Accédez à vos systèmes de fichiers FSx for NetApp ONTAP avec Transfer Family - AWS Transfer Family
Présentation deConditions préalablesComment fonctionne FSx le stockage avec Transfer FamilyCréation d'un point d'accès S3 pour FSxUtilisation d'alias de point d'accès S3 avec FSxConfiguration de Transfer Family pour le FSx stockageGestion des utilisateurs pour le FSx stockageConfiguration des clients de transfert de fichiersRésolution des problèmes FSx de stockage

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accédez à vos systèmes de fichiers FSx for NetApp ONTAP avec Transfer Family

Présentation de

Transfer Family prend en charge Amazon FSx for NetApp ONTAP via les points d'accès S3. Amazon FSx for NetApp ONTAP est un service entièrement géré qui fournit un stockage de fichiers extrêmement fiable, évolutif, performant et riche en fonctionnalités, basé sur NetApp le célèbre système de fichiers ONTAP. Lorsque vous configurez Transfer Family avec un système de FSx fichiers, vos utilisateurs se connectent aux points de terminaison Transfer Family à l'aide de clients de transfert de fichiers standard. Transfer Family achemine les opérations sur les fichiers via un point d'accès S3 connecté à votre FSx volume, tandis que vos données restent sur le système de FSx fichiers. Pour en savoir plus sur FSx NetApp ONTAP, consultez Qu'est-ce qu'Amazon FSx pour NetApp ONTAP ?

Cette intégration vous permet de :

  • Transférez des fichiers à l'aide des protocoles SFTP, FTPS ou FTP vers un système de stockage de fichiers adapté aux entreprises

  • Accédez aux mêmes données via plusieurs protocoles (SFTP, NFS, SMB)

  • Utilisez FSx des fonctionnalités telles que les instantanés, les sauvegardes et la hiérarchisation des données

Important

Certaines opérations sur les fichiers ne sont pas prises en charge lors de l'utilisation de systèmes de FSx fichiers avec Transfer Family, notamment les opérations de renommage et d'ajout. Pour les opérations de téléchargement, la taille des fichiers est limitée à 5 Go. Pour une liste complète des limitations, consultez la section Compatibilité des points d'accès.

Conditions préalables

Avant de configurer Transfer Family avec Amazon FSx, vous devez satisfaire aux exigences suivantes.

FSx pour les exigences de NetApp l'ONTAP

FSx Pour utiliser NetApp ONTAP avec Transfer Family, vous devez :

  • Et FSx pour le système de fichiers NetApp ONTAP exécutant ONTAP version 9.17.1 ou ultérieure

  • Le système de fichiers et le point d'accès S3 dans la même AWS région

  • Le même AWS compte possédant à la fois le système de fichiers et le point d'accès

Pour en savoir plus, consultez Getting started with Amazon FSx for NetApp ONTAP.

Autorisations IAM requises

Vous pouvez configurer chaque point d'accès S3 avec des autorisations et des contrôles réseau distincts que S3 applique à toute demande effectuée à l'aide de ce point d'accès. Les points d'accès S3 prennent en charge les politiques de ressources IAM que vous pouvez utiliser pour contrôler l'utilisation du point d'accès par ressource, par utilisateur ou selon d'autres conditions. Pour qu'une application ou un utilisateur puisse accéder à des fichiers via un point d'accès, le point d'accès et le volume sous-jacent doivent autoriser la demande. Pour plus d'informations, consultez la section Politiques des points d'accès IAM.

Les points d'accès Amazon S3 FSx utilisent un modèle d'autorisation à double couche qui combine les autorisations IAM avec les autorisations au niveau du système de fichiers. Cette approche garantit que les demandes d'accès aux données sont correctement autorisées à la fois au niveau du AWS service et au niveau du système de fichiers sous-jacent.

Pour qu'une application ou un utilisateur puisse accéder aux données via un point d'accès, la politique du point d'accès S3 et le FSx volume sous-jacent doivent autoriser la demande.

