Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Prerequisiti
Le sezioni seguenti descrivono i prerequisiti richiesti per utilizzare il AWS Transfer Family servizio. Come minimo, devi creare un bucket Amazon Simple Storage Service (Amazon S3) e fornire l'accesso a quel bucket tramite AWS Identity and Access Management un ruolo (IAM). Il ruolo deve inoltre stabilire una relazione di trust. Questa relazione di fiducia consente a Transfer Family di assumere il ruolo IAM per accedere al tuo bucket in modo che possa soddisfare le richieste di trasferimento di file degli utenti.
Per informazioni sul IPv6 supporto per AWS Transfer Family i server, consulta il [IPv6 supporto per i server Transfer Family](ipv6-support.md) capitolo Gestione dei server.
**Topics**
+ [AWS Regioni, endpoint e quote supportati per i server Transfer Family](#regions)
+ [Iscriviti per AWS](requirements-aws-signup.md)
+ [Configurare lo storage da utilizzare con i server AWS Transfer Family](configure-storage.md)
+ [Crea un ruolo e una policy IAM](requirements-roles.md)
## AWS Regioni, endpoint e quote supportati per i server Transfer Family
Per connettersi a livello di codice a un AWS servizio, si utilizza un endpoint. Ad esempio, l'endpoint per i clienti nella regione Stati Uniti orientali (Ohio) (), è. `us-east-2` `transfer.us-east-2.amazonaws.com` Le quote di servizio, a cui si fa riferimento anche come limiti, rappresentano il numero massimo di risorse di servizio o operazioni per l’ Account AWS. In questa guida, puoi trovare le quote in e. [AS2 quote](create-b2b-server.md#as2-quotas) [Quote per i connettori SFTP](scale-and-limits-sftp-connector.md#limits-sftp-connector)
Per ulteriori informazioni sulle AWS regioni, gli endpoint e le quote di servizio supportati, consulta [AWS Transfer Family endpoint e](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html) quote nel. *Riferimenti generali di Amazon Web Services*
Per le app web Transfer Family, le regioni supportate sono elencate in[Regioni AWS per le app web Transfer Family](web-app.md#webapp-regions). Per le quote relative alle app web Transfer Family, vedi. [Quote per le app Web](webapp-end-users.md#end-user-quotas)
# Iscriviti per AWS
Quando ti registri ad Amazon Web Services (AWS), il tuo AWS account viene automaticamente registrato per tutti i servizi in AWS, inclusi AWS Transfer Family. Ti vengono addebitati solo i servizi che utilizzi.
Se hai già un AWS account, passa all'attività successiva. Se non disponi di un account AWS , utilizza la seguente procedura per crearne uno.
Se non ne possiedi uno Account AWS, completa i seguenti passaggi per crearne uno.
**Per iscriverti a un Account AWS**
1. Apri la [https://portal.aws.amazon.com/billing/registrazione.](https://portal.aws.amazon.com/billing/signup)
1. Segui le istruzioni online.
Nel corso della procedura di registrazione riceverai una telefonata o un messaggio di testo e ti verrà chiesto di inserire un codice di verifica attraverso la tastiera del telefono.
Quando ti iscrivi a un Account AWS, *Utente root dell'account AWS*viene creato un. L’utente root dispone dell’accesso a tutte le risorse e tutti i Servizi AWS nell’account. Come best practice di sicurezza, assegna l’accesso amministrativo a un utente e utilizza solo l’utente root per eseguire [attività che richiedono l’accesso di un utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).
Per informazioni sui prezzi e da utilizzare per Calcolatore dei prezzi AWS ottenere una stima del costo di utilizzo di Transfer Family, consulta [AWS Transfer Family i prezzi](https://aws.amazon.com/sftp/pricing/).
Per informazioni sulla disponibilità AWS regionale, consulta gli [AWS Transfer Family endpoint e le quote](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) nel. *Riferimenti generali di AWS*
# Configurare lo storage da utilizzare con i server AWS Transfer Family
Questo argomento descrive le opzioni di archiviazione che è possibile utilizzare AWS Transfer Family. Puoi utilizzare Amazon S3 o Amazon EFS come storage per i server Transfer Family.
**Contents**
+ [Configurazione di un bucket Amazon S3](#requirements-S3)
+ [Punti di accesso Amazon S3](#access-points)
+ [Comportamento di Amazon S3 HeadObject](#head-object-behavior)
+ [Concedi la possibilità di scrivere ed elencare solo file](#headobject-access-denied)
+ [Un gran numero di oggetti a zero byte che causano problemi di latenza](#headobject-latency)
+ [Configurazione di un file system Amazon EFS](#requirements-efs)
+ [Proprietà dei file Amazon EFS](#efs-file-ownership)
+ [Configurazione degli utenti Amazon EFS per Transfer Family](#configure-efs-users-permissions)
+ [Configurazione degli utenti Transfer Family su Amazon EFS](#set-up-efs-home-folders)
+ [Crea un utente root Amazon EFS](#create-root-user-efs)
+ [Comandi Amazon EFS supportati](#efs-commands)
## Configurazione di un bucket Amazon S3
AWS Transfer Family accede al tuo bucket Amazon S3 per soddisfare le richieste di trasferimento degli utenti, quindi devi fornire un bucket Amazon S3 come parte della configurazione del server abilitato al protocollo di trasferimento file. Puoi utilizzare un bucket esistente o crearne uno nuovo.
