创建 SFTP-enabled 服务器

创建 SFTP-enabled 服务器

1. 打开 AWS Transfer Family 控制台，从导航窗格中选择 “服务器”，然后选择 “创建服务器”。https://console.aws.amazon.com/transfer/

2. 在选择协议中，选择 SFTP，然后选择下一步。

3. 在选择身份提供商中，选择要用于管理用户访问权限的身份提供商。您有以下选项：

   • 服务托管-您将用户身份和密钥存储在中 AWS Transfer Family。

   • AWS Directory Service for Microsoft Active Directory— 您提供用于访问端点的 Directory Service 目录。这样，您就可以使用存储在 Activity Directory 中的凭证对用户进行身份验证。要了解有关与 AWS Managed Microsoft AD 身份提供商合作的更多信息，请参阅使用微软 Active Directory 的 AWS 目录服务。

     注意

     • Cross-Account 且不支持共享目录 AWS Managed Microsoft AD。

     • 要设置以 Directory Service 作为身份提供者的服务器，您需要添加一些 Directory Service 权限。有关更多信息，请参阅 在你开始使用之前 AWS Directory Service for Microsoft Active Directory。

   • 自定义身份提供商 — 请选择以下任一选项：

     • AWS Lambda 用于连接您的身份提供商-您可以使用由 Lambda 函数支持的现有身份提供商。您提供 Lambda 函数名称。有关更多信息，请参阅 AWS Lambda 用于整合您的身份提供商。

     • 使用 Amazon API Gateway 连接您的身份提供商 — 您可以创建由 Lambda 函数支持的 API 网关方法以用作身份提供商。您提供一个 Amazon API Gateway URL 和一个调用角色。有关更多信息，请参阅 使用 Amazon API Gateway 整合您的身份提供程序。

     

4. 选择下一步。

5. 在选择端点中，执行以下操作：

   1. 对于端点类型，选择可公开访问的端点类型。有关 VPC 托管的端点，请参阅 在虚拟私有云中创建服务器。

   2. 对于 IP 地址类型，选择 IPv4（默认）Dual-stack以实现向后兼容性，或者同时启用与终端节点的 IPv4 和 IPv6 连接。

      注意

      Dual-stack 模式允许你的 Transfer Family 端点与启用 IPv4 和 IPv6 的客户端通信。这使您能够从基于 IPv4 的系统逐渐过渡到基于 IPv6 的系统，而无需同时切换所有系统。

   3. （可选）对于自定义主机名，选择无。

      您将获得由提供的服务器主机名 AWS Transfer Family。服务器主机名使用格式 serverId.server.transfer.regionId.amazonaws.com。

      对于自定义主机名，您可以为服务器端点指定自定义别名。要了解有关使用自定义主机名的更多信息，请参阅使用自定义主机名。

   4. （可选）对于启用 FIPS，请选中启用 FIPS 端点复选框以确保端点符合联邦信息处理标准 (FIPS)。

      注意

      FIPS-enabled 终端节点仅在北美 AWS 地区可用。有关可用区域，请参阅 AWS 一般参考 中的 AWS Transfer Family 端点和限额。有关 FIPS 的更多信息，请参阅联邦信息处理标准 (FIPS) 140-2。

   5. 选择下一步。

6. 在 “选择域” 页面上，选择要用于通过所选协议 AWS 存储和访问数据的存储服务：

   • 选择 Amazon S3，通过所选协议将您的文件作为对象存储和访问。

   • 选择 Amazon EFS，通过所选协议在 Amazon EFS 文件系统中存储和访问您的文件。

   选择下一步。

7. 在配置其他详细信息中，执行以下操作：

   1. 对于日志记录，指定现有日志组或创建新日志组（默认选项）。如果您选择现有日志组，则必须选择与您的日志组关联的日志组 AWS 账户。

      

      如果选择 “创建日志组”，则 CloudWatch 控制台 (https://console.aws.amazon.com/cloudwatch/) 将打开 “创建日志组” 页面。有关详细信息，请参阅在 Log CloudWatch s 中创建日志组。

   2. （可选）对于托管工作流程，请选择 Transfer Family 在执行工作流程时应承担的工作流程 ID（和相应的角色）。您可以选择一个工作流程在完成上传后执行，选择另一个工作流程在部分上传时执行。要了解有关使用托管工作流程处理文件的更多信息，请参阅 AWS Transfer Family 托管工作流程。

      

   3. 对于加密算法选项，请选择包含允许服务器使用的加密算法的安全策略。我们的最新安全策略是默认策略：有关详细信息，请参阅AWS Transfer Family 服务器的安全策略。

   4. （可选）对于 Server Host Key，输入 RSA、ED25519 或 ECDSA 私有密钥，该私有密钥将用于在客户端通过 SFTP 连接到服务器时标识服务器。您还可以添加描述以区分多个主机密钥。

      创建服务器后，您可以添加其他主机密钥。如果您想轮换密钥或想要使用不同类型的密钥（例如 RSA 密钥和 ECDSA 密钥），则拥有多个主机密钥非常有用。

      注意

      服务器主机密钥部分仅用于从现有 SFTP-enabled 服务器迁移用户。

   5. （可选）对于标签，在密钥和值中，输入一个或多个标签作为键值对，然后选择添加标签。

   6. 选择下一步。

   7. 您可以优化 Amazon S3 目录的性能。例如，假设您进入主目录，并且有 10,000 个子目录。换句话说，您的亚马逊 S3 存储桶有 10,000 个文件夹。在这种情况下，如果您运行 ls (list) 命令，则列表操作需要六到八分钟。但是，如果您优化目录，则此操作只需要几秒钟。

      使用控制台创建服务器时，默认情况下会启用优化的目录。如果您使用 API 创建服务器，则默认情况下不启用此行为。

      

   8. （可选）配置 AWS Transfer Family 服务器以向最终用户显示自定义消息，例如组织政策或条款和条件。对于显示横幅，在Pre-authentication 显示横幅文本框中，输入要在用户进行身份验证之前向其显示的短信。

   9. （可选）您可以配置以下其他选项。

      • SetStat 选项：启用此选项可忽略客户端尝试对您上传到 Amazon S3 存储桶的文件使用SETSTAT时生成的错误。有关更多详细信息，请参阅中的SetStatOption文档ProtocolDetails。

      • TLS 会话恢复：仅当您启用 FTPS 作为该服务器的协议之一时，此选项才可用。

      • 被动 IP：仅当您启用 FTPS 或 FTP 作为该服务器的协议之一时，此选项才可用。

      

8. 在审核和创建页面上，审核您的选择。

   • 如果要编辑其中任何一个，请选择该步骤旁边的编辑。

     注意

     在选择编辑的步骤之后，您必须审核每个步骤。

   • 如果没有任何更改，请选择创建服务器来创建您的服务器。您将转至如下所示的服务器页面，其中列出了您的新服务器。