clientes de usuarios finales utilizarán este certificado para verificar la identidad de su servidor FTPS. Consulte la documentación de ACM sobre cómo solicitar certificados nuevos o cómo importar certificados existentes a ACM.

P: ¿Se admiten los modos activo y pasivo de FTPS y FTP?

R: Solo admitimos el modo pasivo, que permite a los clientes de usuarios finales iniciar conexiones con el servidor. El modo pasivo requiere menos aperturas de puertos del lado del cliente, lo que aumenta la compatibilidad de su punto de enlace de servidor con usuarios finales ubicados detrás de firewalls protegidos.

P: ¿Se admiten los modos de FTPS explícito e implícito?

R: Solo admitimos el modo de FTPS explícito.

P: ¿Puedo transferir archivos sobre protocolos FTPS/FTP si tengo un firewall o un enrutador configurado entre el cliente y el servidor?

R: Sí. Las transferencias de archivos que atraviesan un firewall o un enrutador son compatibles de forma predeterminada mediante el modo de conexión pasiva extendida (EPSV). Si utiliza un cliente FTPS/FTP que no es compatible con el modo EPSV, consulte esta publicación del blog para configurar su servidor en modo PASV a fin de expandir la compatibilidad de su servidor a un rango más amplio de clientes.

Acceso mediante varios protocolos

P: ¿Puedo habilitar varios protocolos en el mismo punto de enlace?

Sí. Durante el proceso de configuración, puede seleccionar los protocolos que desea habilitar para que los clientes se conecten a su punto de enlace. El nombre de host del servidor y el proveedor de identidad se comparten entre los protocolos seleccionados. De manera similar, también puede agregar compatibilidad con FTP/FTPS en un punto de enlace de servidor de AWS Transfer for SFTP existente, siempre y cuando el punto de enlace esté alojado dentro de su VPC y esté usando un proveedor de identidad personalizado.

P: ¿Cuándo debería crear puntos de enlace de servidor independientes para cada protocolo en vez de habilitar el mismo punto de enlace para varios protocolos?

R: Cuando necesite usar FTP (solo admitido para el acceso dentro de la VPC) y cuando necesite compatibilidad a través de Internet para SFTP o FTPS, necesitará un punto de enlace de servidor independiente para FTP. Puede usar el mismo punto de enlace para varios protocolos cuando quiera usar el mismo nombre de host de punto de enlace y dirección IP para clientes que se conecten a través de protocolos distintos. Además, si quiere compartir las mismas credenciales para SFTP y FTPS, puede configurar y usar un único proveedor de identidad para autenticar clientes que se conecten a través de uno de estos protocolos.

P: ¿Puedo configurar el mismo usuario final para obtener acceso al punto de enlace a través de varios protocolos?

R: Sí, puede proveer el mismo acceso de usuario en varios protocolos, siempre y cuando las credenciales específicas del protocolo se hayan configurado en su proveedor de identidad. Si habilitó FTP, recomendamos mantener credenciales independientes para este protocolo. Consulte la documentación acerca de cómo configurar credenciales independientes para FTP.

P: ¿Por qué debo mantener credenciales independientes para los usuarios de FTP?

R: A diferencia de los protocolos SFTP y FTPS, FTP transmite credenciales con texto no cifrado. Recomendamos aislar las credenciales de FTP de los protocolos SFTP o FTPS porque si, accidentalmente, las credenciales de FTP se comparten o quedan expuestas, las cargas de trabajo que utilicen SFTP o FTPS permanecerán protegidas.

P: ¿Mis usuarios pueden acceder al punto de enlace SFTP de AWS Transfer Family mediante un navegador?

R: Sí, puede implementar esta solución de código abierto que permite proporcionar una interfaz basada en el navegador mediante sus puntos de enlace SFTP de AWS Transfer Family.

Opciones de proveedores de identidad

P: ¿Qué opciones de proveedores de identidad admite el servicio?

R: El servicio admite tres opciones de proveedores de identidad: administrada por servicio, en la que se almacenan las identidades de los usuarios dentro del servicio, Microsoft Active Directory y proveedores de identidad personalizada, que le permiten integrar un proveedor de identidad de su elección. La autenticación administrada por servicio se admite para puntos de enlace de servidor que estén habilitados para SFTP únicamente.

P: ¿Cómo puedo autenticar los usuarios mediante el uso de la autenticación Administrada por servicio?

R: Puede usar la autenticación Administrada por servicio para autenticar usuarios de SFTP que usen claves SSH.

P: ¿Cuántas claves SSH puedo cargar por usuario de SFTP?

R: Puede cargar hasta 10 claves SSH por usuario.

P: ¿Se admite la rotación de claves SSH para la autenticación administrada por el servicio?

R: Sí. Consulte la documentación a fin de obtener detalles sobre cómo configurar la rotación de claves para usuarios de SFTP.

P: ¿Puedo utilizar la opción administrada por el servicio para la autenticación de la contraseña?

