Perguntas frequentes sobre o AWS Transfer Family

P: O que é o AWS Transfer Family?

O AWS Transfer Family oferece suporte gerenciado à transferência de arquivos usando SFTP, AS2, FTPS e FTP diretamente de/para o Amazon S3 ou o Amazon EFS. Você pode migrar, automatizar e monitorar fluxos de trabalho de transferência de arquivos de forma transparente, mantendo as configurações atuais do lado do cliente para autenticação, acesso e firewalls. Ou seja, nada muda para seus clientes, parceiros e equipes internas ou suas aplicações.

P: O que é o SFTP?

R: SFTP significa Secure Shell (SSH) File Transfer Protocol, um protocolo de rede usado para a transferência segura de dados pela Internet. O protocolo aceita funcionalidades completas de segurança e autenticação de SSH, e é amplamente usado para trocar dados entre parceiros comerciais em diversos setores, como serviços financeiros, saúde, mídia e entretenimento, varejo, publicidade e muito mais.

P: O que é o FTP?

R: FTP significa File Transfer Protocol, um protocolo de rede usado para transferir dados. O FTP usa um canal separado para controle e transferência de dados. O canal de controle fica aberto até ser encerrado ou esgotar o tempo limite de inatividade. O canal de dados fica ativo durante a transferência. O FTP usa texto simples e não oferece suporte à criptografia de tráfego.

P: O que é o FTPS?

R: FTPS significa File Transfer Protocol over SSL e é uma extensão do FTP. Ele usa os protocolos de criptografia Transport Layer Security (TLS) e Secure Sockets Layer (SSL) para criptografar tráfego. O FTPS permite a criptografia das conexões dos canais de controle e de dados de forma simultânea ou independente.

P: O que é o AS2?

AS2 significa Applicability Statement 2, um protocolo de rede usado para a transferência segura e confiável de dados business-to-business pela Internet pública por HTTP/HTTPS (ou qualquer rede TCP/IP).

P: Por que devo usar o AWS Transfer Family?

R: O AWS Transfer Family oferece suporte a vários protocolos para transferência de arquivos business-to-business (B2B), de forma que os dados possam ser trocados de forma fácil e segura entre as partes interessadas, terceiros, fornecedores, parceiros de negócio e clientes. Sem o Transfer Family, você tem que hospedar e gerenciar seu próprio serviço de transferência de arquivos, o que exige que você invista na operação e no gerenciamento da infraestrutura, correção dos servidores, monitoramento do tempo de atividade e disponibilidade, e criação de mecanismos exclusivos para provisionar usuários e auditar as atividades deles. O AWS Transfer Family soluciona esses desafios por meio de um serviço totalmente gerenciado de SFTP, FTPS e FTP que pode reduzir a sobrecarga operacional e, ao mesmo tempo, preservar os fluxos de trabalho de transferência atuais para os usuários finais. Os fluxos de trabalho de processamento de arquivos gerenciados pelo AWS Transfer Family permitem que você crie, automatize e monitore sua transferência de arquivos e processamento de dados sem ter que manter seu próprio código ou infraestrutura. O serviço armazena dados transferidos como objetos no bucket do Amazon S3 ou como arquivos no seu sistema de arquivos do Amazon EFS para que você possa extrair valor dos objetos no data lake ou para fluxos de trabalho de gerenciamento de relacionamento com o cliente (CRM) ou planejamento de recursos empresariais ou para arquivamento na AWS.

P: Quais são os benefícios do uso do AWS Transfer Family?

R: O AWS Transfer Family oferece a você um serviço gerenciado e altamente disponível de transferência de arquivos com recursos de Auto Scaling, eliminando a necessidade de gerenciar a infraestrutura relacionada à transferência de arquivos. Os fluxos de trabalho dos usuários finais permanecem inalterados, e os dados transferidos por upload e download usando os protocolos escolhidos são armazenados em um bucket do Amazon S3 ou Amazon EFS. Com os dados na AWS, é possível usá-los com diversos serviços da AWS de processamento e análise de dados, gerenciamento de conteúdo, machine learning e arquivamento, em um ambiente que cumpre requisitos de conformidade.

P: Como começo a usar o AWS Transfer para SFTP, FTPS e FTP?

R: Bastam três etapas simples para você obter um endpoint de servidor sempre disponível e habilitado para SFTP, FTPS e/ou FTP. Primeiramente, você seleciona os protocolos a serem usados pelos usuários finais para conexão ao endpoint. Em seguida, você configura o acesso do usuário usando o gerenciador de autenticação integrado do AWS Transfer Family (serviço gerenciado), o Microsoft Active Directory (AD) ou integrando seu próprio provedor de identidade ou de terceiros, como Okta ou Microsoft AzureAD (autenticação “BYO”). Por fim, selecione o servidor para acessar os buckets do S3 ou os sistemas de arquivos EFS. Depois que as políticas de acesso dos protocolos, do provedor de identidade e o acesso aos sistemas de arquivos estiverem habilitadas, os usuários podem continuar a usar seus respectivos clientes SFTP, FTPS ou FTP e configurações existentes, enquanto os dados acessados são armazenados nos sistemas do arquivo escolhido. 

P: Como começo a usar o AWS Transfer para AS2?

R: Você pode começar a usar o AS2 para trocar mensagens com seus parceiros comerciais em três etapas simples: primeiro, importe seus certificados e chaves privadas e o certificado e a cadeia de certificados de seus parceiros comerciais. Em seguida, crie perfis usando seus IDs AS2 e de seu parceiro. Por fim, emparelhe suas próprias informações de perfil e as de seu parceiro usando um contrato para recebimento de dados e um conector para envio de dados. Neste ponto, você está pronto para trocar mensagens com o servidor AS2 do seu parceiro comercial.

P: Qual é a diferença entre SFTP e FTPS? Qual eu devo usar e quando?

R: FTPS e SFTP podem ser usados para transferências seguras. Como são protocolos diferentes, eles usam clientes e tecnologias diferentes para oferecer um túnel seguro de transmissão de comandos e dados. O SFTP é um protocolo mais recente e usa um único canal para comandos e dados, exigindo menos aberturas de portas que o FTPS.

P: Qual é a diferença entre os protocolos SFTP, FTPS e AS2? Quando devo usar o protocolo AS2?

R: SFTP, FTPS e AS2 podem ser usados para transferências seguras. Como são protocolos diferentes, eles usam clientes e tecnologias diferentes para oferecer transmissão de dados segura. Além do suporte para mensagens criptografadas e assinadas, o mecanismo integrado do AS2 para Notificação de Disposição de Mensagem (MDN) alerta o remetente de que a mensagem foi recebida e descriptografada com sucesso pelo destinatário. Isso oferece uma prova ao remetente de que sua mensagem foi entregue sem ser adulterada em trânsito. O uso do AS2 é predominante em fluxos de trabalho que operam no varejo, comércio eletrônico, pagamentos, cadeia de suprimentos para interagir com parceiros de negócios que também podem usar o AS2 para transacionar mensagens para que sejam transmitidas e entregues com segurança. O AS2 oferece opções para garantir a identidade do remetente e do destinatário, integridade da mensagem e confirmar se a mensagem foi entregue e descriptografada com sucesso pelo destinatário.

P: Os usuários podem continuar utilizando os clientes e aplicações atuais de transferência de arquivos?

R: Sim. Qualquer aplicativo de transferência de arquivos atual continuará a funcionar desde que você habilite o endpoint para os protocolos escolhidos. Entre os exemplos de clientes SFTP/FTPS/FTP normalmente usados estão WinSCP, FileZilla, CyberDuck, lftp e OpenSSH. 

P: Posso usar o CloudFormation para automatizar a implantação de usuários e servidores?

R: Sim. Você pode implantar modelos do CloudFormation para automatizar a criação de usuários e servidores ou para a integração de um provedor de identidade. Consulte o guia de uso para a utilização dos recursos do AWS Transfer em modelos do CloudFormation.

P: Os usuários podem utilizar SCP ou HTTPS para transferir arquivos com esse serviço?

R: Não. Os usuários terão de usar SFTP, AS2, FTPS ou FTP para transferir os arquivos. A maioria dos clientes de transferência de arquivos oferece pelo menos um desses protocolos como opção a ser selecionada durante a autenticação. Entre em contato conosco pelo AWS Support ou por meio de sua conta da AWS com a equipe de quaisquer protocolos específicos para os quais você deseja suporte.

