Création d'un FTPS serveur activé - AWS Transfer Family

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un FTPS serveur activé

Le protocole de transfert de fichiers over SSL (FTPS) est une extension deFTP. Il utilise les protocoles cryptographiques Transport Layer Security (TLS) et Secure Sockets Layer (SSL) pour chiffrer le trafic. FTPSpermet le chiffrement des connexions au canal de commande et au canal de données, simultanément ou indépendamment.

Pour créer un FTPS serveur activé

  1. Ouvrez la AWS Transfer Family console sur https://console.aws.amazon.com/transfer/et sélectionnez Servers dans le volet de navigation, puis choisissez Create server.

  2. Dans Choisir les protocoles, sélectionnez FTPS.

    Pour le certificat de serveur, choisissez un certificat stocké dans AWS Certificate Manager (ACM) qui sera utilisé pour identifier votre serveur lorsque les clients s'y connecteront, FTPS puis choisissez Next.

    Pour demander un nouveau certificat public, consultez la section Demander un certificat public dans le guide de AWS Certificate Manager l'utilisateur.

    Pour importer un certificat existant dansACM, consultez la section Importation de certificats ACM dans le guide de AWS Certificate Manager l'utilisateur.

    Pour demander un certificat privé à utiliser FTPS via des adresses IP privées, consultez la section Demande d'un certificat privé dans le guide de AWS Certificate Manager l'utilisateur.

    Les certificats avec les algorithmes de chiffrement et les tailles de clés suivants sont pris en charge :

    • 2048 bits RSA (_2048) RSA

    • 4096 bits (_4096RSA) RSA

    • Elliptic Prime Curve 256 octets (EC_prime256v1)

    • Elliptic Prime Curve 384 octets (EC_secp384r1)

    • Elliptic Prime Curve 521 octets (EC_secp521r1)

    Note

    Le certificat doit être un SSL TLS certificat/X.509 version 3 valide avec une FQDN adresse IP spécifiée et des informations sur l'émetteur.

    La section de console Choisir les protocoles est FTPSsélectionnée.

  3. Dans Choisir un fournisseur d'identité, choisissez le fournisseur d'identité que vous souhaitez utiliser pour gérer l'accès des utilisateurs. Vous avez les options suivantes :

    • AWS Directory Service for Microsoft Active Directory— Vous fournissez un AWS Directory Service répertoire pour accéder au point de terminaison. Ce faisant, vous pouvez utiliser les informations d'identification stockées dans votre Active Directory pour authentifier vos utilisateurs. Pour en savoir plus sur la collaboration avec les fournisseurs AWS Managed Microsoft AD d'identité, consultezUtilisation du fournisseur d'identité du AWS Directory Service.

      Note
      La section de console Choisir un fournisseur d'identité est AWS Directory Servicesélectionnée.

    • Fournisseur d'identité personnalisé : choisissez l'une des options suivantes :

      • AWS Lambda À utiliser pour connecter votre fournisseur d'identité : vous pouvez utiliser un fournisseur d'identité existant, soutenu par une fonction Lambda. Vous indiquez le nom de la fonction Lambda. Pour de plus amples informations, veuillez consulter Utilisation AWS Lambda pour intégrer votre fournisseur d'identité.

      • Utilisez Amazon API Gateway pour connecter votre fournisseur d'identité : vous pouvez créer une méthode API Gateway basée sur une fonction Lambda à utiliser en tant que fournisseur d'identité. Vous fournissez un Amazon API Gateway URL et un rôle d'invocation. Pour de plus amples informations, veuillez consulter Utilisation d'Amazon API Gateway pour intégrer votre fournisseur d'identité.

      La section de console Choisissez un fournisseur d'identité avec le fournisseur d'identité personnalisé sélectionné.

  4. Choisissez Suivant.

  5. Dans Choisir un point de terminaison, procédez comme suit :

    Note

    FTPSles serveurs de Transfer Family fonctionnent sur le port 21 (canal de contrôle) et sur la plage de ports 8192 à 8200 (canal de données).

    1. Pour le type de point de terminaison, choisissez le type de point de terminaison VPChébergé pour héberger le point de terminaison de votre serveur. Pour plus d'informations sur la configuration de votre point de terminaison VPC hébergé, consultezCréation d'un serveur dans un cloud privé virtuel.

      Note

      Les points de terminaison accessibles au public ne sont pas pris en charge.

