Erstellen Sie einen SFTP-fähigen Server

Das Secure Shell (SSH) File Transfer Protocol (SFTP) ist ein Netzwerkprotokoll, das für die sichere Übertragung von Daten über das Internet verwendet wird. Das Protokoll unterstützt die volle Sicherheits- und Authentifizierungsfunktionalität von SSH. Es wird häufig für den Austausch von Daten, einschließlich sensibler Informationen, zwischen Geschäftspartnern in einer Vielzahl von Branchen wie Finanzdienstleistungen, Gesundheitswesen, Einzelhandel und Werbung verwendet.

Anmerkung

SFTP-Server für Transfer Family arbeiten über Port 22. Für VPC-gehostete Endpunkte können die Server der SFTP Transfer Family auch über Port 2222 oder Port 22000 betrieben werden. Details hierzu finden Sie unter Erstellen Sie einen Server in einer virtuellen privaten Cloud.

Informationen finden Sie auch unter:

Wir bieten ein AWS CDK Beispiel für die Erstellung eines SFTP Transfer Family Family-Servers. Das Beispiel verwendet TypeScript und ist GitHub hier verfügbar.
Eine exemplarische Vorgehensweise zur Bereitstellung eines Transfer Family Family-Servers in einer VPC finden Sie unter Verwenden Sie die IP-Zulassungsliste, um Ihre AWS Transfer Family Server zu sichern.

So erstellen Sie einen SFTP-fähigen Server

Öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/ und wählen Sie im Navigationsbereich Server und anschließend Server erstellen aus.
Wählen Sie unter Protokolle auswählen die Option SFTP und dann Weiter aus.
Wählen Sie unter Wählen Sie einen Identitätsanbieter aus den Identitätsanbieter aus, den Sie für die Verwaltung des Benutzerzugriffs verwenden möchten. Ihnen stehen folgende Optionen zur Verfügung:
- Service verwaltet — Sie speichern Benutzeridentitäten und Schlüssel in AWS Transfer Family.
- AWS Directory Service for Microsoft Active Directory— Sie stellen ein AWS Directory Service Verzeichnis für den Zugriff auf den Endpunkt bereit. Auf diese Weise können Sie die in Ihrem Active Directory gespeicherten Anmeldeinformationen verwenden, um Ihre Benutzer zu authentifizieren. Weitere Informationen zur Arbeit mit AWS Managed Microsoft AD Identitätsanbietern finden Sie unterVerwenden des AWS Directory Service-Identitätsanbieters.
  Anmerkung
  Kontoübergreifende Verzeichnisse und gemeinsam genutzte Verzeichnisse werden für AWS Managed Microsoft AD nicht unterstützt.
  
  Um einen Server mit Directory Service als Identitätsanbieter einzurichten, müssen Sie einige AWS Directory Service Berechtigungen hinzufügen. Details hierzu finden Sie unter Bevor Sie mit der Verwendung von beginnen AWS Directory Service for Microsoft Active Directory.
- Benutzerdefinierter Identitätsanbieter — Wählen Sie eine der folgenden Optionen:
  - Verwenden Sie AWS Lambda , um Ihren Identitätsanbieter zu verbinden — Sie können einen vorhandenen Identitätsanbieter verwenden, der von einer Lambda-Funktion unterstützt wird. Sie geben den Namen der Lambda-Funktion an. Weitere Informationen finden Sie unter Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet.
  - Verwenden Sie Amazon API Gateway, um Ihren Identitätsanbieter zu verbinden — Sie können eine API Gateway Gateway-Methode erstellen, die von einer Lambda-Funktion unterstützt wird, um sie als Identitätsanbieter zu verwenden. Sie geben eine Amazon API Gateway Gateway-URL und eine Aufruf-Rolle an. Weitere Informationen finden Sie unter Verwenden Sie Amazon API Gateway zur Integration Ihres Identitätsanbieters.
  Für beide Optionen können Sie auch angeben, wie Sie sich authentifizieren möchten.
  - Passwort ODER Schlüssel — Benutzer können sich entweder mit ihrem Passwort oder ihrem Schlüssel authentifizieren. Dies ist der Standardwert.
  - NUR Passwort — Benutzer müssen ihr Passwort angeben, um eine Verbindung herzustellen.
  - NUR Schlüssel — Benutzer müssen ihren privaten Schlüssel angeben, um eine Verbindung herzustellen.
  - Passwort UND Schlüssel — Benutzer müssen sowohl ihren privaten Schlüssel als auch ihr Passwort angeben, um eine Verbindung herzustellen. Der Server überprüft zuerst den Schlüssel. Wenn der Schlüssel gültig ist, fordert das System dann zur Eingabe eines Kennworts auf. Wenn der angegebene private Schlüssel nicht mit dem gespeicherten öffentlichen Schlüssel übereinstimmt, schlägt die Authentifizierung fehl.
Wählen Sie Weiter aus.
Gehen Sie unter Endpunkt auswählen wie folgt vor:
1. Wählen Sie als Endpunkttyp den Typ Öffentlich zugänglicher Endpunkt aus. Informationen zu einem VPC-gehosteten Endpunkt finden Sie unterErstellen Sie einen Server in einer virtuellen privaten Cloud.
2. (Optional) Wählen Sie für Benutzerdefinierter Hostname die Option Keine aus.
  