P: Posso usar meu nome de domínio corporativo (sftp.nomedaminhaempresa.com) para acessar meu endpoint?

R: Sim. Se você já tem um nome de domínio, pode usar o Amazon Route 53 ou qualquer serviço de DNS para rotear o tráfego de usuários do domínio registrado para o endpoint do servidor na AWS. Consulte a documentação sobre como o AWS Transfer Family usa o Amazon Route 53 para nomes de domínio personalizados (somente para endpoints da Internet).

P: Ainda poderei usar o serviço se eu não tiver um nome de domínio?

R: Sim. Se você não tiver um nome de domínio, os usuários poderão acessar o endpoint usando o nome do host fornecido pelo serviço. Como alternativa, você pode registrar um novo domínio usando o console ou a API do Amazon Route 53 e rotear o tráfego desse domínio para o nome de host do endpoint fornecido pelo serviço.

P: Posso usar meu domínio que já tem uma zona pública?

R: Sim. Você precisará criar um CNAME de domínio para o nome de host do endpoint fornecido pelo serviço.

P: Posso configurar o servidor para que somente possa ser acessado por recursos dentro de uma VPC?

R: Sim. Quando você cria um servidor ou atualiza um já existente, tem a opção de especificar se quer que o endpoint do servidor possa ser acessado pela Internet pública ou hospedado na VPC. Ao usar um VPC endpoint hospedado para o servidor, você pode restringir seu acesso a apenas os clientes dentro da mesma VPC, em outras VPCs que você especificar ou em ambientes locais usando tecnologias de rede que estendam a VPC, como o AWS Direct Connect, o AWS VPN ou o emparelhamento de VPC. Você pode restringir ainda mais o acesso aos recursos em sub-redes específicas que estão na VPC usando as listas de controle de acesso de rede (NACLs) da sub-rede ou os grupos de segurança. Para obter detalhes, consulte a documentação sobre como criar o endpoint do servidor dentro da sua VPC usando o AWS PrivateLink.

P: Posso usar o FTP com um endpoint voltado à Internet?

R: Não. Quando você habilita o FTP, só é possível usar a opção de acesso interno do endpoint hospedado em uma VPC. Se o tráfego precisa passar pela rede pública, você deve usar protocolos seguros como SFTP ou FTPS.

P: E se eu precisar usar o FTP para transferências pela Internet pública?

R: O serviço não permite o uso de FTP em redes públicas, pois, quando você cria um servidor habilitado para FTP, o endpoint do servidor só pode ser acessado por recursos de dentro da VPC. Se você precisa usar FTP para trocar dados pela Internet pública, pode expor o endpoint da VPC do servidor por meio de um Network Load Balancer (NLB) voltado para a Internet. Para fornecer suporte aos clientes FTP que podem não trabalhar com essa configuração, utilize seu servidor em modo PASV.

P: Posso usar FTP sem uma VPC?

R: Não. A VPC é necessária para hospedar endpoints de servidor FTP. Consulte a documentação dos modelos do CloudFormation para automatizar a criação de recursos de VPC que hospedam o endpoint durante a criação do servidor.

P: Meus usuários finais podem incluir endereços IP fixos na lista de permissões para acessar o endpoint do meu servidor em seus respectivos firewalls?

R: Sim. Você ativar IPs fixos para o endpoint do servidor selecionando o VPC endpoint hospedado do servidor e escolhendo a opção voltada para a Internet. Isso permitirá que você associe IPs elásticos (incluindo IPs BYO) diretamente ao endpoint, que está atribuído como o endereço IP do endpoint. Consulte a seção da documentação sobre como criar um endpoint voltado para a Internet: Creating your server endpoint inside your VPC.

P: Posso restringir o tráfego de entrada por endereço IP de origem dos usuários finais?

R: Sim. Você tem três opções para restringir o tráfego de entrada por endereço IP de origem dos usuários. Se você estiver hospedando seu endpoint de servidor dentro da VPC, consulte esta postagem no blog sobre a utilização de grupos de segurança para permitir listar endereço IP de origem ou usar o serviço AWS Network Firewall. Se você for um servidor EndpointType Transfer público e um API Gateway para integrar seu sistema de gerenciamento de identidade, também poderá usar o AWS WAF para permitir, bloquear ou classificar o acesso de limite ao endereço de IP de origem dos seus usuários finais.

P: Posso hospedar o endpoint do meu servidor em um ambiente VPC compartilhado?

R: Sim. Você pode implantar o endpoint do seu servidor com ambientes VPC compartilhados normalmente usados ao segmentar seu ambiente AWS usando ferramentas como o AWS Landing Zone para segurança, monitoramento de gastos e escalabilidade. Consulte esta postagem no blog sobre o uso de endpoints hospedados na VPC em ambientes VPC compartilhados com o AWS Transfer Family.

P: Como faço para acessar arquivos armazenados em um site SFTP ou FTPS externo?

R: Consulte este blog sobre a utilização do AWS Fargate para se conectar a um site SFTP/FTPS externo e acessar seus dados usando o AWS Transfer Family. Se você estiver procurando uma solução totalmente gerenciada para se conectar a sites externos, entre em contato conosco pelo AWS Support ou por meio da equipe da sua conta da AWS.

P: Como faço para melhorar a performance das transferências de arquivos para usuários finais localizados remotamente?

R: Você pode usar o AWS Global Accelerator com o endpoint do seu servidor de transferência para melhorar a taxa de transferência de arquivos e o tempo de ida e volta. Consulte esta postagem no blog para obter mais informações.

P: Posso selecionar quais algoritmos criptográficos podem ser usados quando os clientes dos meus usuários finais se conectam ao endpoint do meu servidor?

R: Sim. Com base nos seus requisitos de segurança e conformidade, você pode selecionar uma das três políticas de segurança para controlar os algoritmos criptográficos que serão anunciados pelos endpoints do seu servidor: Transfer-Security-Policy-2018-11 (padrão), Transfer-Security -Policy-2020-06 (restritivo - sem algoritmos SHA-1) e Transfer-FIPS-2020-06 (algoritmos em conformidade com FIPS). Quando os clientes de transferência de arquivos dos seus usuários finais tentarem se conectar ao seu servidor, somente os algoritmos especificados na política serão usados para negociar a conexão. Consulte a documentação sobre políticas de segurança predefinidas.

P: Meus usuários finais podem usar endereços IP fixos para acessar meu servidor cujo tipo de endpoint é PUBLIC?

R: Não. No momento, os endereços IP fixos que geralmente são usados para listas de permissões de firewall não são aceitos no tipo de endpoint PUBLIC. Use endpoints hospedados na VPC para atribuir endereços IP estáticos para seu endpoint.

P: Que intervalos de IP os usuários finais precisam aprovar para acessar o tipo de endpoint do servidor SFTP que é PUBLIC?

R: Se você estiver usando o tipo de endpoint PUBLIC, os usuários precisarão permitir os intervalos de endereços IP da AWS publicados aqui. Consulte a documentação para obter detalhes sobre como permanecer atualizado com relação aos intervalos de endereço IP da AWS.

P: A chave de host do servidor do AWS Transfer for SFTP mudará após a criação do servidor?

R: Não. A chave de host do servidor atribuída no momento de criação do servidor continua sendo a mesma, a menos que você adicione uma nova chave de host e exclua manualmente a original.

P: Quais tipos de chaves de host do servidor de SFTP são compatíveis?

R: Os tipos de chave RSA, ED25519 e ECDSA são aceitos para chaves de host de servidor de SFTP.

P: Posso importar chaves do servidor de SFTP atual para que meus usuários não tenham que verificar novamente a autenticidade do meu servidor?

R: Sim. Você pode importar uma chave de host ao criar um servidor ou importar várias chaves de host ao atualizar um servidor. Consulte a documentação sobre gerenciamento de chaves de host para o seu servidor habilitado com SFTP.

P: Quantas chaves de host posso associar a um servidor de SFTP?

R: Você pode associar até 10 chaves de host por servidor de SFTP. No entanto, apenas uma chave de host por tipo de chave pode ser usado pelos clientes de seus usuários finais para verificar a autenticidade de seu servidor de SFTP em uma única sessão.