Pour créer et configurer cette intégration, vous devez disposer des autorisations suivantes :

  • fsx:CreateAndAttachS3AccessPoint

  • s3:CreateAccessPoint

  • s3:GetAccessPoint

  • s3:PutAccessPointPolicy(si vous créez une politique de point d'accès facultative)

Comment fonctionne FSx le stockage avec Transfer Family

Lorsque vous configurez Transfer Family avec un système de FSx fichiers, les composants suivants fonctionnent ensemble pour permettre les transferts de fichiers :

  1. Un utilisateur se connecte au serveur Transfer Family à l'aide d'un client SFTP, FTPS ou FTP.

  2. Transfer Family authentifie l'utilisateur à l'aide d'identités gérées par le service, d'un fournisseur d'identité personnalisé ou. AWS Directory Service for Microsoft Active Directory Une fois authentifié, Transfer Family assume le rôle IAM associé à l'utilisateur.

  3. Pour chaque opération sur un fichier, Transfer Family agit comme un client API S3 standard, en envoyant des demandes au point d'accès S3 en utilisant le rôle IAM assumé par l'utilisateur et en vérifiant les autorisations par rapport à la politique du point d'accès S3.

  4. Le système de FSx fichiers vérifie que l'utilisateur du système de fichiers associé au point d'accès est autorisé à effectuer l'opération demandée. L'opération sur le fichier est ensuite exécutée sur le FSx volume.

Pour qu'une opération sur un fichier réussisse, les deux couches d'autorisation doivent autoriser la demande.

Note

L'attachement d'un point d'accès S3 à un FSx volume ne modifie pas le comportement du volume en cas d'accès direct via NFS ou SMB. L'accès au protocole de fichier existant continue de fonctionner sans modification.

Identité de l'utilisateur du système de fichiers

Chaque point d'accès utilise une identité d'utilisateur du système de fichiers que vous spécifiez lors de la création du point d'accès. Cette identité autorise toutes les demandes d'accès aux fichiers effectuées via ce point d'accès. L'utilisateur du système de fichiers est un compte utilisateur sur le système de FSx fichiers Amazon sous-jacent. Si l'utilisateur du système de fichiers dispose d'un accès en lecture seule, seules les demandes de lecture effectuées via le point d'accès sont autorisées et les demandes d'écriture sont bloquées. Si l'utilisateur du système de fichiers dispose d'un accès en lecture-écriture, les demandes de lecture et d'écriture adressées au volume attaché à l'aide du point d'accès sont autorisées.

Création d'un point d'accès S3 pour FSx

Avant de configurer Transfer Family, vous devez créer un point d'accès S3 connecté à votre FSx volume. Les points d'accès S3 sont appelés points de terminaison réseau attachés à une source de données telle qu'un bucket ou un volume Amazon FSx for ONTAP. Vous pouvez créer et associer un point d'accès à un FSx pour NetApp ONTAP à l'aide de la FSx console, de la AWS CLI ou de l'API Amazon. Une fois attaché, vous pouvez utiliser l'objet S3 APIs pour accéder aux données de votre fichier. Vos données continuent de résider dans le système de FSx fichiers Amazon et d'être directement accessibles pour vos charges de travail existantes. Vous continuez à gérer votre stockage en utilisant toutes les fonctionnalités de gestion du stockage FSx d' NetApp ONTAP, notamment les sauvegardes, les instantanés, les quotas d'utilisateurs et de groupes et la compression.

Pour plus d’informations, consultez Création de points d’accès.

Désignation des points d'accès

Lorsque vous nommez votre point d'accès, suivez les instructions suivantes :

  • Les noms des points d'accès doivent être uniques au sein de votre AWS compte et de votre région.

  • Les noms ne peuvent pas se terminer par -ext-s3alias (réservés aux alias).

  • Évitez d'inclure des informations sensibles dans les noms, car elles sont publiées dans le DNS.

Pour une liste complète des règles de dénomination, voir Règles de dénomination, restrictions et limitations des points d'accès.

