Konfigurasikan penyimpanan untuk digunakan AWS Transfer Family - AWS Transfer Family
Konfigurasikan bucket Amazon S3Konfigurasikan sistem EFS file Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan penyimpanan untuk digunakan AWS Transfer Family

Topik ini menjelaskan opsi penyimpanan yang dapat Anda gunakan AWS Transfer Family. Anda dapat menggunakan Amazon S3 atau Amazon EFS sebagai penyimpanan untuk server Transfer Family Anda.

Konfigurasikan bucket Amazon S3

AWS Transfer Family mengakses bucket Amazon S3 untuk melayani permintaan transfer pengguna, jadi Anda perlu menyediakan bucket Amazon S3 sebagai bagian dari pengaturan server yang mendukung protokol transfer file Anda. Anda dapat menggunakan bucket yang sudah ada, atau Anda dapat membuat yang baru.

catatan

Anda tidak harus menggunakan server dan bucket Amazon S3 yang berada di AWS Wilayah yang sama, tetapi kami merekomendasikan ini sebagai praktik terbaik.

Saat Anda mengatur pengguna, Anda menetapkan masing-masing IAM peran kepada mereka. Peran ini menentukan tingkat akses yang mereka miliki ke bucket Amazon S3 Anda.

Untuk informasi tentang cara membuat bucket baru, lihat Bagaimana cara membuat bucket S3? di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

catatan

Anda dapat menggunakan Amazon S3 Object Lock untuk mencegah objek ditimpa untuk jangka waktu yang tetap atau tanpa batas waktu. Ini bekerja dengan cara yang sama dengan Transfer Family seperti layanan lainnya. Jika suatu objek ada dan dilindungi, menulis ke file itu atau menghapusnya tidak diperbolehkan. Untuk detail selengkapnya tentang Kunci Objek Amazon S3, lihat Menggunakan Kunci Objek Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Titik akses Amazon S3

AWS Transfer Family mendukung Poin Akses Amazon S3, fitur Amazon S3 yang memungkinkan Anda mengelola akses granular ke kumpulan data bersama dengan mudah. Anda dapat menggunakan alias S3 Access Point di mana pun Anda menggunakan nama bucket S3. Anda dapat membuat ratusan titik akses di Amazon S3 untuk pengguna yang memiliki izin berbeda untuk mengakses data bersama di bucket Amazon S3.

Misalnya, Anda dapat menggunakan titik akses untuk memungkinkan tiga tim berbeda memiliki akses ke kumpulan data bersama yang sama di mana satu tim dapat membaca data dari S3, tim kedua dapat menulis data ke S3, dan tim ketiga dapat membaca, menulis, dan menghapus data dari S3. Untuk menerapkan kontrol akses granular seperti yang disebutkan di atas, Anda dapat membuat titik akses S3 yang berisi kebijakan yang memberikan akses asimetris ke tim yang berbeda. Anda dapat menggunakan titik akses S3 dengan server Transfer Family Anda untuk mencapai kontrol akses yang halus, tanpa membuat kebijakan bucket S3 kompleks yang mencakup ratusan kasus penggunaan. Untuk mempelajari lebih lanjut tentang cara menggunakan titik akses S3 dengan server Transfer Family, lihat Tingkatkan kontrol akses data dengan AWS Transfer Family dan posting blog Amazon S3.

catatan

AWS Transfer Family saat ini tidak mendukung Titik Akses Multi-Wilayah Amazon S3.