P: Como posso identificar minhas várias chaves de host?

R: Várias chaves de host podem ser identificadas usando descrições e tags, que podem ser adicionadas ou editadas ao criar ou atualizar uma chave de host. Cada chave de host também tem um ID de chave de host exclusivo, bem como um nome do recurso da Amazon (ARN), que pode ser usado para identificar e rastrear a chave de host.

P: Várias chaves de host podem ser usadas para verificar a autenticidade do meu servidor de SFTP?

R: Sim. A chave de host mais antiga de cada tipo de chave pode ser usada para verificar a autenticidade em um servidor de SFTP. Ao adicionar chaves de host RSA, ED25519 e ECDSA, três chaves de host separadas podem ser usadas para identificar seu servidor de SFTP.

P: Quais chaves de host podem ser usadas para verificar a autenticidade do meu servidor de SFTP?

R: A chave de host mais antiga de cada tipo de chave é usada para verificar a autenticidade de seu servidor de SFTP.

P: Posso fazer a rotação das minhas chaves de host do servidor de SFTP para garantir conexões seguras?

R: Sim. Você pode fazer a rotação suas chaves de host do servidor de SFTP a qualquer momento ao adicionar e remover chaves de host. Consulte a documentação sobre gerenciamento de chaves de host para o seu servidor habilitado com SFTP.

P: Como os clientes FTPS dos usuários finais verificam a identidade do servidor de FTPS?

R: Quando você habilita o acesso do FTPS, precisa fornecer um certificado do Amazon Certificate Manager (ACM). Esse certificado é usado pelos clientes dos usuários finais para verificar a identidade do servidor de FTPS. Consulte a documentação do ACM sobre como Solicitar novos certificados ou Importar certificados atuais para o ACM.

P: Há suporte para os modos ativo e passivo do FTPS e do FTP?

R: Somente oferecemos suporte ao modo passivo. Isso permite que os usuários finais iniciem conexões com o servidor. O modo passivo exige menos portas abertas do lado do cliente, o que torna o endpoint de servidor mais compatível com usuários finais atrás de firewalls protegidos.

P: Há suporte para os modos explícito e implícito do FTPS?

R: Somente oferecemos suporte ao modo explícito do FTPS.

P: Posso transferir arquivos pelos protocolos FTPS/FTP se tiver um firewall ou roteador configurado entre o cliente e o servidor?

R: Sim. Transferências de arquivos através de um firewall ou roteador têm suporte por padrão usando o modo de conexão passiva estendida (EPSV). Se você estiver usando um cliente FTPS/FTP que não seja compatível com o modo EPSV, consulte esta postagem no blog para configurar seu servidor no modo PASV para expandir a compatibilidade do seu servidor para uma gama maior de clientes.

P: Posso personalizar os banners de login para usuários que se conectam ao meu servidor do Transfer Family?

R: Sim. Você pode configurar o servidor do Transfer Family para exibir banners personalizados, como políticas da organização ou termos e condições para seus usuários. Você também pode exibir a Mensagem do Dia (MOTD) personalizada para usuários que se autenticaram com sucesso. Para saber mais, consulte a documentação.

P: Posso habilitar vários protocolos no mesmo endpoint?

Sim. Durante a configuração, você pode selecionar os protocolos que deseja habilitar para a conexão dos clientes ao endpoint. O nome do host, o endereço IP e o provedor de identidade do servidor são compartilhados nos protocolos selecionados. Da mesma forma, você também pode habilitar suporte de protocolo adicional para endpoints existentes do AWS Transfer Family, desde que a configuração do endpoint atenda aos requisitos de todos os protocolos que você pretende usar.

P: Quando devo criar endpoints de servidor separados para cada protocolo ou habilitar o mesmo endpoint para vários protocolos?

R: Quando você precisa usar FTP (somente para acesso dentro da VPC) e também SFTP, AS2 ou FTPS pela Internet, precisa usar um endpoint de servidor separado para FTP. Você pode usar o mesmo endpoint para vários protocolos quando quer usar o mesmo nome de host e endereço IP de endpoint para clientes que se conectam usando vários protocolos. Além disso, se você quer compartilhar as mesmas credenciais para SFTP e FTPS, pode configurar e usar um único provedor de identidade para autenticar clientes que se conectam usando um desses protocolos.

P: Posso configurar o mesmo usuário final para acessar o endpoint por meio de vários protocolos?

R: Sim. Você pode fornecer o mesmo acesso de usuário por meio de vários protocolos, desde que as credenciais específicas do protocolo tenham sido configuradas no provedor de identidade. Se você habilitou o FTP, recomendamos manter credenciais separadas para esse protocolo. Consulte a documentação sobre como configurar credenciais separadas para o FTP.

P: Por que devo manter credenciais separadas para usuários de FTP?

Ao contrário do SFTP e do FTPS, o FTP transmite credenciais em texto não criptografado. Recomendamos isolar as credenciais do FTP das do SFTP ou FTPS para que, em caso de compartilhamento ou divulgação involuntária das credenciais do FTP, as workloads que usam SFTP ou FTPS permaneçam seguras.

P: Meus clientes podem acessar endpoints SFTP da AWS Transfer Family usando um navegador?

R: Sim, você pode implantar essa solução de código aberto que permite que você forneça uma interface baseada em navegador usando seus endpoints SFTP da AWS Transfer Family.

P: Para quais opções de provedor de identidade o serviço oferece suporte?

R: O serviço oferece suporte a três opções de provedor de identidade: gerenciada pelo serviço, em que você armazena identidades de usuários dentro do serviço, Microsoft Active Directory e provedores de identidade personalizados, que permitem a integração de um provedor de identidade de sua escolha. A autenticação gerenciada pelo serviço só é permitida para endpoints de servidor habilitados para SFTP.

P: Como posso autenticar usuários usando a autenticação gerenciada pelo serviço?

R: Você pode utilizar a autenticação gerenciada pelo serviço para autenticar usuários de SFTP usando chaves SSH.

P: Quantas chaves SSH posso carregar por usuário de SFTP? Quais tipos de chave são compatíveis?

R: Você pode carregar até 10 chaves SSH por usuário. As chaves RSA, ED25519 e ECDSA são compatíveis.

P: A mudança de chaves SSH é permitida para a autenticação gerenciada pelo serviço?

R: Sim. Consulte a documentação para obter detalhes sobre como configurar a mudança de chaves para usuários do SFTP.

P: Posso usar a opção gerenciada pelo serviço para autenticação de senha?

R: Não. No momento, não há suporte ao armazenamento de senhas no serviço para fins de autenticação. Se você precisar de autenticação de senha, use o Diretório Ativo selecionando um diretório no AWS Directory Service ou siga a arquitetura descrita neste blog em Enabling Password Authentication using Secrets Manager.

P: Como começo a usar o Microsoft AD?

R: Ao criar seu servidor, você seleciona um diretório no AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD), em seu ambiente on-premises ou no AD autogerenciado no Amazon EC2 como seu provedor de identidade. Em seguida, você precisará especificar os grupos do AD que deseja habilitar para acesso usando um identificador de segurança (SID). Depois de associar seu grupo do AD às informações de controle de acesso, como função do IAM, política de restrição de acesso (somente S3), Perfil POSIX (somente EFS), localização do diretório inicial e mapeamentos lógicos de diretório, os membros do grupo podem usar suas credenciais do AD para autenticar e transferir arquivos pelos protocolos habilitados (SFTP, FTPS, FTP). 

P: Como posso configurar meus usuários do AD para que tenham acesso isolado a diferentes partes do meu bucket do S3?

R: Ao configurar seus usuários, você fornece uma política de restrição de acesso que é avaliada no tempo de execução com base nas informações dos usuários, como o nome de usuário. Você pode usar a mesma política de restrição de acesso para todos os seus usuários para fornecer acesso a prefixos exclusivos em seu bucket com base nos nomes de usuário dos usuários. Além disso, um nome de usuário também pode ser usado para avaliar mapeamentos lógicos de diretório, fornecendo um modelo padronizado sobre como o conteúdo do seu bucket do S3 ou sistema de arquivos EFS torna-se visível para o usuário. Para obter mais informações, acesse a documentação sobre como conceder acesso a grupos do AD.