R: No, en este momento no se admite el almacenamiento de contraseñas dentro del servicio para la autenticación. Si necesita la autenticación de contraseñas, utilice Active Directory y seleccione un directorio en AWS Directory Service, o utilice la arquitectura descrita en este blog: Enabling Password Authentication using Secrets Manager.

P: ¿Cómo comienzo a utilizar Microsoft AD?

R: Cuando cree su servidor, seleccione un directorio en AWS Managed Microsoft AD, su entorno en las instalaciones o AD autoadministrado en Amazon EC2 como su proveedor de identidad. A continuación, deberá especificar los grupos de AD que desea habilitar para el acceso mediante un identificador de seguridad (SID). Una vez que asocie su grupo de AD con la información de control de acceso, como el rol de IAM, la política de restricción de acceso (solo S3), el perfil POSIX (solo EFS), la ubicación del directorio principal y las asignaciones de directorios lógicos, los miembros del grupo pueden utilizar sus credenciales de AD para autenticar y transferir archivos a través de los protocolos habilitados (SFTP, FTPS, FTP). 

P: ¿Cómo puedo configurar mis usuarios de AD para que tengan acceso aislado a diferentes partes de mi bucket de S3?

R: Cuando configure sus usuarios, proporcione una política de restricción de acceso que se evalúe en tiempo de ejecución en función la información de sus usuarios, como su nombre de usuario. Puede utilizar la misma política de restricción de acceso para todos sus usuarios para proporcionar acceso a prefijos únicos en el bucket en función de su nombre de usuario. Además, un nombre de usuario también se puede utilizar para evaluar las asignaciones de directorios lógicos, proporcionando una plantilla estandarizada sobre cómo el bucket S3 o el contenido del sistema de archivos EFS se hacen visibles para su usuario. Consulte la documentación para Conceder acceso a los grupos de AD.

P: ¿Puedo utilizar Microsoft AD como opción de proveedor de identidad para todos los protocolos compatibles?

R: Sí, puede utilizar Microsoft AD para autenticar a los usuarios para el acceso a través de SFTP, FTPS y FTP.

P: ¿Puedo retirar el acceso a los grupos de AD habilitados?

R: Sí, puede retirar el acceso a la transferencia de archivos para grupos individuales de AD. Una vez retirado, los miembros de los grupos AD no podrán transferir archivos utilizando sus credenciales AD.

P: ¿Puedo proporcionar acceso a usuarios individuales de AD o a todos los usuarios de un directorio?

R: No, solo se admite la configuración del acceso por grupos de AD.

P: ¿Puedo utilizar AD para autenticar a los usuarios mediante claves SSH?

R: No, la compatibilidad de AWS Transfer Family con Microsoft AD solo puede utilizarse para la autenticación basada en contraseñas. Para utilizar una combinación de modos de autenticación, utilice la opción Autorizador personalizado.

P: ¿Por qué debería utilizar el modo de autenticación personalizado?

R: El modo personalizado (autenticación “BYO”) permite aprovechar un proveedor de identidad existente a fin de administrar sus usuarios finales para todos los tipos de protocolo (SFTP, FTPS y FTP), lo que permite una migración fácil y sin problemas de sus usuarios. Las credenciales se pueden almacenar en un directorio corporativo o en un almacén de datos de identidades interno, que se puede integrar para fines relacionados con la autenticación de usuarios finales. Algunos ejemplos de proveedores de identidades son Okta, Microsoft AzureAD o cualquier proveedor de identidades personalizado que pueda utilizar como parte de un portal de aprovisionamiento general.

P: ¿Qué opciones tengo para integrar el proveedor de identidad con un servidor de AWS Transfer Family?

R: Para integrar el proveedor de identidad con un servidor de AWS Transfer Family, puede utilizar una función de AWS Lambda o un punto de enlace de Amazon API Gateway. Utilice Amazon API Gateway si necesita una API RESTful para conectarse a un proveedor de identidad o si quiere aprovechar AWS WAF para sus capacidades de bloqueo geográfico y limitación de velocidad. Visite la documentación para obtener más información sobre la integración de proveedores de identidad comunes, como AWS Cognito, Okta y AWS Secrets Manager.

P: ¿Cómo empiezo a integrar mi proveedor de identidad existente para la autenticación Personalizada?

R: Para comenzar, puede usar la plantilla de AWS CloudFormation en la guía de uso y proporcionar la información necesaria para la autenticación y el acceso de los usuarios. Visite el sitio web sobre proveedores de identidad personalizados para obtener más información.

P: Cuando configuro usuarios mediante un proveedor de identidad personalizado, ¿qué información se utiliza para habilitar el acceso de los usuarios?

