Acceda a sus sistemas FSx de archivos NetApp ONTAP con Transfer Family - AWS Transfer Family
Descripción general deRequisitos previosCómo funciona el FSx almacenamiento con Transfer FamilyCrear un punto de acceso S3 para FSxUso de alias de puntos de acceso S3 con FSxConfiguración de Transfer Family para FSx almacenamientoAdministrar los usuarios para el almacenamiento FSxConfiguración de clientes de transferencia de archivosSolución de problemas FSx de almacenamiento

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acceda a sus sistemas FSx de archivos NetApp ONTAP con Transfer Family

Descripción general de

Transfer Family es compatible con Amazon FSx for NetApp ONTAP a través de puntos de acceso S3. Amazon FSx for NetApp ONTAP es un servicio totalmente gestionado que proporciona un almacenamiento de archivos altamente fiable, escalable, de alto rendimiento y rico en funciones basado en el popular sistema NetApp de archivos ONTAP. Al configurar Transfer Family con un sistema de FSx archivos, los usuarios se conectan a los puntos finales de Transfer Family mediante clientes de transferencia de archivos estándar. Transfer Family dirige las operaciones de archivos a través de un punto de acceso S3 conectado a su FSx volumen, mientras sus datos permanecen en el sistema de FSx archivos. Para obtener más información sobre FSx NetApp ONTAP, consulta ¿Qué es Amazon FSx para NetApp ONTAP?

Esta integración le permite:

  • Transfiera archivos mediante los protocolos SFTP, FTPS o FTP a un almacenamiento de archivos de nivel empresarial

  • Acceda a los mismos datos a través de varios protocolos (SFTP, NFS, SMB)

  • Utilice FSx funciones como las instantáneas, las copias de seguridad y la organización de datos en niveles

importante

Algunas operaciones de archivos no se admiten cuando se utilizan sistemas de FSx archivos con Transfer Family, incluidas las operaciones de cambio de nombre y adición. Para las operaciones de carga, el tamaño de los archivos está limitado a 5 GB. Para obtener una lista completa de las limitaciones, consulte Compatibilidad con los puntos de acceso.

Requisitos previos

Antes de configurar Transfer Family con Amazon FSx, debes cumplir los siguientes requisitos.

FSx para los requisitos NetApp de ONTAP

FSx Para usar NetApp ONTAP con Transfer Family, necesita:

  • Y FSx para un sistema de archivos NetApp ONTAP que ejecute la versión 9.17.1 o posterior de ONTAP

  • El sistema de archivos y el punto de acceso S3 en la misma región AWS

  • La misma AWS cuenta que posee el sistema de archivos y el punto de acceso

Para obtener más información, consulta Cómo empezar a usar Amazon FSx para NetApp ONTAP.

Permisos de IAM necesarios

Puede configurar cada punto de acceso S3 con distintos permisos y controles de red que S3 aplicará a cualquier solicitud que se realice mediante ese punto de acceso. Los puntos de acceso S3 son compatibles con las políticas de recursos de IAM que puede utilizar para controlar el uso del punto de acceso por recurso, usuario u otras condiciones. Para que una aplicación o un usuario accedan a los archivos a través de un punto de acceso, tanto el punto de acceso como el volumen subyacente deben permitir la solicitud. Para obtener más información, consulte las políticas de puntos de acceso de IAM.

Los puntos de acceso de Amazon S3 FSx utilizan un modelo de autorización de doble capa que combina los permisos de IAM con los permisos a nivel del sistema de archivos. Este enfoque garantiza que las solicitudes de acceso a los datos estén debidamente autorizadas tanto a nivel de AWS servicio como a nivel del sistema de archivos subyacente.

Para que una aplicación o un usuario puedan acceder correctamente a los datos a través de un punto de acceso, tanto la política del punto de acceso S3 como el FSx volumen subyacente deben permitir la solicitud.

Para crear y configurar esta integración, necesita los siguientes permisos:

  • fsx:CreateAndAttachS3AccessPoint

  • s3:CreateAccessPoint

  • s3:GetAccessPoint

  • s3:PutAccessPointPolicy(si crea una política de puntos de acceso opcional)

Cómo funciona el FSx almacenamiento con Transfer Family

Al configurar Transfer Family con un sistema de FSx archivos, los siguientes componentes funcionan juntos para permitir la transferencia de archivos:

  1. Un usuario se conecta al servidor Transfer Family mediante un cliente SFTP, FTPS o FTP.

  2. Transfer Family autentica al usuario mediante identidades administradas por el servicio, un proveedor de identidades personalizado o. AWS Directory Service for Microsoft Active Directory Una vez autenticado, Transfer Family asume la función de IAM asociada al usuario.