P: Posso usar o Microsoft AD como uma opção de provedor de identidade para todos os protocolos compatíveis?

R: Sim, você pode usar o Microsoft AD para autenticar usuários para acesso por SFTP, FTPS e FTP.

P: Posso revogar o acesso para grupos do AD habilitados?

R: Sim, você pode revogar o acesso à transferência de arquivos para grupos individuais do AD. Uma vez revogado, os membros dos grupos do AD não poderão transferir arquivos usando suas respectivas credenciais do AD.

P: Posso fornecer acesso a usuários individuais do AD ou a todos os usuários em um diretório?

R: Não, só oferecemos suporte para configuração de acesso por grupos do AD.

P: Posso usar o AD para autenticar usuários usando chaves SSH?

R: Não, o suporte do AWS Transfer Family para o Microsoft AD só pode ser usado para autenticação baseada em senha. Para usar uma combinação de modos de autenticação, use a opção Autorizador personalizado.

P: Por que devo usar o modo de autenticação personalizado?

R: O modo personalizado (autenticação “BYO”) permite que você use um provedor de identidade existente para gerenciar usuários finais para todos os tipos de protocolo (SFTP, FTPS e FTP), permitindo a migração fácil e contínua de seus usuários. As credenciais podem ser armazenadas no seu diretório corporativo ou em um datastore de identidades interno. Além disso, você pode integrá-las para fins de autenticação de usuários finais. Exemplos de provedores de identidade incluem o Okta, Microsoft AzureAD ou qualquer provedor de identidade personalizado que você possa usar como parte de um portal de provisionamento geral.

P: Que opções tenho para integrar meu provedor de identidade a um servidor do AWS Transfer Family?

R: Para integrar seu provedor de identidade a um servidor do AWS Transfer Family, você pode usar uma função do AWS Lambda ou um endpoint do Amazon API Gateway. Use o Amazon API Gateway se precisar de uma API RESTful para se conectar a um provedor de identidade ou se quiser aproveitar o AWS WAF devido à capacidade de bloqueio geográfico e limitação de taxa. Acesse a documentação para saber mais sobre a integração de provedores de identidade comuns, como o AWS Cognito, Okta e AWS Secrets Manager.

P: Como faço para começar a integrar um provedor de identidade existente para autenticação personalizada?

R: Para começar, você pode usar o modelo do AWS CloudFormation do guia de uso e fornecer as informações necessárias para o acesso e a autenticação de usuários. Acesse o site em provedores de identidade personalizados para saber mais.

P: Ao configurar usuários usando um provedor de identidade personalizado, quais informações são usadas para habilitar acesso aos usuários?

R: O usuário precisará informar um nome de usuário e uma senha (ou chave SSH) que serão usados para autenticação. O acesso aos seus dados será determinado pela função do AWS IAM disponibilizada pela função do AWS Lambda ou pelo API Gateway usado para a conexão ao provedor de identidade. Também será necessário fornecer informações sobre o diretório inicial. Recomendamos restringir o acesso dos usuários somente à pasta inicial designada, o que proporciona uma camada adicional de segurança e usabilidade. Consulte esta publicação de blog sobre como simplificar a experiência dos usuários finais quando for usado um provedor de identidade personalizado com o AWS SFTP.

P: Posso aplicar controles de acesso com base no IP de origem do cliente?

R: Sim. O IP de origem do cliente é passado ao seu provedor de identidade quando o AWS Lambda ou o API Gateway é usado para a conexão com um provedor de identidade personalizado. Isso possibilita que você permita, negue ou limite o acesso com base nos endereços IP dos clientes para garantir que seus dados sejam acessados somente dos endereços IP que você especificou como confiáveis.

P: São permitidos usuários anônimos?

R: Não. No momento, não permitimos usuários anônimos em nenhum dos protocolos.

P: Como identifico exclusivamente meu parceiro comercial AS2?

R: Seu parceiro comercial tem uma identificação exclusiva que usa o AS2 Identifier (AS2 ID) dele. De modo semelhante, seus parceiros comerciais identificam suas mensagens usando seu AS2 ID.

P: Quais recursos existentes do AWS Transfer Family estão disponíveis para AS2? Quais recursos não estão disponíveis?

R: Você pode usar o suporte existente do AWS Transfer Family para Amazon S3, recursos de rede (endpoints da VPC, grupos de segurança e IPs elásticos) e controles de acesso (AWS IAM) para AS2, como faria para SFTP, FTPS e FTP. Autenticação de usuário, diretórios lógicos, banners personalizados e Amazon EFS como back-end de armazenamento não são compatíveis com AS2.

P: O que é não repúdio e por que é importante?

R: O não repúdio, exclusivo do AS2, valida que a mensagem foi trocada com sucesso entre duas partes. O não repúdio no AS2 é obtido usando Notificações de Disposição de Mensagem (MDN). Quando um MDN é solicitado em uma transação, ele garante que o remetente enviou a mensagem, o destinatário a recebeu com sucesso e a mensagem enviada pelo remetente foi a mesma mensagem recebida pelo destinatário.

P: Quais são as etapas envolvidas na transmissão de mensagens usando o protocolo AS2?

R: Existem dois aspectos na transmissão de mensagens - um do remetente e um do receptor. Depois que o remetente determina qual mensagem enviar, a mensagem é assinada (usando a chave privada do remetente) e criptografada (usando o certificado do destinatário), e sua integridade é calculada usando um hash. Essa mensagem assinada e criptografada é transmitida por fio para o receptor. Quando a mensagem é recebida, ela é descriptografada (usando a chave privada do destinatário), validada (usando a chave pública do remetente) e processada, e uma Notificação de Disposição de Mensagem (MDN) assinada, se solicitada, é enviada de volta ao remetente para confirmar a entrega bem-sucedida da mensagem. Consulte a documentação sobre como o AS2 lida com a transmissão de mensagens.

P: Quais são as opções disponíveis para transmissão de mensagens?

R: A combinação de opções possíveis é orientada do ponto de vista de um remetente. O remetente pode optar por apenas criptografar ou apenas assinar os dados (ou ambos) e optar por solicitar uma Notificação de Disposição de Mensagem (MDN). Se o remetente optar por solicitar uma MDN, poderá solicitar um MDN assinado ou não assinado. Espera-se que o receptor honre essas opções.

P: A solicitação de notificações de disposição de mensagens (MDN) é opcional?

R: Sim, o remetente pode optar por solicitar um MDN, optar por solicitar uma MDN assinado ou não assinado, bem como selecionar os algoritmos de assinatura que devem ser usados ​​para assinar a MDN.

P: Vocês oferecem suporte a MDNs síncronas (Sync) e assíncronas (Async)? Quando devo usar qual opção?

R: Atualmente, só há suporte a MDN síncrona. Como as MDNs síncronas são enviadas pelo mesmo canal de conexão que a mensagem, é muito mais simples e, portanto, a opção recomendada. Se você precisar de mais tempo para processar a mensagem antes de enviar uma MDN, as MDNs assíncronas são os preferidas. Entre em contato conosco por meio do AWS Support ou de seu gerente de conta se precisar de suporte para MDNs assíncronas

P: Como faço para rastrear e pesquisar cargas úteis e MDNs enviadas e recebidas?

R: O AWS Transfer Family extrai as principais informações AS2 da carga útil e das MDNs trocadas e as armazena como arquivos JSON em seu bucket do Amazon S3. Você pode consultar esses arquivos JSON usando o S3 Select ou o Amazon Athena ou indexar os arquivos usando o Amazon OpenSearch ou o Amazon DocumentDB para análise.

P: Posso arquivar as MDNs recebidas (como o remetente que os solicitou)?

R: Sim, quando você recebe um MDN de seu parceiro comercial, o serviço valida o MDN usando seu certificado e armazena a mensagem em seu bucket do Amazon S3. Você pode optar por arquivar a mensagem aproveitando as políticas do S3 Lifecycle.

P: Como notifico o AWS Transfer Family quando uma mensagem está pronta para entrega no endpoint do meu parceiro comercial?

R: Quando seus dados estiverem prontos para entrega, você precisará invocar uma API fornecida pelo serviço, associar um conector para nos notificar de que está pronto para ser entregue e nos fornecer as informações do destinatário. Isso notificará o serviço para enviar a mensagem ao endpoint do seu parceiro comercial. Consulte a documentação sobre conectores para enviar mensagens ao seu parceiro comercial sobre o AS2.