  Sie erhalten einen Server-Hostnamen, der von bereitgestellt wird. AWS Transfer Family Der Server-Host-Name hat das Format serverId.server.transfer.regionId.amazonaws.com.
  
  Für einen benutzerdefinierten Hostnamen geben Sie einen benutzerdefinierten Alias für Ihren Serverendpunkt an. Weitere Informationen zum Arbeiten mit benutzerdefinierten Hostnamen finden Sie unter. Mit benutzerdefinierten Hostnamen arbeiten
3. (Optional) Aktivieren Sie für FIPS Enabled das Kontrollkästchen FIPS-fähiger Endpunkt, um sicherzustellen, dass der Endpunkt den Federal Information Processing Standards (FIPS) entspricht.
  
  Anmerkung
  FIPS-fähige Endpunkte sind nur in nordamerikanischen Regionen verfügbar. AWS Informationen zu den verfügbaren Regionen finden Sie unter AWS Transfer Family Endpunkte und Kontingente in der. Allgemeine AWS-Referenz Weitere Informationen zu FIPS finden Sie unter Federal Information Processing Standard (FIPS) 140-2.
4. Wählen Sie Weiter aus.
Wählen Sie auf der Seite Domain auswählen den AWS Speicherdienst aus, den Sie zum Speichern und Zugreifen auf Ihre Daten über das ausgewählte Protokoll verwenden möchten:
- Wählen Sie Amazon S3, um Ihre Dateien als Objekte über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.
- Wählen Sie Amazon EFS, um Ihre Dateien in Ihrem Amazon EFS-Dateisystem über das ausgewählte Protokoll zu speichern und darauf zuzugreifen.
Wählen Sie Weiter aus.
Gehen Sie unter Zusätzliche Details konfigurieren wie folgt vor:
1. Geben Sie für die Protokollierung eine bestehende Protokollgruppe an oder erstellen Sie eine neue (Standardoption). Wenn Sie eine bestehende Protokollgruppe wählen, müssen Sie eine auswählen, die mit Ihrer verknüpft ist AWS-Konto.
  
  Wenn Sie „Protokollgruppe erstellen“ wählen, wird in der CloudWatch Konsole (https://console.aws.amazon.com/cloudwatch/) die Seite „Protokollgruppe erstellen“ geöffnet. Einzelheiten finden Sie unter Protokollgruppe erstellen in CloudWatch Logs.
2. (Optional) Wählen Sie für verwaltete Workflows Workflow-IDs (und eine entsprechende Rolle) aus, die Transfer Family bei der Ausführung des Workflows annehmen soll. Sie können einen Workflow auswählen, der bei einem vollständigen Upload ausgeführt wird, und einen anderen, der bei einem teilweisen Upload ausgeführt werden soll. Weitere Informationen zur Verarbeitung Ihrer Dateien mithilfe verwalteter Workflows finden Sie unterAWS Transfer Family verwaltete Workflows.
3. Wählen Sie unter Optionen für kryptografische Algorithmen eine Sicherheitsrichtlinie aus, die die kryptografischen Algorithmen enthält, die für die Verwendung durch Ihren Server aktiviert sind. Unsere neueste Sicherheitsrichtlinie ist die Standardeinstellung: Einzelheiten finden Sie unter. Sicherheitsrichtlinien für AWS Transfer Family Server
4. (Optional) Geben Sie für Server Host Key einen privaten RSA-, ED25519- oder ECDSA-Schlüssel ein, der zur Identifizierung Ihres Servers verwendet wird, wenn Clients über SFTP eine Verbindung zu ihm herstellen. Sie können auch eine Beschreibung hinzufügen, um zwischen mehreren Hostschlüsseln zu unterscheiden.
  