  3. Para cada operación de archivo, Transfer Family actúa como un cliente API de S3 estándar, realiza solicitudes al punto de acceso S3 utilizando la función de IAM asumida por el usuario y verifica los permisos según la política del punto de acceso de S3.

  4. El sistema de FSx archivos verifica que el usuario del sistema de archivos asociado al punto de acceso tenga permiso para realizar la operación solicitada. A continuación, la operación de archivo se realiza en el FSx volumen.

Para que una operación de archivo se realice correctamente, ambas capas de autorización deben permitir la solicitud.

nota

Adjuntar un punto de acceso S3 a un FSx volumen no cambia el comportamiento del volumen cuando se accede directamente a través de NFS o SMB. El acceso al protocolo de archivos existente sigue funcionando sin cambios.

Identidad de usuario del sistema de archivos

Cada punto de acceso utiliza una identidad de usuario del sistema de archivos que se especifica al crear el punto de acceso. Esta identidad autoriza todas las solicitudes de acceso a los archivos realizadas a través de ese punto de acceso. El usuario del sistema de archivos es una cuenta de usuario en el sistema de FSx archivos de Amazon subyacente. Si el usuario del sistema de archivos tiene acceso de solo lectura, solo se autorizan las solicitudes de lectura realizadas desde el punto de acceso y se bloquean las solicitudes de escritura. Si el usuario del sistema de archivos tiene acceso de lectura y escritura, se autorizan tanto las solicitudes de lectura como las de escritura al volumen adjunto realizadas mediante el punto de acceso.

Crear un punto de acceso S3 para FSx

Antes de configurar Transfer Family, debe crear un punto de acceso S3 adjunto al FSx volumen. Los puntos de acceso S3 se denominan puntos finales de red que están conectados a una fuente de datos, como un bucket o un volumen de Amazon FSx for ONTAP. Puede crear y conectar un punto de acceso a un punto de acceso FSx para NetApp ONTAP mediante la FSx consola, la AWS CLI o la API de Amazon. Una vez adjunto, puede utilizar el objeto S3 APIs para acceder a los datos de sus archivos. Sus datos seguirán residiendo en el sistema de FSx archivos de Amazon y seguirán siendo accesibles directamente para sus cargas de trabajo actuales. Seguirá gestionando su almacenamiento con todas las funciones de gestión del almacenamiento FSx de NetApp ONTAP, incluidas las copias de seguridad, las instantáneas, las cuotas de usuarios y grupos y la compresión.

Para obtener más información, consulte Creación de puntos de acceso.

Denominación de puntos de acceso

Cuando asigne un nombre a su punto de acceso, siga estas pautas:

  • Los nombres de los puntos de acceso deben ser únicos en su AWS cuenta y región.

  • Los nombres no pueden terminar por -ext-s3alias (reservado para los alias).

  • Evite incluir información confidencial en los nombres porque están publicados en el DNS.

Para obtener una lista completa de las reglas de nomenclatura, consulte Reglas, restricciones y limitaciones de nomenclatura de los puntos de acceso.

Creación de un punto de acceso FSx para NetApp ONTAP

Utilice el siguiente procedimiento para crear un punto de acceso S3 FSx para un volumen de NetApp ONTAP.

Para crear un punto de acceso (consola)

  1. Abre la FSx consola de Amazon en https://console.aws.amazon.com/fsx/.

  2. En el panel de navegación, elija Sistema de archivos.

  3. Elija su sistema FSx de archivos NetApp ONTAP.

  4. Seleccione la pestaña Volúmenes.

  5. Seleccione el volumen que desee adjuntar.

  6. En Acciones, elija Crear punto de acceso S3.

  7. En Nombre del punto de acceso, introduzca un nombre descriptivo (por ejemplo,transfer-family-ap).

  8. En el tipo de identidad de usuario del sistema de archivos, elija una de las siguientes opciones:

    • Identidad UNIX: para volúmenes con el estilo de seguridad UNIX

    • Identidad de Windows: para volúmenes con estilo de seguridad NTFS

  9. (Opcional) En el caso de la política de puntos de acceso, introduzca una política de IAM que defina qué responsables de IAM pueden realizar determinadas operaciones en los objetos a los que se accede a través de este punto de acceso. Para obtener más información, consulte Administrar el acceso a los puntos de acceso.

