Crea un server compatibile con SFTP

Secure Shell (SSH) File Transfer Protocol (SFTP) è un protocollo di rete utilizzato per il trasferimento sicuro di dati su Internet. Il protocollo supporta tutte le funzionalità di sicurezza e autenticazione di SSH. È ampiamente utilizzato per lo scambio di dati, comprese informazioni sensibili tra partner commerciali in una varietà di settori come i servizi finanziari, la sanità, la vendita al dettaglio e la pubblicità.

Nota

I server SFTP per Transfer Family funzionano sulla porta 22. Per gli endpoint ospitati su VPC, i server SFTP Transfer Family possono funzionare anche sulla porta 2222 o sulla porta 22000. Per informazioni dettagliate, vedi Crea un server in un cloud privato virtuale.

Consulta anche

Forniamo un AWS CDK esempio per la creazione di un server SFTP Transfer Family. L'esempio utilizza TypeScript ed è disponibile GitHub qui.
Per una procedura dettagliata su come implementare un server Transfer Family all'interno di un VPC, consulta Usa l'elenco degli IP consentiti per proteggere i tuoi server. AWS Transfer Family

Per creare un server compatibile con SFTP

Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/ e seleziona Server dal pannello di navigazione, quindi scegli Crea server.
In Scegli i protocolli, seleziona SFTP, quindi scegli Avanti.
In Scegli un provider di identità, scegli il provider di identità che desideri utilizzare per gestire l'accesso degli utenti. Sono disponibili le seguenti opzioni:
- Servizio gestito: memorizzi le identità e le chiavi degli utenti. AWS Transfer Family
- AWS Directory Service for Microsoft Active Directory— Fornisci una AWS Directory Service directory per accedere all'endpoint. In questo modo, è possibile utilizzare le credenziali archiviate in Active Directory per autenticare gli utenti. Per ulteriori informazioni sull'utilizzo dei provider di AWS Managed Microsoft AD identità, consulta. Utilizzo di AWS Directory Service per Microsoft Active Directory
  Nota
  Le directory Cross-Account e Shared non sono supportate per. AWS Managed Microsoft AD
  
  Per configurare un server con Directory Service come provider di identità, è necessario aggiungere alcune AWS Directory Service autorizzazioni. Per informazioni dettagliate, vedi Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory.
- Provider di identità personalizzato: scegli una delle seguenti opzioni:
  - AWS Lambda Utilizzalo per connettere il tuo provider di identità: puoi utilizzare un provider di identità esistente, supportato da una funzione Lambda. Fornisci il nome della funzione Lambda. Per ulteriori informazioni, consulta Utilizzo AWS Lambda per integrare il proprio provider di identità.
  - Usa Amazon API Gateway per connettere il tuo provider di identità: puoi creare un metodo API Gateway supportato da una funzione Lambda da utilizzare come provider di identità. Fornisci un URL di Amazon API Gateway e un ruolo di chiamata. Per ulteriori informazioni, consulta Utilizzo di Amazon API Gateway per integrare il tuo provider di identità.
  Per entrambe le opzioni, puoi anche specificare come effettuare l'autenticazione.
  - Password O chiave: gli utenti possono autenticarsi con la propria password o la propria chiave. Si tratta del valore di default.
  - SOLO password: gli utenti devono fornire la propria password per connettersi.
  - SOLO chiave: gli utenti devono fornire la propria chiave privata per connettersi.
  - Password E chiave: gli utenti devono fornire sia la chiave privata che la password per connettersi. Il server controlla prima la chiave e poi, se la chiave è valida, il sistema richiede una password. Se la chiave privata fornita non corrisponde alla chiave pubblica archiviata, l'autenticazione fallisce.
Seleziona Successivo.
In Scegli un endpoint, procedi come segue:
1. Per Tipo di endpoint, scegli il tipo di endpoint accessibile pubblicamente. Per un endpoint ospitato in un VPC, vedi. Crea un server in un cloud privato virtuale
2. (Facoltativo) Per Nome host personalizzato, scegli Nessuno.
  
  Ottieni un nome host del server fornito da. AWS Transfer Family Il nome host del server ha il formato serverId.server.transfer.regionId.amazonaws.com.
  
  Per un nome host personalizzato, è necessario specificare un alias personalizzato per l'endpoint del server. Per ulteriori informazioni sull'utilizzo di nomi host personalizzati, consulta. Lavorare con nomi host personalizzati
3. (Facoltativo) Per FIPS Enabled, selezionate la casella di controllo FIPS Enabled Endpoint per assicurarvi che l'endpoint sia conforme ai Federal Information Processing Standards (FIPS).
  
