Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurazione di un endpoint server SFTP, FTPS o FTP
<a name="sftp-for-transfer-family"></a>

Questo argomento fornisce dettagli sulla creazione e l'utilizzo di endpoint AWS Transfer Family server che utilizzano uno o più protocolli SFTP, FTPS e FTP.

**Topics**
+ [Opzioni del provider di identità](#identity-provider-details)
+ [AWS Transfer Family matrice del tipo di endpoint](#endpoint-matrix)
+ [Configurazione di un endpoint server SFTP, FTPS o FTP](tf-server-endpoint.md)
+ [Considerazioni su FTP e FTPS Network Load Balancer](#ftp-ftps-nlb-considerations)
+ [Trasferimento di file su un endpoint server utilizzando un client](transfer-file.md)
+ [Gestione degli utenti per gli endpoint del server](create-user.md)
+ [Utilizzo di directory logiche per semplificare le strutture di directory Transfer Family](logical-dir-mappings.md)
+ [Accedi ai tuoi file system FSx for NetApp ONTAP con Transfer Family](fsx-s3-access-points.md)

## Opzioni del provider di identità
<a name="identity-provider-details"></a>

AWS Transfer Family fornisce diversi metodi per l'autenticazione e la gestione degli utenti. La tabella seguente confronta i provider di identità disponibili che puoi utilizzare con Transfer Family.


| Azione | AWS Transfer Family servizio gestito | AWS Managed Microsoft AD | Gateway Amazon API | AWS Lambda | 
| --- | --- | --- | --- | --- | 
| Protocolli supportati | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | 
|  Autenticazione basata su chiavi  |  Sì  |  No  |  Sì  |  Sì  | 
|  Autenticazione password  |  No  |  Sì  |  Sì  |  Sì  | 
|  AWS Identity and Access Management (IAM) e POSIX  |  Sì   |  Sì  |  Sì  |  Sì  | 
|  cartella home logica  |  Sì   |  Sì  |  Sì  |  Sì  | 
| Accesso parametrizzato (basato sul nome utente) | Sì  | Sì | Sì | Sì | 
|  Struttura di accesso ad hoc  |  Sì  |  No  |  Sì  |  Sì  | 
|  AWS WAF  |  No  |  No  |  Sì  |  No  | 

Note:
+ IAM viene utilizzato per controllare l'accesso per lo storage di backup di Amazon S3 e POSIX viene utilizzato per Amazon EFS.
+ *Ad hoc* si riferisce alla possibilità di inviare il profilo utente in fase di esecuzione. Ad esempio, puoi indirizzare gli utenti nelle loro home directory passando il nome utente come variabile.
+ Per ulteriori informazioni su AWS WAF, vedere[Aggiungi un firewall per applicazioni Web](web-application-firewall.md).
+ C'è un post sul blog che descrive l'uso di una funzione Lambda integrata con Microsoft Entra ID (precedentemente Azure AD) come provider di identità Transfer Family. Per i dettagli, vedere [Autenticazione](https://aws.amazon.com/blogs/storage/authenticating-to-aws-transfer-family-with-azure-active-directory-and-aws-lambda/) con Azure Active Directory e. AWS Transfer Family AWS Lambda
+ Forniamo diversi CloudFormation modelli per aiutarti a implementare rapidamente un server Transfer Family che utilizza un provider di identità personalizzato. Per informazioni dettagliate, vedi [Modelli di funzioni Lambda](custom-lambda-idp.md#lambda-idp-templates).

Nelle seguenti procedure, è possibile creare un server abilitato per SFTP, un server abilitato per FTPS, un server abilitato per FTP o un server abilitato per -. AS2

**Approfondimenti**
+ [Crea un server compatibile con SFTP](create-server-sftp.md)
+ [Creare un server compatibile con FTPS](create-server-ftps.md)
+ [Crea un server abilitato all'FTP](create-server-ftp.md)
+ [Configurazione AS2](create-b2b-server.md)

## AWS Transfer Family matrice del tipo di endpoint
<a name="endpoint-matrix"></a>

Quando crei un server Transfer Family, scegli il tipo di endpoint da utilizzare. La tabella seguente descrive le caratteristiche per ogni tipo di endpoint.


