CreateServer - AWS Transfer Family
Syntaxe de la requêteParamètres de demandeSyntaxe de la réponseEléments de réponseErreursExemplesconsultez aussi

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CreateServer

Instancie un serveur virtuel de scalabilité automatique en se basant sur le protocole de transfert de fichiers sélectionné dans AWS. Lorsque vous effectuez des mises à jour de votre serveur compatible avec le protocole de transfert de fichiers ou lorsque vous travaillez avec des utilisateurs, utilisez la propriété ServerId générée par le service qui est attribuée au serveur nouvellement créé.

Syntaxe de la requête

{
   "Certificate": "string",
   "Domain": "string",
   "EndpointDetails": { 
      "AddressAllocationIds": [ "string" ],
      "SecurityGroupIds": [ "string" ],
      "SubnetIds": [ "string" ],
      "VpcEndpointId": "string",
      "VpcId": "string"
   },
   "EndpointType": "string",
   "HostKey": "string",
   "IdentityProviderDetails": { 
      "DirectoryId": "string",
      "Function": "string",
      "InvocationRole": "string",
      "SftpAuthenticationMethods": "string",
      "Url": "string"
   },
   "IdentityProviderType": "string",
   "LoggingRole": "string",
   "PostAuthenticationLoginBanner": "string",
   "PreAuthenticationLoginBanner": "string",
   "ProtocolDetails": { 
      "As2Transports": [ "string" ],
      "PassiveIp": "string",
      "SetStatOption": "string",
      "TlsSessionResumptionMode": "string"
   },
   "Protocols": [ "string" ],
   "S3StorageOptions": { 
      "DirectoryListingOptimization": "string"
   },
   "SecurityPolicyName": "string",
   "StructuredLogDestinations": [ "string" ],
   "Tags": [ 
      { 
         "Key": "string",
         "Value": "string"
      }
   ],
   "WorkflowDetails": { 
      "OnPartialUpload": [ 
         { 
            "ExecutionRole": "string",
            "WorkflowId": "string"
         }
      ],
      "OnUpload": [ 
         { 
            "ExecutionRole": "string",
            "WorkflowId": "string"
         }
      ]
   }
}

Paramètres de demande

Pour plus d'informations sur les paramètres courants pour toutes les actions, consultez Paramètres courants.

La demande accepte les données suivantes au JSON format suivant.

Certificate

Le nom de ressource Amazon (ARN) du certificat AWS Certificate Manager (ACM). Obligatoire lorsque Protocols est défini sur FTPS.

Pour demander un nouveau certificat public, consultez la section Demander un certificat public dans le guide de AWS Certificate Manager l'utilisateur.

Pour importer un certificat existant dansACM, consultez la section Importation de certificats ACM dans le guide de AWS Certificate Manager l'utilisateur.

Pour demander un certificat privé à utiliser FTPS via des adresses IP privées, consultez la section Demander un certificat privé dans le guide de AWS Certificate Manager l'utilisateur.

Les certificats avec les algorithmes de chiffrement et les tailles de clés suivants sont pris en charge :

  • 2048 bits RSA (_2048) RSA

  • 4096 bits (_4096RSA) RSA

  • Elliptic Prime Curve 256 octets (EC_prime256v1)

  • Elliptic Prime Curve 384 octets (EC_secp384r1)

  • Elliptic Prime Curve 521 octets (EC_secp521r1)

Note

Le certificat doit être un SSL TLS certificat/X.509 version 3 valide avec une FQDN adresse IP spécifiée et des informations sur l'émetteur.

Type : String

Contraintes de longueur : longueur minimum de 0. Longueur maximale de 1600.

Obligatoire : non

Domain

Domaine du système de stockage utilisé pour les transferts de fichiers. Deux domaines sont disponibles : Amazon Simple Storage Service (Amazon S3) et Amazon Elastic File System (AmazonEFS). La valeur par défaut est S3.

