Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione di un endpoint server SFTP, FTPS o FTP
<a name="tf-server-endpoint"></a>

È possibile creare un server di trasferimento file utilizzando il servizio. AWS Transfer Family Sono disponibili i seguenti protocolli di trasferimento file:
+ Secure Shell (SSH) File Transfer Protocol (SFTP): trasferimento di file tramite SSH. Per informazioni dettagliate, vedi [Crea un server compatibile con SFTP](create-server-sftp.md).
**Nota**  
Forniamo un AWS CDK esempio per la creazione di un server SFTP Transfer Family. L'esempio utilizza TypeScript ed è disponibile GitHub [qui](https://github.com/aws-samples/aws-cdk-examples/tree/master/typescript/aws-transfer-sftp-server).
+ File Transfer Protocol Secure (FTPS): trasferimento di file con crittografia TLS. Per informazioni dettagliate, vedi [Creare un server compatibile con FTPS](create-server-ftps.md).
+ File Transfer Protocol (FTP): trasferimento di file non crittografato. Per informazioni dettagliate, vedi [Crea un server abilitato all'FTP](create-server-ftp.md).
+ Dichiarazione di applicabilità 2 (AS2) — Trasferimento di file per il trasporto di dati strutturati. business-to-business Per informazioni dettagliate, vedi [Configurazione AS2](create-b2b-server.md). Infatti AS2, puoi creare rapidamente uno CloudFormation stack a scopo dimostrativo. Questa procedura è descritta in. [Usa un modello per creare uno AS2 stack Transfer Family dimostrativo](create-as2-transfer-server.md#as2-cfn-demo-template)

È possibile creare un server con più protocolli.

**Nota**  
Se disponi di più protocolli abilitati per lo stesso endpoint server e desideri fornire l'accesso utilizzando lo stesso nome utente su più protocolli, puoi farlo purché le credenziali specifiche del protocollo siano state configurate nel tuo provider di identità. Per FTP, consigliamo di mantenere credenziali separate da SFTP e FTPS. Questo perché, a differenza di SFTP e FTPS, FTP trasmette le credenziali in testo non crittografato. Isolando le credenziali FTP da SFTP o FTPS, se le credenziali FTP sono condivise o esposte, i carichi di lavoro che utilizzano SFTP o FTPS rimangono sicuri.

Quando create un server, ne scegliete uno specifico Regione AWS per eseguire le richieste di gestione dei file degli utenti assegnati a quel server. Oltre ad assegnare al server uno o più protocolli, si assegna anche uno dei seguenti tipi di provider di identità:
+ **Servizio gestito tramite chiavi SSH**. Per informazioni dettagliate, vedi [Lavorare con utenti gestiti dal servizio](service-managed-users.md).
+ **AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD).** Questo metodo consente di integrare i gruppi Microsoft Active Directory per fornire l'accesso ai server Transfer Family. Per informazioni dettagliate, vedi [Utilizzo di AWS Directory Service per Microsoft Active Directory](directory-services-users.md).
+ **Un provider di identità personalizzato**. Transfer Family offre diverse opzioni per l'utilizzo di un provider di identità personalizzato, come descritto nell'[Lavorare con provider di identità personalizzati](custom-idp-intro.md)argomento.

Puoi anche assegnare al server un tipo di endpoint (accessibile pubblicamente o ospitato su VPC) e un nome host utilizzando l'endpoint server predefinito o un nome host personalizzato utilizzando il servizio Amazon Route 53 o utilizzando un servizio DNS (Domain Name System) a tua scelta. Il nome host del server deve essere univoco nel luogo in cui è stato creato. Regione AWS 

Inoltre, puoi CloudWatch assegnare un ruolo di registrazione di Amazon per inviare eventi ai tuoi CloudWatch log, scegliere una politica di sicurezza che contenga gli algoritmi crittografici abilitati all'uso dal tuo server e aggiungere metadati al server sotto forma di tag che sono coppie chiave-valore.

**Importante**  
Sono a tuo carico i costi per i server istanziati e per il trasferimento dei dati. Per informazioni sui prezzi e da utilizzare per Calcolatore dei prezzi AWS ottenere una stima del costo di utilizzo di Transfer Family, consulta [AWS Transfer Family i prezzi](https://aws.amazon.com/aws-transfer-family/pricing/).

# Crea un server compatibile con SFTP
<a name="create-server-sftp"></a>

Secure Shell (SSH) File Transfer Protocol (SFTP) è un protocollo di rete utilizzato per il trasferimento sicuro di dati su Internet. Il protocollo supporta tutte le funzionalità di sicurezza e autenticazione di SSH. È ampiamente utilizzato per lo scambio di dati, comprese informazioni sensibili tra partner commerciali in una varietà di settori come i servizi finanziari, la sanità, la vendita al dettaglio e la pubblicità.

**Tieni presente quanto segue**
+ I server SFTP per Transfer Family funzionano tramite la porta 22. Per gli endpoint ospitati su VPC, i server SFTP Transfer Family possono funzionare anche sulle porte 2222, 2223 o 22000. Per informazioni dettagliate, vedi [Crea un server in un cloud privato virtuale](create-server-in-vpc.md).
+ Gli endpoint pubblici non possono limitare il traffico tramite gruppi di sicurezza. Per utilizzare i gruppi di sicurezza con il server Transfer Family, è necessario ospitare l'endpoint del server all'interno di un cloud privato virtuale (VPC) come descritto in. [Crea un server in un cloud privato virtuale](create-server-in-vpc.md)

**Consulta anche**
+ Forniamo un AWS CDK esempio per la creazione di un server SFTP Transfer Family. L'esempio utilizza TypeScript ed è disponibile GitHub [qui](https://github.com/aws-samples/aws-cdk-examples/tree/master/typescript/aws-transfer-sftp-server).
+ Per una procedura dettagliata su come implementare un server Transfer Family all'interno di un VPC, consulta [Usa l'elenco degli IP consentiti](https://aws.amazon.com/blogs//storage/use-ip-allow-list-to-secure-your-aws-transfer-for-sftp-servers/) per proteggere i tuoi server. AWS Transfer Family 

**Per creare un server compatibile con SFTP**

1. **Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)e seleziona **Server** dal pannello di navigazione, quindi scegli Crea server.**

1. In **Scegli i protocolli**, seleziona **SFTP**, quindi scegli **Avanti**.

1. In **Scegli un provider di identità**, scegli il provider di identità che desideri utilizzare per gestire l'accesso degli utenti. Sono disponibili le seguenti opzioni:
   + **Servizio gestito**: memorizzi le identità e le chiavi degli utenti. AWS Transfer Family
   + **AWS Directory Service for Microsoft Active Directory**— Fornisci una Directory Service directory per accedere all'endpoint. In questo modo, è possibile utilizzare le credenziali archiviate in Active Directory per autenticare gli utenti. Per ulteriori informazioni sull'utilizzo dei provider di AWS Managed Microsoft AD identità, consulta. [Utilizzo di AWS Directory Service per Microsoft Active Directory](directory-services-users.md)
**Nota**  
 Le directory Cross-Account e Shared non sono supportate per. AWS Managed Microsoft AD
Per configurare un server con Directory Service come provider di identità, è necessario aggiungere alcune Directory Service autorizzazioni. Per informazioni dettagliate, vedi [Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
   + **Provider di identità personalizzato**: scegli una delle seguenti opzioni:
     + ** AWS Lambda Utilizzalo per connettere il tuo provider di identità**: puoi utilizzare un provider di identità esistente, supportato da una funzione Lambda. Fornisci il nome della funzione Lambda. Per ulteriori informazioni, consulta [Utilizzo AWS Lambda per integrare il tuo provider di identità](custom-lambda-idp.md).
     + **Usa Amazon API Gateway per connettere il tuo provider di identità**: puoi creare un metodo API Gateway supportato da una funzione Lambda da utilizzare come provider di identità. Fornisci un URL di Amazon API Gateway e un ruolo di chiamata. Per ulteriori informazioni, consulta [Utilizzo di Amazon API Gateway per integrare il tuo provider di identità](authentication-api-gateway.md).  
![\[La sezione Scegli una console con provider di identità personalizzato selezionato. È inoltre selezionato il valore predefinito, ovvero che gli utenti possono autenticarsi utilizzando la password o la chiave.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/custom-lambda-console.png)

1. Scegli **Next (Successivo)**.

1. In **Scegli un endpoint, procedi** come segue:

   1. Per Tipo di **endpoint, scegli il tipo** di endpoint **accessibile pubblicamente**. Per un endpoint **ospitato in un VPC**, vedi. [Crea un server in un cloud privato virtuale](create-server-in-vpc.md)

   1.  Per il **tipo di indirizzo IP**, scegli **IPv4**(impostazione predefinita) per la compatibilità con le versioni precedenti o **Dual-stack** per abilitare entrambi IPv4 e le connessioni all'endpoint. IPv6
**Nota**  
La modalità dual-stack consente all'endpoint Transfer Family di comunicare sia con i client abilitati che con quelli IPv4 abilitati. IPv6 Ciò consente di passare gradualmente da un sistema basato a uno IPv6 basato su un sistema senza dover passare da un sistema IPv4 all'altro in una sola volta.

   1. **(Facoltativo) Per **Nome host personalizzato**, scegliete Nessuno.**

      Ottieni un nome host del server fornito da. AWS Transfer Family Il nome host del server ha il formato `serverId.server.transfer.regionId.amazonaws.com`.

      Per un nome host personalizzato, è necessario specificare un alias personalizzato per l'endpoint del server. Per ulteriori informazioni sull'utilizzo di nomi host personalizzati, consulta. [Lavorare con nomi host personalizzati](requirements-dns.md)

   1. (Facoltativo) Per **FIPS Enabled**, selezionate la casella di controllo **FIPS Enabled Endpoint per assicurarvi che l'endpoint** sia conforme ai Federal Information Processing Standards (FIPS).
**Nota**  
Gli endpoint compatibili con FIPS sono disponibili solo nelle regioni del Nord America. AWS Per le regioni disponibili, consulta gli [AWS Transfer Family endpoint](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) e le quote nel. *Riferimenti generali di AWS* Per ulteriori informazioni su FIPS, vedere [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.

   1. Scegli **Next (Successivo)**.

1. Nella pagina **Scegli il dominio**, scegli il servizio AWS di archiviazione che desideri utilizzare per archiviare e accedere ai tuoi dati tramite il protocollo selezionato:
   + Scegli **Amazon S3** per archiviare e accedere ai tuoi file come oggetti tramite il protocollo selezionato.
   + Scegli **Amazon EFS** per archiviare e accedere ai tuoi file nel tuo file system Amazon EFS tramite il protocollo selezionato.

   Scegli **Next (Successivo)**.