**Nota**
Non è necessario utilizzare un server e un bucket Amazon S3 che si trovano nella stessa AWS regione, ma consigliamo questa procedura come best practice.
Quando configuri i tuoi utenti, assegni a ciascuno di loro un ruolo IAM. Questo ruolo determina il livello di accesso che hanno al tuo bucket Amazon S3.
Per informazioni sulla creazione di un nuovo bucket, vedi [Come si crea un bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket-overview.html)? nella *Guida per l'utente di Amazon Simple Storage Service*.
**Nota**
Puoi usare Amazon S3 Object Lock per impedire che gli oggetti vengano sovrascritti per un periodo di tempo fisso o indefinitamente. Funziona allo stesso modo con Transfer Family come con altri servizi. Se un oggetto esiste ed è protetto, non è consentito scriverlo o eliminarlo. Per ulteriori dettagli su Amazon S3 Object Lock, consulta [Using Amazon S3 Object Lock nella Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/object-lock.html) *Storage Service User* Guide.
### Punti di accesso Amazon S3
AWS Transfer Family supporta [Amazon S3 Access Points](https://aws.amazon.com/s3/features/access-points/), una funzionalità di Amazon S3 che consente di gestire facilmente l'accesso granulare ai set di dati condivisi. Puoi utilizzare gli alias di S3 Access Point ovunque utilizzi un nome di bucket S3. Puoi creare centinaia di punti di accesso in Amazon S3 per utenti che dispongono di autorizzazioni diverse per accedere ai dati condivisi in un bucket Amazon S3.
Ad esempio, puoi utilizzare i punti di accesso per consentire a tre team diversi di accedere allo stesso set di dati condiviso, in cui un team può leggere i dati da S3, un secondo team può scrivere dati su S3 e il terzo team può leggere, scrivere ed eliminare dati da S3. Per implementare un controllo granulare degli accessi come indicato sopra, puoi creare un punto di accesso S3 che contenga una policy che fornisca un accesso asimmetrico a diversi team. Puoi utilizzare gli access point S3 con il tuo server Transfer Family per ottenere un controllo granulare degli accessi, senza creare una complessa policy sui bucket S3 che copra centinaia di casi d'uso. Per ulteriori informazioni su come utilizzare gli access point S3 con un server Transfer Family, consulta il post di blog [Enhance data access control with AWS Transfer Family and Amazon](https://aws.amazon.com/blogs/storage/enhance-data-access-control-with-aws-transfer-family-and-amazon-s3-access-points/) S3.
**Nota**
AWS Transfer Family attualmente non supporta punti di accesso multiregionali Amazon S3.
### Comportamento di Amazon S3 HeadObject
**Nota**
Quando crei o aggiorni un server Transfer Family, puoi ottimizzare le prestazioni per le tue directory Amazon S3, eliminando le chiamate. `HeadObject`
In Amazon S3 bucket e oggetti sono le risorse primarie e gli oggetti sono archiviati nei bucket. Amazon S3 può simulare un file system gerarchico, ma a volte può comportarsi in modo diverso rispetto a un file system tipico. Ad esempio, le directory non sono un concetto di prima classe in Amazon S3, ma si basano invece su chiavi oggetto. AWS Transfer Family deduce il percorso di una directory dividendo la chiave di un oggetto con il carattere barra (**/**), trattando l'ultimo elemento come nome del file, quindi raggruppando i nomi di file che hanno lo stesso prefisso nello stesso percorso. Gli oggetti a byte zero vengono creati per rappresentare il percorso di una cartella quando crei una directory vuota utilizzando `mkdir` o utilizzando la console Amazon S3. La chiave per questi oggetti termina con una barra finale. *Questi oggetti a zero byte sono descritti in [Organizing objects in the Amazon S3 console using folders nella Amazon S3 User](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html) Guide.*
Quando esegui un `ls` comando e alcuni risultati sono oggetti Amazon S3 a zero byte (questi oggetti hanno chiavi che terminano con il carattere barra), Transfer Family invia una `HeadObject` richiesta per ciascuno di questi oggetti (consulta il riferimento all'API di *Amazon [HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)Simple Storage Service* per i dettagli). Ciò può causare i seguenti problemi quando si utilizza Amazon S3 come storage con Transfer Family.
