Configuración de un punto final de servidor SFTP, FTPS o FTP - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de un punto final de servidor SFTP, FTPS o FTP

En este tema se proporcionan detalles sobre la creación y el uso de puntos finales de AWS Transfer Family servidor que utilizan uno o varios de los protocolos SFTP, FTPS y FTP.

Opciones de proveedor de identidades

AWS Transfer Family proporciona varios métodos para autenticar y administrar usuarios. En la siguiente tabla, se comparan los proveedores de identidad disponibles que puede usar con Transfer Family.

Acción AWS Transfer Family servicio gestionado AWS Managed Microsoft AD Amazon API Gateway AWS Lambda
Protocolos admitidos SFTP SFTP, FTPS, FTP SFTP, FTPS, FTP SFTP, FTPS, FTP

Autenticación basada en clave

No

Autenticación de contraseña

No

AWS Identity and Access Management (IAM) y POSIX

Directorio de inicio lógico

Acceso parametrizado (basado en el nombre de usuario)

Estructura de acceso ad hoc

No

AWS WAF

No

No

No

Notas:

  • IAM se usa para controlar el acceso al almacenamiento de respaldo de Amazon S3 y POSIX se usa para Amazon EFS.

  • Ad hoc se refiere a la capacidad de enviar el perfil de usuario en tiempo de ejecución. Por ejemplo, puede colocar a los usuarios en sus directorios principales pasando el nombre de usuario como variable.

  • Para obtener más información al respecto AWS WAF, consulte. Agregue un cortafuegos de aplicaciones web

  • Existe una entrada de blog que describe el uso de una función de Lambda integrada con Microsoft Azure AD como proveedor de identidad de Transfer Family. Para obtener más información, consulte Autenticarse AWS Transfer Family con Azure Active Directory y AWS Lambda.

  • Proporcionamos varias AWS CloudFormation plantillas para ayudarlo a implementar rápidamente un servidor Transfer Family que utilice un proveedor de identidad personalizado. Para obtener más detalles, consulte Plantillas de función de Lambda.

En los siguientes procedimientos, puede crear un servidor compatible con SFTP, un servidor compatible con FTPS, un servidor compatible con FTP o un servidor compatible con AS2.

Paso siguiente

AWS Transfer Family matriz de tipos de punto final

Cuando cree un servidor de Transfer Family, seleccione el tipo de punto de conexión que va a utilizar. En la siguiente tabla se describen las características de cada tipo de punto de conexión.

Matriz de tipos de punto de conexión
Característica Público VPC: internet VPC: interna VPC_Endpoint (obsoleta)
Protocolos admitidos SFTP SFTP, FTPS, AS2 SFTP, FTP, FTPS, AS2 SFTP
Acceso Desde Internet. Este tipo de punto de conexión no requiere ninguna configuración especial en la VPC. A través de Internet y desde entornos de VPC o conectados a VPC, como un centro de datos local a través de una VPN. AWS Direct Connect Desde entornos de VPC o conectados a VPC, como un centro de datos local a través de una VPN. AWS Direct Connect Desde entornos de VPC o conectados a VPC, como un centro de datos local a través de una VPN. AWS Direct Connect
Direcciones IP estáticas No puedes adjuntar una dirección IP estática. AWS proporciona direcciones IP que están sujetas a cambios.

Puede adjuntar direcciones IP elásticas al punto de conexión. Pueden ser direcciones IP propias de AWS o sus propias direcciones IP (Traer sus propias direcciones IP). Las direcciones IP elásticas adjuntas al punto de conexión no cambian.

Las direcciones IP privadas adjuntas al servidor tampoco cambian.

Las direcciones IP privadas adjuntas al punto de conexión no cambian. Las direcciones IP privadas adjuntas al punto de conexión no cambian.
Lista de direcciones IP de origen permitidas

Este tipo de punto de conexión no admite listas de permisos por direcciones IP de origen.

El punto de conexión es de acceso público y escucha el tráfico a través del puerto 22.

nota

Para los puntos finales alojados en VPC, los servidores SFTP Transfer Family pueden funcionar a través del puerto 22 (el predeterminado) o el puerto 2222.

Para permitir el acceso mediante la dirección IP de origen, puede utilizar grupos de seguridad conectados a los puntos de conexión del servidor y las ACL de red conectadas a la subred en la que se encuentra el punto de conexión.

Para permitir el acceso mediante la dirección IP de origen, puede utilizar grupos de seguridad conectados a los puntos de conexión del servidor y la lista de control de acceso de la red (ACL de la red) conectadas a la subred en la que se encuentra el punto de conexión.

Para permitir el acceso mediante la dirección IP de origen, puede utilizar grupos de seguridad conectados a los puntos de conexión del servidor y las ACL de red conectadas a la subred en la que se encuentra el punto de conexión.

Lista de firewalls de clientes permitidos

Debe permitir el nombre DNS del servidor.

Como las direcciones IP están sujetas a cambios, evite utilizarlas en la lista de direcciones IP permitidas por el firewall de su cliente.

Puede permitir el nombre DNS del servidor o las direcciones IP elásticas adjuntas al servidor.

Puede permitir las direcciones IP privadas o el nombre DNS de los puntos de conexión.

Puede permitir las direcciones IP privadas o el nombre DNS de los puntos de conexión.

nota

El tipo de VPC_ENDPOINT puntos de conexión ahora está en desuso y no puede ser utilizado para crear nuevos servidores. En lugar de usar EndpointType=VPC_ENDPOINT, utilice el nuevo tipo de punto de conexión de VPC (EndpointType=VPC), que puede utilizar como interno u orientado a Internet, como se describe en la tabla anterior. Para obtener más detalles, consulte Suspender el uso de VPC_ENDPOINT.

Tenga en cuenta las siguientes opciones para aumentar la seguridad de su servidor AWS Transfer Family :

  • Utilice un punto de conexión de VPC con acceso interno, de modo que solo puedan acceder al servidor los clientes de su VPC o entornos conectados a VPC, como un centro de datos local a través de una VPN. AWS Direct Connect

  • Para permitir que los clientes accedan al punto de conexión a través de Internet y proteger su servidor, utilice un punto de conexión de VPC con acceso a Internet. A continuación, modifique los grupos de seguridad de la VPC para permitir el tráfico únicamente desde determinadas direcciones IP que alojan los clientes de sus usuarios.

  • Si necesita una autenticación basada en contraseñas y utiliza un proveedor de identidad personalizado en el servidor, se recomienda que su política de contraseñas impida que los usuarios creen contraseñas poco seguras y limite el número de intentos fallidos de inicio de sesión.

  • AWS Transfer Family es un servicio gestionado, por lo que no proporciona acceso desde una consola. No puede acceder directamente al servidor SFTP subyacente para ejecutar comandos nativos del sistema operativo en los servidores de Transfer Family.

  • Use un Equilibrador de carga de red frente a un punto de conexión de VPC con acceso interno. Cambie el puerto oyente del equilibrador de carga del puerto 22 a un puerto diferente. Esto puede reducir, pero no eliminar, el riesgo de que los escáneres de puertos y los bots inspeccionen el servidor, ya que el puerto 22 es el más utilizado para escanear. Para obtener más información, consulta la entrada del blog Los balanceadores de carga de red ahora admiten grupos de seguridad.

    nota

    Si usa un Network Load Balancer, los AWS Transfer Family CloudWatch registros muestran la dirección IP del NLB, en lugar de la dirección IP real del cliente.