Perilaku Amazon S3 HeadObject

catatan

Saat membuat atau memperbarui server Transfer Family, Anda dapat mengoptimalkan kinerja untuk direktori Amazon S3, yang menghilangkan panggilan. HeadObject

Di Amazon S3, bucket dan objek adalah sumber daya utama, dan objek disimpan dalam bucket. Amazon S3 dapat meniru sistem file hierarkis, tetapi terkadang dapat berperilaku berbeda dari sistem file biasa. Misalnya, direktori bukan konsep kelas satu di Amazon S3 tetapi didasarkan pada kunci objek. AWS Transfer Family menyimpulkan jalur direktori dengan memisahkan kunci objek dengan karakter garis miring maju (/), memperlakukan elemen terakhir sebagai nama file, lalu mengelompokkan nama file yang memiliki awalan yang sama bersama-sama di bawah jalur yang sama. Objek nol-byte dibuat untuk mewakili jalur folder saat Anda membuat direktori kosong menggunakan mkdir atau dengan menggunakan konsol Amazon S3. Kunci untuk benda-benda ini berakhir dengan garis miring ke depan. Objek nol-byte ini dijelaskan dalam Mengatur objek di konsol Amazon S3 menggunakan folder di Panduan Pengguna Amazon S3.

Saat Anda menjalankan ls perintah, dan beberapa hasilnya adalah objek zero-byte Amazon S3 (objek ini memiliki kunci yang diakhiri dengan karakter garis miring ke depan), Transfer Family mengeluarkan HeadObject permintaan untuk masing-masing objek ini (lihat di Referensi Layanan Penyimpanan Sederhana Amazon untuk HeadObjectdetailnya). API Hal ini dapat mengakibatkan masalah berikut saat menggunakan Amazon S3 sebagai penyimpanan Anda dengan Transfer Family.

Memberikan kemampuan untuk hanya menulis dan membuat daftar file

Dalam beberapa kasus, Anda mungkin hanya ingin menawarkan akses tulis ke objek Amazon S3 Anda. Misalnya, Anda mungkin ingin menyediakan akses untuk menulis (atau mengunggah) dan mencantumkan objek dalam ember, tetapi tidak untuk membaca (mengunduh) objek. Untuk melakukan ls dan mkdir memerintahkan dengan menggunakan klien transfer file, Anda harus memiliki Amazon S3 ListObjects dan PutObject izin. Namun, ketika Transfer Family perlu melakukan HeadObject panggilan untuk menulis atau membuat daftar file, panggilan gagal dengan kesalahan Akses ditolak, karena panggilan ini memerlukan GetObject izin.

catatan

Saat membuat atau memperbarui server Transfer Family, Anda dapat mengoptimalkan kinerja untuk direktori Amazon S3, yang menghilangkan panggilan. HeadObject

Dalam hal ini, Anda dapat memberikan akses dengan menambahkan kondisi kebijakan AWS Identity and Access Management (IAM) yang menambahkan GetObject izin hanya untuk objek yang diakhiri dengan garis miring (/). Kondisi ini mencegah GetObject panggilan pada file (sehingga tidak dapat dibaca), tetapi memungkinkan pengguna untuk membuat daftar dan melintasi folder. Kebijakan contoh berikut hanya menawarkan akses tulis dan daftar ke bucket Amazon S3 Anda. Untuk menggunakan kebijakan ini, ganti DOC-EXAMPLE-BUCKET dengan nama bucket Anda.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowListing",
            "Effect": "Allow",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
        },
        {
            "Sid": "AllowReadWrite",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
         },
      {
            "Sid": "DenyIfNotFolder",
            "Effect": "Deny",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "NotResource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*/"
            ]
         }
      ]
}
catatan

Kebijakan ini tidak mengizinkan pengguna untuk menambahkan file. Dengan kata lain, pengguna yang diberi kebijakan ini tidak dapat membuka file untuk menambahkan konten ke dalamnya, atau memodifikasinya. Selain itu, jika kasus penggunaan Anda memerlukan HeadObject panggilan sebelum mengunggah file, kebijakan ini tidak akan berfungsi untuk Anda.

Sejumlah besar objek nol-byte menyebabkan masalah latensi

Jika bucket Amazon S3 Anda berisi sejumlah besar objek nol-byte ini, Transfer Family mengeluarkan banyak panggilan, yang dapat mengakibatkan HeadObject penundaan pemrosesan.

