View a markdown version of this page

Acceda a sus sistemas de archivos FSx para NetApp ONTAP con Transfer Family - AWS Transfer Family
Descripción general deRequisitos previosCómo funciona el almacenamiento FSx con Transfer FamilyCreación de un punto de acceso S3 para FSxUso de alias de puntos de acceso S3 con FSxConfiguración de Transfer Family para el almacenamiento FSxAdministración de usuarios para el almacenamiento de FSxConfiguración de clientes de transferencia de archivosSolución de problemas de almacenamiento FSx

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceda a sus sistemas de archivos FSx para NetApp ONTAP con Transfer Family

Descripción general de

Transfer Family es compatible con Amazon FSx para NetApp ONTAP a través de puntos de acceso S3. Amazon FSx para NetApp ONTAP es un servicio totalmente gestionado que proporciona un almacenamiento de archivos altamente fiable, escalable, de alto rendimiento y rico en funciones basado en NetApp el popular sistema de archivos ONTAP. Al configurar Transfer Family con un sistema de archivos FSx, los usuarios se conectan a los puntos finales de Transfer Family mediante clientes de transferencia de archivos estándar. Transfer Family dirige las operaciones de archivos a través de un punto de acceso S3 conectado al volumen FSx, mientras que los datos permanecen en el sistema de archivos FSx. Para obtener más información sobre FSx para NetApp ONTAP, consulte ¿Qué es Amazon FSx para ONTAP? NetApp

Esta integración le permite:

  • Transfiera archivos mediante los protocolos SFTP, FTPS o FTP a un almacenamiento de archivos de nivel empresarial

  • Acceda a los mismos datos a través de varios protocolos (SFTP, NFS, SMB)

  • Utilice las funciones de FSx, como las instantáneas, las copias de seguridad y la organización de datos en niveles

importante

Algunas operaciones de archivos no se admiten cuando se utilizan sistemas de archivos FSx con Transfer Family, incluidas las operaciones de cambio de nombre y adición. Para las operaciones de carga, el tamaño de los archivos está limitado a 5 GB. Para obtener una lista completa de las limitaciones, consulte Compatibilidad con los puntos de acceso.

Requisitos previos

Antes de configurar Transfer Family con Amazon FSx, debe cumplir los siguientes requisitos.

Requisitos de FSx para ONTAP NetApp

Para utilizar FSx para NetApp ONTAP con Transfer Family, necesita:

  • Un sistema de archivos FSx para NetApp ONTAP que ejecute ONTAP 9.17.1 o posterior

  • El sistema de archivos y el punto de acceso S3 en la misma región AWS

  • La misma AWS cuenta que posee el sistema de archivos y el punto de acceso

Para obtener más información, consulte Introducción a Amazon FSx para NetApp ONTAP.

Permisos de IAM necesarios

Puede configurar cada punto de acceso S3 con distintos permisos y controles de red que S3 aplicará a cualquier solicitud que se realice mediante ese punto de acceso. Los puntos de acceso S3 admiten las políticas de recursos de IAM que puede utilizar para controlar el uso del punto de acceso por recurso, usuario u otras condiciones. Para que una aplicación o un usuario accedan a los archivos a través de un punto de acceso, tanto el punto de acceso como el volumen subyacente deben permitir la solicitud. Para obtener más información, consulte las políticas de puntos de acceso de IAM.

Los puntos de acceso Amazon S3 para FSx utilizan un modelo de autorización de doble capa que combina los permisos de IAM con los permisos a nivel del sistema de archivos. Este enfoque garantiza que las solicitudes de acceso a los datos estén debidamente autorizadas tanto a nivel de AWS servicio como a nivel del sistema de archivos subyacente.

Para que una aplicación o un usuario puedan acceder correctamente a los datos a través de un punto de acceso, tanto la política del punto de acceso S3 como el volumen FSx subyacente deben permitir la solicitud.

Para crear y configurar esta integración, necesita los siguientes permisos:

  • fsx:CreateAndAttachS3AccessPoint

  • s3:CreateAccessPoint

  • s3:GetAccessPoint

  • s3:PutAccessPointPolicy(si crea una política de puntos de acceso opcional)

Cómo funciona el almacenamiento FSx con Transfer Family

Al configurar Transfer Family con un sistema de archivos FSx, los siguientes componentes funcionan juntos para permitir la transferencia de archivos:

  1. Un usuario se conecta al servidor Transfer Family mediante un cliente SFTP, FTPS o FTP.

  2. Transfer Family autentica al usuario mediante identidades administradas por el servicio, un proveedor de identidades personalizado o. AWS Directory Service for Microsoft Active Directory Una vez autenticado, Transfer Family asume la función de IAM asociada al usuario.