1. In **Configura dettagli aggiuntivi**, procedi come segue:

   1. Per la registrazione, specifica un gruppo di log esistente o creane uno nuovo (opzione predefinita). Se scegli un gruppo di log esistente, devi selezionarne uno associato al tuo Account AWS.  
![\[Riquadro di registrazione per configurare dettagli aggiuntivi nella procedura guidata di creazione del server. È selezionato Scegli un gruppo di log esistente.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-choose-existing-group.png)

      Se scegli **Crea gruppo di log**, la CloudWatch console ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) si apre sulla pagina **Crea gruppo di log**. Per i dettagli, consulta [Creare un gruppo di log in CloudWatch Logs.](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group) 

   1.  (Facoltativo) Per i **flussi di lavoro gestiti**, scegliete il flusso di lavoro IDs (e il ruolo corrispondente) che Transfer Family deve assumere durante l'esecuzione del flusso di lavoro. È possibile scegliere un flusso di lavoro da eseguire dopo un caricamento completo e un altro da eseguire dopo un caricamento parziale. Per ulteriori informazioni sull'elaborazione dei file utilizzando flussi di lavoro gestiti, consulta[AWS Transfer Family flussi di lavoro gestiti](transfer-workflows.md).  
![\[La sezione Console dei flussi di lavoro gestiti.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/workflows-addtoserver.png)

   1. Per **le opzioni relative agli algoritmi crittografici**, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso dal tuo server. La nostra politica di sicurezza più recente è quella predefinita: per i dettagli, consulta. [Politiche di sicurezza per i server AWS Transfer Family](security-policies.md)

   1. (Facoltativo) Per **Server Host Key, inserisci una chiave** privata RSA o ECDSA che verrà utilizzata per identificare il server quando i client si connettono ad esso tramite SFTP. ED25519 Puoi anche aggiungere una descrizione per distinguere tra più chiavi host. 

      Dopo aver creato il server, puoi aggiungere chiavi host aggiuntive. Avere più chiavi host è utile se si desidera ruotare le chiavi o se si desidera disporre di diversi tipi di chiavi, ad esempio una chiave RSA e anche una chiave ECDSA.
**Nota**  
La sezione **Server Host Key** viene utilizzata solo per la migrazione degli utenti da un server esistente compatibile con SFTP.

   1. **(Facoltativo) Per **Tag**, per **Chiave** e **Valore**, inserite uno o più tag come coppie chiave-valore, quindi scegliete Aggiungi tag.**

   1. Scegli **Next (Successivo)**.

   1. Puoi ottimizzare le prestazioni per le tue directory Amazon S3. Ad esempio, supponiamo di accedere alla directory home e di avere 10.000 sottodirectory. In altre parole, il tuo bucket Amazon S3 ha 10.000 cartelle. In questo scenario, se si esegue il comando `ls` (list), l'operazione list richiede dai sei agli otto minuti. Tuttavia, se ottimizzi le directory, questa operazione richiede solo pochi secondi.

      Quando si crea il server utilizzando la console, le directory ottimizzate sono abilitate per impostazione predefinita. Se crei il server utilizzando l'API, questo comportamento non è abilitato per impostazione predefinita.  
![\[La sezione della console Optimized Directories.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/optimized-directories.png)

   1. (Facoltativo) Configura AWS Transfer Family i server per visualizzare messaggi personalizzati come politiche organizzative o termini e condizioni agli utenti finali. Per **Visualizza banner**, nella casella di testo **Pre-autenticazione visualizza banner**, inserisci il messaggio di testo che desideri mostrare agli utenti prima che si autentichino.

   1. (Facoltativo) È possibile configurare le seguenti opzioni aggiuntive.
      + **SetStat opzione**: abilita questa opzione per ignorare l'errore generato quando un client tenta di utilizzarlo `SETSTAT` su un file che stai caricando su un bucket Amazon S3. Per ulteriori dettagli, consulta la `SetStatOption` documentazione contenuta in. [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
      + **Ripresa della sessione TLS**: questa opzione è disponibile solo se hai abilitato FTPS come uno dei protocolli per questo server.
      + **IP passivo**: questa opzione è disponibile solo se hai abilitato FTPS o FTP come uno dei protocolli per questo server.  
![\[Schermata delle opzioni aggiuntive per la pagina dei dettagli del server.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/create-server-configure-additional-items-sftp.png)

1. In **Rivedi e crea**, esamina le tue scelte.
   + Se desideri modificarne una, scegli **Modifica** accanto al passaggio.
**Nota**  
Devi rivedere ogni passaggio dopo quello che hai scelto di modificare.
   + Se non hai apportato modifiche, scegli **Crea server** per creare il tuo server. Viene visualizzata la pagina **Servers (Server)**, mostrata di seguito, in cui è elencato il nuovo server.

Possono essere necessari un paio di minuti prima che lo stato del nuovo server passi a **Online**. A quel punto, il server sarà in grado di eseguire operazioni sui file, ma dovrai prima creare un utente. Per i dettagli sulla creazione di utenti, consulta[Gestione degli utenti per gli endpoint del server](create-user.md).

# Creare un server compatibile con FTPS
<a name="create-server-ftps"></a>

File Transfer Protocol over SSL (FTPS) è un'estensione di FTP. Utilizza i protocolli crittografici Transport Layer Security (TLS) e Secure Sockets Layer (SSL) per crittografare il traffico. FTPS consente la crittografia delle connessioni dei canali di controllo e dati in modo simultaneo o indipendente.

**Nota**  
Per importanti considerazioni sui Network Load Balancer, consulta. [Evita NLBs di posizionarlo NATs davanti AWS Transfer Family ai server](infrastructure-security.md#nlb-considerations)

**Per creare un server compatibile con FTPS**

1. **Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)e seleziona **Server** dal pannello di navigazione, quindi scegli Crea server.**

1. In **Scegli i protocolli**, seleziona **FTPS.**

   **Per **Certificato server**, scegli un certificato archiviato in AWS Certificate Manager (ACM) che verrà utilizzato per identificare il server quando i client si connettono ad esso tramite FTPS, quindi scegli Avanti.**

   Per richiedere un nuovo certificato pubblico, consulta [Richiedere un certificato pubblico nella Guida](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) per l'*AWS Certificate Manager utente*.

   *Per importare un certificato esistente in ACM, consulta [Importazione di certificati in ACM nella Guida](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html) per l'AWS Certificate Manager utente.*

   *Per richiedere un certificato privato per utilizzare FTPS tramite indirizzi IP privati, consulta [Richiesta di un certificato privato nella](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-private.html) Guida per l'utente.AWS Certificate Manager *

   Sono supportati i certificati con gli algoritmi di crittografia e le dimensioni delle chiavi seguenti:
   + RSA a 2048 bit (RSA\$12048)
   + RSA a 4096 bit (RSA\$14096)
   + Elliptic Prime Curve a 256 bit (EC\$1prime256v1)
   + Elliptic Prime Curve a 384 bit (EC\$1secp384r1)
   + Elliptic Prime Curve a 521 bit (EC\$1secp521r1)
**Nota**  
Il certificato deve essere un certificato SSL/TLS X.509 versione 3 valido con FQDN o indirizzo IP specificato e contenere informazioni sull'emittente.

1. In **Scegli un provider di identità, scegli il provider** di identità che desideri utilizzare per gestire l'accesso degli utenti. Sono disponibili le seguenti opzioni:
   + **AWS Directory Service for Microsoft Active Directory**— Fornisci una Directory Service directory per accedere all'endpoint. In questo modo, è possibile utilizzare le credenziali archiviate in Active Directory per autenticare gli utenti. Per ulteriori informazioni sull'utilizzo dei provider di AWS Managed Microsoft AD identità, consulta. [Utilizzo di AWS Directory Service per Microsoft Active Directory](directory-services-users.md)
**Nota**  
 Le directory Cross-Account e Shared non sono supportate per. AWS Managed Microsoft AD
Per configurare un server con Directory Service come provider di identità, è necessario aggiungere alcune Directory Service autorizzazioni. Per informazioni dettagliate, vedi [Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
   + **Provider di identità personalizzato**: scegli una delle seguenti opzioni:
     + ** AWS Lambda Utilizzalo per connettere il tuo provider di identità**: puoi utilizzare un provider di identità esistente, supportato da una funzione Lambda. Fornisci il nome della funzione Lambda. Per ulteriori informazioni, consulta [Utilizzo AWS Lambda per integrare il tuo provider di identità](custom-lambda-idp.md).
     + **Usa Amazon API Gateway per connettere il tuo provider di identità**: puoi creare un metodo API Gateway supportato da una funzione Lambda da utilizzare come provider di identità. Fornisci un URL di Amazon API Gateway e un ruolo di chiamata. Per ulteriori informazioni, consulta [Utilizzo di Amazon API Gateway per integrare il tuo provider di identità](authentication-api-gateway.md).  
![\[La sezione Scegli una console con provider di identità personalizzato selezionato.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/custom-lambda-console-no-sftp.png)

1. Scegli **Next (Successivo)**.

1. In **Scegli un endpoint**, procedi come segue:
**Nota**  
 I server FTPS per Transfer Family funzionano su Port 21 (Control Channel) e Port Range 8192—8200 (Data Channel).

   1. Per Tipo di **endpoint, scegli il tipo** di endpoint ospitato da **VPC** per ospitare l'endpoint del tuo server. Per informazioni sulla configurazione dell'endpoint ospitato da VPC, consulta. [Crea un server in un cloud privato virtuale](create-server-in-vpc.md)
**Nota**  
Gli endpoint accessibili pubblicamente non sono supportati.

   1. (Facoltativo) Per **FIPS Enabled**, selezionate la casella di controllo **FIPS Enabled Endpoint per assicurarvi che l'endpoint** sia conforme ai Federal Information Processing Standards (FIPS).
**Nota**  
Gli endpoint compatibili con FIPS sono disponibili solo nelle regioni del Nord America. AWS Per le regioni disponibili, consulta gli [AWS Transfer Family endpoint](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) e le quote nel. *Riferimenti generali di AWS* Per ulteriori informazioni su FIPS, vedere [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.

   1. Scegli **Next (Successivo)**.  
![\[La sezione Scegli una console endpoint con VPC ospitato è selezionata.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/create-server-choose-endpoint-vpc-internal.png)

1. Nella pagina **Scegli il dominio**, scegli il servizio AWS di archiviazione che desideri utilizzare per archiviare e accedere ai tuoi dati tramite il protocollo selezionato:
   + Scegli **Amazon S3** per archiviare e accedere ai tuoi file come oggetti tramite il protocollo selezionato.
   + Scegli **Amazon EFS** per archiviare e accedere ai tuoi file nel tuo file system Amazon EFS tramite il protocollo selezionato.

   Scegli **Next (Successivo)**.

