Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfiguration eines SFTP FTP ServerendpunktsFTPS, oder
Dieses Thema enthält Einzelheiten zum Erstellen und Verwenden von AWS Transfer Family Serverendpunkten, die eines oder mehrere der FTP Protokolle SFTPFTPS, und verwenden.
Themen
- Optionen des Identitätsanbieters
- AWS Transfer Family Endpunkt-Typmatrix
- Konfiguration eines SFTP FTPS FTP Serverendpunkts, oder
- Übertragung von Dateien über einen Serverendpunkt mit einem Client
- Benutzer für Serverendpunkte verwalten
- Verwendung logischer Verzeichnisse zur Vereinfachung Ihrer Transfer Family Family-Verzeichnisstrukturen
Optionen des Identitätsanbieters
AWS Transfer Family bietet verschiedene Methoden zur Authentifizierung und Verwaltung von Benutzern. In der folgenden Tabelle werden die verfügbaren Identitätsanbieter verglichen, die Sie mit Transfer Family verwenden können.
| Aktion | AWS Transfer Family Dienst verwaltet | AWS Managed Microsoft AD | APIAmazon-Gateway | AWS Lambda |
|---|---|---|---|---|
| Unterstützte Protokolle | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP |
|
Schlüsselbasierte Authentifizierung |
Ja |
Nein |
Ja |
Ja |
|
Passwortauthentifizierung |
Nein |
Ja |
Ja |
Ja |
|
AWS Identity and Access Management () IAM und POSIX |
Ja |
Ja |
Ja |
Ja |
|
Logisches Home-Verzeichnis |
Ja |
Ja |
Ja |
Ja |
| Parametrisierter Zugriff (benutzernamenbasiert) | Ja | Ja | Ja | Ja |
|
Ad-hoc-Zugriffsstruktur |
Ja |
Nein |
Ja |
Ja |
|
AWS WAF |
Nein |
Nein |
Ja |
Nein |
Hinweise:
IAMwird verwendet, um den Zugriff auf den Amazon S3 S3-Backing-Speicher zu kontrollieren, und POSIX wird für Amazon verwendetEFS.
-
Ad-Hoc bezieht sich auf die Möglichkeit, das Benutzerprofil zur Laufzeit zu senden. Sie können beispielsweise Benutzer in ihren Home-Verzeichnissen landen lassen, indem Sie den Benutzernamen als Variable übergeben.
-
Einzelheiten dazu finden AWS WAF Sie unterFügen Sie eine Firewall für Webanwendungen hinzu.
-
In einem Blogbeitrag wird die Verwendung einer in Microsoft Azure AD integrierten Lambda-Funktion als Identitätsanbieter für Transfer Family beschrieben. Einzelheiten finden Sie unter Authentifizierung AWS Transfer Family mit Azure Active Directory
und. AWS Lambda -
Wir stellen mehrere AWS CloudFormation Vorlagen zur Verfügung, mit denen Sie schnell einen Transfer Family Family-Server bereitstellen können, der einen benutzerdefinierten Identitätsanbieter verwendet. Details hierzu finden Sie unter Lambda-Funktionsvorlagen.
Mit den folgenden Verfahren können Sie einen SFTP -aktivierten Server, -fähigen Server, FTPS -fähigen Server oder FTP AS2 -fähigen Server erstellen.
Nächster Schritt
AWS Transfer Family Endpunkt-Typmatrix
Wenn Sie einen Transfer Family Family-Server erstellen, wählen Sie den zu verwendenden Endpunkttyp aus. In der folgenden Tabelle werden die Merkmale der einzelnen Endpunkttypen beschrieben.
