选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

AWS Transfer Family 服务器端点入门

聚焦模式
AWS Transfer Family 服务器端点入门 - AWS Transfer Family

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用本教程开始使用 AWS Transfer Family (Transfer Family)。您将学习如何使用 Amazon S3 存储创建SFTP支持可公开访问的终端节点的服务器,如何添加具有服务托管身份验证的用户,以及如何使用 Cyberduck 传输文件。

先决条件

开始之前,请确保完成 先决条件 中的要求。在此设置中,您将创建一个亚马逊简单存储服务 (Amazon S3) 存储桶和 AWS Identity and Access Management 一个 IAM () 用户角色。

使用 AWS Transfer Family 控制台需要权限,也需要权限才能配置 Transfer Family 使用的其他 AWS 服务,例如亚马逊简单存储服务 AWS Certificate Manager、亚马逊弹性文件系统和亚马逊 Route 53。例如,对于 AWS 使用 Transfer Family 传入和传出文件的用户,AmazonS3 会FullAccess授予设置和使用 Amazon S3 存储桶的权限。创建 Amazon S3 存储桶需要此策略中的一些权限。

要使用 Transfer Family 控制台,您需要满足以下条件:

  • AWSTransferConsoleFullAccess向您的SFTP用户授予创建 Transfer Family 资源的权限。

  • IAMFullAccess只有当你希望 Transfer Family 在 Amazon CloudWatch Logs 中自动为服务器创建日志IAM角色或为登录服务器的用户创建用户角色时,才需要使用允许创建角色的策略(或者具体来说是允许创建角色的策略)。

  • 要创建和删除VPC服务器类型,您需要在策略中添加操作 ec2: CreateVpcEndpoint 和 ec2: DeleteVpcEndpoints

注意

一般使用并不需要 AmazonS3 FullAccessIAMFullAccess政策本身。 AWS Transfer Family此处将它们作为一种简单的方法来确保您需要的所有权限都得到满足。此外,这些是 AWS 托管策略,它们是可供所有 AWS 客户使用的标准策略。您可以查看这些策略中的个人权限,并确定实现您的目的所需的最低权限集。

步骤 1:登录到 AWS Transfer Family 控制台

要登录 Transfer Family
  1. 登录 AWS Management Console 并打开 AWS Transfer Family 控制台,网址为https://console.aws.amazon.com/transfer/

  2. 对于账户 ID 或别名,请输入您的 AWS 账户 ID。

  3. IAM用户名中,输入您为 Transfer Family 创建的用户角色名称。

  4. 在 “密码” 中,输入您的 AWS 帐户密码。

  5. 选择 Sign in(登录)

步骤 2:创建SFTP启用了的服务器

Secure Shell (SSHSFTP) 文件传输协议 () 是一种用于通过互联网安全传输数据的网络协议。该协议支持完整的安全和身份验证功能SSH。它被广泛应用于金融服务、医疗保健、零售和广告等各行各业的业务合作伙伴之间交换数据,包括敏感信息。

创建SFTP启用了-的服务器
  1. 从导航窗格中选择服务器,然后选择创建服务器

  2. “选择协议” 中,选择 SFTP,然后选择 “下一步”。

  3. 选择身份提供商中,选择服务托管,在 Transfer Family 中存储用户身份和密钥,然后选择下一步

  4. 选择端点中,执行以下操作:

    1. 对于端点类型,选择可公开访问的端点类型。

    2. 对于自定义主机名,选择

    3. 选择下一步

  5. 选择域名中,选择 Amazon S3

  6. 配置其他详细信息中,执行以下操作:

    1. 要进行CloudWatch 登录,请选择 “创建新角色” 以允许 Transfer Family 自动创建IAM角色,前提是您拥有创建新角色的适当权限。创建的IAM角色被称为AWSTransferLoggingAccess

    2. 对于加密算法选项,请选择包含允许服务器使用的加密算法的安全策略。默认的安全策略为 TransferSecurityPolicy-2020-06

    3. 选择下一步

  7. 审核并创建中,选择创建服务器。您将进入服务器页面。

您的新服务器状态更改为在线可能需要几分钟时间。此时,您的服务器可以执行文件操作,但您需要先创建一个用户。

步骤 3:添加服务托管用户

将用户添加到SFTP启用了该功能的服务器
  1. 服务器页面上,选中您要将用户添加到的服务器复选框。

  2. 选择添加用户

  3. 用户配置部分的用户名中,输入用户名。此用户名长度最少为 3 个字符,最多为 100 个字符 您可以在用户名中使用以下字符:a–z、A-Z、0–9、下划线“_”、连字符“-”、句点“.”和“@”符号。用户名不能以连字符、句点或 @ 符号开头。