1. In **Configura dettagli aggiuntivi**, procedi come segue:

   1. Per la registrazione, specifica un gruppo di log esistente o creane uno nuovo (opzione predefinita).  
![\[Riquadro di registrazione per configurare dettagli aggiuntivi nella procedura guidata di creazione del server. È selezionato Scegli un gruppo di log esistente.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-choose-existing-group.png)

      Se scegli **Crea gruppo di log**, la CloudWatch console ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) si apre sulla pagina **Crea gruppo di log**. Per i dettagli, consulta [Creare un gruppo di log in CloudWatch Logs.](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group) 

   1.  (Facoltativo) Per i **flussi di lavoro gestiti**, scegliete il flusso di lavoro IDs (e il ruolo corrispondente) che Transfer Family deve assumere durante l'esecuzione del flusso di lavoro. È possibile scegliere un flusso di lavoro da eseguire dopo un caricamento completo e un altro da eseguire dopo un caricamento parziale. Per ulteriori informazioni sull'elaborazione dei file utilizzando flussi di lavoro gestiti, consulta[AWS Transfer Family flussi di lavoro gestiti](transfer-workflows.md).  
![\[La sezione Console dei flussi di lavoro gestiti.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/workflows-addtoserver.png)

   1. Per **le opzioni relative agli algoritmi crittografici**, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso dal tuo server. La nostra politica di sicurezza più recente è quella predefinita: per i dettagli, consulta. [Politiche di sicurezza per i server AWS Transfer Family](security-policies.md)

   1. Per **Server Host Key**, lascia vuoto il campo.

   1. (Facoltativo) Per **Tag**, per **Chiave** e **Valore**, inserisci uno o più tag come coppie chiave-valore, quindi scegli **Aggiungi** tag.

   1. Puoi ottimizzare le prestazioni per le tue directory Amazon S3. Ad esempio, supponiamo di accedere alla directory home e di avere 10.000 sottodirectory. In altre parole, il tuo bucket Amazon S3 ha 10.000 cartelle. In questo scenario, se si esegue il comando `ls` (list), l'operazione list richiede dai sei agli otto minuti. Tuttavia, se ottimizzi le directory, questa operazione richiede solo pochi secondi.

      Quando si crea il server utilizzando la console, le directory ottimizzate sono abilitate per impostazione predefinita. Se crei il server utilizzando l'API, questo comportamento non è abilitato per impostazione predefinita.  
![\[La sezione della console Optimized Directories.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/optimized-directories.png)

   1. Scegli **Next (Successivo)**.

   1. (Facoltativo) È possibile configurare AWS Transfer Family i server per visualizzare messaggi personalizzati, ad esempio politiche organizzative o termini e condizioni, agli utenti finali. È inoltre possibile visualizzare il messaggio del giorno (MOTD) personalizzato agli utenti che si sono autenticati correttamente.

      Per **Visualizza banner**, nella casella di testo **Banner di visualizzazione pre-autenticazione**, inserisci il messaggio di testo che desideri mostrare agli utenti prima che si autentichino e nella casella di testo **Banner di visualizzazione post-autenticazione**, inserisci il testo che desideri mostrare agli utenti dopo che si sono autenticati con successo.

   1. (Facoltativo) È possibile configurare le seguenti opzioni aggiuntive.
      + **SetStat opzione**: abilita questa opzione per ignorare l'errore generato quando un client tenta di utilizzarlo `SETSTAT` su un file che stai caricando su un bucket Amazon S3. Per ulteriori dettagli, consulta la `SetStatOption` documentazione nell'argomento. [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
      + **Ripresa della sessione TLS**: fornisce un meccanismo per riprendere o condividere una chiave segreta negoziata tra il controllo e la connessione dati per una sessione FTPS. Per ulteriori dettagli, consultate la documentazione nell'argomento. `TlsSessionResumptionMode` [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
      + **IP passivo**: indica la modalità passiva, per i protocolli FTP e FTPS. Inserisci un IPv4 indirizzo singolo, ad esempio l'indirizzo IP pubblico di un firewall, un router o un sistema di bilanciamento del carico. Per ulteriori dettagli, consulta la `PassiveIp` documentazione nell'[ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)argomento.  
![\[La schermata di configurazione aggiuntiva che mostra i SetStat parametri, ripresa della sessione TLS e IP passivo.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/create-server-configure-additional-items-all.png)

1. In **Rivedi e crea**, esamina le tue scelte.
   + Se desideri modificarne una, scegli **Modifica** accanto al passaggio.
**Nota**  
Devi rivedere ogni passaggio dopo quello che hai scelto di modificare.
   + Se non hai apportato modifiche, scegli **Crea server** per creare il tuo server. Viene visualizzata la pagina **Servers (Server)**, mostrata di seguito, in cui è elencato il nuovo server.

Possono essere necessari un paio di minuti prima che lo stato del nuovo server passi a **Online**. A questo punto, il server può eseguire operazioni sui file per gli utenti.

**Passaggi successivi**: per il passaggio successivo, continua con [Lavorare con provider di identità personalizzati](custom-idp-intro.md) la configurazione degli utenti.

# Crea un server abilitato all'FTP
<a name="create-server-ftp"></a>

File Transfer Protocol (FTP) è un protocollo di rete utilizzato per il trasferimento di dati. FTP utilizza un canale separato per il controllo e il trasferimento dei dati. Il canale di controllo è aperto fino al termine o al timeout di inattività. Il canale dati è attivo per tutta la durata del trasferimento. FTP utilizza testo non crittografato e non supporta la crittografia del traffico.

**Nota**  
Quando abiliti FTP, devi scegliere l'opzione di accesso interno per l'endpoint ospitato da VPC. Se è necessario che il server trasmetta i dati alla rete pubblica, è necessario utilizzare protocolli sicuri, come SFTP o FTPS. 

**Nota**  
Per importanti considerazioni sui Network Load Balancer, consulta. [Evita NLBs di posizionarlo NATs davanti AWS Transfer Family ai server](infrastructure-security.md#nlb-considerations)

**Per creare un server compatibile con FTP**

1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)e seleziona **Server** dal pannello di navigazione, quindi scegli **Crea** server.

1. In **Scegli i protocolli**, seleziona **FTP**, quindi scegli **Avanti**.

1. In **Scegli un provider di identità**, scegli il provider di identità che desideri utilizzare per gestire l'accesso degli utenti. Sono disponibili le seguenti opzioni:
   + **AWS Directory Service for Microsoft Active Directory**— Fornisci una Directory Service directory per accedere all'endpoint. In questo modo, è possibile utilizzare le credenziali archiviate in Active Directory per autenticare gli utenti. Per ulteriori informazioni sull'utilizzo dei provider di AWS Managed Microsoft AD identità, consulta. [Utilizzo di AWS Directory Service per Microsoft Active Directory](directory-services-users.md)
**Nota**  
 Le directory Cross-Account e Shared non sono supportate per. AWS Managed Microsoft AD
Per configurare un server con Directory Service come provider di identità, è necessario aggiungere alcune Directory Service autorizzazioni. Per informazioni dettagliate, vedi [Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq).
   + **Provider di identità personalizzato**: scegli una delle seguenti opzioni:
     + ** AWS Lambda Utilizzalo per connettere il tuo provider di identità**: puoi utilizzare un provider di identità esistente, supportato da una funzione Lambda. Fornisci il nome della funzione Lambda. Per ulteriori informazioni, consulta [Utilizzo AWS Lambda per integrare il tuo provider di identità](custom-lambda-idp.md).
     + **Usa Amazon API Gateway per connettere il tuo provider di identità**: puoi creare un metodo API Gateway supportato da una funzione Lambda da utilizzare come provider di identità. Fornisci un URL di Amazon API Gateway e un ruolo di chiamata. Per ulteriori informazioni, consulta [Utilizzo di Amazon API Gateway per integrare il tuo provider di identità](authentication-api-gateway.md).  
![\[La sezione Scegli una console con provider di identità personalizzato selezionato.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/custom-lambda-console-no-sftp.png)

1. Scegli **Next (Successivo)**.

1. In **Scegli un endpoint**, procedi come segue:
**Nota**  
I server FTP per Transfer Family funzionano su Port 21 (Control Channel) e Port Range 8192—8200 (Data Channel).

   1. Per il **tipo di endpoint**, scegli **VPC** ospitato per ospitare l'endpoint del tuo server. Per informazioni sulla configurazione dell'endpoint ospitato da VPC, consulta. [Crea un server in un cloud privato virtuale](create-server-in-vpc.md)
**Nota**  
Gli endpoint accessibili pubblicamente non sono supportati.

   1. Per **FIPS Enabled**, mantieni deselezionata la casella di controllo **FIPS Enabled endpoint**.
**Nota**  
Gli endpoint compatibili con FIPS non sono supportati per i server FTP.

   1. Scegli **Next (Successivo)**.  
![\[La sezione Scegli una console endpoint con VPC ospitato è selezionata.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/create-server-choose-endpoint-vpc-internal.png)

1. Nella pagina **Scegli il dominio**, scegli il servizio AWS di archiviazione che desideri utilizzare per archiviare e accedere ai tuoi dati tramite il protocollo selezionato.
   + Scegli **Amazon S3** per archiviare e accedere ai tuoi file come oggetti tramite il protocollo selezionato.
   + Scegli **Amazon EFS** per archiviare e accedere ai tuoi file nel tuo file system Amazon EFS tramite il protocollo selezionato.

   Scegli **Next (Successivo)**.

1. In **Configura dettagli aggiuntivi**, procedi come segue:

   1. Per la registrazione, specifica un gruppo di log esistente o creane uno nuovo (opzione predefinita).  
![\[Riquadro di registrazione per configurare dettagli aggiuntivi nella procedura guidata di creazione del server. È selezionato Scegli un gruppo di log esistente.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/logging-server-choose-existing-group.png)

      Se scegli **Crea gruppo di log**, la CloudWatch console ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)) si apre sulla pagina **Crea gruppo di log**. Per i dettagli, consulta [Creare un gruppo di log in CloudWatch Logs.](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group) 

   1.  (Facoltativo) Per i **flussi di lavoro gestiti**, scegliete il flusso di lavoro IDs (e il ruolo corrispondente) che Transfer Family deve assumere durante l'esecuzione del flusso di lavoro. È possibile scegliere un flusso di lavoro da eseguire dopo un caricamento completo e un altro da eseguire dopo un caricamento parziale. Per ulteriori informazioni sull'elaborazione dei file utilizzando flussi di lavoro gestiti, consulta[AWS Transfer Family flussi di lavoro gestiti](transfer-workflows.md).  
![\[La sezione Console dei flussi di lavoro gestiti.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/workflows-addtoserver.png)

   1. Per **le opzioni relative agli algoritmi crittografici**, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso dal tuo server.
**Nota**  
Transfer Family assegna la politica di sicurezza più recente al tuo server FTP. Tuttavia, poiché il protocollo FTP non utilizza alcuna crittografia, i server FTP non utilizzano nessuno degli algoritmi delle politiche di sicurezza. A meno che il server non utilizzi anche il protocollo FTPS o SFTP, la politica di sicurezza rimane inutilizzata.

   1. Per **Server Host Key, lascialo** vuoto.

   1. (Facoltativo) Per **Tag**, per **Chiave** e **Valore**, inserisci uno o più tag come coppie chiave-valore, quindi scegli **Aggiungi** tag.

   1. Puoi ottimizzare le prestazioni per le tue directory Amazon S3. Ad esempio, supponiamo di accedere alla directory home e di avere 10.000 sottodirectory. In altre parole, il tuo bucket Amazon S3 ha 10.000 cartelle. In questo scenario, se si esegue il comando `ls` (list), l'operazione list richiede dai sei agli otto minuti. Tuttavia, se ottimizzi le directory, questa operazione richiede solo pochi secondi.

