- Productos›
- Migración y transferencia›
- AWS Transfer Family
Preguntas frecuentes sobre AWS Transfer Family
Temas de la página
Aspectos generalesAspectos generales
¿Qué es AWS Transfer Family?
AWS Transfer Family ofrece soporte completamente administrado para transferir archivos a través de SFTP, AS2, FTPS y FTP directamente hacia Amazon S3 o Amazon EFS y desde estos. Puede migrar, automatizar y supervisar sin problemas flujos de trabajo de transferencia de archivos con las configuraciones actuales del lado del cliente para autenticación, acceso y firewalls, por lo que no hay cambios para sus clientes, socios y equipos internos, o sus aplicaciones.
¿Qué es SFTP?
SFTP significa Secure Shell (SSH) File Transfer Protocol (protocolo de transferencia de archivos de Secure Shell), un protocolo de red que se utiliza para transferir datos a través de Internet de forma segura. El protocolo, que admite la funcionalidad plena de seguridad y autenticación de SSH, se utiliza ampliamente para intercambiar datos entre socios comerciales en una variedad de sectores: servicios financieros, salud, medios y entretenimiento, venta minorista, publicidad, entre otros.
¿Qué es FTP?
FTP significa Protocolo de transferencia de archivos, un protocolo de red utilizado para la transferencia de datos. El FTP usa canales diferentes para el control y la transferencia de datos. El canal de control permanece abierto hasta que se cierra o finaliza el tiempo de espera por inactividad, mientras que el canal de datos continúa activo durante el tiempo que dura la transferencia. El FTP usa texto no cifrado y no permite cifrar el tráfico.
¿Qué es FTPS?
FTPS significa Protocolo de transferencia de archivos a través de SSL y es una extensión del FTP. A igual que el FTP, el FTPS usa canales diferentes para el control y la transferencia de datos. El canal de control permanece abierto hasta que se cierra o finaliza el tiempo de espera por inactividad, mientras que el canal de datos continúa activo durante el tiempo que dura la transferencia. El FTPS utiliza la seguridad de la capa de transporte (TLS) para cifrar el tráfico y permite el cifrado de las conexiones de los canales de control y de datos de forma simultánea o independiente.
¿Qué es AS2?
AS2 hace referencia a Applicability Statement 2, un protocolo de red usado para la transferencia segura y fiable de datos entre empresas en la Internet pública mediante HTTP/HTTPS (o cualquier red TCP/IP).
¿Qué son los conectores SFTP?
Los conectores SFTP de AWS Transfer Family se utilizan para copiar archivos a escala de forma fácil y fiable entre servidores SFTP alojados externamente y los servicios de almacenamiento de AWS.
¿Por qué debería utilizar AWS Transfer Family?
AWS Transfer Family es compatible con diferentes protocolos para transferencias de archivos entre empresas (B2B) a fin de intercambiar datos de manera fácil y segura con sus inversores, proveedores de terceros, socios de negocios o clientes. Si no utiliza Transfer Family, debe alojar y administrar su propio servicio de transferencia de archivos, lo que implica que deberá invertir en la operación y administración de infraestructura, la aplicación de parches en los servidores, la supervisión del tiempo de actividad y la disponibilidad, y la creación de mecanismos únicos para aprovisionar usuarios y auditar su actividad. AWS Transfer Family resuelve estos desafíos proporcionando opciones de conectividad completamente administradas y seguras a través de SFTP, AS2, FTPS y FTP para transferencias de archivos B2B para eliminar la necesidad de que usted administre la infraestructura relacionada con la transferencia de archivos. Los flujos de trabajo de los usuarios finales permanecen sin cambios, mientras que los datos cargados y descargados a través de los protocolos seleccionados se almacenan en su bucket de Amazon S3 o en el sistema de archivos de Amazon EFS. Ahora puede usar fácilmente los datos almacenados en AWS con la amplia gama de servicios de AWS para procesarlos, administrar su contenido, analizarlos, someterlos a tareas de machine learning y almacenarlos en un entorno que puede cumplir sus requisitos de conformidad.
¿Puedo utilizar AWS Transfer Family para crear flujos de trabajo de transferencia de archivos administrados (MFT) basados en eventos en AWS?
Sí. AWS Transfer Family publica notificaciones de eventos en Amazon EventBridge para cada operación de transferencia de archivos. Puede suscribirse a eventos de AWS Transfer Family en Amazon EventBridge y utilizarlos para orquestar flujos de trabajo de MFT basados en eventos mediante Amazon EventBridge o cualquier otro motor de orquestación de su elección que se integre con estos eventos. Para obtener más información, consulte la sección Automatización del procesamiento de archivos.
¿Cuáles son los beneficios de usar AWS Transfer Family?
AWS Transfer Family proporciona un servicio de transferencia de archivos de alta disponibilidad y completamente administrado con capacidades de escalado automático, lo que elimina la necesidad de administrar la infraestructura relacionada con la transferencia de archivos. Los flujos de trabajo de los usuarios finales permanecen sin cambios, mientras que los datos cargados y descargados a través de los protocolos seleccionados se almacenan en su bucket de Amazon S3 o en el sistema de archivos de Amazon EFS. Ahora puede usar fácilmente los datos almacenados en AWS con la amplia gama de servicios de AWS para procesarlos, administrar su contenido, analizarlos, someterlos a tareas de machine learning y almacenarlos en un entorno que puede cumplir sus requisitos de conformidad.
¿Cómo puedo comenzar a usar AWS Transfer para puntos de conexión de servidores SFTP, FTPS y FTP?
En tres simples pasos, puede activar un punto de conexión de servidor de funcionamiento continuo habilitado para SFTP, FTPS o FTP. En primer lugar, seleccione los protocolos que desea habilitar para que los usuarios finales se conecten a su punto de conexión. A continuación, se configura el acceso de los usuarios mediante el gestor de autenticación integrado de AWS Transfer Family (administrado por el servicio), Microsoft Active Directory (AD), o integrando su propio proveedor de identidades o el de un tercero, como Okta o Microsoft AzureAD (autenticación “BYO”). Por último, seleccione el servidor para acceder a los buckets de S3 o a los sistemas de archivos EFS. Cuando los protocolos, el proveedor de identidades y el acceso a los sistemas de archivos estén disponibles, los usuarios podrán continuar usando los clientes y las configuraciones existentes de SFTP, FTPS o FTP, mientras que los datos a los que acceden se almacenarán en los sistemas de archivos seleccionados.
¿Cómo puedo comenzar a usar AWS Transfer para AS2?
Puede comenzar a usar AS2 para intercambiar mensajes con sus socios de negocio en tres sencillos pasos. Primero, importe sus certificados y claves privadas y el certificado y la cadena de certificado de sus socios de negocio. A continuación, cree perfiles con su ID de AS2 y el de su socio. Finalmente, junte su información de perfil y la de su socio mediante un acuerdo para recibir datos y un conector para enviar datos. En este punto, tiene todo listo para intercambiar mensajes con el servidor AS2 de su socio de negocio.
¿Cómo puedo comenzar a usar conectores SFTP de AWS Transfer?
Puede empezar a utilizar conectores SFTP para copiar archivos entre servidores SFTP remotos y Amazon S3 en tres sencillos pasos: primero, cree un secreto que almacene las credenciales que utilizará el conector SFTP para autenticarse en el servidor remoto. Segundo, cree un conector SFTP proporcionando la URL del servidor secreto y remoto. Tercero, una vez creado el conector, puede empezar a usarlo para copiar archivos entre el servidor remoto y el bucket de Amazon S3 si invoca la API StartFileTransfer.
¿Cuál es la diferencia entre SFTP y FTPS? ¿Cuándo debo utilizar cada uno de ellos?
Tanto FTPS como SFTP se pueden usar para hacer transferencias seguras. Como son protocolos diferentes, usan tecnologías y clientes distintos para ofrecer un canal seguro destinado a la transmisión de comandos y datos. SFTP, un protocolo más nuevo que usa un único canal para comandos y datos, necesita menos aperturas de puertos que FTPS.
¿Cuál es la diferencia entre los protocolos SFTP, FTPS y AS2? ¿Cuándo debería usar el protocolo AS2?
Los SFTP, FTPS y AS2 pueden usarse para realizar transferencias seguras. Como son protocolos diferentes, usan tecnologías y clientes distintos para ofrecer una transmisión de datos segura. Además del soporte para mensajes cifrados y firmados, el mecanismo incluido de AS2 para la notificación de disposición de mensajes (MDN) alerta al remitente que el destinatario ha recibido y descifrado correctamente el mensaje. Esto proporciona al remitente una prueba de que el mensaje se entregó sin ser alterado en tránsito. El uso de AS2 es prevalente en flujos de trabajo que operan en ventas minoristas, comercio electrónico, pagos y cadenas de suministro para interactuar con socios comerciales que también pueden usar AS2 para la gestión de mensajes, de manera que se transmita y entregue de manera segura. AS2 le proporciona opciones para asegurar la identidad del remitente y el destinatario y la integridad del mensaje y confirmar si el mensaje se entregó al destinatario y este lo descifró correctamente.
¿Mis usuarios podrán continuar usando sus aplicaciones y clientes de transferencia de archivos existentes?
Sí. Cualquier aplicación o cliente de transferencia de archivos existente seguirá funcionando siempre y cuando haya habilitado el punto de conexión para los protocolos seleccionados. Algunos clientes SFTP/FTPS/FTP comúnmente usados son los clientes de WinSCP, FileZilla, CyberDuck, lftp y OpenSSH.
¿Pueden mis usuarios subir y descargar archivos a través de un portal web?
Sí. Los clientes pueden usar el cliente web de AWS Transfer Family para ofrecer a los usuarios la posibilidad de cargar y descargar archivos mediante un portal web. Los clientes tienen acceso a los mismos beneficios de autenticación y control de acceso que AWS Transfer para SFTP gracias a la incorporación de una interfaz de navegador web intuitiva diseñada para usuarios sin conocimientos técnicos.
¿Cómo accedo a los archivos almacenados en un sitio SFTP externo?
Puede utilizar los conectores SFTP de AWS Transfer para acceder a los archivos almacenados en sitios SFTP externos. Consulte la documentación de los conectores SFTP para comenzar a usarlos
¿Cómo puedo mover archivos de los sistemas empresariales de mi socio comercial a mi bucket de S3?
Puede utilizar las capacidades SFTP/FTPS/AS2 totalmente administradas de AWS Transfer Family para recibir documentos EDI generados a partir de los sistemas empresariales de su socio comercial. Los documentos EDI recibidos con las capacidades de conectividad de AWS Transfer Family se cargan automáticamente en Amazon S3, donde se pueden transformar en salidas con formato JSON y XML mediante el intercambio de datos B2B de AWS. Como alternativa, puede utilizar cualquier otra herramienta de conectividad EDI para cargar documentos EDI en S3.
¿Mis usuarios pueden usar HTTPS para transferir archivos con este servicio?
No. Sus usuarios deberán usar los SFTP, AS2, FTPS o FTP para transferir archivos. La mayoría de los clientes de transferencia de archivos ofrece estos uno de estos protocolos como opción que deberá seleccionarse durante el proceso de autenticación. Indíquenos a través de AWS Support o mediante su equipo de cuentas de AWS los protocolos específicos que quiere que sean compatibles.
¿Mis usuarios pueden usar SCP o comandos para transferir archivos con este servicio?
