Uso de AWS Transfer Family para transferir datos
AWS Transfer Family es un servicio de AWS totalmente gestionado que puede utilizar para transferir archivos a y desde los sistemas de archivos de Amazon EFS mediante los siguientes protocolos:
Secure Shell (SSH) File Transfer Protocol (SFTP) (AWS Transfer for SFTP)
Protocolo seguro de transferencia de archivos (FTPS) (AWS Transfer for FTPS)
Protocolo de File Transfer (FTP) (AWS Transfer for FTP)
Con Transfer Family, puede permitir de forma segura que terceros, como sus proveedores, socios o clientes, accedan a sus archivos a través de los protocolos compatibles a escala mundial, sin necesidad de administrar ninguna infraestructura. Además, ahora puede acceder fácilmente a sus sistemas de archivos de EFS desde entornos Windows, macOS y Linux mediante clientes SFTP, FTPS y FTP. Esto ayuda a ampliar la accesibilidad de sus datos más allá de los clientes y puntos de acceso NFS, a los usuarios de varios entornos.
El uso de Transfer Family para transferir datos en los sistemas de archivos de Amazon EFS se contabiliza de la misma manera que el uso de otros clientes. Para obtener más información, consulte Modos de rendimiento y Cuotas de Amazon EFS.
Para obtener más información sobre AWS Transfer Family, consulte la Guía del usuario de AWS Transfer Family.
nota
El uso de Transfer Family con Amazon EFS está desactivado de forma predeterminada para las Cuenta de AWS que tienen sistemas de archivos de Amazon EFS con políticas que permitan el acceso público y que se crearan antes del 6 de enero de 2021. Para habilitar el uso de Transfer Family para acceder a su sistema de archivos, póngase en contacto con Support.
Temas
Requisitos previos para utilizar AWS Transfer Family con Amazon EFS.
Para utilizar Transfer Family para acceder a los archivos de su sistema de archivos Amazon EFS, la configuración debe cumplir las siguientes condiciones:
El servidor Transfer Family y su sistema de archivos de Amazon EFS se encuentran en la misma Región de AWS.
Las políticas de IAM se configuran para permitir el acceso al rol de IAM utilizado por Transfer Family. Para obtener más información, consulte Creación de un rol y política de IAM en la AWS Transfer FamilyGuía del usuario de .
(Opcional) Si el servidor Transfer Family es propiedad de una cuenta diferente, habilite el acceso entre cuentas.
Asegúrese de que la política de su sistema de archivos no permita el acceso público. Para obtener más información, consulte Bloquear el acceso público a los sistemas de archivos de EFS.
Modifique la política del sistema de archivos para permitir el acceso entre cuentas. Para obtener más información, consulte Configuración del acceso entre cuentas para Transfer Family.
Configuración del sistema de archivos de EFS para AWS Transfer Family
La configuración de un sistema de archivos de Amazon EFS para que funcione con Transfer Family requiere los siguientes pasos:
Paso 1. Obtenga la lista de ID POSIX que se asignan a los usuarios de Transfer Family.
Paso 2. Asegúrese de que los usuarios de Transfer Family puedan acceder a los directorios de su sistema de archivos mediante los ID POSIX asignados a los usuarios de Transfer Family.
Paso 3. Configure IAM para permitir el acceso al rol de IAM utilizado por Transfer Family.
Configuración de permisos de archivos y directorios para los usuarios de Transfer Family
Asegúrese de que los usuarios de Transfer Family tengan acceso a los archivos y directorios necesarios del sistema de archivos EFS. Asigne permisos de acceso al directorio utilizando la lista de ID POSIX asignada a los usuarios de Transfer Family. En este ejemplo, un usuario crea un directorio denominado transferFam bajo el punto de montaje de EFS. La creación de un directorio es opcional en función de su caso de uso. Si es necesario, puede elegir su nombre y ubicación en el sistema de archivos EFS.
Para asignar permisos de archivos y directorios a los usuarios de POSIX para Transfer Family
Conéctese a la instancia de Amazon EC2. Amazon EFS solo admite el montaje mediante instancias de EC2 basadas en Linux.
Monte el sistema de archivos de EFS si aún no está montado en la instancia de EC2. Para obtener más información, consulte Montaje de sistemas de archivos de EFS.
El siguiente ejemplo crea el directorio en el sistema de archivos de EFS y cambia su grupo por el ID de grupo POSIX para los usuarios de Transfer Family, que es 1101 en este ejemplo.