      Quando si crea il server utilizzando la console, le directory ottimizzate sono abilitate per impostazione predefinita. Se crei il server utilizzando l'API, questo comportamento non è abilitato per impostazione predefinita.  
![\[La sezione della console Optimized Directories.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/optimized-directories.png)

   1. Scegli **Next (Successivo)**.

   1. (Facoltativo) È possibile configurare AWS Transfer Family i server per visualizzare messaggi personalizzati, ad esempio politiche organizzative o termini e condizioni, agli utenti finali. È inoltre possibile visualizzare il messaggio del giorno (MOTD) personalizzato agli utenti che si sono autenticati correttamente.

      Per **Visualizza banner**, nella casella di testo **Banner di visualizzazione pre-autenticazione**, inserisci il messaggio di testo che desideri mostrare agli utenti prima che si autentichino e nella casella di testo **Banner di visualizzazione post-autenticazione**, inserisci il testo che desideri mostrare agli utenti dopo che si sono autenticati con successo.

   1. (Facoltativo) È possibile configurare le seguenti opzioni aggiuntive.
      + **SetStat opzione**: abilita questa opzione per ignorare l'errore generato quando un client tenta di utilizzarlo `SETSTAT` su un file che stai caricando su un bucket Amazon S3. Per ulteriori dettagli, consulta la `SetStatOption` documentazione nell'argomento. [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
      + **Ripresa della sessione TLS**: fornisce un meccanismo per riprendere o condividere una chiave segreta negoziata tra il controllo e la connessione dati per una sessione FTPS. Per ulteriori dettagli, consultate la documentazione nell'argomento. `TlsSessionResumptionMode` [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)
      + **IP passivo**: indica la modalità passiva, per i protocolli FTP e FTPS. Inserisci un IPv4 indirizzo singolo, ad esempio l'indirizzo IP pubblico di un firewall, un router o un sistema di bilanciamento del carico. Per ulteriori dettagli, consulta la `PassiveIp` documentazione nell'[ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html)argomento.  
![\[La schermata di configurazione aggiuntiva che mostra i SetStat parametri, ripresa della sessione TLS e IP passivo.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/create-server-configure-additional-items-all.png)

1. In **Rivedi e crea**, esamina le tue scelte.
   + Se desideri modificarne una, scegli **Modifica** accanto al passaggio.
**Nota**  
Devi rivedere ogni passaggio dopo quello che hai scelto di modificare.
   + Se non hai apportato modifiche, scegli **Crea server** per creare il tuo server. Viene visualizzata la pagina **Servers (Server)**, mostrata di seguito, in cui è elencato il nuovo server.

Possono essere necessari un paio di minuti prima che lo stato del nuovo server passi a **Online**. A questo punto, il server può eseguire operazioni sui file per gli utenti.

**Passaggi successivi**: per il passaggio successivo, continua con [Lavorare con provider di identità personalizzati](custom-idp-intro.md) la configurazione degli utenti.

# Crea un server in un cloud privato virtuale
<a name="create-server-in-vpc"></a>

Puoi ospitare l'endpoint del tuo server all'interno di un cloud privato virtuale (VPC) da utilizzare per il trasferimento di dati da e verso un bucket Amazon S3 o un file system Amazon EFS senza passare dalla rete Internet pubblica.

**Nota**  
 Dopo il 19 maggio 2021, non potrai creare un server utilizzando il tuo AWS account se quest'`EndpointType=VPC_ENDPOINT`ultimo non l'ha già fatto prima del 19 maggio 2021. Se hai già creato dei server con `EndpointType=VPC_ENDPOINT` il tuo AWS account entro il 21 febbraio 2021, non subirai alcuna modifica. Dopo questa data, usa `EndpointType` =**VPC**. Per ulteriori informazioni, consulta [Interruzione dell'uso di VPC\$1ENDPOINT](#deprecate-vpc-endpoint).

Se utilizzi Amazon Virtual Private Cloud (Amazon VPC) per ospitare AWS le tue risorse, puoi stabilire una connessione privata tra il tuo VPC e un server. È quindi possibile utilizzare questo server per trasferire dati tramite client da e verso il bucket Amazon S3 senza utilizzare indirizzi IP pubblici o richiedere un gateway Internet.

Utilizzando Amazon VPC, puoi avviare AWS risorse in una rete virtuale personalizzata. Puoi utilizzare un VPC per controllare le impostazioni di rete, come l'intervallo di indirizzi IP, le sottoreti, le tabelle di routing e i gateway di rete. Per ulteriori informazioni VPCs, consulta [What Is Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)? nella Guida per l'*utente di Amazon VPC*.

Nelle sezioni successive, trova le istruzioni su come creare e connettere il tuo VPC a un server. In sintesi, procedi nel modo seguente:

1. Configura un server utilizzando un endpoint VPC.

1. Connettiti al tuo server utilizzando un client che si trova all'interno del tuo VPC tramite l'endpoint VPC. In questo modo puoi trasferire i dati archiviati nel tuo bucket Amazon S3 tramite il client utilizzando. AWS Transfer Family Puoi eseguire questo trasferimento anche se la rete è disconnessa dalla rete Internet pubblica.

1.  Inoltre, se scegli di rendere l'endpoint del tuo server rivolto a Internet, puoi associare indirizzi IP elastici all'endpoint. In questo modo i client esterni al tuo VPC si connettono al tuo server. Puoi utilizzare i gruppi di sicurezza VPC per controllare l'accesso agli utenti autenticati le cui richieste provengono solo da indirizzi consentiti.

**Nota**  
AWS Transfer Family supporta gli endpoint dual-stack, permettendo al server di comunicare su entrambi e. IPv4 IPv6 Per abilitare il supporto dual-stack, seleziona l'opzione **Abilita endpoint DNS dual-stack durante la creazione dell'endpoint** VPC. Tieni presente che sia il VPC che le sottoreti devono essere configurati per il supporto IPv6 prima di poter utilizzare questa funzionalità. Il supporto dual-stack è particolarmente utile quando si dispone di client che devono connettersi utilizzando entrambi i protocolli.  
Per informazioni sugli endpoint dual-stack (IPv4 e IPv6) server, consulta. [IPv6 supporto per i server Transfer Family](ipv6-support.md)

**Topics**
+ [Crea un endpoint server accessibile solo all'interno del tuo VPC](#create-server-endpoint-in-vpc)
+ [Crea un endpoint con accesso a Internet per il tuo server](#create-internet-facing-endpoint)
+ [Cambia il tipo di endpoint per il tuo server](#change-server-endpoint-type)
+ [Interruzione dell'uso di VPC\$1ENDPOINT](#deprecate-vpc-endpoint)
+ [Limitazione dell'accesso agli endpoint VPC per i server Transfer Family](#limit-vpc-endpoint-access)
+ [Funzionalità di rete aggiuntive](#additional-networking-features)
+ [Aggiornamento del tipo di endpoint AWS Transfer Family del server da VPC\$1ENDPOINT a VPC](update-endpoint-type-vpc.md)

## Crea un endpoint server accessibile solo all'interno del tuo VPC
<a name="create-server-endpoint-in-vpc"></a>

Nella procedura seguente, crei un endpoint server accessibile solo alle risorse all'interno del tuo VPC.

**Per creare un endpoint server all'interno di un VPC**

1. Apri la AWS Transfer Family console all'indirizzo. [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)

1. Dal pannello di navigazione, seleziona **Server**, quindi scegli **Crea server**.

1. In **Scegli i protocolli**, seleziona uno o più protocolli, quindi scegli **Avanti**. Per ulteriori informazioni sui protocolli, consulta[Fase 2: Creare un server compatibile con SFTP](getting-started.md#getting-started-server).

1. In **Scegli un provider di identità**, scegli **Servizio gestito** per archiviare le identità e le chiavi degli utenti AWS Transfer Family, quindi scegli **Avanti**.

   Questa procedura utilizza l'opzione gestita dal servizio. Se scegli **Custom**, fornisci un endpoint Amazon API Gateway e un ruolo AWS Identity and Access Management (IAM) per accedere all'endpoint. In questo modo, puoi integrare il tuo servizio di directory per autenticare e autorizzare i tuoi utenti. Per ulteriori informazioni sull'utilizzo di provider di identità personalizzati, consulta [Lavorare con provider di identità personalizzati](custom-idp-intro.md).

1. In **Scegli un endpoint**, procedi come segue:

   1. Per Tipo di **endpoint, scegli il tipo** di endpoint ospitato da **VPC** per ospitare l'endpoint del tuo server.

   1. Per **Access**, scegli **Interno** per rendere l'endpoint accessibile solo ai client che utilizzano gli indirizzi IP privati dell'endpoint.

      Per i dettagli sull'opzione **Connessione Internet, consulta**. [Crea un endpoint con accesso a Internet per il tuo server](#create-internet-facing-endpoint) Un server creato in un VPC solo per l'accesso interno non supporta nomi host personalizzati.

   1. Per **VPC**, scegli un ID VPC esistente o scegli Crea un VPC per creare **un nuovo VPC**.

   1. Nella sezione **Zone di disponibilità, scegli fino a tre zone** di disponibilità e sottoreti associate.

   1. Nella sezione **Gruppi di sicurezza**, scegli un ID del gruppo di sicurezza esistente IDs oppure scegli **Crea un gruppo di sicurezza per creare un nuovo gruppo** di sicurezza. Per ulteriori informazioni sui gruppi di sicurezza, consulta la sezione [Gruppi di sicurezza per il tuo VPC nella Guida](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) per l'*utente di Amazon Virtual Private Cloud*. Per creare un gruppo di sicurezza, consulta [Creazione di un gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) nella *Amazon Virtual Private Cloud User Guide*.
**Nota**  
Il tuo VPC include automaticamente un gruppo di sicurezza predefinito. Se non specifichi uno o più gruppi di sicurezza diversi all'avvio del server, associamo il gruppo di sicurezza predefinito al tuo server.
      + Per le regole in entrata per il gruppo di sicurezza, puoi configurare il traffico SSH per utilizzare le porte 22, 2222, 22000 o qualsiasi combinazione. La porta 22 è configurata per impostazione predefinita. Per utilizzare la porta 2222 o la porta 22000, aggiungi una regola in entrata al tuo gruppo di sicurezza. Per il tipo, scegli **TCP personalizzato**, quindi inserisci uno **2222** o **22000** per **Intervallo di porte** e, per l'origine, inserisci lo stesso intervallo CIDR che hai utilizzato per la regola della porta SSH 22.
      + Per le regole in entrata per il gruppo di sicurezza, configura il traffico FTP e FTPS in modo che utilizzi **Port range** **21** per il canale di controllo e per il canale dati. **8192-8200**
**Nota**  
Puoi anche utilizzare la porta 2223 per i client che richiedono il «piggy-back» ACKs TCP o la possibilità per il pack finale dell'handshake TCP a 3 vie di contenere anche dati.  
Alcuni software client potrebbero essere incompatibili con la porta 2223, ad esempio un client che richiede al server di inviare la stringa di identificazione SFTP prima che il client lo faccia.  
![\[Le regole in entrata per un gruppo di sicurezza di esempio, che mostrano una regola per SSH sulla porta 22 e Custom TCP sulla porta 2222.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/alternate-port-rule.png)

   1. (Facoltativo) Per **FIPS Enabled**, selezionate la casella di controllo **FIPS Enabled Endpoint per assicurarvi che l'endpoint** sia conforme ai Federal Information Processing Standards (FIPS).
**Nota**  
Gli endpoint compatibili con FIPS sono disponibili solo nelle regioni del Nord America. AWS Per le regioni disponibili, consulta gli [AWS Transfer Family endpoint](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) e le quote nel. *Riferimenti generali di AWS* Per ulteriori informazioni su FIPS, vedere [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.