  3. Para cada operación de archivo, Transfer Family actúa como un cliente API de S3 estándar, realiza solicitudes al punto de acceso S3 utilizando la función de IAM asumida por el usuario y verifica los permisos según la política del punto de acceso de S3.

  4. El sistema de archivos FSx comprueba que el usuario del sistema de archivos asociado al punto de acceso tiene permiso para realizar la operación solicitada. A continuación, la operación de archivo se realiza en el volumen FSx.

Para que una operación de archivo se realice correctamente, ambas capas de autorización deben permitir la solicitud.

nota

La conexión de un punto de acceso S3 a un volumen FSx no cambia el comportamiento del volumen cuando se accede directamente a través de NFS o SMB. El acceso al protocolo de archivos existente sigue funcionando sin cambios.

Identidad de usuario del sistema de archivos

Cada punto de acceso utiliza una identidad de usuario del sistema de archivos que se especifica al crear el punto de acceso. Esta identidad autoriza todas las solicitudes de acceso a los archivos realizadas a través de ese punto de acceso. El usuario del sistema de archivos es una cuenta de usuario en el sistema de archivos Amazon FSx subyacente. Si el usuario del sistema de archivos tiene acceso de solo lectura, solo se autorizan las solicitudes de lectura realizadas desde el punto de acceso y se bloquean las solicitudes de escritura. Si el usuario del sistema de archivos tiene acceso de lectura y escritura, se autorizan tanto las solicitudes de lectura como las de escritura al volumen adjunto realizadas mediante el punto de acceso.

Creación de un punto de acceso S3 para FSx

Antes de configurar Transfer Family, debe crear un punto de acceso S3 adjunto al volumen FSx. Los puntos de acceso S3 se denominan puntos de conexión de red que se conectan a una fuente de datos, como un bucket o Amazon FSx para el volumen de ONTAP. Puede crear y conectar un punto de acceso a un FSx para NetApp ONTAP mediante la consola, la AWS CLI o la API de Amazon FSx. Una vez adjuntado, puede usar las API de objetos de S3 para acceder a los datos de los archivos. Los datos seguirán residiendo en el sistema de archivos de Amazon FSx y seguirán siendo directamente accesibles para las cargas de trabajo existentes. Seguirá gestionando su almacenamiento con todas las funciones de gestión del almacenamiento de FSx for NetApp ONTAP, incluidas las copias de seguridad, las instantáneas, las cuotas de usuarios y grupos y la compresión.

Para obtener más información, consulte Creación de puntos de acceso.

Denominación de puntos de acceso

Cuando asigne un nombre a su punto de acceso, siga estas pautas:

  • Los nombres de los puntos de acceso deben ser únicos en su AWS cuenta y región.

  • Los nombres no pueden terminar por -ext-s3alias (reservado para los alias).

  • Evite incluir información confidencial en los nombres porque están publicados en el DNS.

Para obtener una lista completa de las reglas de nomenclatura, consulte Reglas, restricciones y limitaciones de nomenclatura de los puntos de acceso.

Creación de un punto de acceso para FSx para ONTAP NetApp

Utilice el siguiente procedimiento para crear un punto de acceso S3 para un volumen FSx for NetApp ONTAP.

Para crear un punto de acceso (consola)

  1. Abra la consola Amazon FSx en. https://console.aws.amazon.com/fsx/

  2. En el panel de navegación, elija Sistema de archivos.

  3. Elija su sistema de archivos FSx para NetApp ONTAP.

  4. Seleccione la pestaña Volúmenes.

  5. Seleccione el volumen que desee adjuntar.

  6. En Acciones, elija Crear punto de acceso S3.

  7. En Nombre del punto de acceso, introduzca un nombre descriptivo (por ejemplo,transfer-family-ap).

  8. En el tipo de identidad de usuario del sistema de archivos, elija una de las siguientes opciones:

    • Identidad UNIX: para volúmenes con el estilo de seguridad UNIX

    • Identidad de Windows: para volúmenes con estilo de seguridad NTFS

  9. (Opcional) En el caso de la política de puntos de acceso, introduzca una política de IAM que defina qué responsables de IAM pueden realizar determinadas operaciones en los objetos a los que se accede a través de este punto de acceso. Para obtener más información, consulte Administrar el acceso a los puntos de acceso.