Ejecute los siguientes comandos para crear el directorio
efs/transferFam. En la práctica, puede utilizar un nombre y una ubicación en el sistema de archivos que desee.[ec2-user@ip-192-0-2-0 ~]$lsefs efs-mount-point efs-mount-point2[ec2-user@ip-192-0-2-0 ~]$ls efs[ec2-user@ip-192-0-2-0 ~]$sudo mkdir efs/transferFam[ec2-user@ip-192-0-2-0 ~]$ls -l efstotal 0 drwxr-xr-x 2 root root 6 Jan 6 15:58 transferFamUtilice el siguiente comando para cambiar el grupo de
efs/transferFamal GID POSIX asignado a los usuarios de Transfer Family.[ec2-user@ip-192-0-2-0 ~]$sudo chown :1101 efs/transferFam/Confirme el cambio.
[ec2-user@ip-192-0-2-0 ~]$ls -l efstotal 0 drwxr-xr-x 2 root 1101 6 Jan 6 15:58 transferFam
Habilitar el acceso al rol de IAM utilizado por Transfer Family
En Transfer Family, se crea una política de IAM basada en recursos y un rol de IAM que define el acceso de los usuarios al sistema de archivos de EFS. Para obtener más información, consulte Creación de un rol y política de IAM en la Guía del usuario de AWS Transfer Family. Debe conceder a ese rol de IAM de Transfer Family acceso a su sistema de archivos de EFS mediante una política de identidad de IAM o una política de sistema de archivos.
A continuación se muestra un ejemplo de una política del sistema de archivos que concede ClientMount (lectura) y ClientWrite accede al rol de IAM EFS-role-for-transfer.
{ "Version": "2012-10-17", "Id": "efs-policy-wizard-8698b356-4212-4d30-901e-ad2030b57762", "Statement": [ { "Sid": "Grant-transfer-role-access", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EFS-role-for-transfer" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ] } ] }
Para obtener más información sobre la creación de una política de sistema de archivos, consulte Creación de políticas de sistema de archivos. Para obtener más información acerca del uso de las políticas de IAM basadas en identidades para administrar el acceso a recursos de EFS, consulte Políticas de Amazon EFS basadas en identidades.
Configuración del acceso entre cuentas para Transfer Family
Si el servidor de Transfer Family utilizado para acceder a su sistema de archivos pertenece a otra Cuenta de AWS, debe conceder a esa cuenta acceso a su sistema de archivos. Además, la política del sistema de archivos no debe ser pública. Para obtener más información acerca del bloqueo del acceso público al sistema de archivos, consulte Bloquear el acceso público a los sistemas de archivos de EFS.
Puede conceder a una Cuenta de AWS diferente acceso a su sistema de archivos en la política del sistema de archivos. En la consola de Amazon EFS, utilice la sección Otorgar permisos adicionales del editor de políticas del sistema de archivos para especificar la Cuenta de AWS y el nivel de acceso al sistema de archivos que va a conceder. Para obtener más información sobre la creación o edición de una política de sistema de archivos, consulte Creación de políticas de sistema de archivos.
Puede especificar la cuenta mediante el ID de cuenta o el Nombre de recurso de Amazon (ARN) de la cuenta. Para obtener más información sobre los ARN, consulte ARN de IAM en la Guía del usuario de IAM.
El siguiente ejemplo es una política de sistema de archivos no pública que permite el acceso entre cuentas al sistema de archivos. Tiene las dos instrucciones siguientes:
La primera instrucción,
NFS-client-read-write-via-fsmt, otorga privilegios de lectura, escritura y raíz a los clientes NFS que acceden al sistema de archivos mediante un destino de montaje del sistema de archivos.-
La segunda instrucción,
Grant-cross-account-access, solo otorga privilegios de lectura y escritura a la Cuenta de AWS 111122223333, que es la cuenta propietaria del servidor de Transfer Family que necesita acceder al sistema de archivos de EFS de su cuenta.
{ "Statement": [ { "Sid": "NFS-client-read-write-via-fsmt", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientRootAccess", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } }, { "Sid": "Grant-cross-account-access", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ] } ] }
La siguiente política del sistema de archivos añade una declaración que concede el acceso al rol de IAM utilizado por Transfer Family.
{ "Statement": [ { "Sid": "NFS-client-read-write-via-fsmt", "Effect": "Allow", "Principal": { "AWS": "*" }, "Action": [ "elasticfilesystem:ClientRootAccess", "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ], "Condition": { "Bool": { "elasticfilesystem:AccessedViaMountTarget": "true" } } }, { "Sid": "Grant-cross-account-access", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ] }, { "Sid": "Grant-transfer-role-access", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/EFS-role-for-transfer" }, "Action": [ "elasticfilesystem:ClientWrite", "elasticfilesystem:ClientMount" ] } ] }
