Erstellen Sie einen FTPS-fähigen Server - AWS Transfer Family

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie einen FTPS-fähigen Server

Das File Transfer Protocol over SSL (FTPS) ist eine Erweiterung von FTP. Es verwendet die kryptografischen Protokolle Transport Layer Security (TLS) und Secure Sockets Layer (SSL) zur Verschlüsselung des Datenverkehrs. FTPS ermöglicht die gleichzeitige oder unabhängige Verschlüsselung sowohl der Kontroll- als auch der Datenkanalverbindungen.

Um einen FTPS-fähigen Server zu erstellen

  1. Öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/ und wählen Sie im Navigationsbereich Server und anschließend Server erstellen aus.

  2. Wählen Sie unter Protokolle auswählen die Option FTPS aus.

    Wählen Sie unter Serverzertifikat ein in AWS Certificate Manager (ACM) gespeichertes Zertifikat aus, das zur Identifizierung Ihres Servers verwendet wird, wenn Clients über FTPS eine Verbindung zu ihm herstellen, und wählen Sie dann Weiter aus.

    Informationen zum Anfordern eines neuen öffentlichen Zertifikats finden Sie unter Anfordern eines öffentlichen Zertifikats im AWS Certificate Manager Benutzerhandbuch.

    Informationen zum Importieren eines vorhandenen Zertifikats in ACM finden Sie unter Zertifikate in ACM importieren im AWS Certificate Manager Benutzerhandbuch.

    Informationen zum Anfordern eines privaten Zertifikats für die Verwendung von FTPS über private IP-Adressen finden Sie unter Anfordern eines privaten Zertifikats im AWS Certificate Manager Benutzerhandbuch.

    Zertifikate mit den folgenden kryptografischen Algorithmen und Schlüsselgrößen werden unterstützt:

    • 2048-Bit-RSA (RSA_2048)

    • 4096-Bit-RSA (RSA_4096)

    • Elliptic Prime Curve 256-Bit (EC_prime256v1)

    • Elliptic Prime Curve 384-Bit (EC_secp384r1)

    • Elliptic Prime Curve 521-Bit (EC_secp521r1)

    Anmerkung

    Das Zertifikat muss ein gültiges SSL/TLS X.509 Version 3-Zertifikat mit angegebenem FQDN oder IP-Adresse sein und Informationen über den Aussteller enthalten.

  3. Wählen Sie unter Identitätsanbieter auswählen den Identitätsanbieter aus, den Sie für die Verwaltung des Benutzerzugriffs verwenden möchten. Ihnen stehen folgende Optionen zur Verfügung:

    • AWS Directory Service for Microsoft Active Directory— Sie stellen ein AWS Directory Service Verzeichnis für den Zugriff auf den Endpunkt bereit. Auf diese Weise können Sie die in Ihrem Active Directory gespeicherten Anmeldeinformationen verwenden, um Ihre Benutzer zu authentifizieren. Weitere Informationen zur Arbeit mit AWS Managed Microsoft AD Identitätsanbietern finden Sie unterVerwenden des AWS Directory Service-Identitätsanbieters.

      Anmerkung

    • Benutzerdefinierter Identitätsanbieter — Wählen Sie eine der folgenden Optionen:

      • Verwenden Sie AWS Lambda , um Ihren Identitätsanbieter zu verbinden — Sie können einen vorhandenen Identitätsanbieter verwenden, der von einer Lambda-Funktion unterstützt wird. Sie geben den Namen der Lambda-Funktion an. Weitere Informationen finden Sie unter Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet.

      • Verwenden Sie Amazon API Gateway, um Ihren Identitätsanbieter zu verbinden — Sie können eine API Gateway Gateway-Methode erstellen, die von einer Lambda-Funktion unterstützt wird, um sie als Identitätsanbieter zu verwenden. Sie geben eine Amazon API Gateway Gateway-URL und eine Aufruf-Rolle an. Weitere Informationen finden Sie unter Verwenden Sie Amazon API Gateway zur Integration Ihres Identitätsanbieters.