#### Concedi la possibilità di scrivere ed elencare solo file
In alcuni casi, potresti voler offrire solo l'accesso in scrittura ai tuoi oggetti Amazon S3. Ad esempio, potresti voler fornire l'accesso per scrivere (o caricare) ed elencare oggetti in un bucket, ma non per leggere (scaricare) oggetti. Per eseguire `mkdir` comandi utilizzando `ls` i client di trasferimento file, devi disporre di Amazon S3 `ListObjects` e `PutObject` delle autorizzazioni. Tuttavia, quando Transfer Family deve effettuare una `HeadObject` chiamata per scrivere o elencare file, la chiamata fallisce con un errore di **Accesso negato**, poiché questa chiamata richiede l'`GetObject`autorizzazione.
**Nota**
Quando crei o aggiorni un server Transfer Family, puoi ottimizzare le prestazioni per le tue directory Amazon S3, eliminando le chiamate. `HeadObject`
In questo caso, puoi concedere l'accesso aggiungendo una condizione di policy AWS Identity and Access Management (IAM) che aggiunge l'`GetObject`autorizzazione solo per gli oggetti che terminano con una barra (). `/` Questa condizione impedisce `GetObject` le chiamate ai file (in modo che non possano essere letti), ma consente all'utente di elencare e attraversare le cartelle. La seguente policy di esempio offre solo l'accesso in scrittura ed elenco ai bucket Amazon S3. Per utilizzare questa policy, sostituiscila `amzn-s3-demo-bucket` con il nome del tuo bucket.
**Nota**
Per risolvere il problema del comportamento di caricamento di WinSCP, assicurati di aggiungere la `"arn:aws:s3:::amzn-s3-demo-bucket/*.filepart"` riga elencata nella seguente politica di esempio. Questa riga garantisce la corretta gestione degli oggetti.filepart per evitare errori.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowListing",
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
},
{
"Sid": "AllowReadWrite",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectVersion"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
{
"Sid": "DenyIfNotFolder",
"Effect": "Deny",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion"
],
"NotResource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*/",
"arn:aws:s3:::amzn-s3-demo-bucket/*.filepart"
]
}
]
}
```
**Nota**
Questa politica non consente agli utenti di aggiungere file. In altre parole, un utente a cui viene assegnata questa politica non può aprire file per aggiungervi contenuto o modificarli. Inoltre, se il tuo caso d'uso richiede una `HeadObject` chiamata prima di caricare un file, questa politica non funzionerà per te.
#### Un gran numero di oggetti a zero byte che causano problemi di latenza
Se i bucket Amazon S3 contengono un gran numero di questi oggetti a zero byte, Transfer Family emette molte chiamate, il che può causare `HeadObject` ritardi nell'elaborazione. **La soluzione consigliata per questo problema è abilitare Optimized Directories per ridurre la latenza.**
Si supponga, ad esempio, di accedere alla propria home directory e di disporre di 10.000 sottodirectory. In altre parole, il tuo bucket Amazon S3 ha 10.000 cartelle. In questo scenario, se si esegue il comando `ls` (list), l'operazione list richiede dai sei agli otto minuti. Tuttavia, se si ottimizzano le directory, questa operazione richiede solo pochi secondi. È possibile impostare questa opzione nella schermata **Configura dettagli aggiuntivi** durante la procedura di creazione o aggiornamento del server. Queste procedure sono descritte in dettaglio nell'[Configurazione di un endpoint server SFTP, FTPS o FTP](sftp-for-transfer-family.md)argomento.
**Nota**
I client GUI possono emettere un `ls` comando che sfugge al controllo dell'utente, quindi è importante abilitare questa impostazione, se possibile.
Se non riuscite o non riuscite a ottimizzare le vostre directory, una soluzione alternativa a questo problema consiste nell'eliminare tutti gli oggetti a zero byte. Tenere presente quanto segue:
+ Le cartelle vuote non esisteranno più. Le directory esistono solo perché i loro nomi sono nella chiave di un oggetto.
+ Non impedisce a qualcuno di chiamare `mkdir` e rompere nuovamente le cose. È possibile mitigare questo problema creando una politica che impedisca la creazione di directory.
+ Alcuni scenari utilizzano questi oggetti da 0 byte. Ad esempio, hai una struttura come **/inboxes/customer1000** e la directory della posta in arrivo viene pulita ogni giorno.
Infine, un'altra soluzione possibile è limitare il numero di oggetti visibili attraverso una condizione politica per ridurre il numero di chiamate. `HeadObject` Affinché questa sia una soluzione praticabile, devi accettare il fatto che potresti essere in grado di visualizzare solo un insieme limitato di tutte le tue sottodirectory.
