本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在虚拟私有云中创建服务器
您可以将服务器的端点托管在虚拟私有云 (VPC) 中,用于在不通过公共互联网的情况下向 Amazon S3 存储桶或 Amazon EFS 文件系统传输数据和从 Amazon S3 存储桶或 Amazon EFS 文件系统中传输数据。
**注意**
2021 年 5 月 19 日之后,如果您的 AWS 账户`EndpointType=VPC_ENDPOINT`在 2021 年 5 月 19 日之前尚未使用您的账户创建服务器,则您将无法创建服务器。如果您已`EndpointType=VPC_ENDPOINT`在 2021 年 2 月 21 日当天或之前使用 AWS 账户创建服务器,则不会受到影响。在此日期之后,使用 `EndpointType` = **VPC**。有关更多信息,请参阅 [停止使用 VPC\$1ENDPOINT](#deprecate-vpc-endpoint)。
如果您使用亚马逊虚拟私有云(Amazon VPC)托管 AWS 资源,则可以在您的 VPC 和服务器之间建立私有连接。然后,您可以使用此服务器通过客户端将数据传输到您的 Amazon S3 存储桶或从您的 Amazon S3 存储桶中传输数据,而无需使用公有 IP 地址或需要互联网网关。
使用 Amazon VPC,您可以在自定义虚拟网络中启动 AWS 资源。可以使用 VPC 控制您的网络设置,例如 IP 地址范围、子网、路由表和网络网关。有关更多信息 VPCs,请参阅[什么是 Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 在《*亚马逊 VPC 用户指南》*中。
在下一部分中,查找如何创建 VPC 并将其连接到服务器的说明。作为概述,您可以按如下方式执行此操作:
1. 使用 VPC 端点设置服务器。
1. 使用 VPC 内的客户端通过 VPC 端点连接到您的服务器。这样,您就可以使用 AWS Transfer Family通过客户端传输存储在 Amazon S3 存储桶中的数据。即使网络已与公共互联网断开连接,您也可以执行此传输。
1. 此外,如果您选择将服务器的端点设为面向互联网,则可以将弹性 IP 地址与您的端点相关联。这样做可以让 VPC 之外的客户端连接到您的服务器。您可以使用 VPC 安全组以控制请求仅来自允许地址的经过身份验证的用户的访问权限。
**注意**
AWS Transfer Family 支持双栈端点,允许您的服务器通过 IPv4 和 IPv6进行通信。要启用双堆栈支持,请在创建 VPC 终端节点时选择**启用 DNS 双堆栈终端节点**选项。请注意,您的 VPC 和子网都必须配置为支持, IPv6 然后才能使用此功能。当您的客户端需要使用任一协议进行连接时,双栈支持特别有用。
有关双栈(IPv4 和 IPv6)服务器端点的信息,请参见[IPv6 支持 Transfer Family 服务器](ipv6-support.md)。
**Topics**
+ [创建仅在您的 VPC 内访问的服务器端点](#create-server-endpoint-in-vpc)
+ [为服务器创建面向互联网的端点](#create-internet-facing-endpoint)
+ [更改 SFTP 服务器的端点类型](#change-server-endpoint-type)
+ [停止使用 VPC\$1ENDPOINT](#deprecate-vpc-endpoint)
+ [限制 Transfer Family 服务器的 VPC 终端节点访问权限](#limit-vpc-endpoint-access)
+ [其他联网功能](#additional-networking-features)
+ [将 AWS Transfer Family 服务器终端节点类型从 VPC\$1ENDPOINT 更新到 VPC](update-endpoint-type-vpc.md)
## 创建仅在您的 VPC 内访问的服务器端点
在以下步骤中,您将创建仅由您的 VPC 内的资源访问的服务器端点。
**在 VPC 内创建服务器端点**
1. 打开 AWS Transfer Family 控制台,网址为[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)。
1. 从导航窗格中,选择**服务器**,然后选择**创建服务器**。
1. 在**选择协议**中,选择一个或多个协议,然后选择**下一步**。有关协议的更多信息,请参阅 [步骤 2:创建启用 SFTP 的服务器](getting-started.md#getting-started-server)。