   1. Scegli **Next (Successivo)**.

1. In **Configura dettagli aggiuntivi, procedi** come segue:

   1. Per la **CloudWatch registrazione**, scegli una delle seguenti opzioni per abilitare la CloudWatch registrazione Amazon dell'attività dell'utente:
      + **Crea un nuovo ruolo** per consentire a Transfer Family di creare automaticamente il ruolo IAM, purché tu disponga delle autorizzazioni giuste per creare un nuovo ruolo. Viene chiamato `AWSTransferLoggingAccess` il ruolo IAM creato.
      + **Scegli un ruolo esistente** per scegliere un ruolo IAM esistente dal tuo account. In **Ruolo di registrazione**, scegli il ruolo. Questo ruolo IAM dovrebbe includere una politica di fiducia con **Service** impostato `transfer.amazonaws.com` su.

        Per ulteriori informazioni sulla CloudWatch registrazione, vedere[Configura il CloudWatch ruolo di registrazione](configure-cw-logging-role.md).
**Nota**  
Non è possibile visualizzare l'attività dell'utente finale CloudWatch se non si specifica un ruolo di registrazione.
Se non desideri impostare un ruolo di CloudWatch registrazione, seleziona **Scegli un ruolo esistente, ma non selezionare un ruolo** di registrazione.

   1. Per **le opzioni relative agli algoritmi crittografici**, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso da parte del tuo server.
**Nota**  
Per impostazione predefinita, la politica `TransferSecurityPolicy-2024-01` di sicurezza è collegata al server a meno che non ne scelga una diversa.

      Per ulteriori informazioni sulle policy di sicurezza, consulta [Politiche di sicurezza per i server AWS Transfer Family](security-policies.md).

   1. (Facoltativo: questa sezione riguarda solo la migrazione degli utenti da un server compatibile con SFTP esistente.) Per **Server Host Key, inserite una chiave** privata RSA o ECDSA che verrà utilizzata per identificare il server quando i client si connettono ad esso tramite SFTP. ED25519

   1. **(Facoltativo) Per **Tag**, per **Chiave** e **Valore**, inserite uno o più tag come coppie chiave-valore, quindi scegliete Aggiungi tag.**

   1. Scegli **Next (Successivo)**.

1. In **Rivedi e crea**, rivedi le tue scelte. Se:
   + Se desideri modificarne una, scegli **Modifica** accanto al passaggio.
**Nota**  
Dovrai rivedere ogni passaggio dopo il passaggio che hai scelto di modificare.
   + Non apporti modifiche, scegli **Crea server** per creare il tuo server. Viene visualizzata la pagina **Servers (Server)**, mostrata di seguito, in cui è elencato il nuovo server.

Possono essere necessari un paio di minuti prima che lo stato del nuovo server passi a **Online**. A quel punto, il server sarà in grado di eseguire operazioni sui file, ma dovrai prima creare un utente. Per informazioni dettagliate sulla creazione di utenti, consulta[Gestione degli utenti per gli endpoint del server](create-user.md).

## Crea un endpoint con accesso a Internet per il tuo server
<a name="create-internet-facing-endpoint"></a>

Nella procedura seguente, si crea un endpoint server. Questo endpoint è accessibile via Internet solo ai client i cui indirizzi IP di origine sono consentiti nel gruppo di sicurezza predefinito del tuo VPC. Inoltre, utilizzando indirizzi IP elastici per rendere l'endpoint rivolto a Internet, i clienti possono utilizzare l'indirizzo IP elastico per consentire l'accesso all'endpoint tramite i loro firewall.

**Nota**  
È possibile utilizzare solo SFTP e FTPS su un endpoint ospitato in VPC con accesso a Internet.

**Per creare un endpoint con accesso a Internet**

1. Apri la console all'indirizzo. AWS Transfer Family [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)

1. Dal pannello di navigazione, seleziona **Server**, quindi scegli **Crea server**.

1. In **Scegli i protocolli**, seleziona uno o più protocolli, quindi scegli **Avanti**. Per ulteriori informazioni sui protocolli, consulta[Fase 2: Creare un server compatibile con SFTP](getting-started.md#getting-started-server).

1. In **Scegli un provider di identità**, scegli **Servizio gestito** per archiviare le identità e le chiavi degli utenti AWS Transfer Family, quindi scegli **Avanti**.

   Questa procedura utilizza l'opzione gestita dal servizio. Se scegli **Custom**, fornisci un endpoint Amazon API Gateway e un ruolo AWS Identity and Access Management (IAM) per accedere all'endpoint. In questo modo, puoi integrare il tuo servizio di directory per autenticare e autorizzare i tuoi utenti. Per ulteriori informazioni sull'utilizzo di provider di identità personalizzati, consulta [Lavorare con provider di identità personalizzati](custom-idp-intro.md).

1. In **Scegli un endpoint**, procedi come segue:

   1. Per Tipo di **endpoint, scegli il tipo** di endpoint ospitato da **VPC** per ospitare l'endpoint del tuo server.

   1. Per **Access**, scegli **Internet Facing** per rendere il tuo endpoint accessibile ai client su Internet.
**Nota**  
Quando scegli **Internet Facing**, puoi scegliere un indirizzo IP elastico esistente in ogni sottorete o sottoreti. Oppure puoi andare alla console VPC ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) per allocare uno o più nuovi indirizzi IP elastici. Questi indirizzi possono essere di proprietà dell'utente AWS o dell'utente. Non puoi associare indirizzi IP elastici già in uso al tuo endpoint.

   1. (Facoltativo) Per **Nome host personalizzato**, scegli una delle seguenti opzioni:
**Nota**  
I clienti AWS GovCloud (US) devono connettersi direttamente tramite l'indirizzo IP elastico o creare un record di nome host all'interno di Commercial Route 53 che punti al proprio EIP. Per ulteriori informazioni sull'uso di Route 53 per gli GovCloud endpoint, consulta [Configurare Amazon Route 53 con AWS GovCloud (US) le tue risorse](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-route53.html) nella *Guida per l'AWS GovCloud (US) utente*. 
      + **Alias DNS Amazon Route 53**: se il nome host che desideri utilizzare è registrato con Route 53. Puoi quindi inserire il nome host.
      + **Altro DNS**: se il nome host che desideri utilizzare è registrato con un altro provider DNS. È quindi possibile inserire il nome host.
      + **Nessuno**: per utilizzare l'endpoint del server e non utilizzare un nome host personalizzato. Il nome host del server ha il formato `server-id.server.transfer.region.amazonaws.com`.
**Nota**  
Per i clienti che utilizzano AWS GovCloud (US), selezionando **Nessuno** non viene creato un nome host in questo formato.

      Per ulteriori informazioni sull'utilizzo di nomi host personalizzati, consulta. [Lavorare con nomi host personalizzati](requirements-dns.md)

   1. Per **VPC**, scegli un ID VPC esistente o scegli Crea un VPC per creare **un nuovo VPC**.

   1. Nella sezione **Zone di disponibilità, scegli fino a tre zone** di disponibilità e sottoreti associate. Per **IPv4Indirizzi**, scegli un **indirizzo IP elastico** per ogni sottorete. Questo è l'indirizzo IP che i tuoi clienti possono utilizzare per consentire l'accesso all'endpoint nei loro firewall.

      **Suggerimento:** è necessario utilizzare una sottorete pubblica per le zone di disponibilità o configurare prima un gateway Internet se si desidera utilizzare una sottorete privata.

   1. Nella sezione **Gruppi di sicurezza**, scegli un ID di gruppo di sicurezza esistente IDs oppure scegli **Crea un gruppo di sicurezza per creare un nuovo gruppo** di sicurezza. Per ulteriori informazioni sui gruppi di sicurezza, consulta la sezione [Gruppi di sicurezza per il tuo VPC nella Guida](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) per l'*utente di Amazon Virtual Private Cloud*. Per creare un gruppo di sicurezza, consulta [Creazione di un gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups) nella *Amazon Virtual Private Cloud User Guide*.
**Nota**  
Il tuo VPC include automaticamente un gruppo di sicurezza predefinito. Se non specifichi uno o più gruppi di sicurezza diversi all'avvio del server, associamo il gruppo di sicurezza predefinito al tuo server.
      + Per le regole in entrata per il gruppo di sicurezza, puoi configurare il traffico SSH per utilizzare le porte 22, 2222, 22000 o qualsiasi combinazione. La porta 22 è configurata per impostazione predefinita. Per utilizzare la porta 2222 o la porta 22000, aggiungi una regola in entrata al tuo gruppo di sicurezza. Per il tipo, scegli **TCP personalizzato**, quindi inserisci uno **2222** o **22000** per **Intervallo di porte** e, per l'origine, inserisci lo stesso intervallo CIDR che hai utilizzato per la regola della porta SSH 22.
      + Per le regole in entrata per il gruppo di sicurezza, configura il traffico FTPS in modo che utilizzi **Port range** **21** per il canale di controllo e **8192-8200** per il canale dati.
**Nota**  
Puoi anche utilizzare la porta 2223 per i client che richiedono il «piggy-back» ACKs TCP o la possibilità che il pack finale dell'handshake TCP a 3 vie contenga anche dati.  
Alcuni software client potrebbero essere incompatibili con la porta 2223, ad esempio un client che richiede al server di inviare la stringa di identificazione SFTP prima che il client lo faccia.  
![\[Le regole in entrata per un gruppo di sicurezza di esempio, che mostrano una regola per SSH sulla porta 22 e Custom TCP sulla porta 2222.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/alternate-port-rule.png)

   1. (Facoltativo) Per **FIPS Enabled**, selezionate la casella di controllo **FIPS Enabled Endpoint per assicurarvi che l'endpoint** sia conforme ai Federal Information Processing Standards (FIPS).
**Nota**  
Gli endpoint compatibili con FIPS sono disponibili solo nelle regioni del Nord America. AWS Per le regioni disponibili, consulta gli [AWS Transfer Family endpoint](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) e le quote nel. *Riferimenti generali di AWS* Per ulteriori informazioni su FIPS, vedere [Federal Information Processing Standard (FIPS](https://aws.amazon.com/compliance/fips/)) 140-2.

   1. Scegli **Next (Successivo)**.

1. In **Configura dettagli aggiuntivi, procedi** come segue:

   1. Per la **CloudWatch registrazione**, scegli una delle seguenti opzioni per abilitare la CloudWatch registrazione Amazon dell'attività dell'utente:
      + **Crea un nuovo ruolo** per consentire a Transfer Family di creare automaticamente il ruolo IAM, purché tu disponga delle autorizzazioni giuste per creare un nuovo ruolo. Viene chiamato `AWSTransferLoggingAccess` il ruolo IAM creato.
      + **Scegli un ruolo esistente** per scegliere un ruolo IAM esistente dal tuo account. In **Ruolo di registrazione**, scegli il ruolo. Questo ruolo IAM dovrebbe includere una politica di fiducia con **Service** impostato `transfer.amazonaws.com` su.