R: El usuario deberá proporcionar un nombre de usuario y contraseña (o clave SSH) que se utilizarán para autenticarse. El acceso a los datos está determinado por el rol de AWS IAM proporcionado por la función AWS Lambda o API Gateway utilizada para conectarse a su proveedor de identidad. También deberá proporcionar información del directorio de inicio, y se recomienda que bloquee a los usuarios en la carpeta de inicio designada para una capa adicional de seguridad y uso. Consulte esta publicación de blog acerca de cómo simplificar la experiencia de los usuarios finales al momento de utilizar un proveedor de identidad personalizado con AWS SFTP.

P: ¿Puedo aplicar controles de acceso basados en la IP fuente del cliente?

R: Sí. La IP fuente del cliente se transmite a su proveedor de identidad cuando utiliza AWS Lambda o API Gateway para conectar un proveedor de identidad personalizado. Esto le permite permitir, denegar o limitar el acceso en función de las direcciones IP de los clientes para garantizar que se acceda a los datos solo desde direcciones IP que haya especificado como de confianza.

P: ¿Se admiten los usuarios anónimos?

R: No, actualmente no se admiten los usuarios anónimos para ninguno de los protocolos.

Flujos de trabajo administrados para el procesamiento de cargas de publicaciones

P: ¿Qué son los flujos de trabajo administrados para el procesamiento de cargas de publicaciones?

R: AWS Transfer Family admite flujos de trabajo administrados que facilitan la creación, la ejecución y el monitoreo posterior al procesamiento de la carga de transferencias de archivos mediante SFTP, FTPS y FTP. Con esta característica, puede ahorrar tiempo con poca automatización de código para coordinar todas las tareas necesarias, como el copiado y el etiquetado. También puede personalizarla para escanear PII, virus/malware u otros errores como formato o tipo de archivo incorrecto, habilitarla a fin de detectar anomalías rápidamente y cumplir con sus requisitos de conformidad.

P: ¿Por qué necesito flujos de trabajo administrados?

R: Al intercambiar datos con sus socios empresariales a través de uno de los protocolos (SFTP, FTPS, FTP) de AWS Transfer Family disponibles que necesita un procesamiento previo, debe establecer diferentes configuraciones, incluido configurar una infraestructura para ejecutar un código personalizado ante la recepción de un archivo, escribir sus propias etiquetas y copiar funciones; monitorear continuamente el tiempo de ejecución en busca de errores y anomalías; y asegurarse de que se auditen y registren todos los cambios y transformaciones de los datos. Además, debe comprender los escenarios de errores, tantos técnicos como empresariales, a la vez de que se asegura de que los modos a prueba de errores se desencadenen apropiadamente. Si tiene requisitos de trazabilidad, debe rastrear la línea de los datos a medida que pasan a través de los diferentes componentes de su flujo de trabajo. Mantener y administrar estos tipos de flujos de trabajo impide enfocarse más tiempo en diferenciar el trabajo que podría estar haciendo para su negocio. Con los flujos de trabajo administrados de AWS Transfer Family, estas tareas tediosas se abordan desde un principio.

P: ¿Cuáles son los beneficios de utilizar flujos de trabajo?

Al utilizar los flujos de trabajo de AWS Transfer Family puede orquestar pasos de procesamiento de archivos comunes, como el copiado y el etiquetado, sin los gastos generales de administrar su propio código e infraestructura. Además, los flujos de trabajo administrados de AWS Transfer Family permiten utilizar su propia lógica de procesamiento de archivos con AWS Lambda para casos de uso, como escaneo de malware y verificaciones de compatibilidad de tipos de datos a fin de procesar previa y fácilmente datos antes de introducirlos a canalizaciones de análisis de datos. Obtiene visibilidad completa en las ejecuciones de su flujo de trabajo mediante la Management Console de AWS Transfer Family y los registros de Amazon CloudWatch para un monitoreo y sistemas de alerta robustos. 

P: ¿Cómo puedo comenzar a utilizar flujos de trabajo?

R: Primero, configure su flujo de trabajo para que contenga acciones como copiar, etiquetar y una serie de acciones que pueden incluir sus propios pasos personalizados en una secuencia de pasos basada en sus propios requisitos. Luego, asigne el flujo de trabajo a un servidor, de modo que, cuando llegue el archivo, las acciones especificadas en el flujo de trabajo se evalúen y desencadenen en tiempo real. Para obtener más información, visite la documentación o vea esta demostración sobre cómo comenzar con los flujos de trabajo administrados.

P: ¿Puedo utilizar la misma configuración de flujo de trabajo en diferentes servidores?

R: Sí. Se puede asignar el mismo flujo de trabajo a diferentes servidores para que sea más sencillo mantener y estandarizar las configuraciones.

P: ¿Qué acciones puedo realizar en mis archivos mediante los flujos de trabajo?