Note

Une fois le serveur créé, le domaine ne peut pas être modifié.

Type : String

Valeurs valides : S3 | EFS

Obligatoire : non

EndpointDetails

Les paramètres de point de terminaison du cloud privé virtuel (VPC) configurés pour votre serveur. Lorsque vous hébergez votre point de terminaison dans votre environnementVPC, vous pouvez le rendre accessible uniquement aux ressources qu'VPCil contient, ou vous pouvez associer des adresses IP élastiques et rendre votre point de terminaison accessible aux clients via Internet. Vos groupes VPC de sécurité par défaut sont automatiquement attribués à votre terminal.

Type : objet EndpointDetails

Obligatoire : non

EndpointType

Le type de point de terminaison que vous souhaitez que votre serveur utilise. Vous pouvez choisir de rendre le point de terminaison de votre serveur accessible au public (PUBLIC) ou de l'héberger dans votreVPC. Avec un point de terminaison hébergé dans unVPC, vous pouvez restreindre l'accès à votre serveur et à ses ressources uniquement VPC ou choisir de le rendre accessible à Internet en y attachant directement des adresses IP élastiques.

Note

Après le 19 mai 2021, vous ne pourrez plus créer de serveur à l'aide de EndpointType=VPC_ENDPOINT in your Compte AWS si votre compte ne l'a pas déjà fait avant le 19 mai 2021. Si vous avez déjà créé des serveurs avec EndpointType=VPC_ENDPOINT in Compte AWS your le 19 mai 2021 ou avant, vous ne serez pas concerné. Après cette date, utilisez EndpointType =VPC.

Pour de plus amples informations, veuillez consulter Cessation de l'utilisation de _ VPC ENDPOINT.

Il est recommandé d'utiliser VPC comme élément EndpointType. Avec ce type de point de terminaison, vous avez la possibilité d'associer directement jusqu'à trois IPv4 adresses élastiques (BYOIP incluses) au point de terminaison de votre serveur et d'utiliser des groupes de VPC sécurité pour restreindre le trafic en fonction de l'adresse IP publique du client. Cela n'est pas possible si EndpointType est défini sur VPC_ENDPOINT.

Type : String

Valeurs valides : PUBLIC | VPC | VPC_ENDPOINT

Obligatoire : non

HostKey

La RSAECDSA, ou clé ED25519 privée à utiliser pour votre SFTP serveur activé. Vous pouvez ajouter plusieurs clés hôtes, au cas où vous souhaiteriez faire pivoter les clés, ou disposer d'un ensemble de clés actives utilisant différents algorithmes.

Utilisez la commande suivante pour générer une clé de RSA 2048 bits sans phrase secrète :

ssh-keygen -t rsa -b 2048 -N "" -m PEM -f my-new-server-key.

Utilisez une valeur minimale de 2 048 pour l'-boption. Vous pouvez créer une clé plus forte en utilisant 3072 ou 4096.

Utilisez la commande suivante pour générer une clé de ECDSA 256 bits sans phrase secrète :

ssh-keygen -t ecdsa -b 256 -N "" -m PEM -f my-new-server-key.

Les valeurs valides pour l'-boption pour ECDSA sont 256, 384 et 521.

Utilisez la commande suivante pour générer une ED25519 clé sans phrase secrète :

ssh-keygen -t ed25519 -N "" -f my-new-server-key.

Pour toutes ces commandes, vous pouvez les remplacer my-new-server-keypar une chaîne de votre choix.

Important

Si vous ne prévoyez pas de migrer des utilisateurs existants d'un serveur SFTP compatible existant vers un nouveau serveur, ne mettez pas à jour la clé d'hôte. La modification accidentelle de la clé d'hôte d’un serveur peut être perturbante.

Pour plus d'informations, voir Mettre à jour les clés d'hôte pour votre SFTP serveur activé dans le Guide de l' AWS Transfer Family utilisateur.