1. 在**选择身份提供商**中,选择**管理服务**以存储用户身份和密钥 AWS Transfer Family,然后选择**下一步**。
此过程使用服务托管选项。如果您选择**自定义**,则提供 Amazon API Gateway 端点和 AWS Identity and Access Management IAM 角色来访问端点。执行此操作后,您可以集成目录服务,用于对用户进行身份验证和授权。要了解有关使用自定义身份提供商的更多信息,请参阅 [使用自定义身份提供程序](custom-idp-intro.md)。
1. 在**选择端点**中,执行以下操作:
1. 对于**端点类型**,选择托管服务器端点的 **VPC 托管**端点类型。
1. 对于**访问**,请选择**内部**,使您的端点仅可由使用端点的私有 IP 地址的客户端访问。
有关**面向互联网**选项的详细信息,请参阅 [为服务器创建面向互联网的端点](#create-internet-facing-endpoint)。在 VPC 中创建的仅用于内部访问的服务器不支持自定义主机名。
1. 对于 **VPC**,选择现有 VPC ID 或选择**创建 VPC** 以创建新的 VPC。
1. 在**可用区**部分,最多选择三个可用区和关联的子网。
1. 在**安全组**部分,选择现有安全组 ID IDs 或选择**创建安全组**来创建新的安全组。有关安全组的更多信息,请参阅 *Amazon Virtual Private Cloud 用户指南*中的 [VPC 的安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。要创建安全组,请参阅 *Amazon Virtual Private Cloud 用户指南*中的[创建安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups)。
**注意**
您的 VPC 会自动带有默认的安全组。如果您在启动服务器时没有指定其他安全组或组,我们会将默认安全组与您的服务器相关联。
+ 对于安全组的入站规则,您可以将 SSH 流量配置为使用端口 22、2222、22000 或任意组合。默认情况下,端口 22 已配置。要使用端口 2222 或端口 22000,您需要向安全组添加入站规则。对于类型,选择 “**自定义 TCP**”,然后在 “**端口范围**” 中输入**2222**或**22000**,对于源,输入与 SSH 端口 22 规则相同的 CIDR 范围。
+ 对于安全组的入站规则,请将 FTP 和 FTPS 流量配置**21**为使用控制通道和数据通道**8192-8200**的**端口范围**。
**注意**
对于需要 TCP “搭载” 的客户端,也可以使用端口 2223 ACKs,或者让 TCP 三向握手的最终确认也包含数据。
某些客户端软件可能与端口 2223 不兼容:例如,客户端要求服务器在客户端发送 SFTP 标识字符串之前发送 SFTP 标识字符串。
![\[示例安全组的入站规则,显示了端口 22 上的 SSH 规则和端口 2222 上的 Custom TCP 规则。\]](http://docs.aws.amazon.com/zh_cn/transfer/latest/userguide/images/alternate-port-rule.png)
1. (可选)对于**启用 FIPS**,请选中**启用 FIPS 的端点**复选框以确保端点符合联邦信息处理标准 (FIPS)。
**注意**
启用 FIPS 的端点仅在北美 AWS 地区可用。有关可用区域,请参阅 *AWS 一般参考* 中的 [AWS Transfer Family 端点和限额](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html)。有关 FIPS 的更多信息,请参阅[联邦信息处理标准 (FIPS) 140-2](https://aws.amazon.com/compliance/fips/)。
1. 选择**下一步**。
1. 在**配置其他详细信息**中,执行以下操作:
1. 要进行**CloudWatch 日志记录**,请选择以下选项之一以启用 Amazon CloudWatch 记录您的用户活动:
+ **创建一个新角色**,允许 Transfer Family 自动创建 IAM 角色,前提是您拥有创建新角色的相应权限。创建的 IAM 角色被称为`AWSTransferLoggingAccess`。
+ **选择现有角色**以从您的帐户中选择现有 IAM 角色。在**日志记录角色**下,选择该角色。此 IAM 角色应包括将**服务**设置为 `transfer.amazonaws.com` 的信任策略。