## Configurazione di un file system Amazon EFS
AWS Transfer Family accede ad Amazon Elastic File System (Amazon EFS) per soddisfare le richieste di trasferimento degli utenti. Pertanto, è necessario fornire un file system Amazon EFS come parte della configurazione del server abilitato al protocollo di trasferimento file. Puoi utilizzare un file system esistente o crearne uno nuovo.
Tenere presente quanto segue:
+ Quando utilizzi un server Transfer Family e un file system Amazon EFS, il server e il file system devono trovarsi nello stesso sistema Regione AWS.
+ Il server e il file system non devono necessariamente avere lo stesso account. Se il server e il file system non si trovano nello stesso account, la politica del file system deve fornire un'autorizzazione esplicita al ruolo utente.
Per informazioni su come configurare più account, consulta [Gestione degli AWS account nell'organizzazione nella](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html) *Guida per l'AWS Organizations utente*.
+ Quando configuri i tuoi utenti, assegni a ciascuno di loro un ruolo IAM. Questo ruolo determina il livello di accesso che hanno al tuo file system Amazon EFS.
+ Per dettagli sul montaggio di un file system Amazon EFS, consulta [Mounting Amazon EFS file system](https://docs.aws.amazon.com//efs/latest/ug/mounting-fs.html).
Per ulteriori dettagli sulla collaborazione con AWS Transfer Family Amazon EFS, consulta [Using AWS Transfer Family to access files in your Amazon EFS file system](https://docs.aws.amazon.com//efs/latest/ug/using-aws-transfer-integration.html) nella *Amazon Elastic File System User Guide*.
### Proprietà dei file Amazon EFS
Amazon EFS utilizza il modello di autorizzazione dei file POSIX (Portable Operating System Interface) per rappresentare la proprietà dei file.
In POSIX, gli utenti del sistema sono classificati in tre classi di autorizzazione distinte: quando consenti a un utente di accedere ai file archiviati in un file system Amazon EFS utilizzando AWS Transfer Family, devi assegnargli un «profilo POSIX». Questo profilo viene utilizzato per determinare il loro accesso a file e directory nel file system Amazon EFS.
+ Utente (u): proprietario del file o della directory. Di solito, il creatore di un file o di una directory ne è anche il proprietario.
+ Gruppo (g): insieme di utenti che necessitano di un accesso identico ai file e alle directory che condividono.
+ Altri (o): tutti gli altri utenti che hanno accesso al sistema ad eccezione del proprietario e dei membri del gruppo. Questa classe di autorizzazione viene anche chiamata «Pubblica».
Nel modello di autorizzazione POSIX, ogni oggetto del file system (file, directory, link simbolici, named pipe e socket) è associato ai tre set di permessi precedentemente menzionati. Agli oggetti Amazon EFS è associata una modalità in stile UNIX. Questo valore di modalità definisce le autorizzazioni per l'esecuzione di azioni su quell'oggetto.
Inoltre, sui sistemi in stile Unix, utenti e i gruppi sono mappati a identificatori numerici, che sono impiegati da Amazon EFS per rappresentare la proprietà dei file. Per Amazon EFS, gli oggetti sono di proprietà di un singolo proprietario e di un singolo gruppo. Amazon EFS utilizza il codice numerico mappato IDs per verificare le autorizzazioni quando un utente tenta di accedere a un oggetto del file system.
### Configurazione degli utenti Amazon EFS per Transfer Family
Prima di configurare gli utenti Amazon EFS, puoi eseguire una delle seguenti operazioni:
+ Puoi creare utenti e configurare le loro cartelle home in Amazon EFS. Per informazioni dettagliate, vedi [Configurazione degli utenti Transfer Family su Amazon EFS](#set-up-efs-home-folders).
+ Se ti senti a tuo agio nell'aggiungere un utente root, puoi farlo[Crea un utente root Amazon EFS](#create-root-user-efs).
**Nota**
I server Transfer Family non supportano i punti di accesso Amazon EFS per impostare le autorizzazioni POSIX. I profili POSIX degli utenti di Transfer Family (descritti nella sezione precedente) offrono la possibilità di impostare i permessi POSIX. Queste autorizzazioni sono impostate a livello di utente, per un accesso granulare, in base a UID, GID e secondarie. GIDs
#### Configurazione degli utenti Transfer Family su Amazon EFS
Transfer Family mappa gli utenti alle directory UID/GID e specificate. Se UID/GID/directories non esistono già in EFS, è necessario crearli prima di assegnarli in Transfer a un utente. I dettagli per la creazione di utenti Amazon EFS sono descritti in [Lavorare con utenti, gruppi e autorizzazioni a livello di Network File System (NFS)](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs-nfs-permissions.html) nella *Amazon Elastic File System User* Guide.
**Passaggi per configurare gli utenti Amazon EFS in Transfer Family**
1. Mappa l'UID e il GID EFS per il tuo utente in Transfer Family utilizzando i [https://docs.aws.amazon.com/transfer/latest/APIReference/API_PosixProfile.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_PosixProfile.html)campi.