R: Las siguientes acciones comunes se encuentran disponibles una vez que el servidor de transferencia haya recibido un archivo por parte del cliente:

  • Mover o copiar los datos desde su lugar de origen hasta el lugar donde se deben consumir.
  • Etiquetar el archivo de acuerdo con sus contenidos para que los servicios posteriores puedan indexarlo y buscarlo (solo S3)
  • Cualquier archivo personalizado que procese la lógica al proporcionar su propia función de Lambda como un paso personalizado para su flujo de trabajo. Por ejemplo, verificar la compatibilidad del tipo de archivo, escanear los archivos en busca de malware y extraer metadatos antes de capturar archivos en sus análisis de datos.

P: ¿Cómo visualizo el estado de mis flujos de trabajo?

R: Al utilizar la consola de administración de AWS, puede buscar y visualizar el estado en tiempo real de las ejecuciones del flujo de trabajo en proceso. Los registros de CloudWatch para su servidor también proporcionarán detalles sobre las ejecuciones completadas.

P: ¿Qué tipos de notificaciones puedo recibir?

R: Puede utilizar el paso de procesamiento personalizado para desencadenar notificaciones en EventBridge y ser notificado cuando un archivo haya completado el procesamiento. Además, puede utilizar los registros de CloudWatch de las ejecuciones de Lambda para recibir notificaciones.

P: Utilizo AWS Step Functions para orquestrar mis pasos de procesamiento de archivos. ¿Cómo se diferencian mis flujos de trabajo administrados de AWS Transfer Family de mi configuración actual de AWS Step Functions?

R: AWS Step Functions es un servicio de orquestación sin servidor que permite combinar AWS Lambda con otros servicios para definir la ejecución de la aplicación empresarial en pasos simples. Para realizar pasos de procesamiento de datos mediante AWS Step Functions, puede utilizar las funciones de AWS Lambda con los desencadenadores de eventos de Amazon S3 a fin de ensamblar sus propios flujos de trabajo. Los flujos de trabajo administrados proporcionan un marco a fin de orquestrar fácilmente una secuencia linear de procesamiento y se diferencian de las soluciones existentes en las siguientes maneras: 1) solo las cargas de archivos completas desencadenan flujos de trabajo que se ejecutarán, 2) los flujos de trabajo se pueden desencadenar automáticamente para S3 y EFS (que no ofrece eventos posteriores a la carga) y 3) los clientes pueden obtener visibilidad integral en sus propias transferencias de archivos y procesamiento en los registros de CloudWatch.

P: ¿Puedo enviar una notificación si falla una verificación de validación de archivos?

R: Sí. Si una verificación de validación de archivos falla en los pasos de validación configurados previamente, puede utilizar el gestor de excepciones para invocar su sistema de monitoreo o miembros del equipo a través de un tema de Amazon SNS.

P: ¿Puedo desencadenar acciones de flujo de trabajo en descargas del usuario?

R: No. El procesamiento solo se puede invocar con la recepción del archivo mediante el punto de enlace entrante.

P: ¿Puedo desencadenar el mismo flujo de trabajo en lotes de archivos en una sesión?

R: No.

P: ¿Se pueden desencadenar flujos de trabajo en cargas parciales?

R: No. Solo las cargas completadas y totales desencadenarán procesamientos por los flujos de trabajo.

Acceso a Amazon S3

P: ¿Por qué debo proporcionar un rol de IAM de AWS y cómo se usa?

R: AWS IAM se utiliza para determinar el nivel de acceso que desea proporcionar a sus usuarios. Incluye las operaciones que desea habilitar en su cliente y los buckets de Amazon S3 a los que tienen acceso, ya sea el bucket completo o parte de él.

P: ¿Por qué debo proporcionar información del directorio principal y cómo se usa?

R: El directorio principal que configuró para su usuario determina su directorio de inicio de sesión. Esta sería la ruta de directorio en la que el cliente del usuario los colocaría tan pronto como se autentiquen correctamente en el servidor. Deberá asegurarse de que el rol de IAM provisto conceda acceso al directorio principal al usuario.

P: Tengo cientos de usuarios que tienen configuraciones de acceso similares, pero a diferentes partes de mi bucket. ¿Puedo configurarlos con el mismo rol y la misma política de IAM para habilitar su acceso?

R: Sí. Puede asignar un único rol de IAM para todos los usuarios y usar asignaciones de directorio lógicas que especifiquen qué rutas del bucket de Amazon S3 absolutas quiere dejar visibles para los usuarios finales y cómo se las presentan sus clientes. Consulte esta publicación de blog "Simplify Your AWS SFTP/FTPS/FTP Structure with Chroot and Logical Directories".

P: ¿Cómo se transfieren los archivos almacenados en mi bucket de Amazon S3 con AWS Transfer?

R: Los archivos transferidos a través de los protocolos admitidos se almacenan como objetos en su bucket de Amazon S3 y existe una correspondencia unívoca entre los archivos y los objetos que permite el acceso nativo a estos objetos mediante los servicios de AWS para el procesamiento o el análisis.

P: ¿Cómo se presentan a mis usuarios los objetos de Amazon S3 almacenados en mi bucket?