        Per ulteriori informazioni sulla CloudWatch registrazione, vedere[Configura il CloudWatch ruolo di registrazione](configure-cw-logging-role.md).
**Nota**  
Non è possibile visualizzare l'attività dell'utente finale CloudWatch se non si specifica un ruolo di registrazione.
Se non desideri impostare un ruolo di CloudWatch registrazione, seleziona **Scegli un ruolo esistente, ma non selezionare un ruolo** di registrazione.

   1. Per **le opzioni relative agli algoritmi crittografici**, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso da parte del tuo server.
**Nota**  
Per impostazione predefinita, la politica `TransferSecurityPolicy-2024-01` di sicurezza è collegata al server a meno che non ne scelga una diversa.

      Per ulteriori informazioni sulle policy di sicurezza, consulta [Politiche di sicurezza per i server AWS Transfer Family](security-policies.md).

   1. (Facoltativo: questa sezione riguarda solo la migrazione degli utenti da un server compatibile con SFTP esistente.) Per **Server Host Key, inserite una chiave** privata RSA o ECDSA che verrà utilizzata per identificare il server quando i client si connettono ad esso tramite SFTP. ED25519

   1. **(Facoltativo) Per **Tag**, per **Chiave** e **Valore**, inserite uno o più tag come coppie chiave-valore, quindi scegliete Aggiungi tag.**

   1. Scegli **Next (Successivo)**.

   1.  (Facoltativo) Per i **flussi di lavoro gestiti**, scegliete il flusso di lavoro IDs (e il ruolo corrispondente) che Transfer Family deve assumere durante l'esecuzione del flusso di lavoro. È possibile scegliere un flusso di lavoro da eseguire dopo un caricamento completo e un altro da eseguire dopo un caricamento parziale. Per ulteriori informazioni sull'elaborazione dei file utilizzando flussi di lavoro gestiti, consulta[AWS Transfer Family flussi di lavoro gestiti](transfer-workflows.md).  
![\[La sezione Console dei flussi di lavoro gestiti.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/workflows-addtoserver.png)

1. In **Rivedi e crea**, esamina le tue scelte. Se:
   + Se desideri modificarne una, scegli **Modifica** accanto al passaggio.
**Nota**  
Dovrai rivedere ogni passaggio dopo il passaggio che hai scelto di modificare.
   + Non apporti modifiche, scegli **Crea server** per creare il tuo server. Viene visualizzata la pagina **Servers (Server)**, mostrata di seguito, in cui è elencato il nuovo server.

Puoi scegliere l'ID del server per vedere le impostazioni dettagliate del server che hai appena creato. Dopo che la colonna ** IPv4 Indirizzo pubblico** è stata compilata, gli indirizzi IP elastici che hai fornito vengono associati correttamente all'endpoint del tuo server.

**Nota**  
Quando il server in un VPC è online, solo le sottoreti possono essere modificate e solo tramite l'API. [UpdateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html) È necessario [interrompere il server](edit-server-config.md#edit-online-offline) per aggiungere o modificare gli indirizzi IP elastici dell'endpoint del server.

## Cambia il tipo di endpoint per il tuo server
<a name="change-server-endpoint-type"></a>

Se disponi di un server esistente accessibile tramite Internet (ovvero con un tipo di endpoint pubblico), puoi cambiarne l'endpoint in un endpoint VPC.

**Nota**  
Se hai un server esistente in un VPC visualizzato come`VPC_ENDPOINT`, ti consigliamo di modificarlo con il nuovo tipo di endpoint VPC. Con questo nuovo tipo di endpoint, non è più necessario utilizzare un Network Load Balancer (NLB) per associare gli indirizzi IP elastici all'endpoint del server. Inoltre, puoi utilizzare i gruppi di sicurezza VPC per limitare l'accesso all'endpoint del tuo server. Tuttavia, puoi continuare a utilizzare il tipo di `VPC_ENDPOINT` endpoint secondo necessità.

La procedura seguente presuppone che si disponga di un server che utilizza il tipo di endpoint pubblico corrente o il tipo precedente. `VPC_ENDPOINT`

**Per modificare il tipo di endpoint per il server**

1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Nel riquadro di navigazione, selezionare **Servers (Server)**.

1. Seleziona la casella di controllo del server di cui desideri modificare il tipo di endpoint.
**Importante**  
È necessario arrestare il server prima di poter modificare l'endpoint.

1. In **Actions (Operazioni)**, scegliere **Stop (Arresta)**.

1. Nella finestra di dialogo di conferma che appare, scegli **Stop** per confermare che desideri arrestare il server.
**Nota**  
Prima di procedere al passaggio successivo, nella sezione **Dettagli dell'endpoint**, attendi che lo **stato** del server passi a **Offline; l'**operazione può richiedere un paio di minuti. Potrebbe essere necessario scegliere **Aggiorna** nella pagina **Server** per visualizzare la modifica dello stato.  
**Non potrai apportare modifiche finché il server non sarà offline.**

1. **Nei **dettagli dell'endpoint**, scegli Modifica.**

1. In **Modifica configurazione dell'endpoint, procedi** come segue:

   1. Per **Modifica tipo di endpoint**, scegli **VPC ospitato**.

   1. Per **Access**, scegli una delle seguenti opzioni:
      + **Interno** per rendere l'endpoint accessibile solo ai client che utilizzano gli indirizzi IP privati dell'endpoint.
      + **Internet Facing** per rendere l'endpoint accessibile ai clienti sulla rete Internet pubblica.
**Nota**  
Quando scegli **Internet Facing**, puoi scegliere un indirizzo IP elastico esistente in ogni sottorete o sottoreti. In alternativa, puoi accedere alla console VPC ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) per allocare uno o più nuovi indirizzi IP elastici. Questi indirizzi possono essere di proprietà dell'utente AWS o dell'utente. Non puoi associare indirizzi IP elastici già in uso al tuo endpoint.

   1. (Facoltativo solo per l'accesso tramite Internet) Per **Nome host personalizzato**, scegli una delle seguenti opzioni:
      + **Alias DNS Amazon Route 53**: se il nome host che desideri utilizzare è registrato con Route 53. Puoi quindi inserire il nome host.
      + **Altro DNS**: se il nome host che desideri utilizzare è registrato con un altro provider DNS. È quindi possibile inserire il nome host.
      + **Nessuno**: per utilizzare l'endpoint del server e non utilizzare un nome host personalizzato. Il nome host del server ha il formato `serverId.server.transfer.regionId.amazonaws.com`.

        Per ulteriori informazioni sull'utilizzo di nomi host personalizzati, consulta. [Lavorare con nomi host personalizzati](requirements-dns.md)

   1. Per **VPC**, scegli un ID VPC esistente oppure scegli Crea un VPC per creare **un nuovo VPC**.

   1. Nella sezione **Zone di disponibilità, seleziona fino a tre zone** di disponibilità e le sottoreti associate. Se scegli **Internet Facing**, scegli anche un indirizzo IP elastico per ogni sottorete.
**Nota**  
Se desideri il massimo di tre zone di disponibilità, ma non ce ne sono abbastanza, creale nella console VPC () [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).  
Se modifichi le sottoreti o gli indirizzi IP elastici, l'aggiornamento del server impiega alcuni minuti. Non è possibile salvare le modifiche fino al completamento dell'aggiornamento del server.

   1. Scegli **Save** (Salva).

1. Per **Azioni**, scegli **Avvia** e attendi che lo stato del server passi a **Online**; l'operazione può richiedere un paio di minuti.
**Nota**  
**Se hai cambiato un tipo di endpoint pubblico in un tipo di endpoint VPC, nota **che il tipo di endpoint** per il tuo server è cambiato in VPC.**

Il gruppo di sicurezza predefinito è collegato all'endpoint. Per modificare o aggiungere gruppi di sicurezza aggiuntivi, vedere [Creazione di gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups).

## Interruzione dell'uso di VPC\$1ENDPOINT
<a name="deprecate-vpc-endpoint"></a>

AWS Transfer Family ha interrotto la possibilità di creare server con nuovi account. `EndpointType=VPC_ENDPOINT` AWS A partire dal 19 maggio 2021, AWS gli account che non possiedono AWS Transfer Family server con un tipo di endpoint di non `VPC_ENDPOINT` saranno in grado di creare nuovi server con. `EndpointType=VPC_ENDPOINT` Se possiedi già server che utilizzano il tipo di `VPC_ENDPOINT` endpoint, ti consigliamo di iniziare a utilizzarli `EndpointType=VPC` il prima possibile. Per i dettagli, consulta [Aggiornare il tipo di endpoint AWS Transfer Family del server da VPC\$1ENDPOINT a VPC](https://aws.amazon.com/blogs/storage/update-your-aws-transfer-family-server-endpoint-type-from-vpc_endpoint-to-vpc/).

Abbiamo lanciato il nuovo tipo di endpoint all'inizio del 2020`VPC`. Per ulteriori informazioni, vedere [AWS Transfer Family perché SFTP supporta i gruppi di sicurezza VPC e gli indirizzi IP elastici](https://aws.amazon.com/about-aws/whats-new/2020/01/aws-transfer-for-sftp-supports-vpc-security-groups-and-elastic-ip-addresses/). Questo nuovo endpoint è più ricco di funzionalità e conveniente e non prevede costi. PrivateLink Per ulteriori informazioni, consultare [Prezzi di AWS PrivateLink ](https://aws.amazon.com/privatelink/pricing/). 

Questo tipo di endpoint è funzionalmente equivalente al tipo di endpoint precedente (). `VPC_ENDPOINT` È possibile collegare gli indirizzi IP elastici direttamente all'endpoint per renderlo accessibile a Internet e utilizzare i gruppi di sicurezza per il filtraggio degli IP di origine. Per ulteriori informazioni, consulta il post sul [blog Use IP allow to secure your AWS Transfer Family for SFTP servers](https://aws.amazon.com/blogs/storage/use-ip-whitelisting-to-secure-your-aws-transfer-for-sftp-servers/).

Puoi anche ospitare questo endpoint in un ambiente VPC condiviso. Per ulteriori informazioni, vedi [AWS Transfer Family ora supporta gli ambienti VPC con servizi condivisi](https://aws.amazon.com/about-aws/whats-new/2020/11/aws-transfer-family-now-supports-shared-services-vpc-environments/). 

Oltre a SFTP, puoi utilizzare il `EndpointType` VPC per abilitare FTPS e FTP. Non abbiamo intenzione di aggiungere queste funzionalità e questo supporto a. FTPS/FTP `EndpointType=VPC_ENDPOINT` Abbiamo anche rimosso questo tipo di endpoint come opzione dalla AWS Transfer Family console. 