Sí, puede usar Transfer Family para admitir los comandos SCP a través del protocolo SFTP y cumplir con la mayoría de los casos de uso de SCP para transferencias de archivos mediante almacenamiento S3 y EFS. Para admitir los comandos SCP, asegúrese de que su cliente SCP utilice SCP a través de SFTP de forma predeterminada, como OpenSSH 9.0 o posterior. Sin embargo, el protocolo SCP ha quedado obsoleto y el servicio no lo admite. Para obtener más información, consulte la documentación.
Opciones de punto de conexión del servidor
¿Puedo personalizar los banners de inicio de sesión para los usuarios que se conectan a mi servidor de Transfer Family?
Sí. Puede configurar su servidor de Transfer Family para mostrar banners personalizados como las políticas de la organización o los términos y condiciones a los usuarios. También puede mostrar un mensaje del día (MOTD) personalizado a los usuarios que se hayan autenticado correctamente. Para obtener más información, consulte la documentación.
¿Puedo usar un nombre de dominio corporativo (sftp.nombredemicompañía.com) para obtener acceso al punto de conexión?
Sí. El servicio proporciona un nombre de dominio de forma predeterminada para acceder a su punto de conexión. Si ya tiene un nombre de dominio, puede usar Amazon Route 53 o cualquier servicio DNS para dirigir el tráfico de sus usuarios desde el dominio registrado al punto de conexión del servidor en AWS. Consulte la documentación sobre cómo AWS Transfer Family utiliza Amazon Route 53 para nombres de dominio personalizados (aplicable solo a punto de conexión expuestos a Internet).
¿Puedo configurar mi servidor para que los recursos solo puedan obtener acceso a él desde adentro de una VPC?
Sí. Al crear un servidor o actualizar uno existente, tiene la opción de especificar si desea que el punto de enlace sea accesible a través de la Internet pública o esté alojado dentro de su VPC. Utilizar el punto de enlace alojado en la VPC para el servidor permite restringirlo a fin de que solamente quede accesible para los clientes dentro de la misma VPC, otras VPC que especifique o en entornos en las instalaciones mediante el uso de tecnologías de red que extiendan su VPC, tales como AWS Direct Connect, AWS VPN o interconexión de la VPC. Puede restringir aún más el acceso a recursos en subredes específicas dentro de su VPC mediante listas de control de acceso a red (NACL) de subredes o grupos de seguridad. Consulte la documentación sobre cómo crear el punto de conexión del servidor dentro de la VPC mediante AWS PrivateLink para obtener más información.
¿Puedo usar el FTP con un punto de conexión expuesto a Internet?
No, cuando habilite el FTP, solo podrá usar la opción de acceso interno del punto de conexión alojado en la VPC, ya que el FTP transmite datos en texto sin cifrar. Si el tráfico necesita atravesar la red pública, se deben utilizar protocolos seguros, como SFTP o FTPS.
¿Puedo utilizar el FTP sin una VPC?
No. La VPC se necesita para alojar puntos de enlace de servidores de FTP. Consulte la documentación sobre plantillas de CloudFormation para automatizar la creación de recursos de VPC destinada a alojar el punto de enlace durante la creación de servidores.
¿Mis usuarios finales pueden usar direcciones IP fijas para permitir el acceso al punto de conexión de un servidor en sus firewalls?
Sí. Puede habilitar el uso de direcciones IP fijas en el punto de enlace de su servidor si selecciona el punto de enlace alojado de la VPC para su servidor y elige la opción con exposición a Internet. Esto le permitirá adjuntar IP elásticas (incluidas IP propias) directamente al punto de enlace, que se asigna como la dirección IP del punto de enlace. Consulte la sección sobre la creación de un punto de conexión expuesto a Internet en la documentación: Creación del punto de conexión del servidor dentro de la VPC.
¿Puedo restringir el tráfico entrante mediante las direcciones IP de origen de los usuarios finales?
Sí. Tiene tres opciones para restringir el tráfico entrante mediante las direcciones IP de origen de los usuarios. Si aloja el punto de conexión de su servidor dentro de la VPC, consulte esta publicación del blog sobre cómo utilizar grupos de seguridad para permitir enumerar las direcciones IP de origen o utilizar el servicio AWS Network Firewall. Si utiliza un servidor público de transferencia EndpointType y API Gateway para integrar los sistemas de administración de identidad, también puede utilizar AWS WAF a fin de permitir, bloquear o limitar la velocidad de acceso de la dirección IP de origen de sus usuarios finales.
¿Puedo alojar el punto de conexión de mi servidor en un entorno de VPC compartido?
Sí. Puede implementar el punto de enlace de su servidor con entornos de VPC compartidos que se usan normalmente al segmentar el entorno de AWS mediante herramientas como AWS Landing Zone para seguridad, supervisión de costos y escalabilidad. Consulte esta publicación del blog sobre cómo utilizar puntos de conexión alojados en la VPC en entornos de VPC compartidos con AWS Transfer Family.
¿Cómo mejoro el rendimiento de las transferencias de archivos para usuarios finales remotos?
Puede utilizar AWS Global Accelerator con el punto de conexión de su servidor de transferencias para mejorar el rendimiento de la transferencia de archivos y el tiempo de ida y vuelta. Consulte esta publicación del blog para obtener más información.
¿Puedo seleccionar qué algoritmos criptográficos se pueden utilizar cuando los clientes de mis usuarios finales se conectan al punto de conexión de mi servidor?
Sí. En función de sus requisitos de seguridad y cumplimiento, puede seleccionar una de nuestras políticas de seguridad administradas por servicio disponibles para controlar los algoritmos criptográficos que publicarán los puntos de conexión de sus servidores. Cuando los clientes de transferencia de archivos de sus usuarios finales intenten conectarse a su servidor, solo se podrán usar los algoritmos especificados en la política para negociar la conexión. Consulte la documentación sobre políticas de seguridad predefinidas.
¿AWS Transfer Family admite el intercambio de claves públicas de seguridad cuántica?
Sí. AWS Transfer Family admite el intercambio de claves públicas de seguridad cuántica para las transferencias de archivos de SFTP. Puede asociar una de las políticas de seguridad de PQ híbridas predefinidas a su servidor SFTP, lo que permite el intercambio de claves de seguridad cuántica con clientes que admiten algoritmos de cifrado de PQ.
¿Mis usuarios finales pueden usar direcciones IP fijas para acceder al servidor cuyo tipo de punto de conexión sea PÚBLICO?
No. En la actualidad, las direcciones IP fijas que se utilizan normalmente para incluir firewalls en listas blancas no se admiten en el tipo de punto de conexión PÚBLICO. Use puntos de enlace alojados en la VPC para asignar direcciones IP estáticas para sus puntos de enlace.
¿Qué intervalos de IP necesitarían los usuarios finales para permitir que la lista acceda al tipo de punto de conexión del servidor SFTP que es PÚBLICO?
Si está utilizando el tipo de punto de conexión PÚBLICO, los usuarios deberán permitir la lista de intervalos de direcciones IP de AWS publicados aquí. Consulte la documentación para obtener detalles sobre cómo mantenerse al día con los rangos de direcciones IP de AWS.
¿Se cambiará la clave de host del servidor AWS Transfer para SFTP después de que se cree el servidor?
No. La clave de host del servidor que se asigna cuando crea el servidor sigue siendo la misma, a menos que agregue una nueva clave de host y elimine manualmente la original.
¿Qué tipos de claves de host de servidor SFTP son compatibles?
Los tipos de clave RSA, ED25519 y ECDSA son compatibles con las claves de host del servidor SFTP.
¿Puedo importar claves de mi servidor SFTP actual para que mis usuarios no tengan que volver a verificar la autenticidad de mi servidor?
Sí. Puede importar una clave de host al crear un servidor o importar varias claves de host al actualizar un servidor. Consulte la documentación sobre la administración de claves de host para su servidor habilitado para SFTP.
¿Se pueden usar varias claves de host para verificar la autenticidad de mi servidor SFTP?
Sí. La clave de host más antigua de cada tipo de clave se puede utilizar para verificar la autenticidad de un servidor SFTP. Al agregar claves de host RSA, ED25519 y ECDSA, se pueden usar 3 claves de host separadas para identificar su servidor SFTP.
¿Qué claves de host se utilizan para verificar la autenticidad de mi servidor SFTP?
La clave de host más antigua de cada tipo de clave se utiliza para verificar la autenticidad de su servidor SFTP.
¿Puedo rotar mis claves de host del servidor SFTP para garantizar conexiones seguras?
Sí. Puede rotar las claves de host del servidor SFTP en cualquier momento agregando y eliminando claves de host. Consulte la documentación sobre la administración de claves de host para su servidor habilitado para SFTP.
¿De qué forma los clientes FTPS de los usuarios finales verifican la identidad de mi servidor FTPS?
Cuando habilite el acceso al FTPS, deberá suministrar un certificado de Amazon Certificate Manager (ACM). Los clientes de usuarios finales utilizarán este certificado para verificar la identidad de su servidor FTPS. Consulte la documentación de ACM sobre cómo solicitar certificados nuevos o cómo importar certificados existentes a ACM.
¿Se admiten los modos activo y pasivo de FTPS y FTP?
Solo admitimos el modo pasivo, que permite a los clientes de usuarios finales iniciar conexiones con el servidor. El modo pasivo requiere menos aperturas de puertos del lado del cliente, lo que aumenta la compatibilidad de su punto de enlace de servidor con usuarios finales ubicados detrás de firewalls protegidos.
¿Se admiten los modos de FTPS explícito e implícito?
Solo admitimos el modo de FTPS explícito.
¿Puedo transferir archivos a través de protocolos FTPS/FTP si tengo un firewall o un enrutador configurado entre el cliente y el servidor?
Sí. Las transferencias de archivos que atraviesan un firewall o un enrutador son compatibles de forma predeterminada mediante el modo de conexión pasiva extendida (EPSV). Si utiliza un cliente FTPS/FTP que no es compatible con el modo EPSV, consulte esta publicación del blog para configurar su servidor en modo PASV a fin de expandir la compatibilidad de su servidor a un rango más amplio de clientes.
¿AWS Transfer Family admite puertos no predeterminados para servidores SFTP?
Sí. Además del puerto 22 estándar, AWS Transfer Family también admite los puertos alternativos 2222 y 22000. De forma predeterminada, el puerto 22 está configurado para los servidores SFTP. Para mejorar la seguridad de su servidor, puede configurar el tráfico SSH para que utilice los puertos 22, 2222 o ambos. Consulte nuestra documentación aquí.
Conectores SFTP
¿Qué métodos de autenticación se admiten para establecer la conexión con los servidores SFTP remotos?
Puede autenticar las conexiones a servidores remotos mediante pares de claves SSH o una contraseña, o ambas, según los requisitos del servidor remoto. Para obtener más información sobre el almacenamiento y la administración de las credenciales de autenticación de su conector en su cuenta de AWS Secrets Manager, consulte la documentación.
¿Qué servicios de almacenamiento de AWS se admiten para transferir archivos mediante conectores SFTP?
Puede transferir archivos hacia o desde Amazon S3 a servidores SFTP remotos mediante conectores SFTP.
¿Qué algoritmos de clave de host SSH admiten los conectores SFTP?
Admitimos los algoritmos de claves de host de RSA y ECDSA. Para obtener más información sobre los tipos de claves compatibles, consulte la documentación aquí.
¿Cómo valido la identidad de un servidor SFTP remoto cuando creo una conexión?
El conector usa la huella digital del host para validar la identidad del servidor remoto. Si la huella digital proporcionada por el servidor remoto no coincide con la que se ha cargado a la configuración del conector, la conexión fallará y los detalles del error se registrarán en CloudWatch. Para obtener más información sobre cómo cargar la parte pública de la clave SSH de un servidor remoto para su identificación, consulte la documentación de los conectores SFTP aquí.