R: Una vez aprobada la autenticación, en función de las credenciales de los usuarios, el servicio presenta los objetos y las carpetas de Amazon S3 como archivos y directorios a las aplicaciones de transferencia de los usuarios.

P: ¿Qué operaciones de archivos se admiten? ¿Qué operaciones no se admiten?

R: Se admiten los comandos comunes para crear, leer, actualizar y eliminar archivos y directorios. Los archivos se almacenan como objetos individuales en su bucket de Amazon S3. Los directorios se administran como objetos de carpeta en S3, con la misma sintaxis que la consola de S3.

Actualmente, no se admiten las operaciones de cambio de nombre de directorios, las operaciones de anexo, el cambio de propiedad, los permisos y las marcas temporales ni el uso de enlaces simbólicos y físicos.

P: ¿Es posible controlar qué operaciones pueden realizar mis usuarios?

R: Sí, puede habilitar/deshabilitar las operaciones de archivos con la función de AWS IAM que asignó a su nombre de usuario. Consulte la documentación sobre "cómo crear roles y políticas de IAM para controlar el acceso de los usuarios finales"

P: ¿Puedo proporcionar a los usuarios finales acceso a más de un bucket de Amazon S3?

R: Sí. El rol de AWS IAM, así como la política opcional de alcance que usted asigne para un usuario, determina el número de buckets a los que su usuario puede acceder. Únicamente puede utilizar un solo bucket como directorio principal para el usuario.

P: ¿Puedo usar los puntos de acceso S3 con AWS Transfer Family para simplificar el acceso de los usuarios al conjunto de datos compartido?

R: Sí. Puede utilizar los alias de los puntos de acceso de S3 con AWS Transfer Family para proporcionar acceso pormenorizado a un gran conjunto de datos sin tener que administrar una sola política de bucket. Los alias de S3 Access Point combinados con los directorios lógicos de AWS Transfer Family le permiten crear un control de acceso detallado para diferentes aplicaciones, equipos y departamentos, al tiempo que reduce la sobrecarga de administrar las políticas de bucket. Para obtener más información y comenzar, visite la publicación del blog sobre cómo mejorar el control de acceso a los datos con AWS Transfer Family y los puntos de acceso de Amazon S3.

P: ¿Puedo crear un servidor mediante una cuenta A de AWS y asignar los usuarios a los buckets de Amazon S3 pertenecientes a una cuenta B de AWS?

R: Sí. Puede utilizar la CLI y la API para configurar el acceso entre cuentas entre su servidor y los buckets que desee usar para almacenar archivos transferidos mediante los protocolos compatibles. La lista desplegable de la consola solo mostrará los buckets de la cuenta A. Además, deberá asegurarse de que el rol asignado al usuario pertenezca a la cuenta A.

P: ¿Puedo automatizar el procesamiento de un archivo una vez que se haya cargado en Amazon S3?

R: Sí, puede utilizar los flujos administrados de AWS Transfer Family para crear, automatizar y monitorear el procesamiento de archivos luego de que sus archivos se carguen en Amazon S3. Mediante los flujos de trabajo administrados, puede procesar previamente sus archivos antes de capturarlos en sus análisis de datos y procesamiento de datos, sin los gastos generales de administrar sus propios códigos e infraestructura personalizados. Consulte la documentación para obtener más información sobre los flujos de trabajo administrados de AWS Transfer Family.

P: ¿Puedo personalizar reglas de procesamiento en función del usuario que carga el archivo?

R: Sí. Cuando el usuario carga un archivo, el nombre de usuario y la identificación del servidor utilizados para la carga se almacenan como parte de los metadatos del objeto de S3 asociado. Puede utilizar esta información para el procesamiento posterior a la carga. Consulte la documentación sobre la información que se utiliza para el procesamiento posterior a la carga.

Acceso a Amazon EFS

P: ¿Cómo configuro mi sistema de archivos de EFS para que funcione con AWS Transfer Family?

R: Antes de configurar AWS Transfer Family para que funcione con un sistema de archivos de Amazon EFS, deberá configurar la propiedad de los archivos y carpetas con las mismas identidades POSIX (ID de usuario o ID de grupo) que planea asignar a sus usuarios de AWS Transfer Family. Además, si accede a los sistemas de archivos en una cuenta diferente, las políticas de recursos también deben configurarse en su sistema de archivos para permitir el acceso entre cuentas. Consulte esta publicación de blog para obtener instrucciones paso a paso sobre el uso de AWS Transfer Family con EFS.

P: Cómo otorgo acceso a mis clientes para que carguen o descarguen archivos a o desde mis sistemas de archivos?

