Gérez les clés d'hôte pour votre serveur compatible SFTP - AWS Transfer Family

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérez les clés d'hôte pour votre serveur compatible SFTP

Les clés d'hôte du serveur sont des clés privées utilisées par le serveur Transfer Family pour fournir une identité unique à l'appelant et pour garantir qu'il s'agit du bon serveur. Cette garantie est renforcée par la présence de la clé publique correcte dans le known_hosts dossier de l'appelant. (Le known_hosts fichier est une fonctionnalité standard utilisée par la plupart des clients SSH pour stocker les clés publiques des serveurs auxquels vous êtes connecté.) Vous pouvez récupérer la clé publique qui correspond à la clé d'hôte de votre serveur en exécutant la ssh-keyscan commande pour votre serveur.

Important

La modification accidentelle de la clé d'hôte d’un serveur peut être perturbante. Selon la configuration de votre client SFTP, il peut échouer immédiatement, avec le message indiquant qu'aucune clé d'hôte fiable n'existe, ou présenter des messages menaçants. S'il existe des scripts pour automatiser les connexions, ils échoueront probablement également.

AWS Transfer Family Génère par défaut des clés d'hôte pour votre serveur compatible SFTP. Vous pouvez importer des clés d'hôte de serveur pour préserver l'identité de l'hôte et éviter de mettre à jour les banques de confiance des clients. Quand importer les clés d'hôterépertorie quelques raisons pour lesquelles vous pourriez vouloir le faire. Si vous ne fournissez pas de clés d'hôte, de nouvelles clés seront générées pour vous.

AWS Transfer Family prend en charge plusieurs clés hôtes de différents types (RSA, ECDSA et ED25519) afin d'assurer la compatibilité avec un plus large éventail d'algorithmes de signature d'hôte client. Différents types de clés activent des algorithmes spécifiques : les clés RSA activent les algorithmes rsa-*, les clés ECDSA activent les algorithmes ecdsa-* et les clés activent les algorithmes ed25519. ED25519 Planifiez vos types de clés au moment de la création du serveur, car l'introduction de types de clés supplémentaires une fois que les clients ont commencé à interagir avec le serveur peut perturber certains clients et être aussi problématique que le remplacement des clés d'hôte existantes.

Pour éviter que vos utilisateurs ne soient invités à vérifier à nouveau l'authenticité de votre serveur compatible SFTP, importez la clé d'hôte de votre serveur local sur le serveur compatible SFTP. Cela empêche également vos utilisateurs de recevoir un avertissement concernant une man-in-the-middle attaque potentielle.

Vous pouvez également effectuer une rotation périodique des clés d'hôte, par mesure de sécurité supplémentaire. Pour en savoir plus, consultez Faites pivoter les clés de l'hôte du serveur.

Note

Les clés d'hôte du serveur sont utilisées par les serveurs qui prennent en charge le protocole SFTP.

Quand importer les clés d'hôte

Bien que AWS Transfer Family vous puissiez générer des clés d'hôte automatiquement, il existe plusieurs scénarios dans lesquels l'importation de vos propres clés d'hôte présente des avantages opérationnels :

  • Migration de serveurs : vous migrez d'un serveur existant vers un serveur existant AWS Transfer Family et vous souhaitez éviter de mettre à jour les banques de confiance (known_hostsfichiers) pour les clients existants.

  • Reprise après sinistre et basculement : plusieurs AWS Transfer Family serveurs (par exemple, un dans l'est des États-Unis (Ohio) et un dans l'ouest des États-Unis (Oregon)) partagent le même nom DNS public. L'utilisation des mêmes clés d'hôte sur les deux serveurs garantit un basculement fluide sans échec de l'authentification du client.

  • Continuité opérationnelle : vous souhaitez que le matériel clé de l'hôte soit disponible pour être utilisé avec d'autres serveurs (AWS Transfer Family ou autrement) à l'avenir afin de maintenir une identité de serveur cohérente dans l'ensemble de votre infrastructure.

  • Contrôle des algorithmes : vous souhaitez améliorer la compatibilité avec les clients en fournissant davantage d'algorithmes de clé hôte, ou vous souhaitez contrôler les algorithmes que les clients peuvent utiliser en proposant uniquement des clés compatibles avec des algorithmes spécifiques.

Les rubriques suivantes fournissent des procédures détaillées pour gérer les clés d'hôte du serveur :