有关 CloudWatch 日志记录的更多信息,请参阅[配置 CloudWatch 日志记录角色](configure-cw-logging-role.md)。
**注意**
如果您未指定日志记录角色, CloudWatch 则无法在中查看最终用户活动。
如果您不想设置 CloudWatch 日志记录角色,请选择**选择现有角色**,但不要选择日志记录角色。
1. 对于**加密算法选项**,请选择包含允许服务器使用的加密算法的安全策略。
**注意**
默认情况下,除非选择不同的服务器,否则 `TransferSecurityPolicy-2024-01` 安全策略将连接到服务器。
有关安全策略的更多信息,请参阅 [AWS Transfer Family 服务器的安全策略](security-policies.md)。
1. (可选:本部分仅适用于从启用 SFTP 的现有服务器迁移用户。) 在**服务器主机密钥**中,输入一个 RSA ED25519、或 ECDSA 私钥,当客户端通过 SFTP 连接到服务器时,该私钥将用于识别您的服务器。
1. (可选)对于**标签**,在**密钥**和**值**中,输入一个或多个标签作为键值对,然后选择**添加标签**。
1. 选择**下一步**。
1. 在**审核和创建**页面上,审核您的选择。如果您:
+ 要编辑其中任何一个,请选择该步骤旁边的**编辑**。
**注意**
在选择编辑的步骤之后,您将需要查看每个步骤。
+ 如果没有更改,请选择**创建服务器**来创建您的服务器。您将转至如下所示的**服务器**页面,其中列出了您的新服务器。
您的新服务器状态更改为**在线**可能需要几分钟时间。此时,您的服务器可以执行文件操作,但您需要先创建一个用户。有关创建用户的详细信息,请参阅[管理服务器端点的用户](create-user.md)。
## 为服务器创建面向互联网的端点
在以下过程中,创建服务器端点。只有在您的 VPC 默认安全组中允许其源 IP 地址的客户端才能通过互联网访问此端点。此外,通过使用弹性 IP 地址使您的端点面向互联网,您的客户可以使用弹性 IP 地址来允许在其防火墙中访问您的端点。
**注意**
在面向互联网的 VPC 托管端点上,只能使用 SFTP 和 FTPS。
**创建面向互联网的端点**
1. 打开 AWS Transfer Family 控制台,网址为[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)。
1. 从导航窗格中,选择**服务器**,然后选择**创建服务器**。
1. 在**选择协议**中,选择一个或多个协议,然后选择**下一步**。有关协议的更多信息,请参阅 [步骤 2:创建启用 SFTP 的服务器](getting-started.md#getting-started-server)。
1. 在**选择身份提供商**中,选择**管理服务**以存储用户身份和密钥 AWS Transfer Family,然后选择**下一步**。
此过程使用服务托管选项。如果您选择**自定义**,则提供 Amazon API Gateway 端点和 AWS Identity and Access Management IAM 角色来访问端点。执行此操作后,您可以集成目录服务,用于对用户进行身份验证和授权。要了解有关使用自定义身份提供商的更多信息,请参阅 [使用自定义身份提供程序](custom-idp-intro.md)。
1. 在**选择端点**中,执行以下操作:
1. 对于**端点类型**,选择托管服务器端点的 **VPC 托管**端点类型。
1. 对于**访问**,请选择**面向互联网**,使客户端可以通过互联网访问您的端点。
**注意**
选择**面向互联网**时,可以在每个子网或多个子网中选择一个现有的弹性 IP 地址。或者,您可以前往 VPC 控制台 ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) 分配一个或多个新的弹性 IP 地址。这些地址可以归您所有,也可以归您所有。 AWS 您无法将已在使用的弹性 IP 地址与您的端点相关联。
1. (可选)对于**自定义主机名**,请选择以下选项之一:
**注意**
AWS GovCloud (US) 需要直接通过弹性 IP 地址进行连接的客户,或者在商用 Route 53 中创建指向其 EIP 的主机名记录。有关将 Route 53 用于 GovCloud 终端节点的更多信息,请参阅*AWS GovCloud (US) 用户指南*中的使用[您的 AWS GovCloud (US) 资源设置 Amazon Route 53](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/setting-up-route53.html)。