R: Amazon EFS utiliza ID POSIX, que consisten en un ID de usuario, ID de grupo o ID de grupo secundario del sistema operativo para controlar el acceso a un sistema de archivos. Cuando configure su usuario en la consola, CLI o API de AWS Transfer Family, necesitará especificar el nombre de usuario, la configuración POSIX del usuario y un rol de IAM para acceder al sistema de archivos de EFS. También necesitará especificar un ID del sistema de archivos de EFS y, de manera opcional, un directorio dentro de este sistema de archivos como el directorio de destino del usuario. Cuando el usuario de AWS Transfer Family se autentifica correctamente con su cliente de transferencia de archivos, se ubicarán directamente en el directorio de inicio especificado o en la raíz del sistema de archivos de EFS especificado. Su ID POSIX del sistema operativo se aplicará a todas las solicitudes hechas a través de sus clientes de transferencia de archivos. Como administrador de EFS, deberá asegurarse de que el archivo y los directorios a los que desea que accedan los usuarios de AWS Transfer Family pertenecen a sus ID POSIX correspondientes en su sistema de archivos de EFS. Consulte la documentación para obtener más información sobre cómo configurar la propiedad de los subdirectorios en EFS.

P: ¿Cómo se transfieren archivos mediante los protocolos alojados en los sistemas de archivos de Amazon EFS?

R: Los archivos que se transfieren mediante los protocolos habilitados se alojan directamente en el sistema de archivos de Amazon EFS y serán accesibles a través de una interfaz de sistema de archivos estándar o desde los servicios de AWS que pueden acceder a sistemas de archivos de Amazon AWS.

P: ¿Qué operaciones son admitidas con los protocolos cuando se usa Amazon S3 y Amazon EFS?

R: Se admiten los comandos SFTP, FTPS o FTP para crear, leer, actualizar y eliminar archivos, directorios y enlaces simbólicos. Consulte la tabla siguiente sobre los comandos admitidos por EFS y S3.

Comando Amazon S3 Amazon EFS
     cd Admitido Admitido
     ls/dir Admitido Admitido
     pwd Admitido Admitido
     put Admitido Admitido
     get Admitido Admitidos, esto incluye enlaces simbólicos y enlaces duros
     rename Admitido1 Admitido
     chown No admitido Admitido2
     chmod No admitido Admitido2
     chgrp No admitido Admitido3
     ln -s/symlink No admitido Admitido
     mkdir Admitido Admitido
     rm/delete Admitido Admitido
     rmdir Admitido 4 Admitido
     chmtime No admitido Admitido

1. Sólo se admiten los cambios de nombre de archivos. Los cambios de nombre de directorio o los cambios de nombre de archivos para sobreescribir archivos existentes no son admitidos.

2. Sólo el usuario root (es decir, usuarios con uid=0) puede cambiar la propiedad y permisos de los archivos y directorios.

3. Admitido para el usuario root (por ej., uid=0) o para el propietario del archivo que solo puede cambiar el grupo del archivo para que sea uno de sus grupos secundarios.

4. Admitido solamente para carpetas no vacías.

P: ¿Cómo puedo controlar a qué archivos y carpetas tienen acceso mis usuarios y cuáles operaciones pueden o no pueden ejecutar?

R: La política de IAM que proporcione a su usuario de AWS Transfer Family determina si tienen acceso de solo lectura, lectura y escritura y acceso de root a su sistema de archivos. Además, como administrador del sistema de archivos, puede configurar la propiedad y otorgar acceso a archivos y directorios dentro del sistema de archivos mediante su ID de usuario o ID de grupo. Esto se aplica a los usuarios, ya sea que estén almacenados dentro del servicio (gestionado por el servicio) o dentro de su sistema de gestión de identidad (autenticación propia).

P: ¿Puedo restringir el acceso de cada uno de mis usuarios a diferentes directorios dentro de mi sistema de archivos y que solo accedan a archivos dentro de esos directorios?

R: Sí, cuando configura su usuario, puede especificar diferentes sistemas de archivos y directorios para cada uno de sus usuarios. Con la autenticación correcta, EFS aplicará un directorio para cada solicitud del sistema de archivos hecha mediante los protocolos habilitados.

P: ¿Puedo ocultar el nombre del sistema de archivos para que no esté expuesto a mi usuario?

R: Sí, al utilizar las asignaciones de los directorios lógicos de AWS Transfer Family, puede restringir la vista de los usuarios finales de directorios en su sistemas de archivos al asignar rutas absolutas a los nombres de ruta visibles para el usuario final. Esto incluye poder ejecutar “chroot” en su usuario y restringirlo a su directorio de inicio designado.

P: ¿Se admiten los enlaces simbólicos?

R: Sí, si hay enlaces simbólicos en directorios accesibles a su usuario y este intenta acceder a ellos, los enlaces se resolverán en su destino. Los enlaces simbólicos no se admiten cuando se usan asignaciones de directorios lógicos para configurar el acceso de sus usuarios.

P: ¿Puedo otorgar un acceso de usuario SFTP, FTPS o FTP individual a más de un sistema de archivos?