Création d'un point d'accès FSx pour NetApp ONTAP

Utilisez la procédure suivante pour créer un point d'accès S3 pour un volume FSx for NetApp ONTAP.

Pour créer un point d'accès (console)

  1. Ouvrez la FSx console Amazon à l'adresse https://console.aws.amazon.com/fsx/.

  2. Dans le volet de navigation, sélectionnez Systèmes de fichiers.

  3. Choisissez votre système de fichiers FSx pour NetApp ONTAP.

  4. Choisissez l'onglet Volumes.

  5. Sélectionnez le volume que vous souhaitez associer.

  6. Pour Actions, choisissez Create S3 access point.

  7. Pour Nom du point d'accès, entrez un nom descriptif (par exemple,transfer-family-ap).

  8. Pour le type d'identité utilisateur du système de fichiers, choisissez l'une des options suivantes :

    • Identité UNIX : pour les volumes dotés d'un style de sécurité UNIX

    • Identité Windows : pour les volumes dotés d'un style de sécurité NTFS

  9. (Facultatif) Pour la politique de point d'accès, entrez une stratégie IAM qui définit quels principaux IAM peuvent effectuer quelles opérations sur les objets accessibles via ce point d'accès. Pour plus d'informations, consultez la section Gestion de l'accès aux points d'accès.

  10. Choisissez Créer.

  11. Après la création, notez l'alias du point d'accès à utiliser dans la configuration de Transfer Family.

Note

Lorsque vous AWS Transfer Family accédez aux ressources S3 pour le compte de vos SFTP/FTPS utilisateurs connectés, les demandes proviennent de AWS Transfer Family l'infrastructure et non de votre VPC. De ce fait, les points d'accès S3 configurés avec une origine de réseau VPC rejetteront ces demandes. Cependant, même si vous utilisez un point d'accès configuré avec une origine de réseau Internet, tout le trafic entre Transfer Family et le point d'accès reste privé et passe par AWS le réseau principal ; il ne traverse pas l'Internet public.

Configuration des autorisations du système de fichiers

L'utilisateur du système de fichiers que vous spécifiez détermine les opérations que les utilisateurs de Transfer Family peuvent effectuer. Vous devez configurer les autorisations appropriées sur votre FSx volume.

Exemple UNIX :

# Create a directory for Transfer Family users
mkdir -p /vol1/transfer-users

# Set ownership to match the access point user
chown 1001:1001 /vol1/transfer-users

# Set permissions
chmod 755 /vol1/transfer-users

Exemple Windows :

# Create a directory for Transfer Family users
New-Item -Path "D:\vol1\transfer-users" -ItemType Directory

# Set permissions for the file system user associated with the access point
# Replace DOMAIN\TransferUser with your Windows user identity
icacls "D:\vol1\transfer-users" /grant "DOMAIN\TransferUser:(OI)(CI)M" /T

# Verify permissions
icacls "D:\vol1\transfer-users"

Utilisation d'alias de point d'accès S3 avec FSx

Lorsque vous utilisez des systèmes de FSx fichiers avec Transfer Family, vous devez utiliser des alias de point d'accès S3. Transfer Family ne prend pas en charge l'utilisation de points d'accès ARNs ou d'autres méthodes de référence pour le FSx stockage.

Important

AWS Transfer Family ne prend en charge les alias de point d'accès S3 que lors de l'utilisation de systèmes de FSx fichiers. Vous ne pouvez pas utiliser le point d'accès ARNs ou virtual-hosted-style URIs.

Important

Le point d'accès doit se trouver dans la même région que le volume.

À propos des alias de point d'accès

Lorsque vous créez un point d'accès S3 attaché à un FSx volume, Amazon S3 génère automatiquement un alias de point d'accès. Cet alias est un identifiant unique que vous pouvez utiliser partout où vous utilisez un nom de compartiment S3.

Pour les points d'accès attachés à FSx des volumes, l'alias utilise le format suivant :

access-point-name-metadata-ext-s3alias

Exemple d'alias :

my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias
Note

Le -ext-s3alias suffixe est réservé aux alias des points FSx d'accès. Vous ne pouvez pas utiliser ce suffixe dans les noms de points d'accès.