+ **Amazon Route 53 DNS 别名**— 如果要使用的主机名已注册到 Route 53。然后,您可以输入主机名。
+ **其他 DNS**— 如果要使用的主机名已注册到另一个 DNS 提供商。然后,您可以输入主机名。
+ **无** — 使用服务器的端点,而不是使用自定义主机名。服务器主机名使用格式 `server-id.server.transfer.region.amazonaws.com`。
**注意**
对于中的客户 AWS GovCloud (US),选择 “**无**” 不会以这种格式创建主机名。
要了解有关使用自定义主机名的更多信息,请参阅 [使用自定义主机名](requirements-dns.md)。
1. 对于 **VPC**,选择现有 VPC ID 或选择**创建 VPC** 以创建新的 VPC。
1. 在**可用区**部分,最多选择三个可用区和关联的子网。对于**IPv4地址**,为每个子网选择一个**弹性 IP 地址**。这是您的客户端可用来允许在其防火墙中访问您的端点的 IP 地址。
**提示:**您必须为可用区使用公有子网,或者如果要使用私有子网,请先设置互联网网关。
1. 在**安全组**部分,选择现有安全组 ID IDs 或选择**创建安全组**来创建新的安全组。有关安全组的更多信息,请参阅 *Amazon Virtual Private Cloud 用户指南*中的 [VPC 的安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。要创建安全组,请参阅 *Amazon Virtual Private Cloud 用户指南*中的[创建安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups)。
**注意**
您的 VPC 会自动带有默认的安全组。如果您在启动服务器时没有指定其他安全组或组,我们会将默认安全组与您的服务器相关联。
+ 对于安全组的入站规则,您可以将 SSH 流量配置为使用端口 22、2222、22000 或任意组合。默认情况下,端口 22 已配置。要使用端口 2222 或端口 22000,您需要向安全组添加入站规则。对于类型,选择 “**自定义 TCP**”,然后在 “**端口范围**” 中输入**2222**或**22000**,对于源,输入与 SSH 端口 22 规则相同的 CIDR 范围。
+ 对于安全组的入站规则,请将 FTPS 流量配置**21**为使用控制信道和数据通道**8192-8200**的**端口范围**。
**注意**
对于需要 TCP “搭载” 的客户端,也可以使用端口 2223 ACKs,或者让 TCP 三向握手的最终确认也包含数据。
某些客户端软件可能与端口 2223 不兼容:例如,客户端要求服务器在客户端发送 SFTP 标识字符串之前发送 SFTP 标识字符串。
![\[示例安全组的入站规则,显示了端口 22 上的 SSH 规则和端口 2222 上的 Custom TCP 规则。\]](http://docs.aws.amazon.com/zh_cn/transfer/latest/userguide/images/alternate-port-rule.png)
1. (可选)对于**启用 FIPS**,请选中**启用 FIPS 的端点**复选框以确保端点符合联邦信息处理标准 (FIPS)。
**注意**
启用 FIPS 的端点仅在北美 AWS 地区可用。有关可用区域,请参阅 *AWS 一般参考* 中的 [AWS Transfer Family 端点和限额](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html)。有关 FIPS 的更多信息,请参阅[联邦信息处理标准 (FIPS) 140-2](https://aws.amazon.com/compliance/fips/)。
1. 选择**下一步**。
1. 在**配置其他详细信息**中,执行以下操作:
1. 要进行**CloudWatch 日志记录**,请选择以下选项之一以启用 Amazon CloudWatch 记录您的用户活动:
+ **创建一个新角色**,允许 Transfer Family 自动创建 IAM 角色,前提是您拥有创建新角色的相应权限。创建的 IAM 角色被称为`AWSTransferLoggingAccess`。