Type : String

Contraintes de longueur : longueur minimum de 0. Longueur maximum de 4096.

Obligatoire : non

IdentityProviderDetails

Obligatoire lorsque IdentityProviderType le paramètre est défini surAWS_DIRECTORY_SERVICE, AWS_LAMBDA ouAPI_GATEWAY. Accepte un tableau contenant toutes les informations requises pour utiliser un répertoire AWS_DIRECTORY_SERVICE ou invoquer une authentification fournie par le clientAPI, y compris la API passerelle. URL Facultatif lorsque IdentityProviderType est défini sur SERVICE_MANAGED.

Type : objet IdentityProviderDetails

Obligatoire : non

IdentityProviderType

Le mode d'authentification pour un serveur. La valeur par défaut estSERVICE_MANAGED, ce qui vous permet de stocker et d'accéder aux informations d'identification des utilisateurs au sein du AWS Transfer Family service.

AWS_DIRECTORY_SERVICEÀ utiliser pour fournir un accès aux groupes Active Directory AWS Directory Service for Microsoft Active Directory ou à Microsoft Active Directory dans votre environnement local ou à l' AWS aide d'AD Connector. Cette option exige également que vous indiquiez un ID de répertoire en utilisant le paramètre IdentityProviderDetails.

Utilisez la valeur API_GATEWAY à intégrer au fournisseur d'identité de votre choix. Le API_GATEWAY paramètre vous oblige à fournir un point de terminaison Amazon API Gateway URL à appeler pour l'authentification à l'aide du IdentityProviderDetails paramètre.

Utilisez la AWS_LAMBDA valeur pour utiliser directement une AWS Lambda fonction comme fournisseur d'identité. Si vous choisissez cette valeur, vous devez spécifier la ARN fonction Lambda dans le Function paramètre du type de IdentityProviderDetails données.

Type : String

Valeurs valides : SERVICE_MANAGED | API_GATEWAY | AWS_DIRECTORY_SERVICE | AWS_LAMBDA

Obligatoire : non

LoggingRole

Le nom de ressource Amazon (ARN) du rôle AWS Identity and Access Management (IAM) qui permet à un serveur d'activer la CloudWatch journalisation Amazon pour Amazon S3 ou AmazonEFSevents. Lorsque cette option est configurée, vous pouvez consulter l'activité des utilisateurs dans vos CloudWatch journaux.

Type : String

Contraintes de longueur : longueur minimale de 0. Longueur maximale de 2048.

Modèle : (|arn:.*role/\S+)

Obligatoire : non

PostAuthenticationLoginBanner

Spécifie une chaîne à afficher lorsque les utilisateurs se connectent à un serveur. Cette chaîne s'affiche une fois l'utilisateur authentifié.

Note

Le SFTP protocole ne prend pas en charge les bannières d'affichage après authentification.

Type : String

Contraintes de longueur : longueur minimum de 0. Longueur maximum de 4096.

Modèle : [\x09-\x0D\x20-\x7E]*

Obligatoire : non

PreAuthenticationLoginBanner

Spécifie une chaîne à afficher lorsque les utilisateurs se connectent à un serveur. Cette chaîne est affichée avant que l'utilisateur ne s'authentifie. Par exemple, la bannière suivante affiche des informations sur l'utilisation du système :

This system is for the use of authorized users only. Individuals using this computer system without authority, or in excess of their authority, are subject to having all of their activities on this system monitored and recorded by system personnel.

Type : String

Contraintes de longueur : longueur minimum de 0. Longueur maximum de 4096.

Modèle : [\x09-\x0D\x20-\x7E]*

Obligatoire : non

ProtocolDetails

Les paramètres du protocole qui sont configurés pour votre serveur.

  • Pour indiquer le mode passif (pour FTP et FTPS protocoles), utilisez le PassiveIp paramètre. Entrez une seule adresse à quatre points, telle que IPv4 l'adresse IP externe d'un pare-feu, d'un routeur ou d'un équilibreur de charge.