  10. Seleccione Crear.

  11. Tras la creación, anote el alias del punto de acceso para usarlo en la configuración de Transfer Family.

nota

Cuando AWS Transfer Family accede a los recursos de S3 en nombre de SFTP/FTPS los usuarios conectados, las solicitudes se originan en la AWS Transfer Family infraestructura, no en la VPC. Por ello, los puntos de acceso S3 configurados con un origen de red de VPC denegarán estas solicitudes. Sin embargo, incluso si utiliza un punto de acceso configurado con un origen de red de Internet, todo el tráfico entre Transfer Family y el punto de acceso permanece privado y viaja a través de la red AWS troncal, no atraviesa la Internet pública.

Configuración de los permisos del sistema de archivos

El usuario del sistema de archivos que especifique determinará qué operaciones pueden realizar los usuarios de Transfer Family. Debe configurar los permisos adecuados en el volumen FSx.

Ejemplo de UNIX:

# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users

# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users

# Set permissions
chmod 755 /vol1/transfer-users

Ejemplo de Windows:

# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory

# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T

# Verify permissions
icacls "D:\vol1\transfer-users"

Uso de alias de puntos de acceso S3 con FSx

Cuando utilice sistemas de archivos FSx con Transfer Family, debe utilizar los alias de punto de acceso S3. Transfer Family no admite el uso de ARN de puntos de acceso u otros métodos de referencia para el almacenamiento de FSx.

importante

AWS Transfer Family solo admite alias de puntos de acceso S3 cuando se utilizan sistemas de archivos FSx. No puede utilizar ARN de puntos de acceso ni URI de tipo hospedado virtual.

importante

El punto de acceso debe estar en la misma región que el volumen.

Acerca de los alias de los puntos de acceso

Al crear un punto de acceso S3 adjunto a un volumen FSx, Amazon S3 genera automáticamente un alias de punto de acceso. Este alias es un identificador único que puede utilizar en cualquier lugar donde utilice un nombre de bucket de S3.

Para los puntos de acceso adjuntos a los volúmenes de FSx, el alias utiliza el siguiente formato:

access-point-name-metadata-ext-s3alias

Ejemplo de alias:

my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
nota

El -ext-s3alias sufijo está reservado para los alias de los puntos de acceso FSx. No puede utilizar este sufijo en los nombres de los puntos de acceso.

Cómo encontrar el alias del punto de acceso

Puede encontrar el alias del punto de acceso después de crear el punto de acceso.

Para buscar el alias del punto de acceso (consola)

  1. Abra la consola Amazon FSx en. https://console.aws.amazon.com/fsx/

  2. En el panel de navegación, elija Sistema de archivos.

  3. Elija su sistema de archivos

  4. Elija la pestaña Volúmenes y seleccione el volumen para el que creó el punto de acceso.

  5. Vaya a la columna de detalles del punto de acceso S3.

  6. El alias se muestra en la columna Alias.

Para buscar el alias del punto de acceso (CLI)

Utilice el comando describe-s3-access-point-attachments.

aws fsx describe-s3-access-point-attachments \
    --filters Name=file-system-id,Values=fs-0123456789abcdef0

La respuesta incluye el alias:

{
    "S3AccessPointAttachments": [
        {
            "S3AccessPoint": {
                "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
                "Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
            }
        }
    ]
}

Al configurar los usuarios de Transfer Family, utilice el alias del punto de acceso en las asignaciones del directorio principal.

Formato de directorio principal:

/access-point-alias/path/to/directory

Ejemplo:

/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith

Configuración de Transfer Family para el almacenamiento FSx

Después de crear el punto de acceso S3, configure un servidor Transfer Family para usarlo.

Creación de un rol de IAM

Debe crear un rol de IAM que conceda a Transfer Family acceso al punto de acceso S3.

importante

Las políticas de IAM requieren el formato ARN del punto de acceso, no el alias. Utilice el formato arn:aws:s3:region:account-id:accesspoint/access-point-name en las declaraciones de recursos de su política de IAM. El alias del punto de acceso (que termina en-ext-s3alias) solo se usa para mapear el directorio principal.

Creación del rol de IAM

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Funciones y, a continuación, seleccione Crear función.

  3. En Tipo de entidad de confianza, elija Servicio de AWS .

  4. En Caso de uso, selecciona Transferir.

  5. Elija Siguiente.

  6. Selecciona Crear política e introduce tu política (consulta un ejemplo de política a continuación).

  7. Adjunta la política al rol y selecciona Crear rol.

Ejemplo de política de IAM:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowFileOperations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
        },
        {
            "Sid": "AllowDirectoryOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
        }
    ]
}

Administración de usuarios para el almacenamiento de FSx

Cree usuarios de Transfer Family con asignaciones de directorios principales que usen el alias del punto de acceso S3.