1. Se desideri che l'utente inizi in una cartella specifica al momento dell'accesso, puoi specificare la directory EFS sotto il [https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html#TransferFamily-CreateUser-request-HomeDirectory](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html#TransferFamily-CreateUser-request-HomeDirectory)campo.
È possibile automatizzare il processo utilizzando una CloudWatch regola e una funzione Lambda. Per un esempio di funzione Lambda che interagisce con EFS, consulta Using [Amazon EFS for AWS Lambda in your](https://aws.amazon.com/blogs/compute/using-amazon-efs-for-aws-lambda-in-your-serverless-applications) serverless application.
Inoltre, puoi configurare le directory logiche per gli utenti di Transfer Family. Per i dettagli, consulta la [Configurazione di directory logiche per Amazon EFS](logical-dir-mappings.md#logical-dir-efs) sezione dell'[Utilizzo di directory logiche per semplificare le strutture di directory Transfer Family](logical-dir-mappings.md)argomento.
#### Crea un utente root Amazon EFS
Se la tua organizzazione ritiene opportuno abilitare l'accesso come utente root SFTP/FTPS per la configurazione degli utenti, puoi creare un utente con UID e GID pari a 0 (utente root), quindi utilizzare quell'utente root per creare cartelle e assegnare i proprietari degli ID POSIX agli altri utenti. Il vantaggio di questa opzione è che non è necessario montare il file system Amazon EFS.
Esegui i passaggi descritti in e[Aggiungere utenti gestiti dal servizio Amazon EFS](service-managed-users.md#add-efs-user), sia per l'ID utente che per l'ID del gruppo, inserisci 0 (zero).
**Suggerimento**
Non lasciate che questo account superutente esista più a lungo del necessario. Oppure, se mantieni l'account utente root, assicurati di mantenerlo ben protetto.
### Comandi Amazon EFS supportati
I seguenti comandi sono supportati per Amazon EFS for AWS Transfer Family.
+ `cd`
+ `ls`/`dir`
+ `pwd`
+ `put`
+ `get`
+ `rename`
+ `chown`: Solo i root (ovvero gli utenti con uid=0) possono modificare la proprietà e le autorizzazioni di file e directory.
+ `chmod`: Solo root può modificare la proprietà e le autorizzazioni di file e directory.
+ `chgrp`: Supportato sia per root che per il proprietario del file, che può solo modificare il gruppo di file in uno dei propri gruppi secondari.
+ `ln -s`/`symlink`
+ `mkdir`
+ `rm`/`delete`
+ `rmdir`
+ `chmtime`
# Crea un ruolo e una policy IAM
Questo argomento descrive i tipi di politiche e ruoli che è possibile utilizzare e illustra il processo di creazione di un ruolo utente. AWS Transfer Family Descrive inoltre come funzionano i criteri di sessione e fornisce un esempio di ruolo utente.
AWS Transfer Family utilizza i seguenti tipi di ruoli:
+ **Ruolo utente**: consente agli utenti gestiti dal servizio di accedere alle risorse Transfer Family necessarie. AWS Transfer Family assume questo ruolo nel contesto dell'ARN di un utente Transfer Family.
+ **Ruolo** di accesso: fornisce l'accesso solo ai file Amazon S3 che vengono trasferiti. Per AS2 i trasferimenti in entrata, il ruolo di accesso utilizza l'Amazon Resource Name (ARN) per l'accordo. Per AS2 i trasferimenti in uscita, il ruolo di accesso utilizza l'ARN per il connettore.
+ **Ruolo di chiamata**: da utilizzare con Amazon API Gateway come provider di identità personalizzato del server. Transfer Family assume questo ruolo nel contesto di un ARN del server Transfer Family.
+ **Ruolo di registrazione**: utilizzato per registrare le voci in Amazon CloudWatch. Transfer Family utilizza questo ruolo per registrare i dettagli relativi al successo e all'errore insieme alle informazioni sui trasferimenti di file. Transfer Family assume questo ruolo nel contesto di un ARN del server Transfer Family. Per AS2 i trasferimenti in uscita, il ruolo di registrazione utilizza il connettore ARN.
+ **Ruolo di esecuzione**: consente a un utente Transfer Family di chiamare e avviare flussi di lavoro. Transfer Family assume questo ruolo nel contesto di un flusso di lavoro Transfer Family ARN.
Oltre a questi ruoli, puoi anche utilizzare i criteri di *sessione*. Una politica di sessione viene utilizzata per limitare l'accesso quando necessario. Tieni presente che queste politiche sono autonome: ovvero non le aggiungi a un ruolo. Piuttosto, aggiungi una politica di sessione direttamente a un utente Transfer Family.
