本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 SFTP、 FTPS或 FTP 伺服器端點
本主題提供使用一或多個 SFTP、 和 FTP通訊協定建立FTPS和使用 AWS Transfer Family 伺服器端點的詳細資訊。
主題
身分提供者選項
AWS Transfer Family 提供數種驗證和管理使用者的方法。下表比較您可以與 Transfer Family 搭配使用的可用身分提供者。
| 動作 | AWS Transfer Family 服務受管 | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda |
|---|---|---|---|---|
| 支援的通訊協定 | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP |
|
金鑰型身分驗證 |
是 |
否 |
是 |
是 |
|
密碼身分驗證 |
否 |
是 |
是 |
是 |
|
AWS Identity and Access Management (IAM) 和 POSIX |
是 |
是 |
是 |
是 |
|
邏輯主目錄 |
是 |
是 |
是 |
是 |
| 參數化存取 (以使用者名稱為基礎) | 是 | 是 | 是 | 是 |
|
臨時存取結構 |
是 |
否 |
是 |
是 |
|
AWS WAF |
否 |
否 |
是 |
否 |
備註:
IAM 用於控制 Amazon S3 後端儲存體的存取,並POSIX用於 Amazon EFS。
-
Ad hoc 是指在執行階段傳送使用者設定檔的功能。例如,您可以透過傳遞使用者名稱作為變數,將使用者登陸到其主目錄中。
-
如需 的詳細資訊 AWS WAF,請參閱 新增 Web 應用程式防火牆。
-
有一篇部落格文章描述使用與 Microsoft Azure AD 整合的 Lambda 函數作為 Transfer Family 身分提供者。如需詳細資訊,請參閱AWS Transfer Family 使用 Azure Active Directory 和 向 驗證 AWS Lambda
。 -
我們提供多個 AWS CloudFormation 範本,協助您快速部署使用自訂身分提供者的 Transfer Family 伺服器。如需詳細資訊,請參閱 Lambda 函數範本。
在下列程序中,您可以建立SFTP已啟用 的伺服器、已啟用 FTPS的伺服器、已啟用 FTP的伺服器或已啟用 AS2的伺服器。
下一步驟
AWS Transfer Family 端點類型矩陣
建立 Transfer Family 伺服器時,您可以選擇要使用的端點類型。下表說明每種端點類型的特徵。
| 特性 | 公有 | VPC - 網路 | VPC - 內部 | VPC_端點 (已棄用) |
|---|---|---|---|---|
| 支援的通訊協定 | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP |
| 存取 | 透過網際網路從 。此端點類型不需要在您的 中進行任何特殊組態VPC。 | 透過網際網路以及來自 VPC和 VPC連線環境,例如透過 AWS Direct Connect 或 的內部部署資料中心VPN。 | 從內部 VPC和 VPC連線的環境,例如透過 AWS Direct Connect 或 的內部部署資料中心VPN。 | 從內部 VPC和 VPC連線的環境,例如透過 AWS Direct Connect 或 的內部部署資料中心VPN。 |
| 靜態 IP 地址 | 您無法連接靜態 IP 地址。 AWS 提供可能變更的 IP 地址。 |
您可以將彈性 IP 地址連接至端點。這些可以是 AWS擁有的 IP 地址或您自己的 IP 地址 (攜帶您自己的 IP 地址 )。連接至端點的彈性 IP 地址不會變更。 連接到伺服器的私有 IP 地址也不會變更。 |
連接至端點的私有 IP 地址不會變更。 | 連接至端點的私有 IP 地址不會變更。 |
| 來源 IP 允許清單 |
此端點類型不支援依來源 IP 地址允許清單。 端點可公開存取,並接聽連接埠 22 的流量。 注意對於VPC託管的端點,SFTPTransfer Family 伺服器可以透過連接埠 22 (預設) 或連接埠 2222 操作。 |
若要依來源 IP 地址允許存取,您可以使用連接至伺服器端點的安全群組,以及ACLs連接至端點所在的子網路的安全群組。 |
若要依來源 IP 地址允許存取,您可以使用連接至伺服器端點的安全群組,以及連接至端點所在的子網路的網路存取控制清單 (網路 ACLs)。 |
若要依來源 IP 地址允許存取,您可以使用連接至伺服器端點的安全群組,以及ACLs連接至端點所在的子網路的安全群組。 |
| 用戶端防火牆允許清單 |
您必須允許伺服器DNS的名稱。 由於 IP 地址可能會變更,請避免將 IP 地址用於用戶端防火牆允許清單。 |
您可以允許伺服器DNS的名稱或連接到伺服器的彈性 IP 地址。 |
您可以允許私有 IP 地址或端點DNS的名稱。 |
您可以允許私有 IP 地址或端點DNS的名稱。 |
注意
VPC_ENDPOINT 端點類型現在已棄用,無法用來建立新的伺服器。不使用 EndpointType=VPC_ENDPOINT,請使用新的VPC端點類型 (EndpointType=VPC),您可以將其用作面向內部或面向網際網路 ,如上表所述。如需詳細資訊,請參閱 停止使用 VPC_ENDPOINT。
請考慮下列選項,以提高伺服器的安全狀態 AWS Transfer Family :
-
使用具有內部存取權的VPC端點,以便伺服器只能透過 或 存取您 VPC或 VPC連線環境中的用戶端,例如內部部署資料中心 AWS Direct Connect VPN。
-
若要允許用戶端透過網際網路存取端點並保護您的伺服器,請使用具有面向網際網路存取的VPC端點。然後,修改 VPC的安全群組,以僅允許來自託管使用者用戶端之特定 IP 地址的流量。
-
如果您需要以密碼為基礎的身分驗證,且搭配伺服器使用自訂身分提供者,則您的密碼政策最佳實務是防止使用者建立較弱的密碼,並限制失敗的登入嘗試次數。
AWS Transfer Family 是受管服務,因此不提供 Shell 存取。您無法直接存取基礎SFTP伺服器,以在 Transfer Family 伺服器上執行作業系統原生命令。
-
在具有內部存取權的VPC端點前面使用 Network Load Balancer。將負載平衡器上的接聽程式連接埠從連接埠 22 變更為不同的連接埠。這可以降低連接埠掃描器和機器人探查伺服器的風險,但不能消除,因為連接埠 22 最常用於掃描。如需詳細資訊,請參閱部落格文章 Network Load Balancer 現在支援安全群組
。 注意
如果您使用 Network Load Balancer , AWS Transfer Family CloudWatch 日誌會顯示 的 IP 地址NLB,而不是實際的用戶端 IP 地址。