+ **选择现有角色**以从您的帐户中选择现有 IAM 角色。在**日志记录角色**下,选择该角色。此 IAM 角色应包括将**服务**设置为 `transfer.amazonaws.com` 的信任策略。
有关 CloudWatch 日志记录的更多信息,请参阅[配置 CloudWatch 日志记录角色](configure-cw-logging-role.md)。
**注意**
如果您未指定日志记录角色, CloudWatch 则无法在中查看最终用户活动。
如果您不想设置 CloudWatch 日志记录角色,请选择**选择现有角色**,但不要选择日志记录角色。
1. 对于**加密算法选项**,请选择包含允许服务器使用的加密算法的安全策略。
**注意**
默认情况下,除非选择不同的服务器,否则 `TransferSecurityPolicy-2024-01` 安全策略将连接到服务器。
有关安全策略的更多信息,请参阅 [AWS Transfer Family 服务器的安全策略](security-policies.md)。
1. (可选:本部分仅适用于从启用 SFTP 的现有服务器迁移用户。) 在**服务器主机密钥**中,输入一个 RSA ED25519、或 ECDSA 私钥,当客户端通过 SFTP 连接到服务器时,该私钥将用于识别您的服务器。
1. (可选)对于**标签**,在**密钥**和**值**中,输入一个或多个标签作为键值对,然后选择**添加标签**。
1. 选择**下一步**。
1. (可选)对于**托管工作流程**,选择 Tr IDs ansfer Family 在执行工作流程时应担任的工作流程(和相应的角色)。您可以选择一个工作流程在完成上传后执行,选择另一个工作流程在部分上传时执行。要了解有关使用托管工作流程处理文件的更多信息,请参阅 [AWS Transfer Family 托管工作流程](transfer-workflows.md)。
![\[托管工作流程控制台部分。\]](http://docs.aws.amazon.com/zh_cn/transfer/latest/userguide/images/workflows-addtoserver.png)
1. 在**审核和创建**页面上,审核您的选择。如果您:
+ 要编辑其中任何一个,请选择该步骤旁边的**编辑**。
**注意**
在选择编辑的步骤之后,您将需要查看每个步骤。
+ 如果没有更改,请选择**创建服务器**来创建您的服务器。您将转至如下所示的**服务器**页面,其中列出了您的新服务器。
您可以选择服务器 ID,以查看您已创建的服务器的详细设置。填充 “**公共 IPv4 地址**” 列后,您提供的弹性 IP 地址将成功关联到服务器的终端节点。
**注意**
当 VPC 中的服务器处于联机状态时,只能通过 [UpdateServer](https://docs.aws.amazon.com/transfer/latest/APIReference/API_UpdateServer.html)API 修改子网。必须[停止服务器](edit-server-config.md#edit-online-offline)才能添加或更改服务器端点的弹性 IP 地址。
## 更改 SFTP 服务器的端点类型
如果您现有的服务器可通过互联网访问(即,具有公有端点类型),您可以将其端点更改为 VPC 端点。
**注意**
如果您在 VPC 中有一台显示为 `VPC_ENDPOINT` 的现有服务器,建议您将其修改为新的 VPC 端点类型。有了这种新的端点类型,您就不再需要使用网络负载均衡器 (NLB) 将弹性 IP 地址与服务器的端点关联起来。此外,您还可以使用 VPC 安全组来限制对服务器端点的访问。不过,您可以按需继续使用 `VPC_ENDPOINT` 端点类型。
以下过程假设您具有使用当前公有端点类型或较旧 `VPC_ENDPOINT` 类型的服务器。
**更改服务器的端点类型**
1. 打开 AWS Transfer Family 控制台,网址为[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)。
1. 在导航窗格中,选择**服务器**。
1. 选中要更改其端点类型的服务器的复选框。
**重要**
您必须先停止服务器,然后才能更改其终端节点。
1. 对于**操作**,选择**停止**。
1. 在出现的确认对话框中,通过选择**停止**来确认您要停止服务器。
**注意**
在继续下一步之前,在**端点详细信息**中,等待服务器的**状态**更改为**离线**;这可能需要几分钟时间。您可能必须在**服务器**页面上选择**刷新**才能查看状态更改。
服务器**离线**之前,您无法进行任何编辑。
1. 在**端点详细信息**中,选择**编辑**。
1. 在**编辑端点配置**中,执行以下操作:
1. 对于**端点类型**,选择 **VPC 托管**。
1. 对于**访问权限**,请选择下列选项之一:
+ **内部**,使您的端点只能由使用端点的私有 IP 地址的客户端访问。
+ **面向互联网**,使客户端可以通过公共互联网访问您的端点。
**注意**
选择**面向互联网**时,可以在每个子网或多个子网中选择一个现有的弹性 IP 地址。或者,您可以前往 VPC 控制台 ([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)) 分配一个或多个新的弹性 IP 地址。这些地址可以归您所有,也可以归您所有。 AWS 您无法将已在使用的弹性 IP 地址与您的端点相关联。
1. (仅适用于面向互联网的访问权限是可选的)对于**自定义主机名**,请选择以下选项之一:
+ **Amazon Route 53 DNS 别名**— 如果要使用的主机名已注册到 Route 53。然后,您可以输入主机名。
+ **其他 DNS**— 如果要使用的主机名已注册到另一个 DNS 提供商。然后,您可以输入主机名。
+ **无** — 使用服务器的端点,而不是使用自定义主机名。服务器主机名使用格式 `serverId.server.transfer.regionId.amazonaws.com`。
要了解有关使用自定义主机名的更多信息,请参阅 [使用自定义主机名](requirements-dns.md)。
1. 对于 **VPC**,选择现有 VPC ID 或选择**创建 VPC** 以创建新的 VPC。
1. 在**可用区**部分,最多选择三个可用区和关联的子网。如果选择**面向互联网**,则还要为每个子网选择一个弹性 IP 地址。
**注意**
如果您想要最多三个可用区,但可用区域不足,请在 VPC 控制台中创建它们([https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/))。
如果您修改子网或弹性 IP 地址,则服务器需要几分钟才能更新。在服务器更新完成之前,您无法保存更改。
1. 选择**保存**。
1. 在**操作**中,选择**启动**,然后等待服务器状态更改为**在线**;这可能需要几分钟。
**注意**
如果您将公有端点类型更改为 VPC 端点类型,请注意您的服务器的**端点类型**已更改为 **VPC**。
默认安全组已附加到端点。要更改或添加其他安全组,请参阅[创建安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups)。
## 停止使用 VPC\$1ENDPOINT
AWS Transfer Family 已停止使用新 AWS 帐户创建服务器`EndpointType=VPC_ENDPOINT`的功能。自 2021 年 5 月 19 日起,不拥有终端节点类型为的 AWS Transfer Family 服务器的 AWS 账户`VPC_ENDPOINT`将无法使用创建新服务器`EndpointType=VPC_ENDPOINT`。如果您已经拥有使用该 `VPC_ENDPOINT` 端点类型的服务器,建议您 `EndpointType=VPC` 尽快开始使用。有关详细信息,请参阅[将您的 AWS Transfer Family 服务器终端节点类型从 VPC\$1ENDPOINT 更新为 VPC](https://aws.amazon.com/blogs/storage/update-your-aws-transfer-family-server-endpoint-type-from-vpc_endpoint-to-vpc/)。
我们在 2020 年初推出了新的 `VPC` 端点类型。有关更多信息,请参阅 [AWS Transfer Family for SFTP 支持 VPC 安全组和弹性 IP 地址](https://aws.amazon.com/about-aws/whats-new/2020/01/aws-transfer-for-sftp-supports-vpc-security-groups-and-elastic-ip-addresses/)。这个新的端点功能更丰富,更具成本效益,而且不 PrivateLink 收费。有关更多信息,请参阅[AWS PrivateLink 定价](https://aws.amazon.com/privatelink/pricing/)。
此端点类型在功能上等同于以前的端点类型 (`VPC_ENDPOINT`)。您可以将弹性 IP 地址直接附加到端点,使其面向互联网,并使用安全组进行源 IP 筛选。有关更多信息,请参阅 “[使用 IP 允许列表来保护您 AWS Transfer Family 的 SFTP 服务器安全](https://aws.amazon.com/blogs/storage/use-ip-whitelisting-to-secure-your-aws-transfer-for-sftp-servers/)” 博客文章。