<a name="deprecate-vpc-endpoint.title"></a>Puoi modificare il tipo di endpoint per il tuo server utilizzando la console Transfer Family AWS CLI SDKs, l'API o CloudFormation. Per modificare il tipo di endpoint del server, consulta. [Aggiornamento del tipo di endpoint AWS Transfer Family del server da VPC\$1ENDPOINT a VPC](update-endpoint-type-vpc.md)

In caso di domande, contatta Supporto AWS o contatta il team addetto AWS all'account.

**Nota**  
Non abbiamo intenzione di aggiungere queste funzionalità e il supporto FTPS o FTP a =VPC\$1ENDPOINT. EndpointType Non lo offriamo più come opzione sulla console. AWS Transfer Family 

Se hai altre domande, puoi contattarci tramite Supporto AWS il team del tuo account.

## Limitazione dell'accesso agli endpoint VPC per i server Transfer Family
<a name="limit-vpc-endpoint-access"></a>

Quando si crea un AWS Transfer Family server con un tipo di endpoint VPC, gli utenti e i responsabili IAM necessitano delle autorizzazioni per creare ed eliminare endpoint VPC. Tuttavia, le politiche di sicurezza della tua organizzazione possono limitare queste autorizzazioni. Puoi utilizzare le policy IAM per consentire la creazione e l'eliminazione di endpoint VPC specificamente per Transfer Family mantenendo le restrizioni per altri servizi.

**Importante**  
La seguente policy IAM consente agli utenti di creare ed eliminare endpoint VPC solo per i server Transfer Family, negando queste operazioni per altri servizi:

```
{
    "Effect": "Deny",
    "Action": [
        "ec2:CreateVpcEndpoint",
        "ec2:DeleteVpcEndpoints"
    ],
    "Resource": ["*"],
    "Condition": {
        "ForAnyValue:StringNotLike": {
            "ec2:VpceServiceName": [
                "com.amazonaws.INPUT-YOUR-REGION.transfer.server.*"
            ]
        },
        "StringNotLike": {
            "aws:PrincipalArn": [
                "arn:aws:iam::*:role/INPUT-YOUR-ROLE"
            ]
        }
    }
}
```

Sostituiscila *INPUT-YOUR-REGION* con la tua AWS regione (ad esempio**us-east-1**) e *INPUT-YOUR-ROLE* con il ruolo IAM a cui desideri concedere queste autorizzazioni.

## Funzionalità di rete aggiuntive
<a name="additional-networking-features"></a>

AWS Transfer Family offre diverse funzionalità di rete avanzate che migliorano la sicurezza e la flessibilità quando si utilizzano configurazioni VPC:
+ **Supporto per l'ambiente VPC condiviso**: puoi ospitare l'endpoint del server Transfer Family in un ambiente VPC condiviso. Per ulteriori informazioni, consulta [Utilizzo di endpoint ospitati in VPC in modalità condivisa](https://aws.amazon.com/blogs/storage/using-vpc-hosted-endpoints-in-shared-vpcs-with-aws-transfer-family/) con. VPCs AWS Transfer Family
+ **Autenticazione e sicurezza**: puoi utilizzare un AWS Web Application Firewall per proteggere il tuo endpoint Amazon API Gateway. Per ulteriori informazioni, consulta [Proteggere AWS Transfer Family con AWS Web Application Firewall e Amazon API Gateway](https://aws.amazon.com/blogs/storage/securing-aws-transfer-family-with-aws-web-application-firewall-and-amazon-api-gateway/).

# Aggiornamento del tipo di endpoint AWS Transfer Family del server da VPC\$1ENDPOINT a VPC
<a name="update-endpoint-type-vpc"></a>

Puoi utilizzare Console di gestione AWS CloudFormation, o l'API Transfer Family per aggiornare un server `EndpointType` da `VPC_ENDPOINT` a`VPC`. Nelle sezioni seguenti sono disponibili procedure ed esempi dettagliati per l'utilizzo di ciascuno di questi metodi per aggiornare un tipo di endpoint del server. Se disponi di server in più AWS regioni e in più AWS account, puoi utilizzare lo script di esempio fornito nella sezione seguente, con le modifiche, per identificare i server utilizzando il `VPC_ENDPOINT` tipo che dovrai aggiornare.

**Topics**
+ [Identificazione dei server utilizzando il tipo di `VPC_ENDPOINT` endpoint](#id-servers)
+ [Aggiornamento del tipo di endpoint del server utilizzando il Console di gestione AWS](#update-endpoint-console)
+ [Aggiornamento del tipo di endpoint del server tramite CloudFormation](#update-endpoint-cloudformation)
+ [Aggiornamento del server EndpointType tramite l'API](#update-endpoint-cli)

## Identificazione dei server utilizzando il tipo di `VPC_ENDPOINT` endpoint
<a name="id-servers"></a>

È possibile identificare quali server `VPC_ENDPOINT` utilizzano il Console di gestione AWS.

**Per identificare i server utilizzando il tipo di `VPC_ENDPOINT` endpoint utilizzando la console**

1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Scegli **Server** nel riquadro di navigazione per visualizzare l'elenco dei server del tuo account in quella regione.

1. Ordina l'elenco dei server in base al **tipo di endpoint** per visualizzare tutti i server utilizzati`VPC_ENDPOINT`.

**Per identificare i server che utilizzano più `VPC_ENDPOINT` AWS regioni e account**

Se disponi di server in più AWS regioni e in più AWS account, puoi utilizzare il seguente script di esempio, con modifiche, per identificare i server che utilizzano il tipo di `VPC_ENDPOINT` endpoint. Lo script di esempio utilizza le operazioni delle [https://docs.aws.amazon.com/transfer/latest/APIReference/API_ListServers.html](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ListServers.html)API Amazon EC2 [DescribeRegions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeRegions.html)e Transfer Family. Se disponi di molti AWS account, puoi eseguire l'autenticazione utilizzando i profili di sessione utilizzando un ruolo IAM con accesso da revisore in sola lettura se esegui l'autenticazione utilizzando i profili di sessione presso il tuo provider di identità.

1. Di seguito è riportato un semplice esempio.

   ```
   import boto3
   
   profile = input("Enter the name of the AWS account you'll be working in: ")
   session = boto3.Session(profile_name=profile)
   
   ec2 = session.client("ec2")
   
   regions = ec2.describe_regions()
   
   for region in regions['Regions']:
       region_name = region['RegionName']
       if region_name=='ap-northeast-3': #https://github.com/boto/boto3/issues/1943
           continue
       transfer = session.client("transfer", region_name=region_name)
       servers = transfer.list_servers()
       for server in servers['Servers']:
          if server['EndpointType']=='VPC_ENDPOINT':
              print(server['ServerId'], region_name)
   ```

1. Dopo aver ottenuto l'elenco dei server da aggiornare, è possibile utilizzare uno dei metodi descritti nelle sezioni seguenti per `EndpointType` aggiornare il file`VPC`.

## Aggiornamento del tipo di endpoint del server utilizzando il Console di gestione AWS
<a name="update-endpoint-console"></a>

1. Aprire la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Nel riquadro di navigazione, selezionare **Servers (Server)**.

1. Seleziona la casella di controllo del server di cui desideri modificare il tipo di endpoint.
**Importante**  
È necessario arrestare il server prima di poter modificare l'endpoint.

1. In **Actions (Operazioni)**, scegliere **Stop (Arresta)**.

1. Nella finestra di dialogo di conferma che appare, scegli **Stop** per confermare che desideri arrestare il server.
**Nota**  
Prima di procedere al passaggio successivo, attendi che lo **stato** del server passi a **Offline; l'**operazione può richiedere un paio di minuti. Potrebbe essere necessario scegliere **Aggiorna** nella pagina **Server** per vedere la modifica dello stato.

1. Dopo che lo stato è passato a **Offline**, scegli il server per visualizzare la pagina dei dettagli del server.

1. Nella sezione **Dettagli dell'endpoint**, scegli **Modifica**.

1. Scegli **VPC ospitato** per il tipo di **endpoint**.

1. Seleziona **Salva**

1. Per **Azioni**, scegli **Avvia** e attendi che lo stato del server passi a **Online**; l'operazione può richiedere un paio di minuti.

## Aggiornamento del tipo di endpoint del server tramite CloudFormation
<a name="update-endpoint-cloudformation"></a>

Questa sezione descrive come utilizzare CloudFormation per aggiornare un server `EndpointType` a`VPC`. Usa questa procedura per i server Transfer Family che hai distribuito utilizzando CloudFormation. In questo esempio, il CloudFormation modello originale utilizzato per distribuire il server Transfer Family è illustrato come segue:

```
AWS TemplateFormatVersion: '2010-09-09'
Description: 'Create AWS Transfer Server with VPC_ENDPOINT endpoint type'
Parameters:
  SecurityGroupId:
    Type: AWS::EC2::SecurityGroup::Id
  SubnetIds:
    Type: List<AWS::EC2::Subnet::Id>
  VpcId:
    Type: AWS::EC2::VPC::Id
Resources:
  TransferServer:
    Type: AWS::Transfer::Server
    Properties:
      Domain: S3
      EndpointDetails:
        VpcEndpointId: !Ref VPCEndpoint
      EndpointType: VPC_ENDPOINT
      IdentityProviderType: SERVICE_MANAGED
      Protocols:
        - SFTP
  VPCEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      ServiceName: com.amazonaws.us-east-1.transfer.server
      SecurityGroupIds:
        - !Ref SecurityGroupId
      SubnetIds:
        - !Select [0, !Ref SubnetIds]
        - !Select [1, !Ref SubnetIds]
        - !Select [2, !Ref SubnetIds]
      VpcEndpointType: Interface
      VpcId: !Ref VpcId
```

Il modello viene aggiornato con le seguenti modifiche:
+ `EndpointType`È stato modificato in`VPC`.
+ La `AWS::EC2::VPCEndpoint` risorsa viene rimossa.
+ I `SecurityGroupId``SubnetIds`, e `VpcId` sono stati spostati nella `EndpointDetails` sezione della `AWS::Transfer::Server` risorsa,
+ La `VpcEndpointId` proprietà di `EndpointDetails` è stata rimossa.

Il modello aggiornato ha il seguente aspetto:

```
AWS TemplateFormatVersion: '2010-09-09'
Description: 'Create AWS Transfer Server with VPC endpoint type'
Parameters:
  SecurityGroupId:
    Type: AWS::EC2::SecurityGroup::Id
  SubnetIds:
    Type: List<AWS::EC2::Subnet::Id>
  VpcId:
    Type: AWS::EC2::VPC::Id
Resources:
  TransferServer:
    Type: AWS::Transfer::Server
    Properties:
      Domain: S3
      EndpointDetails:
        SecurityGroupIds:
          - !Ref SecurityGroupId
        SubnetIds:
          - !Select [0, !Ref SubnetIds]
          - !Select [1, !Ref SubnetIds]
          - !Select [2, !Ref SubnetIds]
        VpcId: !Ref VpcId
      EndpointType: VPC
      IdentityProviderType: SERVICE_MANAGED
      Protocols:
        - SFTP
```

**Per aggiornare il tipo di endpoint dei server Transfer Family distribuiti utilizzando CloudFormation**

1. Arresta il server che desideri aggiornare utilizzando i seguenti passaggi.

   1. Apri la AWS Transfer Family console all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

   1. Nel riquadro di navigazione, selezionare **Servers (Server)**.

   1. Seleziona la casella di controllo del server di cui desideri modificare il tipo di endpoint.
**Importante**  
È necessario arrestare il server prima di poter modificare l'endpoint.

