本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Transfer Family 是一項全受管 AWS 服務,可讓您透過下列通訊協定,將檔案傳入和傳出 Amazon EFS 檔案系統:
Secure Shell (SSH) 檔案傳輸通訊協定 (SFTP) (AWS Transfer for SFTP)
檔案傳輸通訊協定安全 (FTPS) (AWS Transfer for FTPS)
檔案傳輸通訊協定 (FTP) (AWS Transfer for FTP)
使用 Transfer Family,您可以安全地讓第三方 (例如廠商、合作夥伴或客戶) 透過支援的通訊協定在全球範圍內大規模存取您的檔案,而無需管理任何基礎架構。此外,您現在可以使用 SFTP、FTPS 和 FTP 用戶端,從 Windows、macOS 和 Linux 環境中輕鬆存取 EFS 檔案系統。這有助於將 NFS 用戶端和存取點以外的資料存取性擴展到多個環境中的使用者。
使用 Transfer Family 在 Amazon EFS 檔案系統中傳輸資料,其計算方式與其他用戶端使用方式相同。如需詳細資訊,請參閱 輸送量模式 和 Amazon EFS 配額。
若要進一步了解 AWS Transfer Family,請參閱 AWS Transfer Family 使用者指南。
注意
對於具有允許 20EFS1 年 1 月 6 日之前建立公開存取之 Amazon EFS 檔案系統的 AWS 帳戶,預設會停用 Transfer Family 搭配 Amazon EFS。若要啟用使用 Transfer Family 存取您的檔案系統,請聯絡 支援。
搭配使用 AWS Transfer Family 與 Amazon EFS 的先決條件
若要使用 Transfer Family 來存取 Amazon EFS 檔案系統的檔案,您的組態必須符合下列條件:
Transfer Family 伺服器和您的 Amazon EFS 檔案系統位於同一個 AWS 區域中。
IAM 政策設定為允許存取 Transfer Family 使用的 IAM 角色。如需詳細資訊,請參閱《AWS Transfer Family 使用者指南》中的建立 IAM 角色和政策。
(選用) 如果 Transfer Family 伺服器屬於其他帳戶,請啟用跨帳户存取權。
請確定您的檔案系統政策不允許公開存取。如需詳細資訊,請參閱封鎖對 EFS 檔案系統的公開存取。
修改檔案系統政策以啟用跨帳户存取權。如需詳細資訊,請參閱設定 Transfer Family 的跨帳户存取權。
設定 的 EFS 檔案系統 AWS Transfer Family
設定 Amazon EFS 檔案系統與 Transfer Family 搭配使用時,需要執行下列步驟:
步驟 1. 取得分配給 Transfer Family 列使用者的 POSIX ID 清單。
步驟 2. 使用分配給 Transfer Family 使用者的 POSIX ID,確保 Transfer Family 使用者可以存取您的檔案系統目錄。
步驟 3. IAM 政策設定為允許存取 Transfer Family 使用的 IAM 角色。
設定 Transfer Family 使用者的檔案和目錄許可
請確定 Transfer Family 使用者可存取 EFS 檔案系統上所需的檔案和目錄。使用分配給 Transfer Family 使用者的 POSIX ID 清單,將存取許可指派給目錄。在此範例中,使用者會在 EFS 掛載點下建立名為 transferFam 的目錄。根據您的使用情況,可選用建立目錄。如有需要,您可以在 EFS 檔案系統上選擇其名稱和位置。
將檔案和目錄許可指派給 Transfer Family 的 POSIX 使用者
連線到您的 Amazon EC2 執行個體。只有運行以 Linux 為基礎的 EC2 執行個體,才能掛載 Amazon EFS 文件系統。
如果 EFS 檔案系統尚未掛載在 EC2 執行個體上,請掛載 EFS 檔案系統。如需詳細資訊,請參閱掛載 EFS 檔案系統。
下列範例會在 EFS 檔案系統上建立目錄,並將其群組變更為 Transfer Family 使用者的 POSIX 群組 ID,在此範例中 ID 為 1101。
使用下列命令,建立
efs/transferFam目錄。實際上,您可以使用已選檔案系統上的名稱和位置。[ec2-user@ip-192-0-2-0 ~]$lsefs efs-mount-point efs-mount-point2[ec2-user@ip-192-0-2-0 ~]$ls efs[ec2-user@ip-192-0-2-0 ~]$sudo mkdir efs/transferFam[ec2-user@ip-192-0-2-0 ~]$ls -l efstotal 0 drwxr-xr-x 2 root root 6 Jan 6 15:58 transferFam使用下列命令,將
efs/transferFam的群組變更為指派給 Transfer Family 使用者的 POSIX GID。[ec2-user@ip-192-0-2-0 ~]$sudo chown :1101 efs/transferFam/確認變更。
[ec2-user@ip-192-0-2-0 ~]$ls -l efstotal 0 drwxr-xr-x 2 root 1101 6 Jan 6 15:58 transferFam