¿Puedo configurar mis buckets de Amazon S3 y conectores SFTP en cuentas individuales de AWS?
Sí. Puede aprovisionar sus recursos de conectores SFTP y buckets de Amazon S3 en diferentes cuentas de AWS.
¿Puedo seleccionar qué algoritmos criptográficos se pueden usar con mis conectores SFTP para conectarme a servidores SFTP remotos?
Sí. En función de sus requisitos de seguridad y compatibilidad, puede seleccionar una de nuestras políticas de seguridad administradas por servicio disponibles para controlar los algoritmos criptográficos que publicará el conector SFTP. Cuando el conector intente conectarse a un servidor remoto, solo se utilizarán los algoritmos especificados en la política adjunta al conector para negociar la conexión. Consulte la documentación sobre políticas de seguridad predefinidas.
¿Puedo crear un conector SFTP en una cuenta de AWS y utilizarlo para transferir archivos desde una cuenta diferente de AWS?
Sí. Puede crear un conector SFTP en una cuenta de AWS y utilizarlo para transferir archivos desde otra cuenta proporcionando los permisos de acceso adecuados en el rol de IAM adjunto al conector.
¿Cómo puedo verificar la conectividad con el servidor remoto sin transferir archivos?
Puede probar la conectividad con el servidor remoto mediante la consola de administración de AWS o el comando TestConnection de la API/CLI/CDK. Le recomendamos que pruebe la conectividad con el servidor remoto tan pronto como cree el conector para asegurarse de que está configurado correctamente. Si es necesario, asegúrese de que las direcciones IP estáticas asociadas a sus conectores figuren en la lista de direcciones permitidas del servidor remoto. Para obtener más información, consulte la documentación de los conectores SFTP.
¿Qué operaciones de transferencia de archivos admiten los conectores SFTP?
Los conectores SFTP se pueden usar para enviar archivos de Amazon S3 a un servidor SFTP remoto, recuperar archivos de un servidor SFTP remoto a Amazon S3 y enumerar los archivos almacenados en un directorio del servidor SFTP remoto. Para obtener más información sobre el uso de los conectores SFTP, consulte la documentación sobre conectores SFTP.
¿Cómo puedo recuperar archivos de servidores SFTP remotos si no conozco los nombres de los archivos?
Puede enumerar los archivos almacenados en un directorio de servidores SFTP remotos mediante la operación de API StartDirectoryListing de los conectores SFTP. A continuación, podrá recuperar los archivos de destino del servidor remoto pasando los nombres de los archivos de la lista cuando utilice la operación de API StartFileTransfer para transferir archivos. Para obtener más información, consulte la solución de ejemplo para sincronizar archivos nuevos desde servidores SFTP remotos o participe en el taller de MFT autoguiado.
¿Cómo puedo usar caracteres comodín para especificar los patrones de nombre de archivo de los archivos que se van a copiar mediante conectores SFTP?
Puede enumerar todos los archivos de un directorio en un servidor SFTP remoto mediante conectores SFTP y crear una lógica personalizada para filtrar la lista de archivos según los criterios comodín para los patrones de nombre de archivo. A continuación, puede utilizar la operación de API StartFileTransfer para transferir esos archivos mediante conectores SFTP.
¿Cómo puedo hacer un seguimiento del estado de mis transferencias de archivos?
Puede supervisar el estado actual de sus operaciones de transferencia de archivos mediante el comando API ListFileTransferResults. Además, los conectores SFTP emiten registros detallados en Amazon CloudWatch, incluidos el estado de las transferencias de archivos, el tipo de operación (enviar o recuperar), la marca de tiempo, la ruta del archivo y la descripción del error (si corresponde) para ayudarlo a mantener el linaje de datos.
¿Puedo programar mis transferencias de archivos mediante conectores SFTP?
Sí. Puede programar transferencias de archivos con el Programador de Amazon EventBridge. Cree un cronograma que satisfaga las necesidades de su empresa con el Programador de EventBridge y especifique la API StartFileTransfer de AWS Transfer Family o la API StartDirectoryListing como el objetivo universal para su cronograma.
¿Puedo invocar transferencias de archivos mediante conectores SFTP desde mi máquina de estados en AWS Step Functions?
Sí. AWS Step Functions se integra con varios servicios de AWS, incluido AWS Transfer Family, lo que le permite invocar la acción StartFileTransfer del conector SFTP directamente desde su máquina de estados. Una vez que haya creado su conector SFTP con AWS Transfer Family, aproveche las integraciones del SDK de AWS de Step Functions para llamar a la API StartFileTransfer. Para obtener más información sobre cómo organizar los flujos de trabajo de transferencia y procesamiento de archivos mediante AWS Step Functions y los conectores SFTP, participe en el taller de MFT basado en eventos autoguiado.
¿Puedo orquestar el procesamiento basado en eventos de mis archivos transferidos mediante conectores SFTP?
Sí. Cada operación de transferencia de archivos mediante conectores SFTP publica una notificación de evento en el bus de eventos predeterminado de Amazon EventBridge. Puede suscribirse a los eventos del conector SFTP y utilizarlos para orquestar el procesamiento basado en eventos de los archivos transferidos mediante Amazon EventBridge o cualquier otro servicio de orquestación de flujos de trabajo de su elección que se integre con estos eventos.
¿Puedo usar una IP estática a mi conector SFTP para que mi socio de negocios pueda incluir la dirección IP del conector en su firewall?
Sí. Las direcciones IP estáticas están asociadas a sus conectores de forma predeterminada y se pueden usar para incluir conexiones en la lista de conexiones permitidas en el firewall de su socio comercial. Para identificar las direcciones IP estáticas asociadas a sus conectores, vaya a la página de detalles del conector en la consola de AWS Transfer Family o utilice el comando (API/CLI/CDK) DescribeConnector.
¿Las direcciones IP estáticas son las mismas para todos los conectores SFTP de mi cuenta?
Sí. Todos los conectores SFTP de una región de cuenta de AWS compartirán un conjunto de direcciones IP estáticas. Compartir direcciones IP entre conectores de un tipo determinado reduce la cantidad de documentación de la lista de permitidos, así como las comunicaciones de incorporación necesarias con sus socios externos.
¿Puedo usar conectores SFTP para conectarme con servidores de una red privada?
No. Actualmente, los conectores SFTP solo pueden usarse para conectarse con servidores que ofrecen un punto de conexión accesible a Internet. Si necesita conectarse a servidores a los que solo se puede acceder a través de una red privada, infórmenos a través de AWS Support o a través de su equipo de cuentas de AWS.
Acceso mediante varios protocolos
¿Puedo habilitar varios protocolos en el mismo punto de conexión del servidor?
Sí. Durante el proceso de configuración, puede seleccionar los protocolos que desea habilitar para que los clientes se conecten a su punto de conexión. El nombre de host del servidor, la dirección IP y el proveedor de identidades se comparten entre los protocolos seleccionados. De manera similar, puede habilitar un soporte de protocolo adicional a los puntos de conexión existentes de AWS Transfer Family, siempre que la configuración del punto de conexión cumpla con los requisitos de todos los protocolos que desea usar.
¿Cuándo debería crear puntos de conexión de servidor independientes para cada protocolo en vez de habilitar el mismo punto de conexión para varios protocolos?
Cuando necesite usar FTP (solo admitido para el acceso dentro de la VPC) y cuando necesite compatibilidad a través de Internet para SFTP, AS2 o FTPS, necesitará un punto de conexión de servidor independiente para FTP. Puede usar el mismo punto de conexión para varios protocolos cuando quiera usar el mismo nombre de host de punto de conexión y dirección IP para clientes que se conecten a través de protocolos distintos. Además, si quiere compartir las mismas credenciales para SFTP y FTPS, puede configurar y usar un único proveedor de identidad para autenticar clientes que se conecten a través de uno de estos protocolos.
¿Puedo configurar el mismo usuario final para obtener acceso al punto de conexión a través de varios protocolos?
Sí. Puede proveer el mismo acceso de usuario en varios protocolos, siempre y cuando las credenciales específicas del protocolo se hayan configurado en su proveedor de identidad. Si habilitó FTP, recomendamos mantener credenciales independientes para este protocolo. Consulte la documentación acerca de cómo configurar credenciales independientes para FTP.
¿Por qué debo mantener credenciales independientes para los usuarios de FTP?
A diferencia de los protocolos SFTP y FTPS, FTP transmite credenciales con texto no cifrado. Recomendamos aislar las credenciales de FTP de los protocolos SFTP o FTPS porque si, accidentalmente, las credenciales de FTP se comparten o quedan expuestas, las cargas de trabajo que usen SFTP o FTPS permanecerán protegidas.
¿Mis usuarios pueden acceder a los puntos de conexión SFTP de AWS Transfer Family mediante un navegador?
Sí. Puede desplegar esta solución de código abierto que permite proporcionar una interfaz basada en el navegador mediante sus puntos de conexión SFTP de AWS Transfer Family.
Opciones de proveedores de identidades para puntos de conexión de servidores
¿Qué opciones de proveedores de identidades admite el servicio?
El servicio admite tres opciones de proveedores de identidad: administrada por el servicio, en la que se almacenan las identidades de los usuarios dentro del servicio, Microsoft Active Directory y proveedores de identidad personalizada, que permiten integrar un proveedor de identidad de su elección. La autenticación administrada por servicio se admite para puntos de enlace de servidor que estén habilitados para SFTP únicamente.
¿Cómo puedo autenticar los usuarios mediante el uso de la autenticación Administrada por el servicio?
Puede usar la autenticación Administrada por el servicio para autenticar usuarios de SFTP que usen claves SSH.
¿Cuántas claves SSH puedo cargar por usuario de SFTP? ¿Qué tipos de claves se admiten?
Puede cargar hasta 10 claves SSH por usuario. Se admiten claves RSA, ED25519 y ECDSA.
¿Se admite la rotación de claves SSH para la autenticación administrada por el servicio?
Sí. Consulte la documentación a fin de obtener detalles sobre cómo configurar la rotación de claves para usuarios de SFTP.
¿Cómo comienzo a utilizar Microsoft AD?
Cuando cree su servidor, seleccione un directorio en AWS Managed Microsoft AD, su entorno local o AD autoadministrado en Amazon EC2 como su proveedor de identidad. A continuación, deberá especificar los grupos de AD que desea habilitar para el acceso mediante un identificador de seguridad (SID). Una vez que asocie su grupo de AD con la información de control de acceso, como el rol de IAM, la política de restricción de acceso (solo para S3), el perfil POSIX (solo para EFS), la ubicación del directorio principal y las asignaciones de directorios lógicos, los miembros del grupo pueden utilizar sus credenciales de AD para autenticar y transferir archivos a través de los protocolos habilitados (SFTP, FTPS, FTP).
¿Cómo puedo configurar mis usuarios de AD para que tengan acceso aislado a diferentes partes de mi bucket de S3?
Cuando configura sus usuarios, proporciona una política de restricción de acceso que se evalúa en el tiempo de ejecución en función la información de sus usuarios, como su nombre de usuario. Puede utilizar la misma política de restricción de acceso para todos sus usuarios para proporcionar acceso a prefijos únicos en el bucket en función de su nombre de usuario. Además, un nombre de usuario también se puede utilizar para evaluar las asignaciones de directorios lógicos, proporcionando una plantilla estandarizada sobre cómo el bucket S3 o el contenido del sistema de archivos EFS se hacen visibles para su usuario. Para obtener más información consulte la documentación sobre cómo conceder acceso a los grupos AD.
¿Puedo utilizar Microsoft AD como opción de proveedor de identidad para todos los protocolos compatibles?