您也可以在共享 VPC 环境中托管此端点。有关更多信息,请参阅[AWS Transfer Family 现在支持共享服务 VPC 环境](https://aws.amazon.com/about-aws/whats-new/2020/11/aws-transfer-family-now-supports-shared-services-vpc-environments/)。
除了 SFTP 之外,您还可以使用 VPC `EndpointType` 来启用 FTPS 和 FTP。我们不打算将这些功能和 FTPS/FTP 支持添加到`EndpointType=VPC_ENDPOINT`。我们还从 AWS Transfer Family 控制台中删除了此端点类型作为选项。
您可以使用 Transfer Family 控制台、 AWS CLI SDKs、API 或更改服务器的终端节点类型 CloudFormation。要更改服务器的端点类型,请参阅 [将 AWS Transfer Family 服务器终端节点类型从 VPC\$1ENDPOINT 更新到 VPC](update-endpoint-type-vpc.md)。
如果您有任何疑问,请联系 AWS 支持 或您的 AWS 客户团队。
**注意**
我们不打算在 EndpointType =VPC\$1ENDPOINT 中添加这些功能以及 FTPS 或 FTP 支持。我们不再在 AWS Transfer Family 控制台上将其作为选项提供。
如果您还有其他问题,可以通过 AWS 支持 或您的客户团队联系我们。
## 限制 Transfer Family 服务器的 VPC 终端节点访问权限
创建具有 VPC 终端节点类型的 AWS Transfer Family 服务器时,您的 IAM 用户和委托人需要权限才能创建和删除 VPC 终端节点。但是,贵组织的安全策略可能会限制这些权限。您可以使用 IAM 策略允许专门为 Transfer Family 创建和删除 VPC 终端节点,同时保持对其他服务的限制。
**重要**
以下 IAM 策略仅允许用户为 Transfer Family 服务器创建和删除 VPC 终端节点,同时拒绝对其他服务执行这些操作:
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateVpcEndpoint",
"ec2:DeleteVpcEndpoints"
],
"Resource": ["*"],
"Condition": {
"ForAnyValue:StringNotLike": {
"ec2:VpceServiceName": [
"com.amazonaws.INPUT-YOUR-REGION.transfer.server.*"
]
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/INPUT-YOUR-ROLE"
]
}
}
}
```
*INPUT-YOUR-REGION*替换为您的 AWS 区域(例如**us-east-1**)和*INPUT-YOUR-ROLE*您要向其授予这些权限的 IAM 角色。
## 其他联网功能
AWS Transfer Family 提供了多项高级联网功能,可在使用 VPC 配置时增强安全性和灵活性:
+ **共享 VPC 环境支持** ——您可以在共享 VPC 环境中托管 Transfer Family 服务器终端节点。有关更多信息,请参阅[ VPCs 与共享中的使用 VPC 托管的终端节点 AWS Transfer Family](https://aws.amazon.com/blogs/storage/using-vpc-hosted-endpoints-in-shared-vpcs-with-aws-transfer-family/)。
+ **身份验证和安全**-您可以使用 AWS Web 应用程序防火墙来保护您的 Amazon API Gateway 终端节点。有关更多信息,请参阅[AWS Transfer Family 使用 AWS Web 应用程序防火墙和 Amazon API Gateway 进行保护](https://aws.amazon.com/blogs/storage/securing-aws-transfer-family-with-aws-web-application-firewall-and-amazon-api-gateway/)。