**Nota**
Quando crei un utente Transfer Family gestito dal servizio, puoi selezionare la **politica di generazione automatica in base alla cartella home**. Questa è una scorciatoia utile se desideri limitare l'accesso degli utenti alle proprie cartelle. Inoltre, è possibile visualizzare dettagli sulle politiche di sessione e un esempio in[Come funzionano le politiche di sessione](#session-policy). Puoi anche trovare ulteriori informazioni sulle policy di sessione in [Session policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *IAM User Guide*.
**Topics**
+ [Creazione di un ruolo utente](#role-create-procedure)
+ [Come funzionano le politiche di sessione](#session-policy)
+ [Esempio di politica di read/write accesso](#read-write-access)
## Creazione di un ruolo utente
Quando crei un utente, prendi una serie di decisioni sull'accesso degli utenti. Queste decisioni includono a quali bucket Amazon S3 o file system Amazon EFS l'utente può accedere, a quali parti di ogni bucket Amazon S3 e quali file nel file system sono accessibili e quali autorizzazioni dispone l'utente (ad esempio, o). `PUT` `GET`
Per impostare l'accesso, crei una politica e un ruolo basati sull'identità AWS Identity and Access Management (IAM) che forniscono tali informazioni di accesso. Come parte di questo processo, fornisci l'accesso al tuo utente al bucket Amazon S3 o al file system Amazon EFS che è la destinazione o l'origine per le operazioni sui file. A questo scopo, esegui la seguente procedura dettagliata, descritta di seguito:
**Creazione di un ruolo utente**
1. Crea una policy IAM per. AWS Transfer Family Questa procedura è descritta in [Per creare una policy IAM per AWS Transfer Family](#iam-policy-procedure).
1. Crea un ruolo IAM e allega la nuova policy IAM. Per vedere un esempio, consulta [Esempio di politica di read/write accesso](#read-write-access).
1. Stabilisci una relazione di fiducia tra AWS Transfer Family e il ruolo IAM. Questa procedura è descritta in [Per stabilire una relazione di trust](#establish-trust-transfer).
Le seguenti procedure descrivono come creare una politica e un ruolo IAM.
**Per creare una policy IAM per AWS Transfer Family**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, scegli **Policy** e **Crea policy**.
1. Nella pagina **Create Policy (Crea policy)**, selezionare la scheda **JSON**.
1. Nell'editor visualizzato, sostituisci il contenuto dell'editor con la policy IAM che desideri allegare al ruolo IAM.
Puoi concedere read/write l'accesso o limitare gli utenti alla loro home directory. Per ulteriori informazioni, consulta [Esempio di politica di read/write accesso](#read-write-access).
1. Scegli **Rivedi politica** e fornisci un nome e una descrizione per la tua politica, quindi scegli **Crea politica**.
Quindi, crea un ruolo IAM e collegalo alla nuova policy IAM.
**Per creare un ruolo IAM per AWS Transfer Family**
1. Nel pannello di navigazione, scegli **Ruoli** e quindi **Crea ruolo**.
Nella pagina **Crea ruolo**, assicurati che il **AWS servizio** sia selezionato.
1. Scegliere **Transfer (Trasferisci)** dall'elenco di servizi, quindi selezionare **Next: Permissions (Successivo: Autorizzazioni)**. Ciò stabilisce una relazione di fiducia tra AWS Transfer Family e AWS.
1. Nella sezione **Allega criteri di autorizzazione**, individua e scegli la politica che hai appena creato e scegli **Avanti: Tag**.
1. (Facoltativo) Immettere una chiave e un valore per un tag e scegliere **Next: Review (Successivo: Rivedi)**.
1. Nella pagina **Review (Rivedi)**, immettere un nome e una descrizione per il nuovo ruolo, quindi scegliere **Create role (Crea ruolo)**.
Successivamente, stabilisci una relazione di fiducia tra AWS Transfer Family e AWS.
**Per stabilire una relazione di trust**
**Nota**
Nei nostri esempi, utilizziamo entrambi `ArnLike` e`ArnEquals`. Sono identici dal punto di vista funzionale e pertanto è possibile utilizzarli entrambi quando si creano le proprie politiche. La documentazione di Transfer Family utilizza `ArnLike` quando la condizione contiene un carattere jolly e `ArnEquals` indica una condizione di corrispondenza esatta.
1. Nella console IAM, scegliere il ruolo appena creato.
1. Nella pagina **Riepilogo**, scegliere **Relazioni di trust** e selezionare **Edit trust relationship (Modifica relazione di trust)**.