Salah satu solusi yang mungkin untuk masalah ini adalah menghapus semua objek zero-byte Anda. Perhatikan hal berikut:

  • Direktori kosong tidak akan ada lagi. Direktori hanya ada karena nama mereka berada di kunci suatu objek.

  • Tidak mencegah seseorang menelepon mkdir dan merusak semuanya lagi. Anda dapat mengurangi ini dengan membuat kebijakan yang mencegah pembuatan direktori.

  • Beberapa skenario menggunakan objek 0-byte ini. Misalnya, Anda memiliki struktur seperti /inboxes/customer1000 dan direktori kotak masuk dibersihkan setiap hari.

Solusi lain yang mungkin adalah membatasi jumlah objek yang terlihat melalui kondisi kebijakan untuk mengurangi jumlah HeadObject panggilan. Agar ini menjadi solusi yang bisa diterapkan, Anda harus menerima bahwa Anda mungkin hanya dapat melihat sekumpulan terbatas semua sub-direktori Anda.

Konfigurasikan sistem EFS file Amazon

AWS Transfer Family mengakses Amazon Elastic File System (AmazonEFS) untuk melayani permintaan transfer pengguna Anda. Jadi, Anda harus menyediakan sistem EFS file Amazon sebagai bagian dari pengaturan server yang mendukung protokol transfer file Anda. Anda dapat menggunakan sistem file yang ada, atau Anda dapat membuat yang baru.

Perhatikan hal berikut:

  • Saat Anda menggunakan server Transfer Family dan sistem EFS file Amazon, server dan sistem file harus sama Wilayah AWS.

  • Server dan sistem file tidak perlu berada di akun yang sama. Jika server dan sistem file tidak berada dalam akun yang sama, kebijakan sistem file harus memberikan izin eksplisit untuk peran pengguna.

    Untuk informasi tentang cara menyiapkan beberapa akun, lihat Mengelola AWS akun di organisasi Anda di Panduan AWS Organizations Pengguna.

  • Saat Anda mengatur pengguna, Anda menetapkan masing-masing IAM peran kepada mereka. Peran ini menentukan tingkat akses yang mereka miliki ke sistem EFS file Amazon Anda.

  • Untuk detail tentang pemasangan sistem EFS file Amazon, lihat Memasang sistem EFS file Amazon.

Untuk detail selengkapnya tentang cara AWS Transfer Family dan Amazon EFS bekerja sama, lihat Menggunakan AWS Transfer Family untuk mengakses file di sistem EFS file Amazon Anda di Panduan Pengguna Amazon Elastic File System.

Kepemilikan EFS file Amazon

Amazon EFS menggunakan model izin file Antarmuka Sistem Operasi Portabel (POSIX) untuk mewakili kepemilikan file.

DalamPOSIX, pengguna dalam sistem dikategorikan ke dalam tiga kelas izin yang berbeda: Ketika Anda mengizinkan pengguna untuk mengakses file yang disimpan dalam sistem EFS file Amazon menggunakan AWS Transfer Family, Anda harus menetapkan mereka “POSIXprofil.” Profil ini digunakan untuk menentukan akses mereka ke file dan direktori di sistem EFS file Amazon.

  • User (u): Pemilik file atau direktori. Biasanya, pencipta file atau direktori juga pemiliknya.

  • Grup (g): Kumpulan pengguna yang membutuhkan akses identik ke file dan direktori yang mereka bagikan.

  • Lainnya (o): Semua pengguna lain yang memiliki akses ke sistem kecuali pemilik dan anggota grup. Kelas izin ini juga disebut sebagai “Publik.”

Dalam model POSIX izin, setiap objek sistem file (file, direktori, tautan simbolis, pipa bernama, dan soket) dikaitkan dengan tiga set izin yang disebutkan sebelumnya. EFSObjek Amazon memiliki mode gaya Unix yang terkait dengannya. Nilai mode ini mendefinisikan izin untuk melakukan tindakan pada objek tersebut.

