Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Konfiguration eines SFTP-, FTPS- oder FTP-Serverendpunkts
Dieses Thema enthält Einzelheiten zum Erstellen und Verwenden von AWS Transfer Family Serverendpunkten, die eines oder mehrere der Protokolle SFTP, FTPS und FTP verwenden.
Themen
- Optionen für den Identitätsanbieter
- AWS Transfer Family Endpunkt-Typmatrix
- Konfiguration eines SFTP-, FTPS- oder FTP-Serverendpunkts
- Übertragung von Dateien über einen Serverendpunkt mit einem Client
- Benutzer für Serverendpunkte verwalten
- Verwendung logischer Verzeichnisse zur Vereinfachung Ihrer Transfer Family Family-Verzeichnisstrukturen
Optionen für den Identitätsanbieter
AWS Transfer Family bietet verschiedene Methoden zur Authentifizierung und Verwaltung von Benutzern. In der folgenden Tabelle werden die verfügbaren Identitätsanbieter verglichen, die Sie mit Transfer Family verwenden können.
| Aktion | AWS Transfer Family Dienst verwaltet | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda |
|---|---|---|---|---|
| Unterstützte Protokolle | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP |
|
Schlüsselbasierte Authentifizierung |
Ja |
Nein |
Ja |
Ja |
|
Passwortauthentifizierung |
Nein |
Ja |
Ja |
Ja |
|
AWS Identity and Access Management (IAM) und POSIX |
Ja |
Ja |
Ja |
Ja |
|
Logisches Home-Verzeichnis |
Ja |
Ja |
Ja |
Ja |
| Parametrisierter Zugriff (benutzernamenbasiert) | Ja | Ja | Ja | Ja |
|
Ad-hoc-Zugriffsstruktur |
Ja |
Nein |
Ja |
Ja |
|
AWS WAF |
Nein |
Nein |
Ja |
Nein |
Hinweise:
IAM wird verwendet, um den Zugriff auf den Amazon S3 S3-Backing-Speicher zu kontrollieren, und POSIX wird für Amazon EFS verwendet.
-
Ad-Hoc bezieht sich auf die Fähigkeit, das Benutzerprofil zur Laufzeit zu senden. Sie können beispielsweise Benutzer in ihren Home-Verzeichnissen landen lassen, indem Sie den Benutzernamen als Variable übergeben.
-
Einzelheiten dazu finden AWS WAF Sie unterFügen Sie eine Firewall für Webanwendungen hinzu.
-
In einem Blogbeitrag wird die Verwendung einer in Microsoft Azure AD integrierten Lambda-Funktion als Identitätsanbieter für Transfer Family beschrieben. Einzelheiten finden Sie unter Authentifizierung AWS Transfer Family mit Azure Active Directory
und. AWS Lambda -
Wir bieten verschiedene AWS CloudFormation Vorlagen, mit denen Sie schnell einen Transfer Family Family-Server bereitstellen können, der einen benutzerdefinierten Identitätsanbieter verwendet. Details hierzu finden Sie unter Lambda-Funktionsvorlagen.
Mit den folgenden Verfahren können Sie einen SFTP-fähigen Server, einen FTPS-fähigen Server, einen FTP-fähigen Server oder einen AS2-fähigen Server erstellen.
Nächster Schritt
AWS Transfer Family Endpunkt-Typmatrix
Wenn Sie einen Transfer Family Family-Server erstellen, wählen Sie den zu verwendenden Endpunkttyp aus. In der folgenden Tabelle werden die Merkmale der einzelnen Endpunkttypen beschrieben.