1. Nell'editor **Edit Trust Relationship**, assicurati che il **servizio sia `"transfer.amazonaws.com"` attivo**. La politica di accesso è mostrata di seguito.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
Si consiglia di utilizzare le chiavi di condizione `aws:SourceAccount` e `aws:SourceArn` per proteggersi dal problema del "confused deputy". L'account di origine è il proprietario del server e l'ARN di origine è l'ARN dell'utente. Esempio:
```
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account_id"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:region:account_id:user/*"
}
}
```
Puoi utilizzare la `ArnLike` condizione anche se desideri limitarti a un determinato server anziché a qualsiasi server dell'account utente. Esempio:
```
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:region:account-id:user/server-id/*"
}
}
```
**Nota**
Negli esempi precedenti, sostituisci ciascuno di essi *user input placeholder* con le tue informazioni.
Per dettagli sul problema del deputato confuso e altri esempi, vedi[Prevenzione del problema "confused deputy" tra servizi](confused-deputy.md).
1. Scegli **Aggiorna politica di fiducia** per aggiornare la politica di accesso.
Ora hai creato un ruolo IAM che consente di AWS Transfer Family chiamare AWS i servizi per tuo conto. Hai associato al ruolo la policy IAM che hai creato per consentire l'accesso al tuo utente. Nella [Guida introduttiva agli endpoint del server AWS Transfer Family](getting-started.md) sezione, questo ruolo e questa policy vengono assegnati al tuo utente o ai tuoi utenti.
**Consulta anche**
+ Per informazioni più generali sui ruoli IAM, consulta [Creating a role to delegate permissions to an AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *IAM User* Guide.
+ *Per ulteriori informazioni sulle politiche basate sull'identità per le risorse Amazon S3, consulta Gestione delle [identità e degli accessi in Amazon S3 nella Guida per l'utente di Amazon Simple Storage](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html) Service.*
+ Per ulteriori informazioni sulle politiche basate sull'identità per le risorse Amazon EFS, consulta [Using IAM to control data access nel file system](https://docs.aws.amazon.com/efs/latest/ug/iam-access-control-nfs-efs.html) nella *Amazon Elastic File System* User Guide.
## Come funzionano le politiche di sessione
Quando un amministratore crea un ruolo, il ruolo spesso include ampie autorizzazioni per coprire più casi d'uso o membri del team. *Se un amministratore configura [l'URL di una console](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html), può ridurre le autorizzazioni per la sessione risultante utilizzando una politica di sessione.* Ad esempio, se crei un ruolo con [accesso in lettura/scrittura](#read-write-access), puoi configurare un URL che limiti l'accesso degli utenti solo alle loro home directory.
I criteri di sessione sono criteri avanzati che vengono trasmessi come parametro quando si crea a livello di codice una sessione temporanea per un ruolo o un utente. Le policy di sessione sono utili per bloccare gli utenti in modo che abbiano accesso solo alle parti del bucket in cui i prefissi degli oggetti contengono il loro nome utente. Il diagramma seguente mostra che le autorizzazioni dei criteri di sessione sono l'intersezione tra i criteri di sessione e i criteri basati sulle risorse più l'intersezione dei criteri di sessione e i criteri basati sull'identità.
![\[Diagramma di Venn sulle autorizzazioni dei criteri di sessione. Mostra l'efficacia delle autorizzazioni nelle intersezioni tra criteri basati sulle risorse, criteri basati sull'identità e criteri di sessione.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/EffectivePermissions-session-rbp-id.png)
[https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)
Nel AWS Transfer Family, una policy di sessione è supportata solo durante il trasferimento da o verso Amazon S3. La seguente politica di esempio è una politica di sessione che limita l'accesso degli utenti solo alle loro `home` directory. Tenere presente quanto segue:
+ Le `PutObjectACL` istruzioni `GetObjectACL` e sono necessarie solo se è necessario abilitare Cross Account Access. Cioè, il tuo server Transfer Family deve accedere a un bucket in un altro account.
+ La lunghezza massima di una politica di sessione è di 2048 caratteri. Per maggiori dettagli, consulta il [parametro Policy request](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html#API_CreateUser_RequestSyntax) per l'`CreateUser`azione nel *riferimento API.*
+ Se il tuo bucket Amazon S3 è crittografato utilizzando AWS Key Management Service (AWS KMS), devi specificare autorizzazioni aggiuntive nella tua policy. Per informazioni dettagliate, vedi [Protezione e crittografia dei dati](encryption-at-rest.md).
+ Per utilizzare le policy di sessione per creare autorizzazioni di accesso basate sugli attributi utente senza creare ruoli IAM separati per ogni utente, consulta. [Approcci di gestione dinamica delle autorizzazioni](dynamic-permission-management.md)
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::${transfer:HomeBucket}"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"${transfer:HomeFolder}/*",
"${transfer:HomeFolder}"
]
}
}
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::${transfer:HomeDirectory}/*"
}
]
}
```
**Nota**
L'esempio di policy precedente presuppone che le directory home degli utenti siano impostate in modo da includere una barra finale, a indicare che si tratta di una directory. Se, al contrario, imposti quella di un utente `HomeDirectory` senza la barra finale, dovresti includerla come parte della tua politica.