**Matrice del tipo di endpoint**  

| Caratteristica | Pubblica | VPC - Internet | VPC - Interno | VPC\$1Endpoint (obsoleto) | 
| --- | --- | --- | --- | --- | 
| Protocolli supportati | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP | 
| Accesso | Da Internet. Questo tipo di endpoint non richiede alcuna configurazione speciale nel tuo VPC. | Tramite Internet e dall'interno di ambienti VPC e connessi a VPC, come un data center locale o una VPN. Direct Connect  | Dall'interno di ambienti VPC e connessi a VPC, come un data center locale o una VPN. Direct Connect  | Dall'interno di ambienti VPC e connessi a VPC, come un data center locale o una VPN. Direct Connect  | 
| Indirizzo IP statico | Non è possibile allegare un indirizzo IP statico. AWS fornisce indirizzi IP soggetti a modifiche. |  È possibile collegare indirizzi IP elastici all'endpoint. Questi possono essere indirizzi AWS IP di proprietà o indirizzi IP personali ([Bring your own IP address](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html)). Gli indirizzi IP elastici collegati all'endpoint non cambiano. Inoltre, gli indirizzi IP privati collegati al server non vengono modificati.  | Gli indirizzi IP privati collegati all'endpoint non cambiano. | Gli indirizzi IP privati collegati all'endpoint non cambiano. | 
| Elenco IP consentiti di origine |  Questo tipo di endpoint non supporta gli elenchi consentiti per indirizzi IP di origine. L'endpoint è accessibile al pubblico e ascolta il traffico sulla porta 22.  Per gli endpoint ospitati su VPC, i server SFTP Transfer Family possono funzionare sulla porta 22 (impostazione predefinita), 2222, 2223 o 22000.   |  Per consentire l'accesso tramite l'indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e la rete ACLs collegata alla sottorete in cui si trova l'endpoint.  |  Per consentire l'accesso tramite l'indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e le liste di controllo dell'accesso alla rete (rete ACLs) collegate alla sottorete in cui si trova l'endpoint.  |  Per consentire l'accesso tramite l'indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e alla rete ACLs collegata alla sottorete in cui si trova l'endpoint.  | 
| Elenco degli indirizzi consentiti dal firewall del client |  È necessario consentire il nome DNS del server. Poiché gli indirizzi IP sono soggetti a modifiche, evita di utilizzare gli indirizzi IP per l'elenco consentito del firewall del client.  |  È possibile consentire il nome DNS del server o gli indirizzi IP elastici collegati al server.  |  È possibile consentire gli indirizzi IP privati o il nome DNS degli endpoint.  |  È possibile consentire gli indirizzi IP privati o il nome DNS degli endpoint.  | 
| Tipo di indirizzo IP | IPv4 (impostazione predefinita) o dual-stack (e) IPv4 IPv6 | IPv4 solo (dual-stack non supportato) | IPv4 (impostazione predefinita) o dual-stack (e) IPv4 IPv6 | IPv4 solo (dual-stack non supportato) | 

**Nota**  
Il tipo di `VPC_ENDPOINT` endpoint è ora obsoleto e non può essere utilizzato per creare nuovi server. Invece di utilizzare`EndpointType=VPC_ENDPOINT`, utilizza il tipo di endpoint VPC (`EndpointType=VPC`), che puoi usare come interfaccia **interna** o **Internet**, come descritto nella tabella precedente.  
Per i dettagli sulla deprecazione, vedere. [Interruzione dell'uso di VPC\$1ENDPOINTPuoi modificare il tipo di endpoint per il tuo server utilizzando la console Transfer Family AWS CLI SDKs, l'API o CloudFormation. Per modificare il tipo di endpoint del server, consulta. [Aggiornamento del tipo di endpoint AWS Transfer Family del server da VPC\$1ENDPOINT a VPC](update-endpoint-type-vpc.md)](create-server-in-vpc.md#deprecate-vpc-endpoint)
Per informazioni sulla gestione delle autorizzazioni degli endpoint VPC, consulta. [Limitazione dell'accesso agli endpoint VPC per i server Transfer Family](create-server-in-vpc.md#limit-vpc-endpoint-access)

