Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengkonfigurasi titik SFTP akhir,FTPS, atau FTP server
Topik ini memberikan rincian untuk membuat dan menggunakan endpoint AWS Transfer Family server yang menggunakan satu atau lebih dariSFTP,FTPS, dan FTP protokol.
Topik
- Opsi penyedia identitas
- AWS Transfer Family matriks tipe titik akhir
- Mengkonfigurasi titik SFTP akhir,FTPS, atau FTP server
- Mentransfer file melalui titik akhir server menggunakan klien
- Mengelola pengguna untuk titik akhir server
- Menggunakan direktori logis untuk menyederhanakan struktur direktori Transfer Family
Opsi penyedia identitas
AWS Transfer Family menyediakan beberapa metode untuk mengautentikasi dan mengelola pengguna. Tabel berikut membandingkan penyedia identitas yang tersedia yang dapat Anda gunakan dengan Transfer Family.
| Tindakan | AWS Transfer Family layanan dikelola | AWS Managed Microsoft AD | APIGerbang Amazon | AWS Lambda |
|---|---|---|---|---|
| Protokol yang didukung | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP |
|
Otentikasi berbasis kunci |
Ya |
Tidak |
Ya |
Ya |
|
Autentikasi kata sandi |
Tidak |
Ya |
Ya |
Ya |
|
AWS Identity and Access Management (IAM) dan POSIX |
Ya |
Ya |
Ya |
Ya |
|
Direktori home logis |
Ya |
Ya |
Ya |
Ya |
| Akses parameter (berbasis nama pengguna) | Ya | Ya | Ya | Ya |
|
Struktur akses ad hoc |
Ya |
Tidak |
Ya |
Ya |
|
AWS WAF |
Tidak |
Tidak |
Ya |
Tidak |
Catatan:
IAMdigunakan untuk mengontrol akses untuk penyimpanan dukungan Amazon S3, dan POSIX digunakan untuk Amazon. EFS
-
Ad hoc mengacu pada kemampuan untuk mengirim profil pengguna saat runtime. Misalnya, Anda dapat mendaratkan pengguna di direktori home mereka dengan meneruskan nama pengguna sebagai variabel.
-
Untuk detailnya AWS WAF, lihatTambahkan firewall aplikasi web.
-
Ada posting blog yang menjelaskan penggunaan fungsi Lambda yang terintegrasi dengan Microsoft Azure AD sebagai penyedia identitas Transfer Family Anda. Untuk detailnya, lihat Mengautentikasi AWS Transfer Family dengan Azure Active Directory
dan. AWS Lambda -
Kami menyediakan beberapa AWS CloudFormation template untuk membantu Anda dengan cepat menyebarkan server Transfer Family yang menggunakan penyedia identitas khusus. Untuk detailnya, lihat Template fungsi Lambda.
Dalam prosedur berikut, Anda dapat membuat server SFTP -enabled, server -enabled, server FTPS -enabled, atau AS2 server FTP -enabled.
Langkah selanjutnya
AWS Transfer Family matriks tipe titik akhir
Saat membuat server Transfer Family, Anda memilih jenis endpoint yang akan digunakan. Tabel berikut menjelaskan karakteristik untuk setiap jenis titik akhir.