  10. Seleccione Crear.

  11. Tras la creación, anote el alias del punto de acceso para usarlo en la configuración de Transfer Family.

nota

Cuando AWS Transfer Family accede a los recursos de S3 en nombre de SFTP/FTPS los usuarios conectados, las solicitudes se originan en la AWS Transfer Family infraestructura, no en la VPC. Por ello, los puntos de acceso S3 configurados con un origen de red de VPC denegarán estas solicitudes. Sin embargo, incluso si utiliza un punto de acceso configurado con un origen de red de Internet, todo el tráfico entre Transfer Family y el punto de acceso permanece privado y viaja a través de la red AWS troncal, no atraviesa la Internet pública.

Configuración de los permisos del sistema de archivos

El usuario del sistema de archivos que especifique determinará qué operaciones pueden realizar los usuarios de Transfer Family. Debe configurar los permisos adecuados en el FSx volumen.

Ejemplo de UNIX:

# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users

# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users

# Set permissions
chmod 755 /vol1/transfer-users

Ejemplo de Windows:

# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory

# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T

# Verify permissions
icacls "D:\vol1\transfer-users"

Uso de alias de puntos de acceso S3 con FSx

Cuando utilice sistemas de FSx archivos con Transfer Family, debe utilizar alias de puntos de acceso S3. Transfer Family no admite el uso de puntos de acceso ARNs u otros métodos de referencia para el FSx almacenamiento.

importante

AWS Transfer Family solo admite los alias de puntos de acceso S3 cuando se utilizan sistemas de FSx archivos. No puede utilizar el punto de acceso ARNs o virtual-hosted-style URIs.

importante

El punto de acceso debe estar en la misma región que el volumen.

Acerca de los alias de los puntos de acceso

Al crear un punto de acceso S3 adjunto a un FSx volumen, Amazon S3 genera automáticamente un alias de punto de acceso. Este alias es un identificador único que puede utilizar en cualquier lugar donde utilice un nombre de bucket de S3.

Para los puntos de acceso adjuntos a FSx los volúmenes, el alias utiliza el siguiente formato:

access-point-name-metadata-ext-s3alias

Ejemplo de alias:

my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
nota

El -ext-s3alias sufijo está reservado para los alias de los puntos de FSx acceso. No puede utilizar este sufijo en los nombres de los puntos de acceso.

Cómo encontrar el alias del punto de acceso

Puede encontrar el alias del punto de acceso después de crear el punto de acceso.

Para buscar el alias del punto de acceso (consola)

  1. Abre la FSx consola de Amazon en https://console.aws.amazon.com/fsx/.

  2. En el panel de navegación, elija Sistema de archivos.

  3. Elija su sistema de archivos

  4. Selecciona la pestaña Volúmenes y selecciona el volumen para el que creaste el punto de acceso.

  5. Vaya a la columna de detalles del punto de acceso S3.

  6. El alias se muestra en la columna Alias.

Para buscar el alias del punto de acceso (CLI)

Utilice el comando describe-s3-access-point-attachments.

aws fsx describe-s3-access-point-attachments \
    --filters Name=file-system-id,Values=fs-0123456789abcdef0

La respuesta incluye el alias:

{
    "S3AccessPointAttachments": [
        {
            "S3AccessPoint": {
                "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
                "Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
            }
        }
    ]
}

Al configurar los usuarios de Transfer Family, utilice el alias del punto de acceso en las asignaciones del directorio principal.

Formato de directorio principal:

/access-point-alias/path/to/directory

Ejemplo:

/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith

Configuración de Transfer Family para FSx almacenamiento

Después de crear el punto de acceso S3, configure un servidor Transfer Family para usarlo.

Creación de un rol de IAM

Debe crear un rol de IAM que conceda a Transfer Family acceso al punto de acceso S3.

importante

Las políticas de IAM requieren el formato ARN del punto de acceso, no el alias. Utilice el formato arn:aws:s3:region:account-id:accesspoint/access-point-name en las declaraciones de recursos de su política de IAM. El alias del punto de acceso (que termina en-ext-s3alias) solo se usa para mapear el directorio principal.

Creación del rol de IAM

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Funciones y, a continuación, seleccione Crear función.

  3. En Tipo de entidad de confianza, elija Servicio de AWS .

  4. En Caso de uso, selecciona Transferir.

  5. Elija Siguiente.

  6. Selecciona Crear política e introduce tu política (consulta un ejemplo de política a continuación).

  7. Adjunta la política al rol y selecciona Crear rol.

Ejemplo de política de IAM:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowFileOperations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
        },
        {
            "Sid": "AllowDirectoryOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
        }
    ]
}

Administrar los usuarios para el almacenamiento FSx

Cree usuarios de Transfer Family con asignaciones de directorios principales que usen el alias del punto de acceso S3.