  4. 对于访问权限,请选择您之前创建的提供对您的 Amazon S3 存储桶的访问权限的IAM角色。

    您使用IAM中的步骤创建了此角色创建IAM角色和策略。该IAM角色包括一项提供对您的 Amazon S3 存储桶的访问权限的IAM策略。它还包括另一个IAM策略中定义的与 AWS Transfer Family 服务的信任关系。

    注意

    服务托管用户的IAM角色必须包含访问所需存储桶的权限。访问所需存储桶的权限包含在 S3 中FullAccess,它授予对 S3 资源的管理员级别权限。

  5. 对于策略,选择

  6. 对于主目录,选择用于存储要传输的数据的 Amazon S3 存储桶 AWS Transfer Family。输入用户在使用其客户端登录时转到的 home 目录的路径。

    如果您将此参数留空,则使用 Amazon S3 存储桶的 root 目录。在这种情况下,请确保您的IAM角色提供对此root目录的访问权限。

    注意

    我们建议您选择包含用户的用户名的目录路径,这使得您可以更高效地使用会话策略。会话策略将用户在 Amazon S3 存储桶中的访问权限限制为该用户的 home 目录。

  7. 对于受限,选中该复选框,这样您的用户就无法访问该文件夹之外的任何内容,也看不到 Amazon S3 存储桶或文件夹名称。

    注意

    当为用户分配主目录并限制用户访问该主目录时,这应该足以锁定用户对指定文件夹的访问权限。当您需要应用进一步的控制措施,请使用会话策略。

  8. 对于SSH公钥,请输入SSH密钥对的公SSH钥部分。

    您的密钥先由服务进行验证,然后才能添加新用户。

    重要

    SSH公钥的格式为ssh-rsa <string>。有关如何生成SSH密钥对的说明,请参阅为服务托管用户生成SSH密钥

  9. (可选)对于,输入一个或多个标记作为键-值对,然后选择添加标记

  10. 选择 Add (添加) 可将您的新用户添加到所选服务器。

    新用户将出现在服务器详细信息页面的用户部分。

步骤 4:使用客户端传输文件

通过在客户端中指定传输操作,您可以通过 AWS Transfer Family 服务传输文件。 AWS Transfer Family 支持多个客户端。有关详细信息,请参阅 使用客户端通过服务器端点传输文件

本节包含使用 Cyberduck 和 Open SSH 的步骤。

使用 Cyberduck

AWS Transfer Family 使用 Cyberduck 传输文件
  1. 打开 Cyberduck 客户端。

  2. 选择打开连接

  3. 在 “打开连接” 对话框中,选择 SFTP(SSH文件传输协议)

  4. 对于服务器,输入您的服务器端点。服务器端点位于服务器详细信息页面上,请参阅 查看SFTPFTPS、和FTP服务器详细信息

  5. 在 “端口号” 中,输入 f 22 or SFTP。

  6. 对于用户名,输入您在管理服务器端点的用户中创建的用户的名称。

  7. 对于SSH私钥,请选择或输入SSH私钥。

  8. 选择连接

  9. 执行文件传输。

    根据您的文件所在的位置,执行以下操作之一:

    • 在您的本地目录(源)中,选择您要传输的文件,然后将这些文件拖放到 Amazon S3 目录(目标)中。

    • 在 Amazon S3 目录(源)中,选择您要传输的文件,然后将这些文件拖放到您的本地目录(目标)中。

使用 “打开” SSH

按照以下说明使用 Open 从命令行传输文件SSH。

注意

此客户端只能与SFTP启用了-的服务器一起使用。

AWS Transfer Family 使用 Open SSH 命令行实用程序传输文件
  1. 在 Linux 或 Macintosh 上,打开命令终端。

  2. 在提示符中,输入以下命令:% sftp -i transfer-key sftp_user@service_endpoint

    在前面的命令中,sftp_user是用户名,transfer-key是SSH私钥。这是服务器的终端节点,如所选服务器的 AWS Transfer Family 控制台中所示。service_endpoint

    此时应显示 sftp 提示符。

  3. (可选)要查看用户的主目录,请在sftp提示符下输入以下命令:sftp> pwd

  4. 在下一行上,输入以下文本:sftp> cd /mybucket/home/sftp_user

    在本入门练习中,将此 Amazon S3 存储桶作为文件传输的目标。

  5. 在下一行上,输入以下命令:sftp> put filename.txt

    put 命令将文件传输到 Amazon S3 存储桶中。

    此时将显示类似于下文的消息,指示文件传输正在进行或者已完成。

    Uploading filename.txt to /my-bucket/home/sftp_user/filename.txt

    some-file.txt 100% 127 0.1KB/s 00:00

隐私网站条款Cookie 首选项
© 2024, Amazon Web Services, Inc. 或其附属公司。保留所有权利。