R: Sí, cuando configura un usuario de AWS Transfer Family, puede especificar uno o más sistemas de archivos en la política de IAM que proporciona como parte de su configuración de usuario para otorgar acceso a múltiples sistemas de archivos.

P: ¿Qué sistemas operativos puedo utilizar para acceder a mis sistemas de archivos de EFS a través de AWS Transfer Family?

R: Puede utilizar clientes y aplicaciones creadas para Microsoft Windows, Linux, macOS o cualquier sistema operativo que admita SFTP, FTPS o FTP para cargar y acceder a archivos almacenados en sus sistemas de archivos de EFS. Simplemente configure el servidor y el usuario con los permisos adecuados para el sistema de archivos de EFS a fin de acceder al sistema de archivos en todos los sistemas operativos.

P: ¿Cómo automatizo y monitoreo los pasos de procesamiento de archivos luego de que mi archivo se cargue en EFS?

R: Puede crear flujos de trabajo administrados de AWS Transfer Family para desencadenar automáticamente el procesamiento de archivos luego de que el archivo se cargue en EFS. Puede configurar flujos de trabajo que contengan el etiquetado, la copia y cualquier paso de procesamiento personalizado que desee realizar en el archivo en de acuerdo con sus necesidades empresariales. Visite la documentación para obtener más información sobre los flujos de trabajo administrados de AWS Transfer Family.

P: ¿Cómo puedo saber qué usuario cargó un archivo?

R: Para archivos nuevos, el ID de usuario POSIX asociado con el usuario que carga el archivo se establecerá como el propietario de este en su sistema de archivos de EFS. Además, puede utilizar Amazon CloudWatch para rastrear la actividad de sus usuarios para operaciones de creación, actualización, eliminación y lectura de archivos. Consulte la documentación para obtener más información sobre cómo habilitar el registro de Amazon CloudWatch.

P: ¿Puedo ver el volumen de datos que se cargó y descargó mediante los protocolos habilitados?

R: Sí, las métricas de los datos cargados y descargados con su servidor se publican en Amazon CloudWatch dentro del espacio de nombres de AWS Transfer Family. Consulte la documentación si desea ver las métricas disponibles para el seguimiento y monitoreo.

P: ¿Puedo usar AWS Transfer Family para acceder a un sistema de archivos en otra cuenta?

R: Sí. Puede usar la CLI y API para configurar el acceso de cuenta cruzada entre sus recursos de AWS Transfer Family y los sistemas de archivos de EFS. La consola de AWS Transfer Family solo mostrará los sistemas de archivos en la misma cuenta. Además, necesitará asegurarse de que el rol de IAM asignado al usuario para acceder al sistema de archivos pertenezca a la Cuenta A.

P: ¿Qué sucede si mi sistema de archivos de EFS no tiene habilitadas las políticas adecuadas para el acceso de cuenta cruzada?

R: Si configura un servidor de AWS Transfer Family para acceder a un sistema de archivos de EFS de cuenta cruzada que no está habilitado para el acceso de cuenta cruzada, a los usuarios de SFTP, FTP o FTPS no se les permitirá acceder dicho sistema de archivos. Si tiene habilitado el registro de CloudWatch en su servidor, los errores de acceso de cuenta cruzada se registrarán en sus CloudWatch Logs..

P: ¿Puedo usar AWS Transfer Family para acceder a un sistema de archivos de EFS en una región de AWS diferente?

R: No, puede usar AWS Transfer Family para acceder solamente a sistemas de archivos de EFS en la misma región de AWS.

P: ¿Puedo usar AWS Transfer Family con todos los tipos de almacenamiento de EFS?

R: Sí. Puede usar AWS Transfer para copiar archivos en EFS y configurar la administración del ciclo de vida de EFS para migrar al tipo de almacenamiento de acceso no frecuente aquellos archivos que no han tenido acceso durante un periodo determinado.

P: ¿Mis aplicaciones pueden usar SFTP, FTPS o FTP para leer y escribir datos de forma simultánea desde y hacia el mismo archivo?

R: Sí, Amazon EFS proporciona una interfaz de sistema de archivos, semántica de acceso a dicho sistema (como una consistencia sólida y bloqueo de archivos) y almacenamiento accesible de forma concurrente para miles de clientes de NFS, SFTP, FTPS o FTP.

P: ¿Se consumirán mis créditos de ráfagas de EFS cuando acceda a mis archivos con AWS Transfer Family?

R: Sí. Al acceder a los sistemas de archivos de EFS con los servidores AWS Transfer Family consumirá sus créditos de ráfagas de EFS independientemente del modo de desempeño. Consulte la documentación sobre los modos de rendimiento y desempeño disponibles y vea algunos consejos de rendimiento útiles.

Seguridad y conformidad

P: ¿Qué protocolos debo usar para proteger datos mientras se encuentren en tránsito en una red pública?