  Nota
  Gli endpoint compatibili con FIPS sono disponibili solo nelle regioni del Nord America. AWS Per le regioni disponibili, consulta gli AWS Transfer Family endpoint e le quote nel. Riferimenti generali di AWS Per ulteriori informazioni su FIPS, vedere Federal Information Processing Standard (FIPS) 140-2.
4. Seleziona Successivo.
Nella pagina Scegli il dominio, scegli il servizio AWS di archiviazione che desideri utilizzare per archiviare e accedere ai tuoi dati tramite il protocollo selezionato:
- Scegli Amazon S3 per archiviare e accedere ai tuoi file come oggetti tramite il protocollo selezionato.
- Scegli Amazon EFS per archiviare e accedere ai tuoi file nel tuo file system Amazon EFS tramite il protocollo selezionato.
Seleziona Successivo.
In Configura dettagli aggiuntivi, procedi come segue:
1. Per la registrazione, specifica un gruppo di log esistente o creane uno nuovo (opzione predefinita). Se scegli un gruppo di log esistente, devi selezionarne uno associato al tuo Account AWS.
  
  Se scegli Crea gruppo di log, la CloudWatch console (https://console.aws.amazon.com/cloudwatch/) apre la pagina Crea gruppo di log. Per i dettagli, consulta Creare un gruppo di log in CloudWatch Logs.
2. (Facoltativo) Per i flussi di lavoro gestiti, scegliete gli ID del flusso di lavoro (e un ruolo corrispondente) che Transfer Family deve assumere durante l'esecuzione del flusso di lavoro. È possibile scegliere un flusso di lavoro da eseguire dopo un caricamento completo e un altro da eseguire dopo un caricamento parziale. Per ulteriori informazioni sull'elaborazione dei file utilizzando flussi di lavoro gestiti, consultaAWS Transfer Family flussi di lavoro gestiti.
3. Per le opzioni relative agli algoritmi crittografici, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso dal tuo server. La nostra politica di sicurezza più recente è quella predefinita: per i dettagli, consulta. Politiche di sicurezza per AWS Transfer Family i server
4. (Facoltativo) Per Server Host Key, inserisci una chiave privata RSA, ED25519 o ECDSA che verrà utilizzata per identificare il server quando i client si connettono ad esso tramite SFTP. Puoi anche aggiungere una descrizione per distinguere tra più chiavi host.
  
  Dopo aver creato il server, puoi aggiungere chiavi host aggiuntive. Avere più chiavi host è utile se si desidera ruotare le chiavi o se si desidera disporre di diversi tipi di chiavi, ad esempio una chiave RSA e anche una chiave ECDSA.
  
  Nota
  La sezione Server Host Key viene utilizzata solo per la migrazione degli utenti da un server esistente compatibile con SFTP.
5. (Facoltativo) Per Tag, per Chiave e Valore, inserite uno o più tag come coppie chiave-valore, quindi scegliete Aggiungi tag.
6. Seleziona Successivo.
7. Puoi ottimizzare le prestazioni per le tue directory Amazon S3. Ad esempio, supponiamo di accedere alla directory home e di avere 10.000 sottodirectory. In altre parole, il tuo bucket Amazon S3 ha 10.000 cartelle. In questo scenario, se si esegue il comando ls (list), l'operazione list richiede dai sei agli otto minuti. Tuttavia, se si ottimizzano le directory, questa operazione richiede solo pochi secondi.
  
  Quando si crea il server utilizzando la console, le directory ottimizzate sono abilitate per impostazione predefinita. Se crei il server utilizzando l'API, questo comportamento non è abilitato per impostazione predefinita.
8. (Facoltativo) Configura AWS Transfer Family i server per visualizzare messaggi personalizzati come politiche organizzative o termini e condizioni agli utenti finali. Per Visualizza banner, nella casella di testo Pre-autenticazione visualizza banner, inserisci il messaggio di testo che desideri mostrare agli utenti prima che si autentichino.
9. (Facoltativo) È possibile configurare le seguenti opzioni aggiuntive.
  - SetStat opzione: abilita questa opzione per ignorare l'errore generato quando un client tenta di utilizzarlo SETSTAT su un file che stai caricando su un bucket Amazon S3. Per ulteriori dettagli, consulta la SetStatOption documentazione contenuta in. ProtocolDetails
  - Ripresa della sessione TLS: questa opzione è disponibile solo se hai abilitato FTPS come uno dei protocolli per questo server.
  - IP passivo: questa opzione è disponibile solo se hai abilitato FTPS o FTP come uno dei protocolli per questo server.
In Rivedi e crea, esamina le tue scelte.
- Se desideri modificarne una, scegli Modifica accanto al passaggio.
  
  Nota
  Devi rivedere ogni passaggio dopo quello che hai scelto di modificare.
- Se non hai apportato modifiche, scegli Crea server per creare il tuo server. Viene visualizzata la pagina Servers (Server), mostrata di seguito, in cui è elencato il nuovo server.

Possono essere necessari un paio di minuti prima che lo stato del nuovo server passi a Online. A quel punto, il server sarà in grado di eseguire operazioni sui file, ma dovrai prima creare un utente. Per informazioni dettagliate sulla creazione di utenti, consultaGestione degli utenti per gli endpoint del server.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione di un endpoint server Transfer Family

Crea un server abilitato per FTPS