Sí. Puede utilizar Microsoft AD para autenticar a los usuarios para el acceso a través de SFTP, FTPS y FTP.
¿Puedo retirar el acceso a los grupos de AD habilitados?
Sí. Puede retirar el acceso a la transferencia de archivos para grupos individuales de AD. Una vez retirado, los miembros de los grupos AD no podrán transferir archivos utilizando sus credenciales AD.
¿Por qué debería utilizar el modo de autenticación personalizado?
El modo personalizado (autenticación “BYO”) permite aprovechar un proveedor de identidad existente a fin de administrar sus usuarios finales para todos los tipos de protocolo (SFTP, FTPS y FTP), lo que permite una migración fácil y sin problemas de sus usuarios. Las credenciales se pueden almacenar en un directorio corporativo o en un almacén de datos de identidades interno, que se puede integrar para fines relacionados con la autenticación de usuarios finales. Algunos ejemplos de proveedores de identidades son Okta, Microsoft AzureAD o cualquier proveedor de identidades personalizado que pueda utilizar como parte de un portal de aprovisionamiento general.
¿Qué opciones tengo para integrar el proveedor de identidad con un servidor de AWS Transfer Family?
Para integrar el proveedor de identidad con un servidor de AWS Transfer Family, puede utilizar una función de AWS Lambda o un punto de conexión de Amazon API Gateway. Utilice Amazon API Gateway si necesita una API RESTful para conectarse a un proveedor de identidad o si quiere aprovechar AWS WAF para sus capacidades de bloqueo geográfico y limitación de velocidad. Consulte la documentación para obtener más información sobre la integración de proveedores de identidades comunes, como AWS Cognito, Okta y AWS Secrets Manager.
¿Puedo aplicar controles de acceso basados en la IP de origen del cliente?
Sí. La IP fuente del cliente se transmite a su proveedor de identidad cuando utiliza AWS Lambda o API Gateway para conectar un proveedor de identidad personalizado. De esta forma puede permitir, denegar o limitar el acceso en función de las direcciones IP de los clientes para garantizar que se acceda a los datos solo desde direcciones IP que haya especificado como de confianza.
¿Puedo solicitar varios métodos de autenticación cuando los usuarios intenten conectarse a mi servidor SFTP?
Sí. Puede aplicar varios métodos de autenticación para proporcionar una capa adicional de seguridad cuando se accede a sus datos a través de SFTP. Su servidor SFTP se puede configurar para que requiera tanto una contraseña como una clave SSH, una contraseña o una clave SSH, solo una contraseña o solo una clave SSH. Consulte la documentación para obtener más información sobre cómo habilitar varios métodos de autenticación con su proveedor de identidades de cliente.
¿Puedo utilizar la opción administrada por el servicio para la autenticación de la contraseña?
No. En este momento no se admite el almacenamiento de contraseñas dentro del servicio para la autenticación. Si necesita la autenticación de contraseñas, utilice Active Directory y seleccione un directorio en AWS Directory Service, o utilice la arquitectura descrita en este blog en Habilitación de la autenticación de claves mediante Secrets Manager.
¿Se admiten los usuarios anónimos?
No. Actualmente no se admiten los usuarios anónimos para ninguno de los protocolos.
¿Puedo proporcionar acceso a usuarios individuales de AD o a todos los usuarios de un directorio?
No. Solo se admite la configuración del acceso por grupos de AD.
¿Puedo utilizar AD para autenticar a los usuarios mediante claves SSH?
No. La compatibilidad de AWS Transfer Family con Microsoft AD solo puede utilizarse para la autenticación basada en contraseñas. Para utilizar una combinación de modos de autenticación, utilice la opción Custom authorizer (autorizador personalizado).
Socios de negocio de AS2
¿El soporte de AWS Transfer Family para AS2 tiene certificación de Drummond?
Sí. El soporte de AWS Transfer Family para AS2 recibió el sello oficial de certificación de nube AS2 de Drummond Group. Las capacidades de AS2 de AWS Transfer Family se han examinado exhaustivamente para garantizar la seguridad y la compatibilidad de intercambio de mensajes con otras catorce soluciones de AS2 de terceros. Para obtener más información, consulte nuestro anuncio.
¿Cómo identifico de manera única a mi socio de negocio de AS2?
Puede identificar a su socio de negocio únicamente usando su identificador AS2 (AS2 ID). Del mismo modo, sus socios de negocio pueden identificar sus mensajes usando su AS2 ID.
¿Qué características existentes de AWS Transfer Family están disponibles para AS2? ¿Qué características no están disponibles?
Puede usar el soporte existente de AWS Transfer Family para Amazon S3, las características de red (puntos de conexión de VPC, grupos de seguridad e IP elásticas) y los controles de acceso (AWS IAM) para AS2, como lo haría con SFTP, FTPS y FTP. AS2 no admite la autenticación de usuario, directorios lógicos, banners personalizados ni Amazon EFS como backend de almacenamiento.
¿Qué es el no repudio y por qué es importante?
El no repudio, único de AS2, se usa para validar que los mensajes se intercambien de manera exitosa entre dos partes. En AS2, el no repudio se logra mediante las notificaciones de disposición de mensajes (MDN). Al solicitar una MDN en una transacción, asegura que el remitente envió el mensaje, que el destinatario lo recibió correctamente y que el mensaje enviado por el remitente es el mismo mensaje recibido por el destinatario.
¿Cuáles son los pasos involucrados en la transmisión de mensajes mediante el protocolo AS2?
Existen dos aspectos de la transmisión de mensajes: el del remitente y el del destinatario. Una vez que el remitente ha determinado qué mensaje enviar, el mensaje se firma (con la clave privada del remitente), se cifra (con el certificado del destinatario) y se calcula la integridad del mensaje con un hash. Este mensaje firmado y cifrado se transmite por cable al destinatario. Una vez que se recibe el mensaje, se descifra (con la clave privada del destinatario), se valida (con la clave pública del remitente), se procesa y, si se solicita, se envía una notificación de disposición de mensajes (MDN) de nuevo al remitente para confirmar que el mensaje se ha enviado correctamente. Consulte la documentación sobre cómo AS2 administra la transmisión de mensajes.
¿Cuáles son las opciones disponibles para la transmisión de mensajes?
La combinación de opciones posibles se origina del punto de vista del remitente. El remitente puede elegir solo cifrar o solo firmar los datos (o ambos) y elegir solicitar notificaciones de disposición de mensajes (MDN). Si el remitente elige solicitar una MDN, puede solicitar una MDN firmada o sin firmar. Se espera que el destinatario respete estas opciones.
¿Solicitar notificaciones de disposición de mensajes (MDN) es opcional?
Sí. El remitente puede elegir solicitar una MDN, elegir solicitar una MDN firmada o sin firmar y también seleccionar los algoritmos de firma que deben usarse para firmar la MDN.
¿Admite MDN síncronas (Sync) y asíncronas (Async)? ¿Cuándo debería usar cada opción?
Actualmente admitimos respuestas MDN síncronas y asíncronas. Esto le permite responder a sus socios de negocio con una MDN síncrona o asíncrona después de recibir un mensaje de AS2. Como las MDN síncronas se envían por el mismo canal de conexión que el mensaje, es mucho más simple y, por lo tanto, la opción recomendada. Si necesita más tiempo para procesar el mensaje antes de enviar una MDN, son preferibles las MDN asíncronas. Si necesita solicitar y recibir un MDNS asíncrono cuando envía mensajes a sus socios comerciales, póngase en contacto con nosotros a través de AWS Support o de su administrador de cuentas.
¿Cómo busco y hago el seguimiento de las cargas y MDN enviadas y recibidas?
AWS Transfer Family extrae información clave de AS2 de las cargas y MDN intercambiadas y las almacena como archivos JSON en su bucket de Amazon S3. Puede consultar estos archivos JSON con S3 Select o Amazon Athena o indexar los archivos mediante Amazon OpenSearch o Amazon DocumentDB para análisis.
¿Puedo archivar las MDN recibidas (como el remitente que las solicitó)?
Sí. Una vez que reciba una MDN de un socio de negocio, el servicio valida la MDN con su certificado y almacena el mensaje en su bucket de Amazon S3. Puede elegir archivar el mensaje haciendo uso de las políticas de ciclo de vida de S3.
¿Cómo notifico a AWS Transfer Family cuando un mensaje está listo para ser entregado al punto de conexión de mi socio de negocio?
Una vez que los datos estén listos para su entrega, tendrá que invocar la API StartFileTransfer mediante el conector AS2, que contiene la información del servidor AS2 del destinatario. Esto notificará al servicio para que envíe el mensaje al punto de conexión de su socio de negocio. Consulte la documentación sobre conectores para enviar mensajes a su socio de negocio mediante AS2.
¿Puedo aislar a cada uno de mis socios de negocio a fin de usar diferentes ubicaciones entrantes y salientes para los mensajes?
Sí. Cuando configura el perfil de sus socios de negocio, puede usar carpetas diferentes para cada uno de ellos.
¿Puedo usar las claves y los certificados existentes de mi socio de negocio con mi punto de conexión AS2 de AWS Transfer Family?
Sí. Puede importar las claves y los certificados existentes de su socio y administrar las renovaciones y rotaciones. Consulte la documentación sobre cómo importar certificados.
¿Cómo sé cuándo los certificados de mi socio de negocio están por vencer?
Con la consola de AWS Transfer Family, puede ver un panel de certificados ordenados por fecha de vencimiento. De manera adicional, puede elegir recibir notificaciones cuando un certificado esté por vencer, lo cual le dará tiempo suficiente para rotarlos y prevenir la discontinuidad de las operaciones.
¿Puedo conectarme al servidor AS2 de mi socio de negocio mediante direcciones IP estáticas?
Sí. Las direcciones IP estáticas están asociadas a sus conectores de forma predeterminada y se pueden usar para incluir conexiones en la lista de conexiones permitidas en el servidor AS2 de su socio de negocio. Para identificar las direcciones IP estáticas asociadas a sus conectores, vaya a la página de detalles del conector en la consola de AWS Transfer Family o utilice el comando (API/CLI/CDK) DescribeConnector.
¿Puedo conectarme al host AS2 de mi socio comercial que requiere que me autentique utilizando credenciales de nombre de usuario y contraseña?
Sí. Admitimos la posibilidad de conectarse al servidor AS2 de su socio comercial mediante autenticación básica. Consulte la documentación sobre la configuración de la autenticación básica en los conectores AS2.
¿Puedo enviar mensajes a los servidores AS2 de mis socios comerciales utilizando direcciones IP fijas?
Sí. Los conectores AS2 utilizan direcciones IP estáticas al enviar mensajes a servidores AS2 remotos y al devolver respuestas de notificación de disposición de mensajes (MDN) asincrónicas. Para identificar las direcciones IP estáticas asociadas a sus conectores, vaya a las páginas de detalles del conector o del servidor en la consola de administración de AWS Transfer Family o utilice los comandos DescribeConnector o DescribeServer API/CLI/CDK.
¿Puedo recibir mensajes AS2 de mis socios comerciales a través de un punto de conexión con IP fija?
Sí. Los puntos de conexión del servidor AS2 admiten la configuración de controles de listas de IP permitidas mediante el uso de grupos de seguridad con puntos de conexión conectados a Internet y alojados en la VPC.
¿Mis respuestas MDN asincrónicas de AS2 usarán direcciones IP estáticas?
Sí. Sus respuestas MDN asincrónicas de AS2 utilizarán direcciones IP estáticas. Si desea identificar las direcciones IP estáticas utilizadas para enviar las respuestas asincrónicas de MDN, vaya a la página de detalles del servidor en la consola de administración de AWS Transfer Family o utilice el comando (API/CLI/CDK) DescribeServer.