      Der Konsolenabschnitt „Einen Identitätsanbieter auswählen“, in dem Benutzerdefinierter Identitätsanbieter ausgewählt ist.

  4. Wählen Sie Weiter aus.

  5. Gehen Sie unter Endpunkt auswählen wie folgt vor:

    Anmerkung

    FTPS-Server für Transfer Family arbeiten über Port 21 (Control Channel) und Port Range 8192—8200 (Datenkanal).

    1. Wählen Sie als Endpunkttyp den VPC-gehosteten Endpunkttyp aus, um den Endpunkt Ihres Servers zu hosten. Informationen zur Einrichtung Ihres VPC-gehosteten Endpunkts finden Sie unterErstellen Sie einen Server in einer virtuellen privaten Cloud.

      Anmerkung

      Öffentlich zugängliche Endpunkte werden nicht unterstützt.

    2. (Optional) Aktivieren Sie für FIPS Enabled das Kontrollkästchen FIPS-fähiger Endpunkt, um sicherzustellen, dass der Endpunkt den Federal Information Processing Standards (FIPS) entspricht.

      Anmerkung

      FIPS-fähige Endpunkte sind nur in nordamerikanischen Regionen verfügbar. AWS Informationen zu den verfügbaren Regionen finden Sie unter AWS Transfer Family Endpunkte und Kontingente in der. Allgemeine AWS-Referenz Weitere Informationen zu FIPS finden Sie unter Federal Information Processing Standard (FIPS) 140-2.

    3. Wählen Sie Weiter aus.

    Der Abschnitt Endpunktkonsole auswählen mit ausgewählter gehosteter VPC.

  6. Wählen Sie auf der Seite „Domain auswählen“ den AWS Speicherdienst aus, den Sie zum Speichern und Zugreifen auf Ihre Daten über das ausgewählte Protokoll verwenden möchten:

    • Wählen Sie Amazon S3, um Ihre Dateien als Objekte über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.

    • Wählen Sie Amazon EFS, um Ihre Dateien in Ihrem Amazon EFS-Dateisystem über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.

    Wählen Sie Weiter aus.

  7. Gehen Sie unter Zusätzliche Details konfigurieren wie folgt vor:

    1. Geben Sie für die Protokollierung eine bestehende Protokollgruppe an oder erstellen Sie eine neue (Standardoption).

      Bereich „Protokollierung“ für „Zusätzliche Details konfigurieren“ im Assistenten zum Erstellen von Servern. Wählen Sie eine vorhandene Protokollgruppe aus.

      Wenn Sie „Protokollgruppe erstellen“ wählen, wird in der CloudWatch Konsole (https://console.aws.amazon.com/cloudwatch/) die Seite „Protokollgruppe erstellen“ geöffnet. Einzelheiten finden Sie unter Protokollgruppe erstellen in CloudWatch Logs.

    2. (Optional) Wählen Sie für verwaltete Workflows Workflow-IDs (und eine entsprechende Rolle) aus, die Transfer Family bei der Ausführung des Workflows annehmen soll. Sie können einen Workflow auswählen, der bei einem vollständigen Upload ausgeführt wird, und einen anderen, der bei einem teilweisen Upload ausgeführt werden soll. Weitere Informationen zur Verarbeitung Ihrer Dateien mithilfe verwalteter Workflows finden Sie unterAWS Transfer Family verwaltete Workflows.

      Der Konsolenbereich für verwaltete Workflows.

    3. Wählen Sie unter Optionen für kryptografische Algorithmen eine Sicherheitsrichtlinie aus, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind. Unsere neueste Sicherheitsrichtlinie ist die Standardeinstellung: Einzelheiten finden Sie unter. Sicherheitsrichtlinien für AWS Transfer Family Server

    4. Lassen Sie das Feld Server-Hostschlüssel leer.

    5. (Optional) Geben Sie für Tags für Schlüssel und Wert ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie dann Tag hinzufügen aus.