  Nachdem Sie Ihren Server erstellt haben, können Sie weitere Hostschlüssel hinzufügen. Mehrere Hostschlüssel sind nützlich, wenn Sie Schlüssel rotieren möchten oder wenn Sie verschiedene Schlüsseltypen verwenden möchten, z. B. einen RSA-Schlüssel und auch einen ECDSA-Schlüssel.
  
  Anmerkung
  Der Abschnitt Server-Hostschlüssel wird nur für die Migration von Benutzern von einem vorhandenen SFTP-fähigen Server verwendet.
5. (Optional) Geben Sie für Tags für Schlüssel und Wert ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie dann Tag hinzufügen aus.
6. Wählen Sie Weiter aus.
7. Sie können die Leistung Ihrer Amazon S3 S3-Verzeichnisse optimieren. Nehmen wir zum Beispiel an, Sie gehen in Ihr Home-Verzeichnis und haben 10.000 Unterverzeichnisse. Mit anderen Worten, Ihr Amazon S3 S3-Bucket hat 10.000 Ordner. Wenn Sie in diesem Szenario den Befehl ls (list) ausführen, dauert der Listenvorgang zwischen sechs und acht Minuten. Wenn Sie Ihre Verzeichnisse optimieren, dauert dieser Vorgang jedoch nur wenige Sekunden.
  
  Wenn Sie Ihren Server mit der Konsole erstellen, sind optimierte Verzeichnisse standardmäßig aktiviert. Wenn Sie Ihren Server mithilfe der API erstellen, ist dieses Verhalten standardmäßig nicht aktiviert.
8. (Optional) Konfigurieren Sie AWS Transfer Family Server so, dass Ihren Endbenutzern benutzerdefinierte Nachrichten wie Unternehmensrichtlinien oder Nutzungsbedingungen angezeigt werden. Geben Sie für Banner anzeigen in das Textfeld Banner für die Vorauthentifizierung die Textnachricht ein, die Sie Ihren Benutzern vor der Authentifizierung anzeigen möchten.
9. (Optional) Sie können die folgenden zusätzlichen Optionen konfigurieren.
  - SetStat Option: Aktivieren Sie diese Option, um den Fehler zu ignorieren, der generiert wird, wenn ein Client versucht, eine Datei SETSTAT zu verwenden, die Sie in einen Amazon S3 S3-Bucket hochladen. Weitere Informationen finden Sie in der SetStatOption Dokumentation im ProtocolDetails.
  - Wiederaufnahme der TLS-Sitzung: Diese Option ist nur verfügbar, wenn Sie FTPS als eines der Protokolle für diesen Server aktiviert haben.
  - Passive IP: Diese Option ist nur verfügbar, wenn Sie FTPS oder FTP als eines der Protokolle für diesen Server aktiviert haben.
Überprüfen Sie unter Überprüfen und erstellen Ihre Auswahl.
- Wenn Sie eine davon bearbeiten möchten, wählen Sie neben dem Schritt Bearbeiten aus.
  
  Anmerkung
  Sie müssen jeden Schritt nach dem Schritt überprüfen, den Sie bearbeiten möchten.
- Wenn Sie keine Änderungen vorgenommen haben, wählen Sie Server erstellen, um Ihren Server zu erstellen. Sie gelangen zur Seite Servers (Server) (siehe unten), auf der der neue Server aufgelistet ist.

Es kann einige Minuten dauern, bis sich der Status Ihres neuen Servers auf Online ändert. Zu diesem Zeitpunkt kann Ihr Server Dateioperationen ausführen, aber Sie müssen zuerst einen Benutzer erstellen. Einzelheiten zum Erstellen von Benutzern finden Sie unterVerwalten von Benutzern für Serverendpunkte.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Konfiguration eines Transfer Family Family-Serverendpunkts

Erstellen Sie einen FTPS-fähigen Server