¿Cómo puedo orquestar el procesamiento de los mensajes AS2 recibidos de mis socios comerciales?
Cada mensaje AS2 recibido publica un evento en el bus de eventos predeterminado en Amazon EventBridge. Puede suscribirse a estos eventos y utilizarlos para orquestar el procesamiento basado en eventos de los mensajes recibidos mediante Amazon EventBridge o cualquier otro servicio de orquestación de flujos de trabajo. Por ejemplo, puede utilizar estos eventos para copiar mensajes entrantes en otras ubicaciones de S3, analizar el contenido de los mensajes mediante malware utilizando una Lambda personalizada o etiquetar mensajes en función de su contenido para que servicios como Amazon CloudSearch puedan indexarlos y realizar búsquedas en ellos.
¿Puedo transformar automáticamente el contenido EDI de mis mensajes AS2 entrantes utilizando el intercambio de datos B2B de AWS?
Sí. Puede transformar automáticamente el contenido X12 EDI de sus mensajes AS2 entrantes en representaciones de datos comunes como JSON y XML mediante el intercambio de datos B2B de AWS. Para ello, cree una regla de Amazon EventBridge que coincida con el patrón de eventos del evento AS2 Payload Receive Completed de AWS Transfer Family y especifique la API StartTransformerJob del intercambio de datos B2B de AWS como objetivo universal de la regla. Al transformar el contenido X12 EDI de los mensajes AS2 entrantes con el intercambio de datos B2B de AWS, puede automatizar y acelerar la integración de los datos EDI en aplicaciones y sistemas empresariales posteriores.
¿Cómo puedo automatizar el envío de mensajes AS2 a mis socios comerciales?
Puede automatizar el envío de mensajes AS2 programándolos con el Programador de Amazon EventBridge o activándolos mediante reglas de Amazon EventBridge. Para crear flujos de trabajo automatizados y basados en el tiempo para el envío de mensajes AS2, cree un cronograma que satisfaga las necesidades de su empresa con el Programador de EventBridge y especifique la API StartFileTransfer de AWS Transfer Family como el objetivo universal para su cronograma. Para crear flujos de trabajo automatizados basados en eventos para el envío de mensajes AS2, cree una regla de Amazon EventBridge que coincida con los eventos publicados en EventBridge y especifique la API StartFileTransfer de AWS Transfer Family como objetivo universal de su regla.
¿Puedo archivar los mensajes AS2 o las respuestas MDN enviados a mis operaciones?
Sí. Cada mensaje AS2 y MDN enviado publica un evento en el bus de eventos predeterminado de Amazon EventBridge. Puede suscribirse a estos eventos y utilizarlos para eliminar o archivar mensajes AS2 y MDN enviados correctamente a su socio comercial.
¿Puedo recibir notificaciones cuando los mensajes AS2 salientes no se envían o cuando los mensajes AS2 entrantes no se procesan?
Sí. AWS Transfer Family publica eventos en Amazon EventBridge por cada mensaje AS2 o MDN enviado y recibido correcta o incorrectamente. Estos eventos se publican en el bus de eventos predeterminado de Amazon EventBridge, donde se pueden utilizar para activar notificaciones por correo electrónico para usted o sus socios mediante servicios como Amazon SNS.
¿Puedo utilizar los flujos de trabajo administrados de Transfer Family para procesar los mensajes recibidos de mis socios comerciales a través de AS2?
No. Actualmente, los flujos de trabajo administrados no son compatibles con los puntos de conexión AS2. Recomendamos utilizar las notificaciones de eventos de Transfer Family que se publican en Amazon EventBridge para orquestar el procesamiento de los mensajes AS2. Para obtener más información, consulte la sección Automatización del procesamiento de archivos.
¿Se admiten AS3 y AS4?
No. Por el momento, AWS Transfer Family no ofrece compatibilidad con AS3 ni AS4.
Automatización del procesamiento de archivos
¿De qué opciones dispongo para automatizar el procesamiento de los archivos transferidos mediante AWS Transfer Family?
Tiene dos opciones: 1) AWS Transfer Family publica notificaciones de eventos de transferencia de archivos en Amazon EventBridge para los archivos transferidos a través de SFTP, AS2, FTPS y FTP, y puede utilizar estos eventos para activar el procesamiento de sus archivos mediante cualquier servicio que se pueda integrar con eventos de EventBridge, y 2) AWS Transfer family proporciona flujos de trabajo administrados para facilitarle la ejecución automática del procesamiento posterior a la carga de archivos cargados a través de puntos de conexión de servidores SFTP, FTPS y FTP mediante pasos de procesamiento de archivos prediseñados. Cuando asocia un flujo de trabajo administrado a su punto de conexión del servidor, todos los archivos que se cargan a través de ese punto de conexión se procesan utilizando los mismos pasos de flujo de trabajo.
¿Qué operaciones de Transfer Family publican notificaciones de eventos en Amazon EventBridge?
AWS Transfer Family publica notificaciones de eventos en Amazon EventBridge tras la finalización correcta o incorrecta de cada operación de transferencia de archivos, tanto para los recursos del servidor como del conector. Para obtener más información sobre los eventos de Transfer Family publicados en Amazon EventBridge, consulte la documentación.
¿Por qué necesito flujos de trabajo administrados?
Si necesita procesar archivos que intercambia con sus socios empresariales, debe configurar una infraestructura para ejecutar código personalizado, supervisar continuamente los errores y las anomalías en tiempo de ejecución y asegurarse de que todos los cambios y transformaciones de los datos se auditen y se registren. Además, debe comprender los escenarios de errores, tantos técnicos como empresariales, a la vez de que se asegura de que los modos a prueba de errores se desencadenen apropiadamente. Si tiene requisitos de trazabilidad, debe rastrear la línea de los datos a medida que pasan a través de los diferentes componentes de su sistema. Mantener componentes separados de un flujo de trabajo de procesamiento de archivos le impide centrarse en el trabajo de diferenciación que podría estar haciendo para su negocio. Los flujos de trabajo administrados eliminan la complejidad que supone administrar múltiples tareas, y proporcionan una solución de procesamiento de archivos estandarizada que puede replicarse en toda la organización, con gestión de excepciones integrada y trazabilidad de los archivos en cada paso para ayudarle a cumplir con sus requisitos empresariales y legales.
¿Qué son los flujos de trabajo administrados para el procesamiento de cargas de publicaciones?
Los flujos de trabajo administrados de AWS Transfer Family proporcionan un marco predefinido para crear, ejecutar y monitorizar una secuencia lineal de pasos para procesar archivos cargados a través de puntos de conexión de servidores SFTP, FTPS y FTP. Con esta característica, puede ahorrar tiempo con pasos predefinidos para ejecutar tareas comunes de procesamiento de archivos, como el copiado, el etiquetado y el descifrado de archivos. También puede personalizar el procesamiento de archivos mediante una función de lambda para tareas como el escaneado de archivos en busca de PII, virus, malware u otros errores como formato o tipo de archivo incorrecto, lo que le permite detectar anomalías rápidamente y cumplir con sus requisitos de conformidad. Cuando asocia un flujo de trabajo administrado a su punto de conexión del servidor, todos los archivos que se cargan a través de ese punto de conexión se procesan utilizando los mismos pasos de flujo de trabajo.
¿Cuáles son los beneficios de utilizar flujos de trabajo administrados?
Los flujos de trabajo administrados le permiten preprocesar fácilmente los datos antes de que los consuman las aplicaciones de flujo descendente mediante la ejecución de una secuencia lineal de tareas de procesamiento de archivos para todos los archivos cargados en los puntos de conexión del servidor, como la transferencia de archivos cargados a carpetas específicas del usuario, el descifrado de archivos mediante claves PGP, el análisis de malware y el etiquetado. Puede desplegar flujos de trabajo mediante infraestructura como código (IaC), lo que le permite replicar y estandarizar rápidamente las tareas comunes de procesamiento de archivos posteriores a la carga que abarcan varias unidades empresariales de su organización. Puede tener un control detallado asociando un flujo de trabajo administrado a su punto de conexión del servidor que se active solo cuando los archivos se hayan cargado completamente, y asociando un flujo de trabajo administrado independiente que se active solo cuando los archivos se hayan cargado parcialmente para procesar las cargas incompletas. Los flujos de trabajo también incorporan una gestión de excepciones que le permite reaccionar fácilmente a los resultados del procesamiento de archivos en caso de errores o excepciones en la ejecución del flujo de trabajo, lo que le permite mantener los acuerdos de servicio empresariales y técnicos. Cada paso del procesamiento de archivos en su flujo de trabajo también produce registros detallados, que pueden auditarse para rastrear la línea de datos.
¿Cuándo debo utilizar Amazon EventBridge para orquestar el procesamiento de mis archivos transferidos y cuándo debo utilizar los flujos de trabajo administrados de AWS Transfer Family?
Los puntos de conexión y conectores del servidor de AWS Transfer Family publican automáticamente notificaciones de eventos en Amazon EventBridge cuando se completa una operación de transferencia de archivos, junto con información operativa como la ubicación del archivo, el nombre de usuario del remitente, el ID del servidor o del conector, el estado de la transferencia, etc. Puede utilizar estos eventos cuando necesite un control detallado para definir el procesamiento de archivos, como el uso de lógica condicional basada en el origen del archivo, o cuando necesite crear arquitecturas basadas en eventos para integrarlas con otros servicios de AWS, aplicaciones de terceros y sus propias aplicaciones. Por otro lado, los flujos de trabajo administrados de AWS Transfer Family proporcionan un marco predefinido para definir una secuencia lineal de pasos comunes de procesamiento de archivos que se aplican a todos los archivos cargados a través de los puntos de conexión de los servidores SFTP, FTPS y FTP. Puede asociar un flujo de trabajo administrado al punto de conexión cuando todos los archivos cargados deban procesarse utilizando los mismos pasos comunes de procesamiento de archivos sin necesidad de aplicar ninguna lógica detallada o condicional.
¿Cómo puedo comenzar a utilizar flujos de trabajo administrados?
Primero, configure su flujo de trabajo para que contenga acciones como copiar, etiquetar y una serie de acciones que pueden incluir sus propios pasos personalizados en una secuencia de pasos basada en sus propios requisitos. A continuación, asigne el flujo de trabajo a un servidor, de modo que, cuando llegue el archivo, las acciones especificadas en el flujo de trabajo se evalúen y desencadenen en tiempo real. Para obtener más información, visite la documentación, vea esta demostración sobre cómo comenzar a utilizar los flujos de trabajo administrados o despliegue una plataforma de transferencia de archivos nativa en la nube mediante esta publicación del blog.
¿Puedo utilizar el mismo flujo de trabajo administrado en diferentes servidores?
Sí. Se puede asociar el mismo flujo de trabajo con diferentes servidores para que sea más sencillo mantener y estandarizar las configuraciones.
¿Puedo seleccionar qué archivo procesar en cada paso del flujo de trabajo?
Sí. Puede configurar un paso de flujo de trabajo para procesar el archivo cargado originalmente o el archivo de salida del paso de flujo de trabajo anterior. Esto le permite automatizar fácilmente la transferencia y el cambio de nombre de sus archivos después de subirlos a Amazon S3. Por ejemplo, para transferir un archivo a una ubicación diferente con el fin de archivarlo o conservarlo, configure dos pasos en su flujo de trabajo. El primer paso es copiar un archivo a una ubicación diferente de Amazon S3. El segundo paso es eliminar el archivo subido originalmente. Lea la documentación para obtener más información sobre la selección de una ubicación de archivo para los pasos del flujo de trabajo.