    6. Sie können die Leistung Ihrer Amazon S3 S3-Verzeichnisse optimieren. Nehmen wir zum Beispiel an, Sie gehen in Ihr Home-Verzeichnis und haben 10.000 Unterverzeichnisse. Mit anderen Worten, Ihr Amazon S3 S3-Bucket hat 10.000 Ordner. Wenn Sie in diesem Szenario den Befehl ls (list) ausführen, dauert der Listenvorgang zwischen sechs und acht Minuten. Wenn Sie Ihre Verzeichnisse optimieren, dauert dieser Vorgang jedoch nur wenige Sekunden.

      Wenn Sie Ihren Server mit der Konsole erstellen, sind optimierte Verzeichnisse standardmäßig aktiviert. Wenn Sie Ihren Server mithilfe der API erstellen, ist dieses Verhalten standardmäßig nicht aktiviert.

      Der Konsolenbereich Optimierte Verzeichnisse.

    7. Wählen Sie Weiter aus.

    8. (Optional) Sie können AWS Transfer Family Server so konfigurieren, dass Ihren Endbenutzern benutzerdefinierte Nachrichten wie Unternehmensrichtlinien oder Nutzungsbedingungen angezeigt werden. Sie können Benutzern, die sich erfolgreich authentifiziert haben, auch benutzerdefinierte Message of The Day (MOTD) anzeigen.

      Geben Sie für Banner anzeigen in das Textfeld Display-Banner vor der Authentifizierung die Textnachricht ein, die Sie Ihren Benutzern vor der Authentifizierung anzeigen möchten, und geben Sie in das Textfeld Display-Banner nach der Authentifizierung den Text ein, den Sie Ihren Benutzern nach erfolgreicher Authentifizierung anzeigen möchten.

    9. (Optional) Sie können die folgenden zusätzlichen Optionen konfigurieren.

      • SetStat Option: Aktivieren Sie diese Option, um den Fehler zu ignorieren, der generiert wird, wenn ein Client versucht, eine Datei SETSTAT zu verwenden, die Sie in einen Amazon S3 S3-Bucket hochladen. Weitere Informationen finden Sie in der SetStatOption Dokumentation im ProtocolDetailsThema.

      • Wiederaufnahme der TLS-Sitzung: bietet einen Mechanismus zur Wiederaufnahme oder gemeinsamen Nutzung eines ausgehandelten geheimen Schlüssels zwischen der Kontroll- und Datenverbindung für eine FTPS-Sitzung. Weitere Informationen finden Sie in der TlsSessionResumptionMode Dokumentation zum Thema. ProtocolDetails

      • Passive IP: steht für den passiven Modus für FTP- und FTPS-Protokolle. Geben Sie eine einzelne IPv4-Adresse ein, z. B. die öffentliche IP-Adresse einer Firewall, eines Routers oder eines Load Balancers. Weitere Informationen finden Sie in der PassiveIp Dokumentation zum ProtocolDetailsThema.

      Der Bildschirm „Zusätzliche Konfiguration“ mit den Parametern „Wiederaufnahme der SetStat TLS-Sitzung“ und „Passive IP“.

  8. Überprüfen Sie unter Überprüfen und erstellen Ihre Auswahl.

    • Wenn Sie eine davon bearbeiten möchten, wählen Sie neben dem Schritt Bearbeiten aus.

      Anmerkung

      Sie müssen jeden Schritt nach dem Schritt überprüfen, den Sie bearbeiten möchten.

    • Wenn Sie keine Änderungen vorgenommen haben, wählen Sie Server erstellen, um Ihren Server zu erstellen. Sie gelangen zur Seite Servers (Server) (siehe unten), auf der der neue Server aufgelistet ist.

Es kann einige Minuten dauern, bis sich der Status Ihres neuen Servers auf Online ändert. Ab diesem Zeitpunkt kann der Server Dateioperationen für die Benutzer ausführen.

Nächste Schritte: Fahren Sie im nächsten Schritt mit Mit Anbietern benutzerdefinierter Identitäten arbeiten So richten Sie Benutzer ein.