P: Posso isolar cada um dos meus parceiros comerciais para usar diferentes locais de entrada e saída para mensagens?

R Sim, ao configurar o perfil do seu parceiro comercial, você pode usar pastas diferentes para cada um deles.

P: Posso usar as chaves e certificados existentes do meu parceiro comercial com meu endpoint AS2 da AWS Transfer Family?

R: Sim, você pode importar as chaves e certificados existentes do seu parceiro e gerenciar renovações e rotações. Consulte a documentação sobre importação de certificados.

P: Como sei quando os certificados do meu parceiro comercial estão expirando?

R: Usando o console do AWS Transfer Family, você pode visualizar um painel de certificados classificados por datas de expiração. Além disso, você pode optar por receber notificações antes da expiração do certificado, o que dá a você tempo suficiente para alterná-las para evitar a descontinuidade nas operações.

P: O AWS Transfer Family é compatível com a certificação AS2 Drummond?

R: Não. A compatibilidade do AWS Transfer Family com o AS2 atualmente é pré-certificada pela Drummond e se tornará certificada pela Drummond em 2023. Leia este anúncio para saber mais.

P: Vocês oferecem suporte a AS3 e AS4?

R: Não.

P: O que são fluxos de trabalho gerenciados para processamento pós-carregamento?

R: Os fluxos de trabalho gerenciados do AWS Transfer Family facilitam a criação, a execução e o monitoramento do processamento pós-carregamento para transferências de arquivos por SFTP, FTPS e FTP. Ao usar esse recurso, você pode economizar tempo com baixa automação de código para coordenar todas as tarefas necessárias, como copiar, marcar e descriptografar arquivos. Você também pode personalizar para escanear por PII, vírus/malware ou outros erros, como formato ou tipo de arquivo incorreto, o que permite que você detecte anomalias rapidamente e atenda seus requisitos de conformidade.

P: Por que eu preciso de fluxos de trabalho gerenciados?

R: Se você precisar processar arquivos que troca com seus parceiros de negócios usando o AWS Transfer Family, será necessário configurar uma infraestrutura para executar código personalizado, monitorar continuamente erros e anomalias em tempo de execução e garantir que todas as alterações e transformações nos dados sejam auditadas e registradas. Além disso, você é responsável por cenários de erros, tanto técnicos quanto de negócio, garantindo ao mesmo tempo que modos à prova de falhas sejam acionados adequadamente. Se houver a necessidade de rastreabilidade, você precisará seguir a linhagem dos dados à medida que eles passam por diferentes componentes do seu sistema. A manutenção de componentes separados de um fluxo de trabalho de processamento de arquivos tira o tempo do foco na diferenciação do trabalho que você poderia estar fazendo para sua empresa. Os fluxos de trabalho gerenciados eliminam as complexidades do gerenciamento de várias tarefas e fornecem uma solução padronizada de processamento de arquivos que pode ser replicada em toda a organização, com gerenciamento de exceções integrado e rastreabilidade de arquivos para cada etapa com o objetivo de ajudar você a atender aos requisitos legais e de negócios.

P: Quais são os benefícios do uso de fluxos de trabalho gerenciados?

R: Fluxos de trabalho gerenciados permitem pré-processar facilmente os dados antes que eles sejam consumidos pelas aplicações downstream, orquestrando tarefas de processamento de arquivos, como mover arquivos para pastas específicas do usuário, criptografar arquivos em trânsito, verificação de malware e marcação. Você pode implantar fluxos de trabalho usando Infraestrutura como código (IaC), permitindo replicar e padronizar rapidamente tarefas comuns de processamento de arquivos pós-upload abrangendo várias unidades de negócios na sua organização. Você pode ter controle granular definindo fluxos de trabalho gerenciados que são acionados apenas em arquivos totalmente carregados, para garantir que a qualidade dos dados seja mantida e definindo fluxos de trabalho gerenciados que são acionados para arquivos parcialmente carregados, para configurar o processamento de uploads incompletos. O tratamento de exceções integrado permite que você reaja rapidamente aos resultados do processamento de arquivos em caso de erros ou exceções na execução do fluxo de trabalho, ajudando a manter seus SLAs comerciais e técnicos, ao mesmo tempo em que oferece controle sobre como lidar com falhas. Por fim, cada etapa do fluxo de trabalho produz registros detalhados, que podem ser auditados para rastrear a linhagem dos dados.

P: Como faço para começar a usar os fluxos de trabalho?

R: Primeiro, configure seu fluxo de trabalho para que contenha ações como cópia, marcação e uma série de ações que podem incluir sua própria etapa personalizada em uma sequência de passos baseados nos seus requisitos. Em seguida, mapeie o fluxo de trabalho para um servidor para que, ao chegar um arquivo, ações especificadas nesse fluxo de trabalho sejam avaliadas e acionadas em tempo real. Para saber mais, visite a documentação, assista a esta demonstração sobre como começar a usar fluxos de trabalho gerenciados ou implante uma plataforma de transferência de arquivos nativa da nuvem usando essa postagem do blog.

P: Posso usar a mesma configuração de fluxo de trabalho em vários servidores?

R: Sim. O mesmo fluxo de trabalho pode ser designado para vários servidores, pois assim é mais fácil para que você mantenha e padronize as configurações.

P: Que ações posso realizar em meus arquivos usando os fluxos de trabalho?

R: As seguintes ações comuns estão disponíveis quando um servidor de transferência tiver recebido um arquivo do cliente:

• Descriptografar aquivo usando chaves PGP
• Mover e copiar os dados de onde chegar para onde precisar ser consumido.
• Exclua a publicação do arquivo original arquivando ou copiando para um novo local.
• Marcar o arquivo com base no seu conteúdo, para que ele possa ser indexado e buscado por serviços posteriores (somente S3)
• Qualquer arquivo personalizado que processe lógica fornecendo sua própria função do Lambda como uma etapa personalizada do seu fluxo de trabalho. Por exemplo, verificar a compatibilidade do tipo de arquivo, verificar arquivos em busca de malware, detectar informações de identificação pessoal (PII) e extração de metadados antes de ingerir arquivos para sua análise de dados.

P: Posso usar fluxos de trabalho para descriptografar arquivos automaticamente usando o PGP?

R: Sim. Você pode usar uma etapa de fluxo de trabalho totalmente gerenciada e pré-criada para a descriptografia PGP de arquivos. Para obter mais informações, consulte a documentação de fluxos de trabalho gerenciados.

P: Posso selecionar qual arquivo processar em cada etapa do fluxo de trabalho?

R. Sim. Você pode configurar uma etapa de fluxo de trabalho para processar o arquivo carregado originalmente ou o arquivo de saída da etapa anterior do fluxo de trabalho. Isso permite que você automatize facilmente a movimentação e a renomeação dos seus arquivos depois que eles são carregados no Amazon S3. Por exemplo, para mover um arquivo para um local diferente para arquivamento ou retenção de arquivos, configure duas etapas no fluxo de trabalho. A primeira etapa é copiar um arquivo para um local diferente do Amazon S3 e a segunda etapa é excluir o arquivo carregado originalmente. Leia a documentação para obter mais detalhes sobre como selecionar um local de arquivo para as etapas do fluxo de trabalho.

P: Posso preservar o arquivo carregado originalmente para retenção de registros?

R. Sim. Usando fluxos de trabalho, você pode criar várias cópias do arquivo original, preservando o arquivo original para retenção de registros.

P: Posso usar fluxos de trabalho para rotear arquivos dinamicamente para pastas do Amazon S3 específicas do usuário?

R: Sim. Você pode utilizar o nome de usuário como uma variável em etapas de cópia de fluxos de trabalho, permitindo rotear arquivos dinamicamente para pastas específicas do usuário no Amazon S3. Isso elimina a necessidade de codificar a localização da pasta de destino ao copiar arquivos e automatiza a criação de pastas específicas do usuário no Amazon S3, permitindo que você dimensione seus fluxos de trabalho de automação de arquivos. Leia a documentação para saber mais.

P: Como monitoro meus fluxos de trabalho?