  • Pour ignorer l'erreur qui est générée lorsque le client tente d'utiliser la commande SETSTAT sur un fichier que vous téléchargez vers un compartiment Amazon S3, utilisez le paramètre SetStatOption. Pour que le AWS Transfer Family serveur ignore la SETSTAT commande et télécharge les fichiers sans avoir à apporter de modifications à votre SFTP client, définissez la valeur surENABLE_NO_OP. Si vous définissez le SetStatOption paramètre surENABLE_NO_OP, Transfer Family génère une entrée de journal dans Amazon CloudWatch Logs, afin que vous puissiez déterminer à quel moment le client passe un SETSTAT appel.

  • Pour déterminer si votre AWS Transfer Family serveur reprend les sessions récemment négociées via un identifiant de session unique, utilisez le TlsSessionResumptionMode paramètre.

  • As2Transportsindique le mode de transport des AS2 messages. Actuellement, seul HTTP est pris en charge.

Type : objet ProtocolDetails

Obligatoire : non

Protocols

Spécifie le ou les protocoles de transfert de fichiers sur lesquels votre client de protocole de transfert de fichiers peut se connecter au point de terminaison de votre serveur. Les protocoles disponibles sont :

  • SFTP(Secure Shell (SSH) File Transfer Protocol) : transfert de fichiers effectué SSH

  • FTPS(Protocole de transfert de fichiers sécurisé) : transfert de fichiers avec TLS cryptage

  • FTP (Protocole de transfert de fichiers) : Transfert de fichiers non chiffré

  • AS2(Déclaration d'applicabilité 2) : utilisé pour le transport de données structurées business-to-business

Note

  • Si vous le sélectionnezFTPS, vous devez choisir un certificat stocké dans AWS Certificate Manager (ACM) qui est utilisé pour identifier votre serveur lorsque des clients s'y connectentFTPS.

  • Si Protocol comprend FTP ou FTPS, EndpointType doit être défini sur VPC, et IdentityProviderType sur AWS_DIRECTORY_SERVICE, AWS_LAMBDA ou API_GATEWAY.

  • Si Protocol inclut FTP, alors AddressAllocationIds ne peut pas être associé.

  • Si Protocol est uniquement défini sur SFTP, EndpointType peut être défini sur PUBLIC, et IdentityProviderType peut être défini comme l'un des types d'identité pris en charge : SERVICE_MANAGED, AWS_DIRECTORY_SERVICE, AWS_LAMBDA ou API_GATEWAY.

  • Si Protocol inclut AS2, alors le EndpointType doit être VPC, et le domaine doit être Amazon S3.

Type : tableau de chaînes

Membres du tableau : Nombre minimum de 1 élément. Nombre maximum de 4 articles.

Valeurs valides : SFTP | FTP | FTPS | AS2

Obligatoire : non

S3StorageOptions

Spécifie si les performances de vos annuaires Amazon S3 sont optimisées ou non. Par défaut, l'option est désactivée.

Par défaut, les mappages du répertoire de base ont la valeur TYPE deDIRECTORY. Si vous activez cette option, vous devrez alors définir explicitement la valeur sur HomeDirectoryMapEntry Type FILE si vous souhaitez qu'un mappage ait une cible de fichier.

Type : objet S3StorageOptions

Obligatoire : non

SecurityPolicyName

Spécifie le nom de la politique de sécurité attachée au serveur.

Type : String

Contraintes de longueur : longueur minimum de 0. Longueur maximum de 100.

Modèle : TransferSecurityPolicy-.+

Obligatoire : non

StructuredLogDestinations

Spécifie les groupes de journaux auxquels les journaux de votre serveur sont envoyés.