Trouver l'alias de votre point d'accès

Vous pouvez trouver l'alias du point d'accès après avoir créé le point d'accès.

Pour trouver l'alias du point d'accès (console)

  1. Ouvrez la FSx console Amazon à l'adresse https://console.aws.amazon.com/fsx/.

  2. Dans le volet de navigation, sélectionnez Systèmes de fichiers.

  3. Choisissez votre système de fichiers.

  4. Choisissez l'onglet Volumes et sélectionnez le volume pour lequel vous avez créé le point d'accès.

  5. Accédez à la colonne des détails du point d'accès S3.

  6. L'alias est affiché dans la colonne Alias.

Pour trouver l'alias du point d'accès (CLI)

Utilisez la commande describe-s3-access-point-attachments.

aws fsx describe-s3-access-point-attachments \
    --filters Name=file-system-id,Values=fs-0123456789abcdef0

La réponse inclut l'alias :

{
    "S3AccessPointAttachments": [
        {
            "S3AccessPoint": {
                "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-fsx-ap",
                "Alias": "my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias"
            }
        }
    ]
}

Lorsque vous configurez les utilisateurs de Transfer Family, utilisez l'alias du point d'accès dans les mappages du répertoire de base.

Format du répertoire de base :

/access-point-alias/path/to/directory

Exemple :

/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith

Configuration de Transfer Family pour le FSx stockage

Après avoir créé le point d'accès S3, configurez un serveur Transfer Family pour l'utiliser.

Création d’un rôle IAM

Vous devez créer un rôle IAM qui accorde à Transfer Family l'accès au point d'accès S3.

Important

Les politiques IAM nécessitent le format ARN du point d'accès, et non l'alias. Utilisez le format arn:aws:s3:region:account-id:accesspoint/access-point-name dans vos déclarations de ressources de politique IAM. L'alias du point d'accès (se terminant par-ext-s3alias) est uniquement utilisé pour les mappages de répertoires personnels.

Pour créer le rôle IAM

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Rôles, puis Create role.

  3. Pour Type d’entité de confiance, choisissez Service AWS .

  4. Pour Cas d'utilisation, choisissez Transférer.

  5. Choisissez Suivant.

  6. Choisissez Créer une politique et saisissez votre politique (voir exemple de politique ci-dessous).

  7. Attachez la politique au rôle et choisissez Create role.

Exemple de politique IAM :

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowFileOperations",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:DeleteObject",
                "s3:GetObjectTagging",
                "s3:PutObjectTagging"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap/object/*"
        },
        {
            "Sid": "AllowDirectoryOperations",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:us-east-2:111122223333:accesspoint/my-fsx-ap"
        }
    ]
}

Gestion des utilisateurs pour le FSx stockage

Créez des utilisateurs Transfer Family avec des mappages de répertoire de base utilisant l'alias du point d'accès S3.

Création d’un utilisateur

Lorsque vous créez un utilisateur pour le FSx stockage, utilisez l'alias du point d'accès dans les mappages du répertoire de base.

Pour créer un utilisateur géré par le service (console)

  1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

  2. Dans le volet de navigation, choisissez Servers (Serveurs).

  3. Choisissez votre serveur.

  4. Dans la section Utilisateurs, choisissez Ajouter un utilisateur.

  5. Dans Nom d'utilisateur, entrez un nom d'utilisateur.

  6. Pour Rôle, choisissez le rôle IAM que vous avez créé.

  7. Pour le répertoire personnel, choisissez Restreint.

  8. Pour les mappages du répertoire de base, ajoutez un mappage à l'aide de l'alias du point d'accès :

    [{"Entry": "/", "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"}]

Pour créer un utilisateur (CLI)

Utilisez la commande create-user. Remplacez l'alias du point d'accès par votre alias.

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith"
        }
    ]'

Configuration de mappages de répertoires multiples

Vous pouvez mapper plusieurs répertoires virtuels vers différents chemins du FSx volume.