R: Execuções de fluxo de trabalho podem ser monitoradas usando métricas do AWS CloudWatch, como o número total de execuções de fluxos de trabalho, execuções bem-sucedidas e execuções com falha. Usando o Console de Gerenciamento da AWS, você também pode pesquisar e visualizar o status em tempo real de execuções de fluxo de trabalho em andamento. Use logs do CloudWatch para obter registros detalhados das execuções de fluxos de trabalho.

P: Que tipos de notificações posso receber?

R: Você pode usar a etapa de processamento personalizado para acionar notificações para o EventBridge ou o SNS (Simple Notification Service) e receber notificações quando o processamento de arquivos estiver concluído. Além disso, você também pode usar os CloudWatch Logs de execuções do Lambda para obter notificações.

P: Estou usando o AWS Step Functions para orquestrar minhas etapas de processamento de arquivos. Como os fluxos de trabalho gerenciados do AWS Transfer Family diferem da minha configuração atual do AWS Step Functions?

R: As AWS Step Functions são um serviço de orquestração sem servidor que permite combinar o AWS Lambda com outros serviços para definir a execução de uma aplicação de negócio em etapas simples. Para executar etapas de processamento de arquivos usando as AWS Step Functions, você usa as funções do AWS Lambda com os acionadores de eventos do Amazon S3 para montar seus próprios fluxos de trabalho. Fluxos de trabalho gerenciados fornecem um framework para orquestrar com facilidade uma sequência linear de processamento e se diferenciam das soluções atuais das seguintes formas: 1) é possível definir detalhadamente os fluxos de trabalho para que sejam executados somente nos uploads de arquivos completos, bem como fluxos de trabalho que sejam executados somente em uploads de arquivos parciais, 2) fluxos de trabalho podem ser acionados automaticamente para o S3 e para o EFS (que não oferece eventos pós-upload); e 3) os clientes podem ter visibilidade de ponta a ponta de suas transferências e processamento de arquivos nos CloudWatch Logs.

P: Posso enviar uma notificação se a validação de um arquivo falhar?

R: Sim. Se a validação de um arquivo falhar nas etapas de validação pré-configuradas, você pode usar o gerenciador de exceção para recorrer ao seu sistema de monitoramento ou aos membros da sua equipe por meio de um tópico do Amazon SNS.

P: Os fluxos de trabalho podem ser disparados em uploads parciais?

R: Sim. Você pode definir fluxos de trabalho a serem acionados em uploads de arquivos completos e parciais.

P: Posso acionar ações de fluxo de trabalho com base na troca de mensagens sobre AS2?

R: Não, atualmente você não pode usar fluxos de trabalho gerenciados com AS2.

P: Posso disparar ações do fluxo de trabalho nos downloads do usuário?

R: Não. Você pode recorrer ao processamento apenas na chegada do arquivo usando o endpoint de entrada.

P: Posso disparar o mesmo fluxo de trabalho em lotes de arquivos de uma sessão?

R: Não. Atualmente, os fluxos de trabalho processam um arquivo por execução.

P: Como o AWS Transfer Family se comunica com o Amazon S3?

R: A transferência de dados entre servidores do AWS Transfer Family e o Amazon S3 ocorre em redes internas da AWS e não percorrem a Internet pública. Devido a isso, não é necessário usar o AWS PrivateLink para dados transferidos do servidor do AWS Transfer Family para o Amazon S3. O serviço do Transfer Family não requer endpoints do AWS PrivateLink para que o Amazon S3 impeça que o tráfego passe pela Internet e, portanto, não pode usar endpoints para se comunicar com serviços de armazenamento. Tudo isso pressupõe que o serviço de armazenamento da AWS e o servidor do Transfer Family estejam na mesma região.

P: Por que preciso fornecer uma função do AWS IAM e como ela deve ser usada?

R: O AWS IAM é usado para determinar o nível de acesso que você deseja conceder aos usuários. Isso inclui as operações que você deseja habilitar nos clientes dos usuários, a quais buckets do Amazon S3 eles terão acesso e se todo o bucket será acessado ou apenas partes dele.

P: Por que preciso fornecer informações do diretório inicial e como ele é usado?

R: O diretório inicial configurado para o usuário determina o diretório de login dele. Esse é o caminho do diretório em que o cliente do usuário o colocará logo após a autenticação bem-sucedida no servidor. Você precisa verificar se a função do IAM fornecida permite que o usuário acesse o diretório inicial.

P: Tenho centenas de usuários com configurações de acesso similares, mas a diferentes partes do bucket. Posso configurá-los usando a mesma política e função do IAM para permitir o acesso deles?

R: Sim. Você pode atribuir uma única função do IAM para todos os usuários e usar mapeamentos lógicos de diretórios que especificam quais caminhos absolutos de buckets do Amazon S3 você quer tornar visíveis para os usuários finais e como esses caminhos são apresentados a eles por seus clientes. Consulte esta publicação de blog sobre como “simplificar uma estrutura do AWS SFTP/FTPS/FTP com chroot e diretórios lógicos”.

P: Como os arquivos são armazenados em um bucket do Amazon S3 transferido usando o AWS Transfer?

R: Os arquivos transferidos pelos protocolos permitidos são armazenados como objetos no bucket do Amazon S3. Há um mapeamento individual entre os arquivos e os objetos, o que permite acessá-los nativamente usando os produtos da AWS para processamento ou análise.

P: Como os objetos do Amazon S3 armazenados no meu bucket são apresentados aos usuários?

R: Após uma autenticação bem-sucedida, com base nas credenciais do usuário, o serviço apresenta os objetos e as pastas do Amazon S3 como arquivos e diretórios para as aplicações de transferência dos usuários.

P: Quais operações de arquivos são permitidas? Quais operações não são permitidas?

R: São permitidos os comandos comuns para criar, ler, atualizar e excluir arquivos e diretórios. Os arquivos são armazenados como objetos individuais no bucket do Amazon S3. Os diretórios são gerenciados como objetos de pasta no S3, usando a mesma sintaxe do console do S3.

No momento, não são permitidas operações de renomeação de diretórios; operações de anexação; alteração de proprietários, permissões e carimbos de data/hora; e o uso de links simbólicos e físicos.

P: Posso controlar quais operações os usuários podem executar?

R: Sim. Você pode ativar/desativar operações de arquivos usando a função do AWS IAM que mapeou para o nome de usuário deles. Consulte a documentação sobre “como criar políticas e funções do IAM para controlar o acesso de usuários finais”

P: Posso conceder aos usuários finais acesso a mais de um bucket do Amazon S3?

R: Sim. Os buckets que seu usuário pode acessar são determinados pela função do AWS IAM e pela política de redução do escopo que você atribuir para este usuário. Você só pode usar um único bucket como diretório inicial para o usuário.

P: Posso usar pontos de acesso do S3 com o AWS Transfer Family para simplificar o acesso do usuário ao conjunto de dados compartilhado?

R: Sim. Você pode usar aliases de pontos de acesso do S3 com o AWS Transfer Family para fornecer acesso detalhado a um grande conjunto de dados sem ter de gerenciar uma única política de bucket. Aliases de pontos de acesso do S3 combinados com diretórios lógicos do AWS Transfer Family permitem que você crie um controle de acesso detalhado para diferentes aplicações, equipes e departamentos, ao mesmo tempo reduzindo a sobrecarga de gerenciar políticas de bucket. Para saber mais e começar a usar, acesse a publicação do blog enhancing data access control with AWS Transfer Family and Amazon S3 Access Points (aprimorar o controle de acesso de dados com o AWS Transfer Family e pontos de acesso do Amazon S3).

P: Posso criar um servidor usando a conta A da AWS e mapear os usuários para buckets do Amazon S3 pertencentes à conta B da AWS?

R: Sim. Você pode usar a ILC e a API para configurar o acesso cruzado de contas entre o servidor e os buckets que você quer usar para armazenar arquivos transferidos usando os protocolos permitidos. A lista suspensa do console só mostrará buckets da conta A. Além disso, você terá de verificar se a função que está sendo atribuída ao usuário pertence à conta A.

P: Posso automatizar o processamento de um arquivo depois que ele for carregado no Amazon S3?