Pour spécifier un groupe de journaux, vous devez fournir le correspondant ARN à un groupe de journaux existant. Dans ce cas, le format du groupe de logs est le suivant :

arn:aws:logs:region-name:amazon-account-id:log-group:log-group-name:*

Par exemple, arn:aws:logs:us-east-1:111122223333:log-group:mytestgroup:*

Si vous avez déjà spécifié un groupe de journaux pour un serveur, vous pouvez l'effacer, et donc désactiver la journalisation structurée, en fournissant une valeur vide pour ce paramètre dans un update-server appel. Par exemple :

update-server --server-id s-1234567890abcdef0 --structured-log-destinations

Type : tableau de chaînes

Membres du tableau : nombre minimum de 0 élément. Nombre maximum de 1 élément.

Contraintes de longueur : longueur minimale de 20. Longueur maximale de 1600.

Modèle : arn:\S+

Obligatoire : non

Tags

Paires clé-valeur qui peuvent être utilisées pour regrouper et explorer les serveurs.

Type : tableau d’objets Tag

Membres du tableau : Nombre minimum de 1 élément. Nombre maximal de 50 éléments.

Obligatoire : non

WorkflowDetails

Spécifie l'ID du flux de travail à attribuer et le rôle d'exécution utilisé pour exécuter le flux de travail.

En plus d'un flux de travail à exécuter lorsqu'un fichier est complètement chargé, WorkflowDetails peut également contenir un ID de flux de travail (et un rôle d'exécution) pour un flux de travail à exécuter lors d'un chargement partiel. Un téléchargement partiel se produit lorsque la session du serveur se déconnecte alors que le fichier est toujours en cours de téléchargement.

Type : objet WorkflowDetails

Obligatoire : non

Syntaxe de la réponse

{
   "ServerId": "string"
}

Eléments de réponse

Si l'action aboutit, le service renvoie une réponse HTTP 200.

Les données suivantes sont renvoyées sous JSON forme formatée par le service.

ServerId

Identifiant attribué par le service au serveur créé.

Type : String

Contraintes de longueur : longueur fixe de 19.

Modèle : s-([0-9a-f]{17})

Erreurs

Pour plus d'informations sur les erreurs courantes pour toutes les actions, consultez Erreurs courantes.

AccessDeniedException

Vous ne disposez pas d’un accès suffisant pour effectuer cette action.

HTTPCode de statut : 400

InternalServiceError

Cette exception est levée lorsqu'une erreur se produit dans le AWS Transfer Family service.

HTTPCode de statut : 500

InvalidRequestException

Cette exception est levée lorsque le client soumet une demande mal formée.

HTTPCode de statut : 400

ResourceExistsException

La ressource demandée n'existe pas ou existe dans une région autre que celle spécifiée pour la commande.

HTTPCode de statut : 400

ResourceNotFoundException

Cette exception est levée lorsqu'aucune ressource n'est trouvée par le service AWS Transfer Family.

HTTPCode de statut : 400

ServiceUnavailableException

La demande a échoué car le service AWS Transfer Family n'est pas disponible.

HTTPCode de statut : 500

ThrottlingException

La demande a été refusée suite à une limitation des demandes.

HTTPCode de statut : 400

Exemples

Exemple

L'exemple suivant crée un nouveau serveur à l'aide d'unVPC_ENDPOINT.

Exemple de demande

{     
   "EndpointType": "VPC",
   "EndpointDetails":...,
   "HostKey": "Your RSA private key",
   "IdentityProviderDetails": "IdentityProvider",
   "IdentityProviderType": "SERVICE_MANAGED",
   "LoggingRole": "CloudWatchLoggingRole",
   "Tags": [ 
      { 
         "Key": "Name",
         "Value": "MyServer"
      }
   ]
}

Exemple

Voici un exemple de réponse pour cet API appel.

Exemple de réponse

{
   "ServerId": "s-01234567890abcdef"
}

consultez aussi

Pour plus d'informations sur son utilisation API dans l'une des langues spécifiques AWS SDKs, consultez ce qui suit :