¿Qué acciones puedo llevar a cabo en mis archivos mediante los flujos de trabajo?
Las siguientes acciones comunes se encuentran disponibles una vez que el servidor de transferencia haya recibido un archivo del cliente:
Descifre archivos mediante claves PGP. Consulte esta entrada del blog sobre cómo cifrar y descifrar archivos mediante PGP.
Mueva o copie los datos desde su lugar de origen hasta el lugar donde se deben consumir.
Elimine el archivo original después de archivarlo o copiarlo en una nueva ubicación.
Etiquetar el archivo de acuerdo con sus contenidos para que los servicios posteriores puedan indexarlo y buscarlo (solo S3)
Cualquier archivo personalizado que procese la lógica al proporcionar su propia función de Lambda como un paso personalizado para su flujo de trabajo. Por ejemplo, la comprobación de la compatibilidad del tipo de archivo, el escaneo de archivos en busca de malware, la detección de información de identificación personal (PII) y la extracción de metadatos antes de ingerir los archivos en su análisis de datos.
¿Puedo usar flujos de trabajo para descifrar archivos automáticamente mediante PGP?
Sí. Puede utilizar un paso de flujo de trabajo prediseñado y completamente administrado para el descifrado PGP de archivos cargados a través de los puntos de conexión de los servidores SFTP, FTPS y FTP. Para obtener más información, consulte la documentación de los flujos de trabajo administrados y esta entrada del blog sobre el cifrado y el descifrado de archivos mediante PGP.
¿Qué opciones tengo para seleccionar qué archivo procesar en cada paso del flujo de trabajo administrado?
Puede configurar un paso del flujo de trabajo para procesar el archivo cargado originalmente en el punto de conexión del servidor o el archivo de salida del paso anterior de un flujo de trabajo. Esto le permite automatizar fácilmente la transferencia y el cambio de nombre de sus archivos después de subirlos a Amazon S3. Por ejemplo, para transferir un archivo a una ubicación diferente con el fin de archivarlo o conservarlo, configure dos pasos en su flujo de trabajo. El primer paso es copiar un archivo a una ubicación diferente de Amazon S3. El segundo paso es eliminar el archivo subido originalmente. Lea la documentación para obtener más información sobre la selección de una ubicación de archivo para los pasos del flujo de trabajo.
¿Puedo conservar el archivo cargado originalmente para la retención de registros?
Sí. Mediante los flujos de trabajo administrados, se pueden crear varias copias del archivo original, conservando el archivo original para su retención.
¿Puedo utilizar flujos de trabajo administrados para dirigir dinámicamente los archivos a carpetas de Amazon S3 específicas del usuario?
Sí. Puede utilizar el nombre de usuario como variable en los pasos de copia de los flujos de trabajo, lo que le permite dirigir dinámicamente los archivos a carpetas específicas del usuario en Amazon S3. De este modo, no es necesario parametrizar la ubicación de la carpeta de destino cuando se copian los archivos, ya que la creación de carpetas específicas del usuario en Amazon S3 está automatizada, lo que le permite escalar sus flujos de trabajo de automatización de archivos. Para obtener más información lea la documentación.
Utilizo AWS Step Functions para orquestar mis pasos de procesamiento de archivos. ¿Cómo se diferencian mis flujos de trabajo administrados de AWS Transfer Family de mi configuración actual de AWS Step Functions?
AWS Step Functions es un servicio de orquestación sin servidor que permite combinar AWS Lambda con otros servicios para definir la ejecución de la aplicación empresarial en pasos simples. Para realizar pasos de procesamiento de archivos mediante AWS Step Functions, puede usar las funciones de AWS Lambda con los desencadenadores de eventos de Amazon S3 a fin de ensamblar sus propios flujos de trabajo. Los flujos de trabajo administrados brindan un marco para orquestar fácilmente una secuencia lineal de procesamiento y se diferencian de las soluciones existentes de las siguientes maneras: 1) Puede definir flujos de trabajo de forma granular para que se ejecuten solo en cargas de archivos completos, así como flujos de trabajo para que se ejecuten solo en cargas de archivos parciales, 2) los flujos de trabajo se pueden activar automáticamente para S3 y EFS (que no ofrece eventos posteriores a la carga), 3) los flujos de trabajo ofrecen opciones prediseñadas y sin código para el procesamiento de archivos comunes, como el descifrado PGP y 4) los clientes pueden obtener visibilidad integral de sus transferencias y procesamiento de archivos en los registros de CloudWatch.
¿Cómo superviso la actividad de los flujos de trabajo administrados?
Consulte la sección Supervisión para obtener detalles sobre las características compatibles para registrar la actividad de sus flujos de trabajo administrados.
¿Puedo usar los flujos de trabajo administrados para personalizar las notificaciones de entrega de archivos?
Sí. Consulte esta publicación del blog sobre el uso de flujos de trabajo administrados para las notificaciones de entrega de archivos.
¿Se pueden desencadenar flujos de trabajo administrados en cargas parciales?
Sí. Puede definir flujos de trabajo independientes para que se activen en cargas de archivos completas y en cargas de archivos parciales.
¿Puedo desencadenar acciones de flujo de trabajo en descargas del usuario?
No. El procesamiento solo se puede invocar con la recepción del archivo mediante el punto de conexión entrante.
¿Qué acciones de Transfer Family no son compatibles con los flujos de trabajo administrados?
Actualmente, los flujos de trabajo administrados solo se pueden activar para archivos cargados a través de los puntos de conexión de los servidores SFTP, FTPS y FTP, y procesan un archivo por ejecución. Los flujos de trabajo administrados no son compatibles con los mensajes intercambiados a través de AS2, con las descargas de archivos a través de los puntos de conexión del servidor ni con los archivos transferidos mediante conectores SFTP.
¿Puedo desencadenar el mismo flujo de trabajo en lotes de archivos en una sesión?
No. Actualmente, los flujos de trabajo procesan un archivo por ejecución.
¿Puedo activar flujos de trabajo administrados de forma detallada en función de cuál de mis usuarios ha cargado un archivo?
No. Los flujos de trabajo administrados no se pueden invocar de forma detallada, por usuario. Puede definir una lógica de procesamiento de archivos condicional en función del usuario que haya cargado el archivo mediante las notificaciones de eventos de transferencia de archivos publicadas en Amazon EventBridge.
Acceso a Amazon S3
¿Cómo se comunica AWS Transfer Family con Amazon S3?
La transferencia de datos entre los servidores de AWS Transfer Family y Amazon S3 se hace a través de las redes internas de AWS y no atraviesa la Internet pública. Por ello, no es necesario utilizar AWS PrivateLink para los datos transferidos desde el servidor de AWS Transfer Family a Simple Storage Service (Amazon S3). El servicio de Transfer Family no requiere los puntos de conexión de AWS PrivateLink para Simple Storage Service (Amazon S3) a fin de evitar que el tráfico pase por Internet y, por lo tanto, no puede utilizarlos para comunicarse con los servicios de almacenamiento. Con todo esto se asume que el servicio de almacenamiento de AWS y el servidor de Transfer Family están en la misma región.
¿Por qué debo proporcionar un rol de IAM de AWS y cómo se usa?
AWS IAM se utiliza para determinar el nivel de acceso que desea proporcionar a sus usuarios. Incluye las operaciones que desea habilitar en su cliente y los buckets de Amazon S3 a los que tienen acceso, ya sea el bucket completo o parte de él.
¿Por qué debo proporcionar información del directorio principal y cómo se usa?
El directorio principal que configuró para el usuario determina su directorio de inicio de sesión. Esta sería la ruta de directorio en la que el cliente del usuario los colocaría tan pronto como se autentiquen correctamente en el servidor. Deberá asegurarse de que el rol de IAM provisto conceda acceso al directorio principal al usuario.
Tengo cientos de usuarios que tienen configuraciones de acceso similares, pero a diferentes partes de mi bucket. ¿Puedo configurarlos usando la misma función y política de IAM para permitir su acceso?
Sí. Puede asignar un único rol de IAM para todos los usuarios y usar asignaciones de directorio lógicas que especifiquen qué rutas del bucket de Amazon S3 absolutas quiere dejar visibles para los usuarios finales y cómo se las presentan sus clientes. Consulte esta publicación de blog: Simplifique la estructura SFTP/FTPS/FTP de AWS con Chroot y los directorios lógicos.
¿Cómo se transfieren los archivos almacenados en mi bucket de Amazon S3 mediante AWS Transfer?
Los archivos transferidos a través de los protocolos admitidos se almacenan como objetos en su bucket de Amazon S3 y existe una correspondencia unívoca entre los archivos y los objetos que permite el acceso nativo a estos objetos mediante los servicios de AWS para el procesamiento o el análisis.
¿Cómo se presentan a mis usuarios los objetos de Amazon S3 almacenados en mi bucket?
Una vez aprobada la autenticación, en función de las credenciales de los usuarios, el servicio presenta los objetos y las carpetas de Amazon S3 como archivos y directorios a las aplicaciones de transferencia de los usuarios.
¿Qué operaciones de archivos se admiten? ¿Qué operaciones no se admiten?
Se admiten los comandos comunes para crear, leer, actualizar y eliminar archivos y directorios. Los archivos se almacenan como objetos individuales en su bucket de Amazon S3. Los directorios se administran como objetos de carpeta en S3, con la misma sintaxis que la consola de S3.
Actualmente, no se admiten las operaciones de cambio de nombre de directorios, las operaciones de anexo, el cambio de propiedad, los permisos y las marcas temporales ni el uso de enlaces simbólicos y físicos.
¿Es posible controlar qué operaciones pueden llevar a cabo mis usuarios?
Sí. Puede habilitar/deshabilitar las operaciones de archivos con el rol de IAM de AWS que asignó a su nombre de usuario. Consulte la documentación sobre cómo crear roles y políticas de IAM para controlar el acceso de los usuarios finales
¿Puedo proporcionar a los usuarios finales acceso a más de un bucket de Amazon S3?
Sí. El rol de AWS IAM, así como la política opcional de alcance que usted asigne para un usuario, determina el número de buckets a los que su usuario puede acceder. Únicamente puede utilizar un solo bucket como directorio principal para el usuario.
¿Puedo usar los puntos de acceso de S3 con AWS Transfer Family para simplificar el acceso de los usuarios al conjunto de datos compartido?
Sí. Puede utilizar los alias de los puntos de acceso de S3 con AWS Transfer Family para proporcionar acceso pormenorizado a un gran conjunto de datos sin tener que administrar una sola política de bucket. Los alias de los puntos de acceso de S3 combinados con los directorios lógicos de AWS Transfer Family permiten crear un control de acceso detallado para diferentes aplicaciones, equipos y departamentos, al tiempo que reduce la sobrecarga de administrar las políticas de bucket. Para obtener más información y comenzar, visite la publicación del blog sobre cómo mejorar el control de acceso a los datos con AWS Transfer Family y los puntos de acceso de Amazon S3.
¿Puedo crear un servidor mediante una cuenta A de AWS y asignar los usuarios a los buckets de Amazon S3 pertenecientes a una cuenta B de AWS?
Sí. Puede utilizar la CLI y la API para configurar el acceso entre cuentas entre su servidor y los buckets que desee usar para almacenar archivos transferidos mediante los protocolos compatibles. La lista desplegable de la consola solo mostrará los buckets de la cuenta A. Además, deberá asegurarse de que el rol asignado al usuario pertenezca a la cuenta A.
¿Puedo automatizar el procesamiento de un archivo una vez que se haya cargado en Amazon S3?
