Configuración de un SFTP punto final de FTP servidor o FTPS - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de un SFTP punto final de FTP servidor o FTPS

En este tema se proporcionan detalles sobre la creación y el uso de puntos finales de AWS Transfer Family servidor que utilizan uno o varios de los FTP protocolos SFTPFTPS, y.

Opciones de proveedor de identidades

AWS Transfer Family proporciona varios métodos para autenticar y administrar usuarios. En la siguiente tabla, se comparan los proveedores de identidad disponibles que puede usar con Transfer Family.

Acción AWS Transfer Family servicio gestionado AWS Managed Microsoft AD Amazon API Gateway AWS Lambda
Protocolos admitidos SFTP SFTP, FTPS, FTP SFTP, FTPS, FTP SFTP, FTPS, FTP

Autenticación basada en clave

No

Autenticación de contraseña

No

AWS Identity and Access Management (IAM) y POSIX

Directorio de inicio lógico

Acceso parametrizado (basado en el nombre de usuario)

Estructura de acceso ad hoc

No

AWS WAF

No

No

No

Notas:

  • IAMse usa para controlar el acceso al almacenamiento de respaldo de Amazon S3 y POSIX se usa para AmazonEFS.

  • Ad hoc se refiere a la capacidad de enviar el perfil de usuario en tiempo de ejecución. Por ejemplo, puede colocar a los usuarios en sus directorios principales pasando el nombre de usuario como variable.

  • Para obtener más información al respecto AWS WAF, consulteAgregue un cortafuegos de aplicaciones web.

  • Existe una entrada de blog que describe el uso de una función de Lambda integrada con Microsoft Azure AD como proveedor de identidad de Transfer Family. Para obtener más información, consulte Autenticarse AWS Transfer Family con Azure Active Directory y AWS Lambda.

  • Proporcionamos varias AWS CloudFormation plantillas para ayudarlo a implementar rápidamente un servidor Transfer Family que utilice un proveedor de identidad personalizado. Para obtener más información, consulte Plantillas de función de Lambda.

En los siguientes procedimientos, puede crear un servidor SFTP habilitado, un servidor FTPS habilitado o AS2 un servidor FTP habilitado.

Paso siguiente

AWS Transfer Family matriz de tipos de punto final

Cuando cree un servidor de Transfer Family, seleccione el tipo de punto de conexión que va a utilizar. En la siguiente tabla se describen las características de cada tipo de punto de conexión.

Matriz de tipos de punto de conexión
Característica Público VPC- Internet VPC- Interno VPC_Endpoint (obsoleto)
Protocolos admitidos SFTP SFTP, FTPS, AS2 SFTP, FTP, FTPS, AS2 SFTP
Acceso Desde Internet. Este tipo de punto final no requiere ninguna configuración especial en su. VPC A través de Internet y desde entornos VPC internos VPC y conectados, como un centro de datos local ubicado en o AWS Direct Connect VPN Desde entornos internos VPC y VPC conectados, como un centro de datos local sobre o. AWS Direct Connect VPN Desde entornos internos VPC y VPC conectados, como un centro de datos local sobre o. AWS Direct Connect VPN
Direcciones IP estáticas No puede adjuntar una dirección IP estática. AWS proporciona direcciones IP que están sujetas a cambios.

Puede adjuntar direcciones IP elásticas al punto de conexión. Pueden ser direcciones IP propias de AWS o sus propias direcciones IP (Traer sus propias direcciones IP). Las direcciones IP elásticas adjuntas al punto de conexión no cambian.

Las direcciones IP privadas adjuntas al servidor tampoco cambian.

Las direcciones IP privadas adjuntas al punto de conexión no cambian. Las direcciones IP privadas adjuntas al punto de conexión no cambian.
Lista de direcciones IP de origen permitidas

Este tipo de punto de conexión no admite listas de permisos por direcciones IP de origen.

El punto de conexión es de acceso público y escucha el tráfico a través del puerto 22.

nota

En el VPC caso de los puntos finales alojados, los servidores SFTP Transfer Family pueden funcionar a través del puerto 22 (el predeterminado) o el puerto 2222.

Para permitir el acceso mediante la dirección IP de origen, puede utilizar grupos de seguridad conectados a los puntos finales del servidor y la red ACLs conectada a la subred en la que se encuentra el punto final.

Para permitir el acceso mediante la dirección IP de origen, puede utilizar grupos de seguridad adjuntos a los puntos finales del servidor y listas de control de acceso a la red (redACLs) conectadas a la subred en la que se encuentra el punto final.

Para permitir el acceso mediante la dirección IP de origen, puede utilizar grupos de seguridad conectados a los puntos finales del servidor y la red ACLs conectada a la subred en la que se encuentra el punto final.

Lista de firewalls de clientes permitidos

Debe permitir el DNS nombre del servidor.

Como las direcciones IP están sujetas a cambios, evite utilizarlas en la lista de direcciones IP permitidas por el firewall de su cliente.

Puede permitir el DNS nombre del servidor o las direcciones IP elásticas adjuntas al servidor.

Puede permitir las direcciones IP privadas o el DNS nombre de los puntos finales.

Puede permitir las direcciones IP privadas o el DNS nombre de los puntos finales.

nota

El tipo de VPC_ENDPOINT puntos de conexión ahora está en desuso y no puede ser utilizado para crear nuevos servidores. En lugar de usarloEndpointType=VPC_ENDPOINT, utilice el nuevo tipo de VPC punto final (EndpointType=VPC), que puede utilizar como interno o orientado a Internet, tal y como se describe en la tabla anterior. Para obtener más información, consulte Interrumpir el uso de _ VPC ENDPOINT.

Tenga en cuenta las siguientes opciones para aumentar la seguridad de su servidor AWS Transfer Family :

  • Utilice un VPC dispositivo de punto final con acceso interno, de modo que solo puedan acceder al servidor los clientes que se encuentren en su entorno VPC o en los que VPC estén conectados, como un centro de datos local situado sobre AWS Direct Connect o. VPN

  • Para permitir que los clientes accedan al punto final a través de Internet y proteger su servidor, utilice un VPC punto final con acceso a Internet. A continuación, modifique los grupos VPC de seguridad para permitir el tráfico únicamente desde determinadas direcciones IP que alojan los clientes de sus usuarios.

  • Si necesita una autenticación basada en contraseñas y utiliza un proveedor de identidad personalizado en el servidor, se recomienda que su política de contraseñas impida que los usuarios creen contraseñas poco seguras y limite el número de intentos fallidos de inicio de sesión.

  • AWS Transfer Family es un servicio gestionado, por lo que no proporciona acceso desde el shell. No puede acceder directamente al SFTP servidor subyacente para ejecutar comandos nativos del sistema operativo en los servidores Transfer Family.

  • Use un Network Load Balancer frente a un VPC punto final con acceso interno. Cambie el puerto oyente del equilibrador de carga del puerto 22 a un puerto diferente. Esto puede reducir, pero no eliminar, el riesgo de que los escáneres de puertos y los bots inspeccionen el servidor, ya que el puerto 22 es el más utilizado para escanear. Para obtener más información, consulte la entrada del blog Los balanceadores de carga de red ahora admiten grupos de seguridad.

    nota

    Si usa un Network Load Balancer, los AWS Transfer Family CloudWatch registros muestran la dirección IP del cliente en lugar de la NLB dirección IP real del cliente.