Selain itu, pada sistem bergaya Unix, pengguna dan grup dipetakan ke pengidentifikasi numerik, yang digunakan EFS Amazon untuk mewakili kepemilikan file. Untuk AmazonEFS, objek dimiliki oleh satu pemilik dan satu grup. Amazon EFS menggunakan numerik yang IDs dipetakan untuk memeriksa izin saat pengguna mencoba mengakses objek sistem file.

Mengatur EFS pengguna Amazon untuk Transfer Family

Sebelum mengatur EFS pengguna Amazon, Anda dapat melakukan salah satu hal berikut:

catatan

Server Transfer Family tidak mendukung EFS jalur akses Amazon untuk menetapkan POSIX izin. POSIXProfil pengguna Transfer Family (dijelaskan di bagian sebelumnya) menawarkan kemampuan untuk mengatur izin. POSIX Izin ini ditetapkan pada tingkat pengguna, untuk akses granular, berdasarkan UIDGID, dan sekunder. GIDs

Konfigurasikan pengguna Transfer Family di Amazon EFS

Transfer Family memetakan pengguna ke yang UID/GID and directories you specify. If the UID/GID/directories belum adaEFS, maka Anda harus membuatnya sebelum menetapkannya di Transfer ke pengguna. Detail untuk membuat EFS pengguna Amazon dijelaskan dalam Bekerja dengan pengguna, grup, dan izin di Tingkat Sistem File Jaringan (NFS) di Panduan Pengguna Amazon Elastic File System.

Langkah-langkah untuk mengatur EFS pengguna Amazon di Transfer Family

  1. Petakan EFS UID dan GID untuk pengguna Anda di Transfer Family menggunakan PosixProfilebidang.

  2. Jika Anda ingin pengguna memulai di folder tertentu saat login, Anda dapat menentukan EFS direktori di bawah HomeDirectorybidang.

Anda dapat mengotomatiskan proses, dengan menggunakan CloudWatch aturan dan fungsi Lambda. Sebagai contoh, fungsi Lambda yang berinteraksi dengannyaEFS, lihat Menggunakan Amazon EFS untuk AWS Lambda aplikasi tanpa server Anda.

Selain itu, Anda dapat mengonfigurasi direktori logis untuk pengguna Transfer Family Anda. Untuk detailnya, lihat Konfigurasikan direktori logis untuk Amazon EFS bagian dalam Menggunakan direktori logis untuk menyederhanakan struktur direktori Transfer Family topik.

Buat pengguna EFS root Amazon

Jika organisasi Anda merasa nyaman bagi Anda untuk mengaktifkan akses pengguna root viaSFTP/FTPSuntuk konfigurasi pengguna Anda, Anda dapat membuat pengguna GID yang 0 (pengguna root), lalu gunakan pengguna root itu untuk membuat folder dan menetapkan pemilik POSIX ID untuk pengguna lainnya. UID Keuntungan dari opsi ini adalah tidak perlu memasang sistem EFS file Amazon.

Lakukan langkah-langkah yang dijelaskan dalamMenambahkan pengguna yang EFS dikelola layanan Amazon, dan untuk ID Pengguna dan ID Grup, masukkan 0 (nol).

EFSPerintah Amazon yang didukung

Perintah berikut didukung untuk Amazon EFS untuk AWS Transfer Family.

  • cd

  • ls/dir

  • pwd

  • put

  • get

  • rename

  • chown: Hanya root (yaitu, pengguna dengan uid=0) yang dapat mengubah kepemilikan dan izin file dan direktori.

  • chmod: Hanya root yang dapat mengubah kepemilikan dan izin file dan direktori.

  • chgrp: Didukung baik untuk root atau untuk pemilik file yang hanya dapat mengubah grup file menjadi salah satu grup sekunder mereka.

  • ln -s/symlink

  • mkdir

  • rm/delete

  • rmdir

  • chmtime