Sí. AWS Transfer Family publica notificaciones de eventos en Amazon EventBridge al finalizar una operación de transferencia de archivos, y puede utilizar estos eventos para automatizar el procesamiento posterior a la carga de los archivos. Otra opción, cuando todos los archivos cargados deban procesarse utilizando los mismos pasos de procesamiento de archivos sin ninguna lógica condicional, es utilizar los flujos de trabajo administrados de AWS Transfer Family para definir una secuencia lineal de pasos de procesamiento de archivos comunes que se invoquen automáticamente para cada archivo que los usuarios carguen a través de los puntos de conexión del servidor SFTP, FTPS o FTP.
¿Puedo personalizar reglas de procesamiento en función del usuario que carga el archivo?
Sí. Cuando el usuario carga un archivo, el nombre de usuario y la identificación del servidor utilizados para la carga se almacenan como parte de los metadatos del objeto de S3 asociado. Consulte la documentación sobre la información que se utiliza para el procesamiento posterior a la carga. La información del usuario final también está disponible en la notificación de eventos de carga automática de archivos publicada por AWS Transfer Family en Amazon EventBridge. Puede utilizar esta información para orquestar el procesamiento detallado posterior a la carga de los archivos en función del usuario.
¿En qué se diferencian las notificaciones de eventos de Amazon S3 de los eventos del servicio AWS Transfer Family en Amazon EventBridge y qué debo utilizar para activar el procesamiento posterior a la carga de archivos?
Amazon S3 puede publicar notificaciones de eventos para cualquier objeto nuevo que se cree en el bucket. Por otro lado, AWS Transfer Family publica notificaciones de eventos tras la finalización correcta o incorrecta de cada operación de transferencia de archivos. Se diferencia de las notificaciones de eventos de Amazon S3 en lo siguiente: 1) Puede tener un control detallado a la hora de definir el procesamiento posterior a la carga para cargas de archivos completas frente a cargas de archivos parciales al utilizar notificaciones de eventos de Transfer Family, 2) Los eventos de Transfer Family se publican para cargas de archivos tanto en S3 como en EFS, y 3) Los eventos generados por Transfer Family contienen información operativa como el nombre de usuario del remitente, el ID del servidor, el estado de la transferencia, etc., y le permite definir el procesamiento de archivos de forma detallada, basándose en la lógica condicional sobre estos atributos.
Actualmente, mis usuarios finales tardan unos minutos en poder ver sus directorios de S3. ¿Hay alguna forma de acelerar esto?
Sí. Puede optimizar su lista de directorios de S3 para que sus usuarios finales puedan disfrutar de una lista acelerada de su directorio, de minutos a segundos. Si va a crear un nuevo servidor a través de la consola después del 17 de noviembre de 2023, su servidor tendrá habilitada la lista de directorios de S3 optimizada de forma predeterminada si utiliza Amazon S3 como almacenamiento. Se puede activar o desactivar en cualquier momento. Al desactivar esta característica, se restaura el rendimiento predeterminado de la lista de directorios de S3. Si utiliza CloudFormation, la CLI o la API para crear un servidor, la lista de directorios optimizada de S3 está desactivada de forma predeterminada, pero se puede habilitar en cualquier momento. Consulte la documentación sobre cómo habilitar la lista de directorios de S3 optimizada.
¿Necesito también políticas de sesión individuales además de directorios lógicos para garantizar el acceso seguro a los archivos para mis usuarios finales?
Aunque depende del uso que haga de las políticas de sesión y de otros requisitos internos, por lo general no necesita tanto las políticas de sesión como los directorios lógicos para garantizar que los usuarios accedan únicamente a los archivos que desea que accedan. Las asignaciones de directorios lógicos solo permiten a los usuarios acceder a sus rutas lógicas y subdirectorios designados y prohíben las rutas relativas que atraviesan las raíces lógicas. Validamos todas las rutas mediante una notación relativa que puede incluir elementos relativos y bloqueamos activamente la resolución de estas rutas antes de pasarlas a S3 para evitar que los usuarios vayan más allá de sus asignaciones lógicas.
Acceso a Amazon EFS
¿Cómo configuro mi sistema de archivos de EFS para que funcione con AWS Transfer Family?
Antes de configurar AWS Transfer Family para que funcione con un sistema de archivos de Amazon EFS, deberá configurar la propiedad de los archivos y carpetas con las mismas identidades POSIX (ID de usuario o ID de grupo) que planea asignar a sus usuarios de AWS Transfer Family. Además, si accede a los sistemas de archivos en una cuenta diferente, las políticas de recursos también deben configurarse en su sistema de archivos para permitir el acceso entre cuentas. Consulte esta publicación de blog para obtener instrucciones paso a paso sobre el uso de AWS Transfer Family con EFS.
¿Cómo se comunica AWS Transfer Family con Amazon EFS?
La transferencia de datos entre los servidores de AWS Transfer Family y Amazon EFS se hace a través de las redes internas de AWS y no atraviesa la Internet pública. Por ello, no es necesario utilizar AWS PrivateLink para los datos transferidos desde el servidor de AWS Transfer Family a Amazon EFS. El servicio de Transfer Family no requiere los puntos de conexión de AWS PrivateLink para Amazon EFS a fin de evitar que el tráfico pase por Internet y, por lo tanto, no puede utilizarlos para comunicarse con los servicios de almacenamiento. Con todo esto se asume que el servicio de almacenamiento de AWS y el servidor de Transfer Family están en la misma región.
Cómo otorgo acceso a mis clientes para que carguen o descarguen archivos a o desde mis sistemas de archivos?
Amazon EFS utiliza ID POSIX, que consisten en un ID de usuario, ID de grupo o ID de grupo secundario del sistema operativo para controlar el acceso a un sistema de archivos. Cuando configure su usuario en la consola, CLI o API de AWS Transfer Family, necesitará especificar el nombre de usuario, la configuración POSIX del usuario y un rol de IAM para acceder al sistema de archivos de EFS. También necesitará especificar un ID del sistema de archivos de EFS y, de manera opcional, un directorio dentro de este sistema de archivos como el directorio de destino del usuario. Cuando el usuario de AWS Transfer Family se autentifica correctamente con su cliente de transferencia de archivos, se ubicarán directamente en el directorio de inicio especificado o en la raíz del sistema de archivos de EFS especificado. Su ID POSIX del sistema operativo se aplicará a todas las solicitudes hechas a través de sus clientes de transferencia de archivos. Como administrador de EFS, deberá asegurarse de que el archivo y los directorios a los que desea que accedan los usuarios de AWS Transfer Family pertenecen a sus ID POSIX correspondientes en su sistema de archivos de EFS. Consulte la documentación para obtener más información sobre cómo configurar la propiedad de los subdirectorios en EFS. Tenga en cuenta que Transfer Family no admite puntos de acceso si utiliza Amazon EFS como almacenamiento.
¿Cómo se transfieren archivos mediante los protocolos alojados en los sistemas de archivos de Amazon EFS?
Los archivos que se transfieren mediante los protocolos habilitados se alojan directamente en el sistema de archivos de Amazon EFS y serán accesibles a través de una interfaz de sistema de archivos estándar o desde los servicios de AWS que pueden acceder a sistemas de archivos de Amazon EFS.
¿Qué operaciones se admiten con los protocolos cuando se usa Amazon S3 y Amazon EFS?
R: Se admiten los comandos SFTP, FTPS o FTP para crear, leer, actualizar y eliminar archivos, directorios y enlaces simbólicos. Consulte la tabla siguiente sobre los comandos admitidos por EFS y S3.
Comando |
Amazon S3 |
Amazon EFS |
cd |
Soportado |
Soportado |
ls/dir |
Soportado |
Soportado |
pwd |
Soportado |
Soportado |
put |
Soportado |
Soportado |
get |
Soportado |
Admitidos, esto incluye enlaces simbólicos y enlaces duros |
rename |
Admitido1 |
Admitido1 |
chown |
No admitido |
Admitido2 |
chmod |
No admitido |
Admitido2 |
chgrp |
No admitido |
Admitido3 |
ln -s/symlink |
No admitido |
Soportado |
mkdir |
Soportado |
Soportado |
rm/delete |
Soportado |
Soportado |
rmdir |
Admitido 4 |
Soportado |
chmtime |
No admitido |
Soportado |
1. Solo se admiten los cambios de nombre de archivos. Los cambios de nombre de directorio o los cambios de nombre de archivos para sobreescribir archivos existentes no son admitidos.
2. Solo el usuario root (es decir, usuarios con uid=0) puede cambiar la propiedad y permisos de los archivos y directorios.
3. Admitido para el usuario root (por ej., uid=0) o para el propietario del archivo que solo puede cambiar el grupo del archivo para que sea uno de sus grupos secundarios.
4. Admitido solamente para carpetas no vacías.
¿Cómo puedo controlar a qué archivos y carpetas tienen acceso mis usuarios y cuáles operaciones pueden o no pueden ejecutar?
La política de IAM que proporcione a su usuario de AWS Transfer Family determina si tiene acceso de solo lectura, lectura y escritura y acceso raíz a su sistema de archivos. Además, como administrador del sistema de archivos, puede configurar la propiedad y otorgar acceso a archivos y directorios dentro del sistema de archivos mediante su ID de usuario o ID de grupo. Esto se aplica a los usuarios, ya sea que estén almacenados dentro del servicio (gestionado por el servicio) o dentro de su sistema de gestión de identidad (autenticación propia).
¿Puedo restringir el acceso de cada uno de mis usuarios a diferentes directorios dentro de mi sistema de archivos y que solo accedan a archivos dentro de esos directorios?
Sí. Cuando configura su usuario, puede especificar diferentes sistemas de archivos y directorios para cada uno de sus usuarios. Con la autenticación correcta, EFS aplicará un directorio para cada solicitud del sistema de archivos hecha mediante los protocolos habilitados.
¿Puedo ocultar el nombre del sistema de archivos para que no esté expuesto a mi usuario?
Sí. Al utilizar las asignaciones de los directorios lógicos de AWS Transfer Family, puede restringir la vista de los usuarios finales de directorios en su sistemas de archivos al asignar rutas absolutas a los nombres de ruta visibles para el usuario final. Esto incluye poder ejecutar “chroot” en su usuario y restringirlo a su directorio de inicio designado.
¿Se admiten los enlaces simbólicos?
Sí. Si hay enlaces simbólicos en directorios accesibles a su usuario y este intenta acceder a ellos, los enlaces se resolverán en su destino. Los enlaces simbólicos no se admiten cuando se usan asignaciones de directorios lógicos para configurar el acceso de sus usuarios.
¿Puedo otorgar un acceso de usuario SFTP, FTPS o FTP individual a más de un sistema de archivos?
Sí. Cuando configura un usuario de AWS Transfer Family, puede especificar uno o más sistemas de archivos en la política de IAM que proporciona como parte de su configuración de usuario para otorgar acceso a múltiples sistemas de archivos.
¿Qué sistemas operativos puedo utilizar para acceder a mis sistemas de archivos de EFS a través de AWS Transfer Family?
Puede utilizar clientes y aplicaciones creadas para Microsoft Windows, Linux, macOS o cualquier sistema operativo que admita SFTP, FTPS o FTP para cargar y acceder a archivos almacenados en sus sistemas de archivos de EFS. Simplemente configure el servidor y el usuario con los permisos adecuados para el sistema de archivos de EFS a fin de acceder al sistema de archivos en todos los sistemas operativos.
¿Cómo automatizo el procesamiento de un archivo una vez que se ha cargado en EFS?