Matrix der Endpunkttypen | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Merkmal | Öffentlich | VPC - Internet | VPC — Intern | VPC_Endpoint (veraltet) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Unterstützte Protokolle | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Access | Über das Internet. Für diesen Endpunkttyp ist keine spezielle Konfiguration in Ihrer VPC erforderlich. | Über das Internet und innerhalb von VPC- und VPC-verbundenen Umgebungen, z. B. einem lokalen Rechenzentrum über oder VPN. AWS Direct Connect | Aus VPC- und VPC-verbundenen Umgebungen, z. B. einem lokalen Rechenzentrum über oder VPN. AWS Direct Connect | Aus VPC- und VPC-verbundenen Umgebungen, z. B. einem lokalen Rechenzentrum über oder VPN. AWS Direct Connect | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Statische IP-Adresse | Sie können keine statische IP-Adresse anhängen. AWS stellt IP-Adressen bereit, die sich ändern können. |
Sie können Elastic IP-Adressen an den Endpunkt anhängen. Dies können AWS eigene IP-Adressen oder Ihre eigenen IP-Adressen sein (Bringen Sie Ihre eigenen IP-Adressen mit). Elastische IP-Adressen, die an den Endpunkt angehängt sind, ändern sich nicht. Private IP-Adressen, die an den Server angeschlossen sind, ändern sich ebenfalls nicht. |
Private IP-Adressen, die an den Endpunkt angeschlossen sind, ändern sich nicht. | Private IP-Adressen, die an den Endpunkt angeschlossen sind, ändern sich nicht. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Liste der zugelassenen Quell-IP-Adressen |
Dieser Endpunkttyp unterstützt keine Zulassungslisten nach Quell-IP-Adressen. Der Endpunkt ist öffentlich zugänglich und überwacht den Datenverkehr über Port 22. AnmerkungFür VPC-gehostete Endpunkte können Server der SFTP Transfer Family über Port 22 (Standard), Port 2222 oder Port 22000 betrieben werden. |
Um den Zugriff über die Quell-IP-Adresse zu ermöglichen, können Sie Sicherheitsgruppen verwenden, die an die Serverendpunkte angehängt sind, und Netzwerk-ACLs, die an das Subnetz angeschlossen sind, in dem sich der Endpunkt befindet. |
Um den Zugriff über die Quell-IP-Adresse zu ermöglichen, können Sie Sicherheitsgruppen verwenden, die an die Serverendpunkte angehängt sind, und Netzwerkzugriffskontrolllisten (Netzwerk-ACLs), die an das Subnetz angehängt sind, in dem sich der Endpunkt befindet. |
Um den Zugriff über die Quell-IP-Adresse zu ermöglichen, können Sie Sicherheitsgruppen verwenden, die an die Serverendpunkte angehängt sind, und Netzwerk-ACLs, die an das Subnetz angeschlossen sind, in dem sich der Endpunkt befindet. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Liste der zugelassenen Client-Firewalls |
Sie müssen den DNS-Namen des Servers zulassen. Da sich IP-Adressen ändern können, sollten Sie es vermeiden, IP-Adressen für Ihre Client-Firewall-Zulassungsliste zu verwenden. |
Sie können den DNS-Namen des Servers oder die mit dem Server verbundenen Elastic IP-Adressen zulassen. |
Sie können die privaten IP-Adressen oder den DNS-Namen der Endpoints zulassen. |
Sie können die privaten IP-Adressen oder den DNS-Namen der Endpunkte zulassen. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Anmerkung
Der VPC_ENDPOINT Endpunkttyp ist jetzt veraltet und kann nicht zum Erstellen neuer Server verwendet werden. Verwenden Sie statt dessen den neuen VPC-Endpunkttyp (EndpointType=VPC), den Sie entweder als Intern - oder Internetanschluss verwenden können, wie in der vorherigen Tabelle beschrieben. EndpointType=VPC_ENDPOINT Details hierzu finden Sie unter Einstellung der Verwendung von VPC_ENDPOINT.
Ziehen Sie die folgenden Optionen in Betracht, um die Sicherheit Ihres AWS Transfer Family Servers zu verbessern:
-
Verwenden Sie einen VPC-Endpunkt mit internem Zugriff, sodass der Server nur für Clients in Ihrer VPC oder VPC-verbundenen Umgebungen wie einem lokalen Rechenzentrum über oder VPN zugänglich ist. AWS Direct Connect
-
Verwenden Sie einen VPC-Endpunkt mit Internetzugriff, um Clients den Zugriff auf den Endpunkt über das Internet zu ermöglichen und Ihren Server zu schützen. Ändern Sie anschließend die Sicherheitsgruppen der VPC so, dass nur Datenverkehr von bestimmten IP-Adressen zugelassen wird, auf denen die Clients Ihrer Benutzer gehostet werden.
-
Wenn Sie eine kennwortbasierte Authentifizierung benötigen und einen benutzerdefinierten Identitätsanbieter für Ihren Server verwenden, ist es eine bewährte Methode, dass Ihre Passwortrichtlinie verhindert, dass Benutzer schwache Passwörter erstellen, und dass die Anzahl fehlgeschlagener Anmeldeversuche begrenzt wird.
AWS Transfer Family ist ein verwalteter Dienst und bietet daher keinen Shell-Zugriff. Sie können nicht direkt auf den zugrunde liegenden SFTP-Server zugreifen, um betriebssystemeigene Befehle auf Transfer Family Family-Servern auszuführen.
-
Verwenden Sie einen Network Load Balancer vor einem VPC-Endpunkt mit internem Zugriff. Ändern Sie den Listener-Port auf dem Load Balancer von Port 22 auf einen anderen Port. Dadurch kann das Risiko, dass Portscanner und Bots Ihren Server untersuchen, verringern, aber nicht ausschließen, da Port 22 am häufigsten zum Scannen verwendet wird. Einzelheiten finden Sie im Blogbeitrag Network Load Balancers now support Security
Groups. Anmerkung
Wenn Sie einen Network Load Balancer verwenden, zeigen die AWS Transfer Family CloudWatch Protokolle die IP-Adresse für den NLB und nicht die tatsächliche Client-IP-Adresse.