Nella policy di esempio precedente, prendete nota dell'uso dei parametri `transfer:HomeFolder``transfer:HomeBucket`, e `transfer:HomeDirectory` policy. Questi parametri sono impostati per `HomeDirectory` i parametri configurati per l'utente, come descritto in [HomeDirectory](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html#TransferFamily-CreateUser-request-HomeDirectory)and[Implementazione del metodo API Gateway](authentication-api-gateway.md#authentication-api-method). Questi parametri hanno le seguenti definizioni:
+ Il `transfer:HomeBucket` parametro viene sostituito con il primo componente di`HomeDirectory`.
+ Il `transfer:HomeFolder` parametro viene sostituito con le parti rimanenti del `HomeDirectory` parametro.
+ Al `transfer:HomeDirectory` parametro è stata rimossa la barra anteriore (`/`) iniziale in modo che possa essere utilizzata come parte di un Amazon Resource Name (ARN) di S3 in un'istruzione. `Resource`
**Nota**
Se utilizzi directory logiche, ovvero quelle dell'utente, `LOGICAL` questi parametri di policy (`HomeBucket`, e) `homeDirectoryType` non sono supportati. `HomeDirectory` `HomeFolder`
Ad esempio, supponiamo che il `HomeDirectory` parametro configurato per l'utente Transfer Family sia`/home/bob/amazon/stuff/`.
+ `transfer:HomeBucket` è impostato su `/home`;
+ `transfer:HomeFolder` è impostato su `/bob/amazon/stuff/`;
+ `transfer:HomeDirectory`diventa`home/bob/amazon/stuff/`.
Il primo `"Sid"` consente all'utente di elencare tutte le directory a partire da`/home/bob/amazon/stuff/`.
Il secondo `"Sid"` limita l'`get`accesso dell'utente `put` e quello dello stesso percorso,. `/home/bob/amazon/stuff/`
## Esempio di politica di read/write accesso
**Concedi read/write l'accesso al bucket Amazon S3**
Il seguente esempio di policy per AWS Transfer Family read/write concedere l'accesso agli oggetti nel tuo bucket Amazon S3.
Tenere presente quanto segue:
+ Sostituisci `amzn-s3-demo-bucket` con il nome del bucket Amazon S3.
+ Le `PutObjectACL` istruzioni `GetObjectACL` e sono obbligatorie solo se devi abilitare Cross Account Access. Cioè, il tuo server Transfer Family deve accedere a un bucket in un altro account.
+ `DeleteObjectVersion`Le istruzioni `GetObjectVersion` and sono necessarie solo se il controllo delle versioni è abilitato sul bucket Amazon S3 a cui si accede.
**Nota**
Se hai già *abilitato* il controllo delle versioni per il tuo bucket, allora hai bisogno di queste autorizzazioni, poiché puoi solo sospendere il controllo delle versioni in Amazon S3 e non disattivarlo completamente. Per maggiori dettagli, consulta [Unversioned, versioning-enabled e versioning-suspended](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html#versioning-states) bucket.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListingOfUserFolder",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "HomeDirObjectAccess",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectTagging",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObjectVersion",
"s3:GetObjectVersionTagging",
"s3:GetObjectACL",
"s3:PutObjectACL"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
**Concedi l'accesso al file system ai file nel file system Amazon EFS**
**Nota**
Oltre alla policy, devi anche assicurarti che le autorizzazioni dei tuoi file POSIX garantiscano l'accesso appropriato. Per ulteriori informazioni, consulta [Working with users, groups, and permissions at the Network File System (NFS) Level](https://docs.aws.amazon.com/efs/latest/ug/accessing-fs-nfs-permissions.html) (Utilizzo di utenti, gruppi e autorizzazioni a livello NFS (Network File System) nella *Guida per l'utente di Amazon Elastic File System*.
La seguente policy di esempio concede l'accesso al file system root ai file del tuo file system Amazon EFS.
**Nota**
Negli esempi seguenti, sostituiscilo *region* con la tua regione, *account-id* con l'account in cui si trova il file e *file-system-id* con l'ID del tuo Amazon Elastic File System (Amazon EFS).
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "RootFileSystemAccess",
"Effect": "Allow",
"Action": [
"elasticfilesystem:ClientRootAccess",
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/file-system-id"
}
]
}
```
La seguente policy di esempio concede all'utente l'accesso ai file system del file system Amazon EFS.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "UserFileSystemAccess",
"Effect": "Allow",
"Action": [
"elasticfilesystem:ClientMount",
"elasticfilesystem:ClientWrite"
],
"Resource": "arn:aws:elasticfilesystem:us-east-1:123456789012:file-system/file-system-id"
}
]
}
```