Creación de un usuario

Al crear un usuario para el FSx almacenamiento, utilice el alias del punto de acceso en las asignaciones del directorio principal.

Para crear un usuario de Service Managed (consola)

  1. Abra la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/.

  2. En el panel de navegación, seleccione Servers (Servidores).

  3. Seleccione su servidor.

  4. En la sección Usuarios, selecciona Añadir usuario.

  5. En Nombre de usuario, introduzca un nombre de usuario.

  6. En Función, elija la función de IAM que creó.

  7. En el directorio principal, elija Restringido.

  8. Para las asignaciones del directorio principal, añada una asignación con el alias del punto de acceso:

    [{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]

Para crear un usuario (CLI)

Utilice el comando create-user. Sustituya el alias del punto de acceso por el suyo.

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
        }
    ]'

Configuración de múltiples mapeos de directorios

Puede asignar varios directorios virtuales a diferentes rutas del FSx volumen.

Ejemplo: directorios de carga y descarga separados

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/inbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
        },
        {
            "Entry": "/outbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
        }
    ]'

Configuración de clientes de transferencia de archivos

Cuando utilice sistemas de FSx archivos con Transfer Family, debe configurar sus clientes de transferencia de archivos para deshabilitar las funciones que no son compatibles.

Configuración WinSCP

WinSCP utiliza de forma predeterminada una función de cambio de nombre temporal que no es compatible con los puntos de acceso S3. FSx

aviso

Si no deshabilita la función de cambio de nombre temporal en WinSCP, la carga de archivos fallará.

Para deshabilitar el cambio de nombre temporal en WinSCP

  1. Abre WinSCP.

  2. En el cuadro de diálogo de inicio de sesión, seleccione Editar para modificar la configuración de la sesión.

  3. Seleccione Avanzado.

  4. En el menú de navegación de la izquierda, en Transferir, selecciona Endurance.

  5. En Habilitar la transferencia resume/transfer a un nombre de archivo temporal, seleccione Desactivar.

  6. Seleccione Aceptar para guardar la configuración.

Como alternativa, puedes deshabilitar esta configuración para una sesión existente:

  1. Connect a su servidor Transfer Family.

  2. Selecciona Opciones y, a continuación, Preferencias.

  3. Selecciona Transfer y después Endurance.

  4. En Habilitar la transferencia resume/transfer a un nombre de archivo temporal, seleccione Desactivar.

  5. Seleccione Aceptar.

Otros clientes SFTP

Para otros clientes SFTP, deshabilite las siguientes funciones, si están disponibles:

  • Cargas de archivos temporales (cárguelos en un archivo temporal y, a continuación, cámbieles el nombre)

  • Reanude las transferencias mediante archivos temporales

  • Atomic carga mediante operaciones de cambio de nombre

  • Modo de adición para las cargas

Consulte la documentación del cliente para conocer los pasos de configuración específicos.

Solución de problemas FSx de almacenamiento

En esta sección se describe cómo identificar y resolver problemas comunes al usar Transfer Family con sistemas de FSx archivos.

Problemas con el funcionamiento de los archivos

Permiso denegado

Si recibes errores de permiso denegado:

  1. Compruebe que la función de IAM tenga los permisos correctos para el alias del punto de acceso. Para ello, puede realizar pruebas directamente con S3 APIs.

  2. Compruebe que la política de puntos de acceso permita el rol de IAM.

  3. Compruebe que el usuario del sistema de archivos tenga permisos en la ruta de destino.

  4. Confirme que la asignación del directorio principal utilice el alias de punto de acceso correcto.

La carga falla con WinSCP

Si la carga de archivos falla con WinSCP, deshabilite el cambio de nombre temporal:

  1. En WinSCP, seleccione Opciones y, a continuación, Preferencias.

  2. Selecciona Transfer y, a continuación, Endurance.

  3. En Habilitar la transferencia resume/transfer a un nombre de archivo temporal, seleccione Desactivar.

Para obtener más información, consulte Configuración de clientes de transferencia de archivos.

No se puede cargar el archivo

Si se produce un error al cargar los archivos:

  1. Comprueba que el tamaño del archivo sea inferior a 5 GB.

  2. Compruebe que el FSx volumen tiene suficiente espacio de almacenamiento disponible.

  3. Supervisa CloudWatch las métricas de regulación.