Exemple : répertoires de chargement et de téléchargement séparés

aws transfer create-user \
    --server-id s-0123456789abcdef0 \
    --user-name jsmith \
    --role arn:aws:iam::111122223333:role/TransferFamilyFSxRole \
    --home-directory-type LOGICAL \
    --home-directory-mappings '[
        {
            "Entry": "/inbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/inbox"
        },
        {
            "Entry": "/outbox",
            "Target": "/my-fsx-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias/users/jsmith/outbox"
        }
    ]'

Configuration des clients de transfert de fichiers

Lorsque vous utilisez des systèmes de FSx fichiers avec Transfer Family, vous devez configurer vos clients de transfert de fichiers pour désactiver les fonctionnalités non prises en charge.

Configuration de WinSCP

WinSCP utilise par défaut une fonctionnalité de renommage temporaire qui n'est pas prise en charge par les points d'accès S3 pour. FSx

Avertissement

Si vous ne désactivez pas la fonction de renommage temporaire dans WinSCP, les téléchargements de fichiers échoueront.

Pour désactiver le renommage temporaire dans WinSCP

  1. Ouvrez WinSCP.

  2. Dans la boîte de dialogue de connexion, choisissez Modifier pour modifier les paramètres de votre session.

  3. Choisir Advanced (Avancé).

  4. Dans le menu de navigation de gauche, sous Transfert, sélectionnez Endurance.

  5. Pour Activer le transfert resume/transfer vers un nom de fichier temporaire, choisissez Désactiver.

  6. Cliquez sur OK pour enregistrer les paramètres.

Vous pouvez également désactiver ce paramètre pour une session existante :

  1. Connectez-vous à votre serveur Transfer Family.

  2. Choisissez Options, puis Préférences.

  3. Choisissez Transfer, puis Endurance.

  4. Pour Activer le transfert resume/transfer vers un nom de fichier temporaire, choisissez Désactiver.

  5. Choisissez OK.

Autres clients SFTP

Pour les autres clients SFTP, désactivez les fonctionnalités suivantes si elles sont disponibles :

  • Chargements de fichiers temporaires (téléchargement vers un fichier temporaire, puis renommage)

  • Reprendre les transferts à l'aide de fichiers temporaires

  • Téléversements atomiques à l'aide d'opérations de renommage

  • Mode d'ajout pour les téléchargements

Consultez la documentation de votre client pour connaître les étapes de configuration spécifiques.

Résolution des problèmes FSx de stockage

Cette section explique comment identifier et résoudre les problèmes courants liés à l'utilisation de Transfer Family avec des systèmes de FSx fichiers.

Problèmes liés au fonctionnement des fichiers

Autorisation refusée

Si vous recevez des messages d'erreur relatifs à l'autorisation refusée :

  1. Vérifiez que le rôle IAM dispose des autorisations appropriées pour l'alias du point d'accès. Vous pouvez le faire en testant directement avec S3 APIs.

  2. Vérifiez que la politique de point d'accès autorise le rôle IAM.

  3. Vérifiez que l'utilisateur du système de fichiers dispose d'autorisations sur le chemin cible.

  4. Vérifiez que le mappage du répertoire de base utilise le bon alias de point d'accès.

Le téléchargement échoue avec WinSCP

Si les téléchargements de fichiers échouent avec WinSCP, désactivez le renommage temporaire :

  1. Dans WinSCP, choisissez Options, puis Préférences.

  2. Choisissez Transfer, puis Endurance.

  3. Pour Activer le transfert resume/transfer vers un nom de fichier temporaire, choisissez Désactiver.

Pour de plus amples informations, veuillez consulter Configuration des clients de transfert de fichiers.

Le téléchargement du fichier échoue

Si le téléchargement de fichiers échoue :

  1. Vérifiez que la taille du fichier est inférieure à 5 Go.

  2. Vérifiez que le FSx volume dispose d'une capacité de stockage suffisante.

  3. Surveillez CloudWatch les mesures de régulation.