R: Sim, você pode usar os fluxos de trabalho gerenciados do AWS Transfer Family para criar, automatizar e monitorar o processamento de arquivos depois de carregá-los no Amazon S3. Usando fluxos de trabalho gerenciados, você pode pré-processar seus arquivos antes de submetê-los à sua análise de dados e sistemas de processamento, sem a sobrecarga de gerenciar seu próprio código e infraestrutura personalizados. Acesse a documentação para saber mais sobre fluxos de trabalho gerenciados do AWS Transfer Family.

P: Posso personalizar regras para processamento de acordo com o usuário que carregou o arquivo?

R: Sim. Quando o usuário carrega um arquivo, o nome de usuário e o ID do servidor usado para a carga são armazenados como parte dos metadados associados ao objeto do S3. Você pode usar essas informações no processamento do arquivo após o carregamento. Consulte a documentação sobre as informações que você utiliza para o processamento pós-upload.

P: Como eu configuro meu sistema de arquivos EFS para trabalhar com o AWS Transfer Family?

R: Antes de configurar o AWS Transfer Family para trabalhar com um sistema de arquivos do Amazon EFS, você precisará configurar a propriedade de arquivos e pastas usando as mesmas identidades POSIX (id de usuário/identificação de grupo) que você planeja atribuir a seus usuários do AWS Transfer Family. Além disso, se você estiver acessando sistemas de arquivos em uma conta diferente, as políticas de recursos também devem ser configuradas no seu sistema de arquivos para permitir o acesso entre contas. Consulte esta postagem de blog para obter instruções detalhadas sobre o uso do AWS Transfer Family com EFS.

P: Como o AWS Transfer Family se comunica com o Amazon EFS?

R: A transferência de dados entre servidores do AWS Transfer Family e o Amazon EFS ocorre em redes internas da AWS e não percorrem a Internet pública. Devido a isso, não é necessário usar o AWS PrivateLink para dados transferidos do servidor do AWS Transfer Family para o Amazon EFS. O serviço do Transfer Family não requer endpoints do AWS PrivateLink para que o Amazon EFS impeça que o tráfego passe pela Internet e, portanto, não pode usar endpoints para se comunicar com serviços de armazenamento. Tudo isso pressupõe que o serviço de armazenamento da AWS e o servidor do Transfer Family estejam na mesma região.

P: Como posso fornecer acesso aos meus usuários para carregar/baixar arquivos para/de meus sistemas de arquivos?

R: A Amazon EFS utiliza identificações POSIX que consistem em uma identificação de usuário do sistema operacional, identificação de grupo e identificação de grupo secundário para controlar o acesso a um sistema de arquivos. Ao configurar seu usuário no console do AWS Transfer Family/CLI/API, você precisará especificar o nome de usuário, a configuração POSIX do usuário e uma função do IAM para acessar o sistema de arquivos EFS. Você também precisará especificar um ID de sistema de arquivo EFS e opcionalmente um diretório dentro desse sistema de arquivo como o diretório de desembarque de seu usuário. Quando seu usuário do AWS Transfer Family se autenticar usando com sucesso seu cliente de transferência de arquivos, eles serão colocados diretamente dentro do diretório inicial especificado, ou raiz do sistema de arquivos EFS especificado. Seu ID do sistema operacional POSIX será aplicado a todas as solicitações feitas através de seus clientes de transferência de arquivos. Como administrador do EFS, você precisará certificar-se de que o arquivo e os diretórios que você deseja que seus usuários do AWS Transfer Family tenham acesso sejam de propriedade de seus IDs POSIX correspondentes em seu sistema de arquivos EFS. Consulte a documentação para saber mais sobre a configuração da propriedade de subdiretórios no EFS.

P: Como os arquivos são transferidos sobre os protocolos armazenados em meus sistemas de arquivos do Amazon EFS?

R: Os arquivos transferidos sobre os protocolos habilitados são armazenados diretamente em seus sistemas de arquivos do Amazon EFS e serão acessíveis através de uma interface padrão de sistema de arquivos ou de serviços AWS que podem acessar os sistemas de arquivos do Amazon EFS.

P: Quais operações de arquivo são suportadas sobre os protocolos ao usar o Amazon S3 e o Amazon EFS?

R: Os comandos comuns do SFTP/FTPS/FTP para criar, ler, atualizar e excluir arquivos e diretórios são suportados. Consulte a tabela abaixo sobre comandos suportados para EFS, bem como S3.

1 Somente nomes de arquivos são compatíveis. Não há suporte para renomear diretórios e renomear arquivos para sobrescrever arquivos existentes.

2 Somente usuários com uid=0 podem mudar a propriedade e as permissões de arquivos e diretórios.

3 Compatível tanto para raiz, ex., uid=0 ou para o proprietário do arquivo que só pode mudar o grupo de um arquivo para ser um de seus grupos secundários.

4 Compatível apenas para pastas não vazias.

P: Como posso controlar quais arquivos e pastas meus usuários têm acesso e quais operações eles têm permissão e não têm permissão para realizar?

R: A política do IAM que você fornece para seu usuário da AWS Transfer Family determina se ele tem acesso somente leitura, leitura-escrita e acesso raiz ao seu sistema de arquivos. Além disso, como administrador de sistema de arquivos, você pode configurar a propriedade e conceder acesso a arquivos e diretórios dentro de seu sistema de arquivos usando sua identificação de usuário e identificação de grupo. Isto se aplica aos usuários, sejam eles armazenados dentro do serviço (serviço gerenciado) ou dentro de seu sistema de gerenciamento de identidade ("BYO Auth").

P: Posso restringir o acesso de cada um dos meus usuários a diferentes diretórios dentro do meu sistema de arquivos e somente acessar arquivos dentro desses diretórios?

R: Sim, quando você configura seu usuário, você pode especificar diferentes sistemas de arquivos e diretórios para cada um de seus usuários. Ao autenticar com sucesso, a EFS aplicará um diretório para cada solicitação de sistema de arquivos feita usando os protocolos habilitados.

P: Posso ocultar o nome do sistema de arquivos para que ele não seja exposto ao meu usuário?

R: Sim, usando os mapeamentos lógicos de diretórios do AWS Transfer Family, você pode restringir a visualização dos diretórios por parte dos seus usuários finais nos seus sistemas de arquivos mapeando caminhos absolutos para os nomes dos caminhos visíveis para o usuário final. Isso também inclui a possibilidade de "chroot" seu usuário ao diretório inicial designado.

P: Os links simbólicos são suportados?

R: Sim, se houver links simbólicos em diretórios acessíveis a seu usuário e este tentar acessá-los, os links serão resolvidos para seu alvo. Links simbólicos não são suportados quando você usa mapeamentos lógicos de diretórios para configurar o acesso de seus usuários.

P: Posso fornecer a um usuário individual SFTP/FTPS/FTP acesso a mais de um sistema de arquivo?

R: Sim, quando você configura um usuário da AWS Transfer Family, você pode especificar um ou mais sistemas de arquivo na política do IAM que você fornece como parte de sua configuração de usuário, a fim de conceder acesso a múltiplos sistemas de arquivo.

P: Quais sistemas operacionais posso usar para acessar meus sistemas de arquivos EFS via AWS Transfer Family?

R: Você pode usar clientes e aplicações desenvolvidas para o Microsoft Windows, Linux, MacOS ou qualquer sistema operacional que suporte SFTP/FTPS/FTP para carregar e acessar arquivos armazenados em seus sistemas de arquivos EFS. Basta configurar o servidor e o usuário com as permissões apropriadas para o sistema de arquivos EFS para acessar o sistema de arquivos em todos os sistemas operacionais.

P: Como posso automatizar e monitorar as etapas de processamento de arquivos depois de carregar meus arquivos para o EFS?

R: Você pode criar fluxos de trabalho gerenciados da AWS Transfer Family para acionar automaticamente o pré-processamento de arquivos depois de carregar os arquivos para o EFS. Você pode configurar fluxos de trabalho que contenham marcação, cópia e qualquer etapa de processamento personalizada que gostaria de executar no arquivo com base nos seus requisitos de negócio. Acesse a documentação dos fluxos de trabalho gerenciados do AWS Transfer Family para saber mais.

P: Como faço para saber qual usuário carregou um arquivo?