| Merkmal | Öffentlich | VPC- Internet | VPC- Intern | VPC_Endpoint (veraltet) |
|---|---|---|---|---|
| Unterstützte Protokolle | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP |
| Access | Über das Internet. Für diesen Endpunkttyp ist keine spezielle Konfiguration in Ihrem erforderlichVPC. | Über das Internet und von internen VPC und VPC verbundenen Umgebungen, z. B. einem lokalen Rechenzentrum über AWS Direct Connect oder. VPN | Aus internen VPC und VPC vernetzten Umgebungen, z. B. einem lokalen Rechenzentrum über oder. AWS Direct Connect VPN | Aus internen VPC und VPC verbundenen Umgebungen, z. B. einem lokalen Rechenzentrum über oder. AWS Direct Connect VPN |
| Statische IP-Adresse | Sie können keine statische IP-Adresse anhängen. AWS stellt IP-Adressen bereit, die sich ändern können. |
Sie können Elastic IP-Adressen an den Endpunkt anhängen. Dies können AWS eigene IP-Adressen oder Ihre eigenen IP-Adressen sein (Bringen Sie Ihre eigenen IP-Adressen mit). Elastische IP-Adressen, die an den Endpunkt angehängt sind, ändern sich nicht. Private IP-Adressen, die an den Server angeschlossen sind, ändern sich ebenfalls nicht. |
Private IP-Adressen, die an den Endpunkt angeschlossen sind, ändern sich nicht. | Private IP-Adressen, die an den Endpunkt angehängt sind, ändern sich nicht. |
| Liste der zugelassenen Quell-IP-Adressen |
Dieser Endpunkttyp unterstützt keine Zulassungslisten nach Quell-IP-Adressen. Der Endpunkt ist öffentlich zugänglich und überwacht den Datenverkehr über Port 22. AnmerkungBei VPC -gehosteten Endpunkten können SFTP Transfer Family Family-Server über Port 22 (Standard) oder Port 2222 betrieben werden. |
Um den Zugriff über die Quell-IP-Adresse zu ermöglichen, können Sie Sicherheitsgruppen verwenden, die an die Serverendpunkte und das Netzwerk an das Subnetz ACLs angeschlossen sind, in dem sich der Endpunkt befindet. |
Um den Zugriff über die Quell-IP-Adresse zu ermöglichen, können Sie Sicherheitsgruppen verwenden, die an die Serverendpunkte angehängt sind, und Netzwerkzugriffskontrolllisten (NetzwerkACLs) verwenden, die mit dem Subnetz verknüpft sind, in dem sich der Endpunkt befindet. |
Um den Zugriff über die Quell-IP-Adresse zu ermöglichen, können Sie Sicherheitsgruppen verwenden, die an die Serverendpunkte und das Netzwerk an das Subnetz ACLs angeschlossen sind, in dem sich der Endpunkt befindet. |
| Liste der zugelassenen Client-Firewalls |
Sie müssen den DNS Namen des Servers zulassen. Da sich IP-Adressen ändern können, sollten Sie es vermeiden, IP-Adressen für Ihre Client-Firewall-Zulassungsliste zu verwenden. |
Sie können den DNS Namen des Servers oder die mit dem Server verbundenen Elastic IP-Adressen zulassen. |
Sie können die privaten IP-Adressen oder den DNS Namen der Endpoints zulassen. |
Sie können die privaten IP-Adressen oder den DNS Namen der Endpunkte zulassen. |
Anmerkung
Der VPC_ENDPOINT Endpunkttyp ist jetzt veraltet und kann nicht zum Erstellen neuer Server verwendet werden. Verwenden Sie stattdessen den neuen VPC Endpunkttyp (EndpointType=VPC), den Sie entweder als Intern - oder Internetanschluss verwenden können, wie in der vorherigen Tabelle beschrieben. EndpointType=VPC_ENDPOINT Details hierzu finden Sie unter Einstellung der Verwendung von _ VPC ENDPOINT.
Ziehen Sie die folgenden Optionen in Betracht, um die Sicherheit Ihres AWS Transfer Family Servers zu verbessern:
-
Verwenden Sie einen VPC Endpunkt mit internem Zugriff, sodass der Server nur für Clients in Ihrer VPC oder einer VPC verbundenen Umgebung zugänglich ist, z. B. in einem lokalen Rechenzentrum über AWS Direct Connect oder. VPN
-
Verwenden Sie einen Endpunkt mit Internetzugriff, um Clients den Zugriff auf den Endpunkt über das Internet zu ermöglichen und Ihren Server zu schützen. VPC Ändern Sie dann die Sicherheitsgruppen VPC so, dass nur Datenverkehr von bestimmten IP-Adressen zugelassen wird, auf denen die Clients Ihrer Benutzer gehostet werden.
-
Wenn Sie eine kennwortbasierte Authentifizierung benötigen und einen benutzerdefinierten Identitätsanbieter für Ihren Server verwenden, ist es eine bewährte Methode, dass Ihre Passwortrichtlinie verhindert, dass Benutzer schwache Passwörter erstellen, und dass die Anzahl fehlgeschlagener Anmeldeversuche begrenzt wird.
AWS Transfer Family ist ein verwalteter Dienst und bietet daher keinen Shell-Zugriff. Sie können nicht direkt auf den zugrunde liegenden SFTP Server zugreifen, um betriebssystemeigene Befehle auf Transfer Family Family-Servern auszuführen.
-
Verwenden Sie einen Network Load Balancer vor einem VPC Endpunkt mit internem Zugriff. Ändern Sie den Listener-Port auf dem Load Balancer von Port 22 auf einen anderen Port. Dadurch kann das Risiko, dass Portscanner und Bots Ihren Server untersuchen, verringern, aber nicht ausschließen, da Port 22 am häufigsten zum Scannen verwendet wird. Einzelheiten finden Sie im Blogbeitrag Network Load Balancers now support Security
Groups. Anmerkung
Wenn Sie einen Network Load Balancer verwenden, zeigen die AWS Transfer Family CloudWatch Protokolle die IP-Adresse für die NLB und nicht die tatsächliche Client-IP-Adresse.