允許存取 Transfer Family 使用的 IAM 角色
在 Transfer Family 中,您可以建立以資源為基礎的 IAM 政策和 IAM 角色,以定義使用者對 EFS 檔案系統的存取權。如需詳細資訊,請參閱《AWS Transfer Family 使用者指南》中的建立 IAM 角色和政策。您必須使用 IAM 身分政策或檔案系統政策授予該 Transfer Family IAM 角色對 EFS 檔案系統的存取權。
下列檔案系統政策範例,即授予 ClientMount (讀取) 和 ClientWrite 對 IAM 角色 EFS-role-for-transfer 的存取權。
{
"Version": "2012-10-17",
"Id": "efs-policy-wizard-8698b356-4212-4d30-901e-ad2030b57762",
"Statement": [
{
"Sid": "Grant-transfer-role-access",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/EFS-role-for-transfer"
},
"Action": [
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientMount"
]
}
]
}如需建立檔案系統政策的詳細資訊,請參閱 建立檔案系統政策。如需使用以身分爲基礎的 IAM 政策來管理對 EFS 資源存取權的詳細資訊,請參閱 Amazon EFS 身分型政策。
設定 Transfer Family 的跨帳户存取權
如果用於存取檔案系統的 Transfer Family 伺服器屬於不同的伺服器 AWS 帳戶,您必須授予該帳戶存取您的檔案系統的權限。此外,您的檔案系統政策必須是非公開狀態。如需封鎖對檔案系統的公開存取的詳細資訊,請參閱 封鎖對 EFS 檔案系統的公開存取。
您可以在檔案系統政策中授予對檔案系統的不同 AWS 帳戶 存取權。在 Amazon EFS 主控台中,使用檔案系統政策編輯器的授予其他許可區段,指定您要授予的檔案系統存取 AWS 帳戶 層級。如需建立或編輯檔案系統政策的詳細資訊,請參閱 建立檔案系統政策。
您可以使用帳戶 ID 或帳戶 Amazon Resource Name (ARN) 來指定帳戶。如需關於 ARN 的詳細資訊,請參閱《IAM 使用者指南》中的 IAM ARN。
下列範例是非公用檔案系統政策,該政策將授予檔案系統跨帳户存取權。該政策有下列兩種陳述式:
第一種陳述式為
NFS-client-read-write-via-fsmt,即使用檔案系統掛載目標將讀取、寫入和根權限授予存取檔案系統的 NFS 用戶端。-
第二個陳述式 僅
Grant-cross-account-access授予讀取和寫入權限給 AWS 帳戶 111122223333,這是擁有 Transfer Family 伺服器的帳戶,該伺服器需要存取您帳戶中的此 EFS 檔案系統。
{
"Statement": [
{
"Sid": "NFS-client-read-write-via-fsmt",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"elasticfilesystem:ClientRootAccess",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientMount"
],
"Condition": {
"Bool": {
"elasticfilesystem:AccessedViaMountTarget": "true"
}
}
},
{
"Sid": "Grant-cross-account-access",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientMount"
]
}
]
}下列檔案系統政策會新增一份陳述式,用來授予 Transfer Family 所使用的 IAM 角色的存取權。
{
"Statement": [
{
"Sid": "NFS-client-read-write-via-fsmt",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"elasticfilesystem:ClientRootAccess",
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientMount"
],
"Condition": {
"Bool": {
"elasticfilesystem:AccessedViaMountTarget": "true"
}
}
},
{
"Sid": "Grant-cross-account-access",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientMount"
]
},
{
"Sid": "Grant-transfer-role-access",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/EFS-role-for-transfer"
},
"Action": [
"elasticfilesystem:ClientWrite",
"elasticfilesystem:ClientMount"
]
}
]
}