| Karakteristik | Publik | VPC- Internet | VPC- Internal | VPC_Titik akhir (tidak digunakan lagi) |
|---|---|---|---|---|
| Protokol yang didukung | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP |
| Akses | Dari internet. Jenis titik akhir ini tidak memerlukan konfigurasi khusus apa pun di AndaVPC. | Melalui internet dan dari dalam VPC dan lingkungan VPC yang terhubung, seperti pusat data lokal melalui AWS Direct Connect atau. VPN | Dari dalam VPC dan lingkungan VPC yang terhubung, seperti pusat data lokal di atas AWS Direct Connect atau. VPN | Dari dalam VPC dan lingkungan VPC yang terhubung, seperti pusat data lokal di atas AWS Direct Connect atau. VPN |
| Alamat IP statis | Anda tidak dapat melampirkan alamat IP statis. AWS menyediakan alamat IP yang dapat berubah. |
Anda dapat melampirkan alamat IP Elastis ke titik akhir. Ini bisa berupa alamat AWS IP milik atau alamat IP Anda sendiri (Bawa alamat IP Anda sendiri). Alamat IP elastis yang dilampirkan ke titik akhir tidak berubah. Alamat IP pribadi yang dilampirkan ke server juga tidak berubah. |
Alamat IP pribadi yang dilampirkan ke titik akhir tidak berubah. | Alamat IP pribadi yang dilampirkan ke titik akhir tidak berubah. |
| Daftar izin IP sumber |
Jenis titik akhir ini tidak mendukung daftar izin berdasarkan alamat IP sumber. Titik akhir dapat diakses publik dan mendengarkan lalu lintas melalui port 22. catatanUntuk endpoint yang VPC di-host, server SFTP Transfer Family dapat beroperasi melalui port 22 (default) atau port 2222. |
Untuk mengizinkan akses berdasarkan alamat IP sumber, Anda dapat menggunakan grup keamanan yang dilampirkan ke titik akhir server dan jaringan yang ACLs dilampirkan ke subnet tempat titik akhir berada. |
Untuk mengizinkan akses berdasarkan alamat IP sumber, Anda dapat menggunakan grup keamanan yang dilampirkan ke titik akhir server dan daftar kontrol akses jaringan (jaringanACLs) yang dilampirkan ke subnet tempat titik akhir berada. |
Untuk mengizinkan akses berdasarkan alamat IP sumber, Anda dapat menggunakan grup keamanan yang dilampirkan ke titik akhir server dan jaringan yang ACLs dilampirkan ke subnet tempat titik akhir berada. |
| Daftar izin firewall klien |
Anda harus mengizinkan DNS nama server. Karena alamat IP dapat berubah, hindari menggunakan alamat IP untuk daftar izin firewall klien Anda. |
Anda dapat mengizinkan DNS nama server atau alamat IP Elastis yang dilampirkan ke server. |
Anda dapat mengizinkan alamat IP pribadi atau DNS nama titik akhir. |
Anda dapat mengizinkan alamat IP pribadi atau DNS nama titik akhir. |
catatan
Jenis VPC_ENDPOINT endpoint sekarang sudah usang dan tidak dapat digunakan untuk membuat server baru. Alih-alih menggunakanEndpointType=VPC_ENDPOINT, gunakan tipe VPC endpoint baru (EndpointType=VPC), yang dapat Anda gunakan sebagai Internal atau Internet Facing, seperti yang dijelaskan dalam tabel sebelumnya. Untuk detailnya, lihat Menghentikan penggunaan _ VPC ENDPOINT.
Pertimbangkan opsi berikut untuk meningkatkan postur keamanan AWS Transfer Family server Anda:
-
Gunakan VPC titik akhir dengan akses internal, sehingga server hanya dapat diakses oleh klien dalam lingkungan Anda VPC atau VPC yang terhubung seperti pusat data lokal di atas atau. AWS Direct Connect VPN
-
Untuk memungkinkan klien mengakses titik akhir melalui internet dan melindungi server Anda, gunakan VPC titik akhir dengan akses yang menghadap ke internet. Kemudian, ubah grup keamanan untuk mengizinkan lalu lintas hanya dari alamat IP tertentu yang meng-host klien pengguna Anda. VPC
-
Jika Anda memerlukan otentikasi berbasis kata sandi dan Anda menggunakan penyedia identitas khusus dengan server Anda, itu adalah praktik terbaik bahwa kebijakan kata sandi Anda mencegah pengguna membuat kata sandi yang lemah dan membatasi jumlah upaya login yang gagal.
AWS Transfer Family adalah layanan terkelola, sehingga tidak menyediakan akses shell. Anda tidak dapat langsung mengakses SFTP server yang mendasarinya untuk menjalankan perintah asli OS di server Transfer Family.
-
Gunakan Network Load Balancer di depan VPC titik akhir dengan akses internal. Ubah port listener pada penyeimbang beban dari port 22 ke port yang berbeda. Ini dapat mengurangi, tetapi tidak menghilangkan, risiko pemindai port dan bot yang menyelidiki server Anda, karena port 22 paling sering digunakan untuk pemindaian. Untuk detailnya, lihat posting blog Network Load Balancers sekarang mendukung grup Keamanan
. catatan
Jika Anda menggunakan Network Load Balancer, AWS Transfer Family CloudWatch log menampilkan alamat IP untukNLB, bukan alamat IP klien yang sebenarnya.