   1. In **Actions (Operazioni)**, scegliere **Stop (Arresta)**.

   1. Nella finestra di dialogo di conferma che appare, scegli **Stop** per confermare che desideri arrestare il server.
**Nota**  
Prima di procedere al passaggio successivo, attendi che lo **stato** del server passi a **Offline; l'**operazione può richiedere un paio di minuti. Potrebbe essere necessario scegliere **Aggiorna** nella pagina **Server** per vedere la modifica dello stato.

1. Aggiorna lo stack CloudFormation 

   1. Apri la CloudFormation console in [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)

   1. Scegli lo stack utilizzato per creare il server Transfer Family.

   1. Scegliere **Aggiorna**.

   1. Scegli **Sostituisci il modello corrente**

   1. Carica il nuovo modello. CloudFormation I set di modifiche ti aiutano a capire in che modo le modifiche ai modelli influiranno sulle risorse in esecuzione prima di implementarle. In questo esempio, la risorsa del server di trasferimento verrà modificata e la VPCEndpoint risorsa verrà rimossa. Il server di tipo endpoint VPC crea un endpoint VPC per tuo conto, sostituendo la risorsa originale. `VPCEndpoint`

      Dopo aver caricato il nuovo modello, il set di modifiche sarà simile al seguente:  
![\[Mostra la pagina di anteprima del set di modifiche per la sostituzione del CloudFormation modello corrente.\]](http://docs.aws.amazon.com/it_it/transfer/latest/userguide/images/vpc-endpoint-update-cfn.png)

   1. Aggiornare lo stack.

1. Una volta completato l'aggiornamento dello stack, accedi alla console di gestione di Transfer Family all'indirizzo [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Riavvia il server. Scegli il server in cui hai eseguito l'aggiornamento CloudFormation, quindi scegli **Avvia** dal menu **Azioni**.

## Aggiornamento del server EndpointType tramite l'API
<a name="update-endpoint-cli"></a>

È possibile utilizzare il comando [describe-server](https://docs.aws.amazon.com/cli/latest/reference/transfer/update-server.html) o AWS CLI il [UpdateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html)comando API. Lo script di esempio seguente arresta il server Transfer Family, aggiorna EndpointType, rimuove VPC\$1ENDPOINT e avvia il server.

```
import boto3
import time

profile = input("Enter the name of the AWS account you'll be working in: ")
region_name = input("Enter the AWS Region you're working in: ")
server_id = input("Enter the AWS Transfer Server Id: ")

session = boto3.Session(profile_name=profile)

ec2 = session.client("ec2", region_name=region_name)
transfer = session.client("transfer", region_name=region_name)

group_ids=[]

transfer_description = transfer.describe_server(ServerId=server_id)
if transfer_description['Server']['EndpointType']=='VPC_ENDPOINT':
    transfer_vpc_endpoint = transfer_description['Server']['EndpointDetails']['VpcEndpointId']
    transfer_vpc_endpoint_descriptions = ec2.describe_vpc_endpoints(VpcEndpointIds=[transfer_vpc_endpoint])
    for transfer_vpc_endpoint_description in transfer_vpc_endpoint_descriptions['VpcEndpoints']:
        subnet_ids=transfer_vpc_endpoint_description['SubnetIds']
        group_id_list=transfer_vpc_endpoint_description['Groups']
        vpc_id=transfer_vpc_endpoint_description['VpcId']
        for group_id in group_id_list:
             group_ids.append(group_id['GroupId'])
    if transfer_description['Server']['State']=='ONLINE':
        transfer_stop = transfer.stop_server(ServerId=server_id)
        print(transfer_stop)
        time.sleep(300) #safe
        transfer_update = transfer.update_server(ServerId=server_id,EndpointType='VPC',EndpointDetails={'SecurityGroupIds':group_ids,'SubnetIds':subnet_ids,'VpcId':vpc_id})
        print(transfer_update)
        time.sleep(10) 
        transfer_start = transfer.start_server(ServerId=server_id)
        print(transfer_start)
        delete_vpc_endpoint = ec2.delete_vpc_endpoints(VpcEndpointIds=[transfer_vpc_endpoint])
```

# Lavorare con nomi host personalizzati
<a name="requirements-dns"></a>

Il *nome host del server* è il nome host che gli utenti inseriscono nei loro client quando si connettono al server. Quando lavori, puoi utilizzare un dominio personalizzato che hai registrato come nome host del server. AWS Transfer Family Ad esempio, potresti usare un hostname personalizzato come. `mysftpserver.mysubdomain.domain.com`

Per reindirizzare il traffico dal tuo dominio personalizzato registrato all'endpoint del server, puoi utilizzare Amazon Route 53 o qualsiasi provider DNS (Domain Name System). Route 53 è il servizio DNS che supporta nativamente. AWS Transfer Family 

**Topics**
+ [Usa Amazon Route 53 come provider DNS](#requirements-use-r53)
+ [Usa altri provider DNS](#requirements-use-alt-dns)
+ [Nomi host personalizzati per server non creati da console](#tag-custom-hostname-cdk)

Sulla console, puoi scegliere una di queste opzioni per configurare un nome host personalizzato:
+ **Alias DNS Amazon Route 53**: se il nome host che desideri utilizzare è registrato con Route 53. Puoi quindi inserire il nome host.
+ **Altro DNS**: se il nome host che desideri utilizzare è registrato con un altro provider DNS. È quindi possibile inserire il nome host.
+ **Nessuno**: per utilizzare l'endpoint del server e non utilizzare un nome host personalizzato.

Questa opzione viene impostata quando si crea un nuovo server o si modifica la configurazione di un server esistente. Per ulteriori informazioni sulla creazione di un nuovo server, vedere[Fase 2: Creare un server compatibile con SFTP](getting-started.md#getting-started-server). Per ulteriori informazioni sulla modifica della configurazione di un server esistente, vedere[Modifica i dettagli del server](edit-server-config.md).

Per ulteriori dettagli sull'utilizzo del proprio dominio per il nome host del server e sull' AWS Transfer Family utilizzo di Route 53, consulta le seguenti sezioni.

## Usa Amazon Route 53 come provider DNS
<a name="requirements-use-r53"></a>

Quando crei un server, puoi utilizzare Amazon Route 53 come provider DNS. Prima di utilizzare un dominio con Route 53, devi registrare il dominio. Per ulteriori informazioni, consulta [Come funziona la registrazione del dominio](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-domain-registration.html) nella *Amazon Route 53 Developer Guide*.

Quando utilizzi Route 53 per fornire il routing DNS al tuo server, AWS Transfer Family utilizza il nome host personalizzato che hai inserito per estrarre la zona ospitata. Quando si AWS Transfer Family estrae una zona ospitata, possono succedere tre cose:

1. Se non conosci Route 53 e non hai una zona ospitata, AWS Transfer Family aggiunge una nuova zona ospitata e un `CNAME` record. Il valore di questo `CNAME` record è il nome host dell'endpoint per il tuo server. Un *CNAME *è un nome di dominio alternativo.

1. Se hai una zona ospitata in Route 53 senza `CNAME` record, AWS Transfer Family aggiunge un `CNAME` record alla zona ospitata.

1. Se il servizio rileva che un record `CNAME` esiste già nella zona ospitata, viene visualizzato un errore che indica che un record `CNAME` esiste già. In questo caso, modifica il valore del `CNAME` record con il nome host del server. 

Per ulteriori informazioni sulle zone ospitate in Route 53, consulta [Hosted zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/CreatingHostedZone.html) nella *Amazon Route 53 Developer Guide*.

## Usa altri provider DNS
<a name="requirements-use-alt-dns"></a>

Quando crei un server, puoi utilizzare anche provider DNS diversi da Amazon Route 53. Se utilizzi un provider DNS alternativo, devi accertarti che il traffico dal tuo dominio sia indirizzato all'endpoint del server .

A tale scopo, imposta il dominio sull'hostname dell'endpoint per il server.
+ Per gli IPv4 endpoint, il nome host ha il seguente aspetto nella console:

   `serverid.server.transfer.region.amazonaws.com` 
+ Per gli endpoint dual-stack, il nome host ha il seguente aspetto nella console:

   `serverid.transfer-server.region.on.aws` 

**Nota**  
Se il server dispone di un endpoint VPC, il formato del nome host è diverso da quelli descritti sopra. Per trovare il tuo endpoint VPC, seleziona il VPC nella pagina dei dettagli del server, quindi seleziona l'ID dell'**endpoint VPC nella dashboard VPC**. L'endpoint è il primo nome DNS tra quelli elencati.

## Nomi host personalizzati per server non creati da console
<a name="tag-custom-hostname-cdk"></a>

Quando si crea un server utilizzando AWS Cloud Development Kit (AWS CDK) o tramite la CLI, è necessario aggiungere un tag se si desidera che il server abbia un nome host personalizzato. CloudFormation Quando si crea un server Transfer Family utilizzando la console, l'etichettatura viene eseguita automaticamente.

**Nota**  
È inoltre necessario creare un record DNS per reindirizzare il traffico dal dominio all'endpoint del server. Per i dettagli, consulta [Lavorare con i record](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/rrsets-working-with.html) nella *Amazon Route 53 Developer Guide*.

Usa le seguenti chiavi per il tuo nome host personalizzato:
+ Aggiungi `transfer:customHostname` per visualizzare il nome host personalizzato nella console.
+ Se utilizzi Route 53 come provider DNS, aggiungi. `transfer:route53HostedZoneId` Questo tag collega il nome host personalizzato all'ID della zona ospitata della Route 53.

Per aggiungere il nome host personalizzato, emettete il seguente comando CLI.

```
aws transfer tag-resource --arn arn:aws:transfer:region:Account AWS:server/server-ID --tags Key=transfer:customHostname,Value="custom-host-name"
```

Esempio:

```
aws transfer tag-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0 --tags Key=transfer:customHostname,Value="abc.example.com"
```

Se utilizzi Route 53, esegui il seguente comando per collegare il tuo hostname personalizzato al tuo ID della zona ospitata di Route 53.

```
aws transfer tag-resource --arn server-ARN:server/server-ID --tags Key=transfer:route53HostedZoneId,Value=HOSTED-ZONE-ID
```

Esempio:

```
aws transfer tag-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0 --tags Key=transfer:route53HostedZoneId,Value=ABCDE1111222233334444
```

Supponendo i valori di esempio del comando precedente, esegui il comando seguente per visualizzare i tag:

```
aws transfer list-tags-for-resource --arn arn:aws:transfer:us-east-1:111122223333:server/s-1234567890abcdef0
```

```
"Tags": [
   {
      "Key": "transfer:route53HostedZoneId",
      "Value": "/hostedzone/ABCDE1111222233334444"
   },
   {
      "Key": "transfer:customHostname",
      "Value": "abc.example.com"
   }
 ]
```

**Nota**  
 Le tue zone pubbliche ospitate e le relative zone IDs sono disponibili su Amazon Route 53.   
Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo [https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/).