Creación de un usuario

Al crear un usuario para el almacenamiento de FSx, utilice el alias del punto de acceso en las asignaciones del directorio principal.

Para crear un usuario de Service Managed (consola)

  1. Abra la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/.

  2. En el panel de navegación, seleccione Servers (Servidores).

  3. Seleccione su servidor.

  4. En la sección Usuarios, selecciona Añadir usuario.

  5. En Nombre de usuario, introduzca un nombre de usuario.

  6. En Función, elija la función de IAM que creó.

  7. En el directorio principal, elija Restringido.

  8. Para las asignaciones del directorio principal, añada una asignación con el alias del punto de acceso:

    [{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]

Para crear un usuario (CLI)

Utilice el comando create-user. Sustituya el alias del punto de acceso por el suyo.

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
        }
    ]'

Configuración de múltiples mapeos de directorios

Puede asignar varios directorios virtuales a diferentes rutas del volumen FSx.

Ejemplo: directorios de carga y descarga separados

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/inbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
        },
        {
            "Entry": "/outbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
        }
    ]'

Configuración de clientes de transferencia de archivos

Cuando utilice sistemas de archivos FSx con Transfer Family, debe configurar sus clientes de transferencia de archivos para deshabilitar las funciones que no son compatibles.

Configuración WinSCP

WinSCP utiliza una función de cambio de nombre temporal de forma predeterminada que no es compatible con los puntos de acceso S3 para FSx.

aviso

Si no deshabilita la función de cambio de nombre temporal en WinSCP, se producirá un error al cargar los archivos.

Para deshabilitar el cambio de nombre temporal en WinSCP

  1. Abre WinSCP.

  2. En el cuadro de diálogo de inicio de sesión, seleccione Editar para modificar la configuración de la sesión.

  3. Seleccione Avanzado.

  4. En el menú de navegación de la izquierda, en Transferir, selecciona Endurance.

  5. En Habilitar la transferencia resume/transfer a un nombre de archivo temporal, seleccione Desactivar.

  6. Seleccione Aceptar para guardar la configuración.

Como alternativa, puedes deshabilitar esta configuración para una sesión existente:

  1. Conéctese a su servidor Transfer Family.

  2. Selecciona Opciones y, a continuación, Preferencias.

  3. Selecciona Transfer y, a continuación, Endurance.

  4. En Habilitar la transferencia resume/transfer a un nombre de archivo temporal, seleccione Desactivar.

  5. Seleccione Aceptar.

Otros clientes SFTP

Para otros clientes SFTP, deshabilite las siguientes funciones, si están disponibles:

  • Cargas de archivos temporales (cárguelos en un archivo temporal y, a continuación, cámbieles el nombre)

  • Reanude las transferencias mediante archivos temporales

  • Atomic carga mediante operaciones de cambio de nombre

  • Modo de adición para las cargas

Consulte la documentación del cliente para conocer los pasos de configuración específicos.

Solución de problemas de almacenamiento FSx

En esta sección se describe cómo identificar y resolver problemas comunes al utilizar Transfer Family con sistemas de archivos FSx.

Problemas con el funcionamiento de los archivos

Permiso denegado

Si recibes errores de permiso denegado:

  1. Compruebe que la función de IAM tenga los permisos correctos para el alias del punto de acceso. Para ello, puede realizar pruebas directamente con las API de S3.

  2. Compruebe que la política de puntos de acceso permita el rol de IAM.

  3. Compruebe que el usuario del sistema de archivos tenga permisos en la ruta de destino.

  4. Confirme que la asignación del directorio principal utilice el alias de punto de acceso correcto.

La carga falla con WinSCP

Si la carga de archivos falla con WinSCP, deshabilite el cambio de nombre temporal:

  1. En WinSCP, seleccione Opciones y, a continuación, Preferencias.

  2. Selecciona Transfer y, a continuación, Endurance.

  3. En Habilitar la transferencia resume/transfer a un nombre de archivo temporal, seleccione Desactivar.

Para obtener más información, consulte Configuración de clientes de transferencia de archivos.

La carga del archivo falla

Si se produce un error al cargar los archivos:

  1. Comprueba que el tamaño del archivo sea inferior a 5 GB.

  2. Compruebe que el volumen FSx tiene suficiente espacio de almacenamiento disponible.

  3. Supervise CloudWatch las métricas de regulación.