Considerate le seguenti opzioni per aumentare il livello di sicurezza del vostro server: AWS Transfer Family 
+ Utilizza un endpoint VPC con accesso interno, in modo che il server sia accessibile solo ai client all'interno del tuo VPC o agli ambienti connessi a VPC, come un data center locale o una VPN. Direct Connect 
+ Per consentire ai client di accedere all'endpoint tramite Internet e proteggere il server, utilizza un endpoint VPC con accesso a Internet. Quindi, modifica i gruppi di sicurezza del VPC per consentire il traffico solo da determinati indirizzi IP che ospitano i client degli utenti.
+ Se richiedi l'autenticazione basata su password e utilizzi un provider di identità personalizzato con il tuo server, è buona norma che la politica in materia di password impedisca agli utenti di creare password deboli e limiti il numero di tentativi di accesso non riusciti.
+ AWS Transfer Family è un servizio gestito e quindi non fornisce l'accesso alla shell. Non è possibile accedere direttamente al server SFTP sottostante per eseguire comandi nativi del sistema operativo sui server Transfer Family.
+ Usa un Network Load Balancer davanti a un endpoint VPC con accesso interno. Cambia la porta del listener sul load balancer dalla porta 22 a una porta diversa. Ciò può ridurre, ma non eliminare, il rischio che scanner di porte e bot controllino il server, poiché la porta 22 è la più comunemente utilizzata per la scansione. Per maggiori dettagli, consulta il post sul blog [Network Load Balancer](https://aws.amazon.com/blogs/containers/network-load-balancers-now-support-security-groups/) now support Security groups.
**Nota**  
Se si utilizza un Network Load Balancer, AWS Transfer Family CloudWatch i log mostrano l'indirizzo IP dell'NLB, anziché l'indirizzo IP effettivo del client.

## Considerazioni su FTP e FTPS Network Load Balancer
<a name="ftp-ftps-nlb-considerations"></a>

Sebbene consigliamo di evitare i Network Load Balancer davanti ai AWS Transfer Family server, se l'implementazione FTP o FTPS richiede un NLB o NAT nel percorso di comunicazione del client, segui questi consigli:
+ Per un NLB, utilizzate la porta 21 per i controlli sanitari, anziché le porte 8192-8200.
+ Per il AWS Transfer Family server, abilita la ripresa della sessione TLS impostando. `TlsSessionResumptionMode = ENFORCED`
**Nota**  
Questa è la modalità consigliata, in quanto offre una maggiore sicurezza:  
Richiede ai client di utilizzare la ripresa della sessione TLS per le connessioni successive.
Fornisce garanzie di sicurezza più solide garantendo parametri di crittografia coerenti.
Aiuta a prevenire potenziali attacchi di downgrade.
Mantiene la conformità agli standard di sicurezza ottimizzando al contempo le prestazioni.
+ Se possibile, abbandona l'utilizzo di un NLB per sfruttare appieno i limiti di AWS Transfer Family prestazioni e connessione.

Per ulteriori indicazioni sulle alternative NLB, contatta il team di gestione dei AWS Transfer Family prodotti tramite Support AWS . Per ulteriori informazioni su come migliorare il livello di sicurezza, consulta il post sul blog [Sei suggerimenti per migliorare la sicurezza del](https://aws.amazon.com/blogs/security/six-tips-to-improve-the-security-of-your-aws-transfer-family-server/) tuo server. AWS Transfer Family 

 Le linee guida sulla sicurezza per NLBs sono fornite in[Evita NLBs di posizionarlo NATs davanti AWS Transfer Family ai server](infrastructure-security.md#nlb-considerations).