R: Para novos arquivos, a ID do usuário POSIX associada ao usuário que carrega o arquivo será definida como o proprietário do arquivo em seu sistema de arquivos EFS. Além disso, você pode usar o Amazon CloudWatch para rastrear a atividade de seus usuários na criação, atualização, exclusão e leitura de arquivos. Acesse a documentação para mais detalhes sobre como habilitar o registro em log no Amazon CloudWatch.

P: Posso ver a quantidade de dados que foi enviada e baixada nos protocolos habilitados?

R: Sim, as métricas para dados carregados e baixados usando seu servidor são publicadas para o Amazon CloudWatch dentro do espaço de nomes da família AWS Transfer Family. Acesse a documentação para ver as métricas disponíveis para rastreamento e monitoramento.

P: Posso usar o AWS Transfer Family para acessar um sistema de arquivo em outra conta?

R: Sim. Você pode usar o CLI e API para configurar o acesso cruzado entre seus recursos da família AWS Transfer Family e os sistemas de arquivos EFS. O console do AWS Transfer Family só listará os sistemas de arquivos na mesma conta. Além disso, é necessário certificar-se de que a função do IAM atribuída ao usuário para acessar o sistema de arquivos pertença à Conta A.

P: O que acontece se meu sistema de arquivos EFS não tiver as políticas corretas habilitadas para o acesso de contas cruzadas?

R: Se você configurar um servidor AWS Transfer Family para acessar um sistema de arquivo EFS de conta cruzada não habilitado para acesso de conta cruzada, seus usuários SFTP/FTP/FTPS serão impedidos de acessar o sistema de arquivo. Se você tiver o registro do CloudWatch habilitado em seu servidor, os erros de acesso de conta cruzada serão registrados em seu CloudWatch Logs.

P: Posso usar o AWS Transfer Family para acessar um sistema de arquivo EFS em uma região diferente do AWS?

R: Não, você pode usar AWS Transfer Family para acessar os sistemas de arquivos EFS somente na mesma região AWS.

P: Posso usar o AWS Transfer Family com classes de armazenamento do EFS?

R: Sim. Você pode usar o AWS Transfer para copiar arquivos para o EFS e configurar o EFS Lifecycle Management para migrar arquivos que ainda não foram acessados por um período determinado de tempo para classes de armazenamento do Infrequent Access (IA).

P: Minhas aplicações podem usar SFTP/FTPS/FTP para ler e escrever simultaneamente dados de/para o mesmo arquivo?

R: Sim, o Amazon EFS disponibiliza uma interface de sistema de arquivos, uma semântica de acesso ao sistema (como consistência forte e bloqueio de arquivos) e um armazenamento acessível de modo simultâneo para até milhares de clientes NFS/SFTP/FTPS/FTP.

P: Meus créditos de explosão de EFS serão consumidos quando eu acessar meus sistemas de arquivos usando AWS Transfer Family?

R: Sim. O acesso a seus sistemas de arquivos EFS usando seus servidores da AWS Transfer Family consumirá seus créditos de explosão EFS, independentemente do modo de transferência. Consulte a documentação sobre performance disponível e modos de produção e veja algumas dicas úteis de desempenho.

P: Quais protocolos devo usar para proteger dados em trânsito por uma rede pública?

R: Para transferências seguras por redes públicas, é preciso usar SFTP ou FTPS. Devido à segurança subjacente dos protocolos baseados nos algoritmos de criptografia SSH e TLS, os dados e os comandos são transferidos por um canal seguro e criptografado.

P: Quais as opções para criptografar dados ociosos?

R: Você pode criptografar arquivos armazenados no bucket usando a Server-Side Encryption do Amazon S3 (SSE-S3) ou o Amazon KMS (SSE-KMS). Para arquivos armazenados no EFS, você pode escolher AWS ou CMK gerenciado pelo cliente para criptografia de arquivos em repouso. Consulte a documentação para obter mais detalhes sobre as opções de criptografia em repouso de dados e metadados de arquivos usando o Amazon EFS.

P: Com quais programas de conformidade o AWS Transfer Family é compatível?

R: A AWS Transfer Family é compatível com as normas PCI-DSS, GDPR, FedRAMP e SOC 1, 2 e 3. O serviço também está qualificado para a HIPPA. Saiba mais sobre os serviços no escopo pelos programas de conformidade.

P: O AWS Transfer Family está em conformidade com a FISMA?

R: As regiões da AWS Leste/Oeste e GovCloud (EUA) estão em conformidade com a FISMA. Quando o AWS Transfer Family for autorizado para o FedRAMP, ele estará em conformidade com a FISMA nas respectivas regiões. Essa conformidade é demonstrada por meio da autorização do FedRAMP a essas duas regiões, que as classifica como FedRAMP (impacto moderado) e FedRAMP (alto impacto). Demonstramos a conformidade por meio de avaliações anuais e da documentação de conformidade dentro do escopo dos controles NIST SP 800-53 inclusos nos nossos planos de segurança de sistemas. Os modelos estão disponíveis no Artifact junto com a matriz de responsabilidade do cliente (CRM), que demonstra em um nível detalhado nossa responsabilidade a atender a esses controles NIST, conforme as exigências do FedRAMP. O Artifact está disponível no console de gerenciamento, que pode ser acessado por uma conta da AWS nas regiões Leste/Oeste e GovCloud. Se você tiver outras dúvidas sobre esse assunto, acesse o console.

P: Como o serviço garante a integridade dos arquivos carregados?

R: Os arquivos carregados pelos serviços são verificados pela comparação da soma de verificação MD5 antes e depois do carregamento do arquivo.

P: Como posso monitorar a atividade dos meus usuários finais?

R: Você pode monitorar a atividade dos seus usuários finais usando o Amazon CloudWatch e logs do CloudTrail. Você também pode acessar os gráficos do CloudWatch para consultar métricas, como número de arquivos e bytes transferidos no console de gerenciamento do AWS Transfer Family, o que oferece a você um painel de controle único para monitorar transferências de arquivos usando um painel centralizado. Use logs do AWS CloudTrail para acessar um registro de todas as operações de API invocadas pelo seu servidor para atender às solicitações de dados dos usuários finais. Consulte a documentação para saber mais.

P: Quais são minhas opções para criptografar/descriptografar arquivos para transferência?

R: Você pode usar os fluxos gerenciados do AWS Transfer Family para descriptografar automaticamente os arquivos carregados em seu recurso do AWS Transfer Family usando chaves PGP. Para obter mais informações, consulte a documentação de fluxos de trabalho gerenciados. Se você estiver procurando por suporte para descriptografia PGP, entre em contato conosco pelo AWS Support ou por meio da equipe da sua conta da AWS.

P: Como sou cobrado pelo uso do serviço?

R: A cobrança de cada protocolo habilitado é por hora, do momento em que você cria e configura o endpoint de servidor até o momento em que você o exclui. Você também é cobrado com base na quantidade de dados carregados e baixados em SFTP, FTPS ou FTP, no número de mensagens trocadas pelo AS2 e na quantidade de dados processados durante a etapa Descriptografar do fluxo de trabalho. Consulte a página de preços para obter mais detalhes

P: Há alguma diferença de cobrança entre usar o mesmo endpoint de servidor para vários protocolos ou usar endpoints diferentes para cada protocolo?

R: Não. Você será cobrado por hora para cada protocolo habilitado e pela quantidade de dados transferida por meio de cada um dos protocolos, independentemente do uso do mesmo endpoint para vários protocolos ou de endpoints diferentes para cada protocolo.

P: Interrompi meu servidor. Serei cobrado pelo tempo em que o servidor ficar interrompido?

R: Sim. Interromper o servidor usando o console, ou executando o comando de ILC “stop-server” ou o comando de API “StopServer”, não afeta a cobrança. A cobrança de cada protocolo habilitado é por hora, do momento em que você cria o endpoint do servidor e configura o acesso a ele por meio de um ou mais protocolos até o momento em que você o exclui.

P: Como é feita a cobrança pelo uso dos fluxos de trabalho gerenciados?

R: Você é cobrado pela etapa Descriptografar do fluxo de trabalho com base na quantidade de dados que descriptografar usando chaves PGP. Não há cobrança adicional pelo uso dos fluxos de trabalho gerenciados. Dependendo da configuração dos seus fluxos de trabalho, você também é cobrado pelo uso do Amazon S3, Amazon EFS, AWS Secrets Manager e AWS Lambda.