Tiene dos opciones: 1) AWS Transfer Family publica notificaciones de eventos en Amazon EventBridge al completarse una operación de transferencia de archivos, y puede utilizar estos eventos para automatizar el procesamiento posterior a la carga de sus archivos, y 2) Cuando todos los archivos cargados deban procesarse utilizando los mismos pasos de procesamiento de archivos sin ninguna lógica condicional, puede utilizar los flujos de trabajo administrados de AWS Transfer Family para definir una secuencia lineal de pasos de procesamiento de archivos comunes que se apliquen a cada archivo cargado a través de sus puntos de conexión de servidor SFTP, FTPS o FTP.
¿Cómo puedo saber qué usuario cargó un archivo en EFS?
Para archivos nuevos, el ID de usuario POSIX asociado con el usuario que carga el archivo se establecerá como el propietario de este en su sistema de archivos de EFS. Además, puede utilizar Amazon CloudWatch para hacer un seguimiento de la actividad de sus usuarios en lo que respecta a operaciones de creación, actualización, eliminación y lectura de archivos. Consulte la documentación para obtener más información sobre cómo habilitar el registro de Amazon CloudWatch.
¿Puedo usar AWS Transfer Family para acceder a un sistema de archivos en otra cuenta?
Sí. Puede usar la CLI y API para configurar el acceso de cuenta cruzada entre sus recursos de AWS Transfer Family y los sistemas de archivos de EFS. La consola de AWS Transfer Family solo mostrará los sistemas de archivos en la misma cuenta. Además, necesitará asegurarse de que el rol de IAM asignado al usuario para acceder al sistema de archivos pertenezca a la Cuenta A.
¿Qué sucede si mi sistema de archivos de EFS no tiene habilitadas las políticas adecuadas para el acceso entre cuentas?
Si configura un servidor de AWS Transfer Family para el acceso entre cuentas a un sistema de archivos de EFS que no está habilitado para el acceso entre cuentas, los usuarios de SFTP, FTP o FTPS no tendrán permitido el acceso a dicho sistema de archivos. Si tiene habilitado el registro de CloudWatch en su servidor, los errores de acceso de cuenta cruzada se registrarán en sus CloudWatch Logs..
¿Puedo usar AWS Transfer Family para acceder a un sistema de archivos de EFS en una región de AWS diferente?
No. Puede usar AWS Transfer Family para acceder solamente a sistemas de archivos de EFS en la misma región de AWS.
¿Puedo usar AWS Transfer Family con todos los tipos de almacenamiento de EFS?
Sí. Puede usar AWS Transfer para copiar archivos en EFS y configurar la administración del ciclo de vida de EFS para migrar al tipo de almacenamiento de acceso no frecuente aquellos archivos que no han tenido acceso durante un periodo determinado.
¿Mis aplicaciones pueden usar SFTP, FTPS o FTP para leer y escribir datos de forma simultánea desde y hacia el mismo archivo?
Sí. Amazon EFS proporciona una interfaz de sistema de archivos, semántica de acceso a dicho sistema (como una consistencia sólida y bloqueo de archivos) y almacenamiento accesible de forma concurrente para miles de clientes de NFS, SFTP, FTPS o FTP.
¿Se consumirán mis créditos de ráfagas de EFS cuando acceda a mis archivos con AWS Transfer Family?
Sí. Al acceder a los sistemas de archivos de EFS con los servidores AWS Transfer Family consumirá sus créditos de ráfagas de EFS independientemente del modo de desempeño. Consulte la documentación sobre los modos de rendimiento y desempeño disponibles y vea algunos consejos de rendimiento útiles.
Seguridad y cumplimiento
¿Qué protocolos debo usar para proteger los datos mientras se encuentren en tránsito en una red pública?
Se debe utilizar SFTP o FTPS para lograr transferencias seguras a través de redes públicas. Debido a la seguridad subyacente de los protocolos basados en SSH y a los algoritmos criptográficos TLS, los datos y los comandos se transfieren mediante un canal cifrado seguro.
¿Qué opciones tengo para cifrar datos en reposo?
Puede optar por cifrar los archivos almacenados en su bucket con el cifrado del lado del servidor de Amazon S3 (SSE-S3) o Amazon KMS (SSE-KMS). Para archivos almacenados en EFS, puede elegir una clave maestra del cliente gestionada por AWS o por el cliente para cifrado de archivos en reposo. Consulte la documentación para obtener más información sobre las opciones para el cifrado en reposo de datos y metadatos de archivos con Amazon EFS.
¿Qué programas de conformidad son compatibles con AWS Transfer Family?
AWS Transfer Family cumple los requisitos de PCI-DSS, RGPD, FedRAMP y SOC 1, 2 y 3. El servicio también reúne los requisitos de HIPAA. Obtenga más información sobre los servicios en el ámbito de los programas de conformidad.
¿AWS Transfer Family cumple los requisitos de FISMA?
Las regiones AWS Este u Oeste y GovCloud (EE. UU.) cumplen los requisitos de FISMA. Cuando AWS Transfer Family sea autorizada por FedRAMP, será compatible con FISMA dentro de las respectivas regiones. Dicha conformidad queda manifestada en la autorización de FedRAMP de estas dos regiones en los niveles moderado y alto de FedRAMP. El cumplimiento de la normativa se demuestra mediante evaluaciones anuales y la documentación del cumplimiento de los controles SP 800-53 de NIST dentro de los planes de seguridad de sistemas. Existen plantillas disponibles en Artifact junto con nuestra matriz de responsabilidades del cliente (CRM), que describe detalladamente nuestra responsabilidad en relación con el cumplimiento de estos controles de NIST de acuerdo con los requisitos de FedRAMP. Artifact se encuentra disponible mediante la consola de administración, a la que puede acceder una cuenta de AWS tanto para las regiones Este u Oeste y GovCloud. Si tiene más preguntas sobre este tema, consulte la consola.
¿Cómo garantiza el servicio la integridad de los archivos cargados?
Para verificar los archivos cargados a través de los servicios, se comparan las sumas de comprobación MD5 anterior y posterior a la carga del archivo.
¿Qué opciones tengo para cifrar o descifrar archivos en tránsito?
Puede utilizar los flujos de trabajo administrados de AWS Transfer Family para descifrar automáticamente los archivos mediante claves PGP cuando se carguen en los puntos de conexión de los servidores SFTP, FTPS o FTP de AWS Transfer Family. Para obtener más información, consulte la documentación sobre flujos de trabajo administrados. Como alternativa, puede suscribirse a las notificaciones de eventos de AWS Transfer Family publicadas en Amazon Eventbridge para orquestar el procesamiento detallado y basado en eventos de los archivos transferidos utilizando su propia lógica de cifrado y descifrado.
Supervisión
¿Cómo puedo supervisar mis usuarios finales y sus actividades de transferencia de archivos?
Puede supervisar a los usuarios finales y sus actividades de transferencia de archivos mediante registros con formato JSON que se entregan a Amazon CloudWatch. Con CloudWatch, puede analizar y consultar fácilmente sus registros mediante Información de registros de Amazon CloudWatch, que detecta automáticamente los campos con formato JSON. También puede realizar un seguimiento de los usuarios principales, el número total de usuarios únicos y su uso continuo con Información de colaboradores de Amazon CloudWatch. También proporcionamos métricas y gráficos de CloudWatch prediseñados a los que se puede acceder en la consola de administración de AWS Transfer Family. Consulte la documentación para leer más información.
¿Puedo crear métricas unificadas para hacer un seguimiento de los usuarios y la actividad de transferencia de archivos en varios servidores?
Sí. Puede combinar las secuencias de registro de varios servidores de AWS Transfer Family en un único grupo de registro de CloudWatch. Esto le permite crear métricas y visualizaciones de registro consolidadas, que se pueden añadir a los paneles de CloudWatch para hacer un seguimiento del uso y el rendimiento del servidor.
¿Cómo puedo supervisar mis flujos de trabajo?
Las ejecuciones de los flujos de trabajo se pueden supervisar utilizando las métricas de AWS CloudWatch, por ejemplo, el número total de ejecuciones de flujos de trabajo, las ejecuciones correctas y las ejecuciones fallidas. Al utilizar la consola de administración de AWS, también puede buscar y visualizar el estado en tiempo real de las ejecuciones del flujo de trabajo en proceso. Utilice los registros de CloudWatch para obtener un registro detallado de las ejecuciones de los flujos de trabajo.
¿Cómo se formatean los registros de AWS Transfer Family?
AWS Transfer Family ofrece registros en formato JSON en todos los recursos (incluidos los servidores, los conectores y los flujos de trabajo) y todos los protocolos, incluidos SFTP, FTPS, FTP y AS2.
¿Cómo recibo las notificaciones de transferencias de archivos mediante AWS Transfer Family?
Puede utilizar los flujos de trabajo administrados de Transfer Family para recibir notificaciones de los archivos que se cargan a través de los puntos de conexión de los servidores SFTP, FTPS y FTP. Consulte esta publicación del blog. También puede suscribirse a eventos de AWS Transfer Family en Amazon EventBridge para recibir notificaciones mediante Amazon Simple Notification Service (SNS).
¿Puedo enviar una notificación si falla una verificación de validación de archivos del flujo de trabajo?
Sí. Si una verificación de validación de archivos del flujo de trabajo falla en los pasos de validación configurados previamente, puede utilizar el gestor de excepciones para invocar su sistema de supervisión o alertar a los miembros del equipo a través de un tema de Amazon SNS.
Facturación
¿Cómo se factura el servicio?
Se le factura por hora por cada uno de los protocolos habilitados, desde el momento que crea y configura el punto de enlace del servidor hasta el momento en que lo elimina. Además, se le facturará en función del volumen de datos cargados y descargados a través de sus servidores SFTP, FTPS o FTP, el número de mensajes intercambiados a través de AS2 y la cantidad de datos procesados mediante el paso de flujo de trabajo Decrypt. Cuando se utilizan conectores SFTP, se factura por la cantidad de datos transferidos y el número de llamadas al conector. Consulte la página de precios para obtener más detalles.
¿Habrá alguna diferencia en la facturación si uso el mismo punto de enlace de servidor para varios protocolos o si uso puntos de conexión distintos para cada protocolo?
No. Se factura por hora por cada uno de los protocolos que haya habilitado y por el volumen de datos transferido mediante cada uno de ellos, independientemente de si el mismo punto de conexión se habilitó para varios protocolos o si está usando puntos de conexión distintos para cada uno de los protocolos.
Detuve mi servidor. ¿Se facturará mientras esté parado?
Sí. Parar el servidor con la consola o ejecutar el comando de la CLI “stop-server” o el comando de la API “StopServer” no afecta la facturación. Se factura por hora desde el momento que crea un punto de conexión de servidor y configura el acceso a él a través de uno o más protocolos hasta el momento en que lo elimina.
¿Cómo se me factura por utilizar los flujos de trabajo administrados?
Se le facturará por el paso de flujo de trabajo Decrypt en función de la cantidad de datos que descifre mediante claves PGP. No se aplican cargos adicionales por utilizar flujos de trabajo administrados. En función de la configuración de su flujo de trabajo, se le cobra el uso de Amazon S3, Amazon EFS, AWS Secrets Manager y AWS Lambda.
¿Se me factura por hora por el uso de conectores SFTP?
No. No hay facturación por hora para los conectores SFTP. Para obtener más información sobre los precios de los conectores SFTP, consulte la página de precios.
AWS Transfer Family proporciona un servicio completamente administrado, lo que reduce los costos operacionales vinculados con la ejecución de los servicios de transferencia de archivos.
Obtenga acceso instantáneo a la capa gratuita de AWS.
Comience a crear sus servicios de SFTP, FTPS y FTP en la consola de administración de AWS.