R: Se debe utilizar SFTP o FTPS para lograr transferencias seguras a través de redes públicas. Debido a la seguridad subyacente de los protocolos basados en SSH y a los algoritmos criptográficos TLS, los datos y los comandos se transfieren mediante un canal cifrado seguro.

P: ¿Qué opciones tengo para cifrar datos en reposo?

R: Puede optar por cifrar los archivos almacenados en su bucket con el cifrado del lado del servidor de Amazon S3 (SSE-S3) o Amazon KMS (SSE-KMS). Para archivos almacenados en EFS, puede elegir una clave maestra del cliente gestionada por AWS o por el cliente para cifrado de archivos en reposo. Consulte la documentación a fin de obtener más información sobre las opciones para el cifrado en reposo de datos y metadatos de archivos con Amazon EFS.

P: ¿Qué programas de conformidad son compatibles con AWS Transfer Family?

R: AWS Transfer Family cumple los requisitos de PCI-DSS, GDPR e HIPAA, además de los de SOC 1, 2 y 3. Obtenga más información sobre los servicios en el ámbito de los programas de conformidad.

P: ¿AWS Transfer Family cumple los requisitos de FISMA?

R: Las regiones AWS Este u Oeste y GovCloud (EE. UU.) cumplen los requisitos de FISMA. Cuando AWS Transfer Family sea autorizada por FedRAMP, será compatible con FISMA dentro de las respectivas regiones. Dicha conformidad queda manifestada en la autorización de FedRAMP de estas dos regiones en los niveles moderado y alto de FedRAMP. El cumplimiento de la normativa se demuestra mediante evaluaciones anuales y la documentación del cumplimiento de los controles SP 800-53 de NIST dentro de los planes de seguridad de sistemas. Existen plantillas disponibles en Artifact junto con nuestra matriz de responsabilidades del cliente (CRM), que describe detalladamente nuestra responsabilidad en relación con el cumplimiento de estos controles de NIST de acuerdo con los requisitos de FedRAMP. Artifact se encuentra disponible mediante la consola de administración, a la que puede acceder una cuenta de AWS tanto para las regiones Este u Oeste y GovCloud. Si tiene más preguntas sobre este tema, consulte la consola.

P: ¿Cómo garantiza el servicio la integridad de los archivos cargados?

R: Para verificar los archivos cargados a través de los servicios, se comparan las sumas de comprobación MD5 anterior y posterior a la carga del archivo.

P: ¿De qué forma puedo monitorear la actividad de los usuarios finales?

R: Puede monitorear la actividad de los usuarios finales mediante los registros de Amazon CloudWatch y CloudTrail. También puede acceder a gráficos y métricas de CloudWatch como número de archivos y bytes transferidos en la consola de administración de AWS Transfer Family, que le brinda un único panel donde monitorear transferencias de archivos mediante un panel centralizado. Utilice los registros de AWS CloudTrail para acceder a un registro de todas las operaciones de API invocadas por el servidor para atender las solicitudes de datos de sus usuarios finales. Consulte la documentación para obtener más información.

Facturación

P: ¿Cómo se factura el servicio?

R: Se le factura por hora por cada uno de los protocolos habilitados, desde el momento que crea y configura el punto de enlace del servidor hasta el momento en que lo elimina. Además, se le facturará en función del volumen de datos cargados y descargados a través de su SFTP, FTPS o FTP. Consulte la página de precios para obtener más detalles

P: ¿Habrá alguna diferencia en la facturación si uso el mismo punto de enlace de servidor para varios protocolos o si uso puntos de enlace distintos para cada protocolo?

R: No, se factura por hora por cada uno de los protocolos que haya habilitado y por el volumen de datos transferido mediante cada uno de ellos, independientemente de si el mismo punto de enlace se habilitó para varios protocolos o si está usando puntos de enlace distintos para cada uno de los protocolos.

P: Detuve mi servidor. ¿Se facturará mientras esté parado?

R: Sí. Parar el servidor con la consola o ejecutar el comando de la CLI “stop-server” o el comando de la API “StopServer” no afecta la facturación. Se factura por hora desde el momento que crea un punto de enlace de servidor y configura el acceso a él a través de uno o más protocolos hasta el momento en que lo elimina.

P: ¿Cómo se me factura por utilizar los flujos de trabajo administrados?

R: No se aplican cargos adicionales por utilizar flujos de trabajo administrados. En función de la configuración de su flujo de trabajo, se factura por el uso de Amazon S3, Amazon EFS y AWS Lambda.

Más información sobre los precios de SFTP
Más información sobre los precios

AWS Transfer Family proporciona un servicio completamente administrado, lo que reduce los costos operacionales vinculados con la ejecución de los servicios de transferencia de archivos.

Más información 
Inscríbase para obtener una cuenta gratuita de AWS
Regístrese para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Registrarse 
Comience a crear con SFTP
Empiece a crear en la consola

Comience a crear sus servicios de SFTP, FTPS y FTP en la consola de administración de AWS.

Inicie sesión