    2. (Facultatif) Pour FIPSActivé, cochez la case FIPSEnabled endpoint pour vous assurer que le endpoint est conforme aux normes fédérales de traitement de l'information (FIPS).

      Note

      FIPSLes points de terminaison compatibles ne sont disponibles que dans les régions d'Amérique AWS du Nord. Pour les régions disponibles, consultez les AWS Transfer Family points de terminaison et les quotas dans le Références générales AWS. Pour plus d'informations surFIPS, voir Federal Information Processing Standard (FIPS) 140-2.

    3. Choisissez Suivant.

    La section Choisissez une console de point de terminaison VPC avec hébergement sélectionné.

  6. Sur la page Choisir un domaine, choisissez le service de AWS stockage que vous souhaitez utiliser pour stocker et accéder à vos données via le protocole sélectionné :

    • Choisissez Amazon S3 pour stocker et accéder à vos fichiers sous forme d'objets via le protocole sélectionné.

    • Choisissez Amazon EFS pour stocker et accéder à vos fichiers dans votre système de EFS fichiers Amazon via le protocole sélectionné.

    Choisissez Suivant.

  7. Dans Configurer les détails supplémentaires, procédez comme suit :

    1. Pour la journalisation, spécifiez un groupe de journaux existant ou créez-en un nouveau (option par défaut).

      Volet de journalisation pour configurer des détails supplémentaires dans l'assistant de création de serveur. L'option Créer un nouveau groupe de journaux est sélectionnée.

      Si vous choisissez un groupe de journaux existant, vous devez en sélectionner un qui est associé à votre Compte AWS.

      Volet de journalisation pour configurer des détails supplémentaires dans l'assistant de création de serveur. Choisir un groupe de journaux existant est sélectionné.

      Si vous choisissez Créer un groupe de journaux, la CloudWatch console (https://console.aws.amazon.com/cloudwatch/) s'ouvre sur la page Créer un groupe de journaux. Pour plus de détails, voir Création d'un groupe de CloudWatch journaux dans Logs.

    2. (Facultatif) Pour les flux de travail gérés, choisissez le flux de travail IDs (et le rôle correspondant) que Transfer Family doit assumer lors de l'exécution du flux de travail. Vous pouvez choisir un flux de travail à exécuter lors d'un téléchargement complet et un autre à exécuter lors d'un téléchargement partiel. Pour en savoir plus sur le traitement de vos fichiers à l'aide de flux de travail gérés, consultezAWS Transfer Family flux de travail gérés.

      La section Console des flux de travail gérés.

    3. Pour les options d'algorithme cryptographique, choisissez une politique de sécurité contenant les algorithmes cryptographiques activés pour être utilisés par votre serveur.

      Note

      Par défaut :

      • Si le point de terminaison FIPS activé n'est pas sélectionné, la politique de TransferSecurityPolicy-2020-06 sécurité est attachée à votre serveur.

      • Si FIPSEnabled endpoint est sélectionné, la politique de TransferSecurityPolicy-FIPS-2020-06 sécurité est attachée à votre serveur.

      Pour plus d'informations sur les stratégies de sécurité, consultez Politiques de sécurité pour AWS Transfer Family.

      La section de la console des options de l'algorithme cryptographique avec une politique de sécurité sélectionnée.

    4. Pour la clé d'hôte du serveur, laissez-la vide.

      Note

      La section Server Host Key est utilisée uniquement pour migrer des utilisateurs depuis un serveur SFTP compatible existant.

      La section console de la clé d'hôte du serveur.

    5. (Facultatif) Pour les balises, pour la clé et la valeur, entrez une ou plusieurs balises sous forme de paires clé-valeur, puis choisissez Ajouter une balise.

    6. Vous pouvez optimiser les performances de vos annuaires Amazon S3. Supposons, par exemple, que vous vous rendiez dans votre répertoire personnel et que vous disposiez de 10 000 sous-répertoires. En d'autres termes, votre compartiment S3 contient 10 000 dossiers. Dans ce scénario, si vous exécutez la commande ls (list), l'opération de liste prend entre six et huit minutes. Toutefois, si vous optimisez vos répertoires, cette opération ne prend que quelques secondes.

      La section console des annuaires optimisés.

    7. Choisissez Suivant.

      La section de la console Tags.

    8. (Facultatif) Vous pouvez configurer AWS Transfer Family les serveurs pour afficher des messages personnalisés tels que les politiques organisationnelles ou les conditions générales à l'intention de vos utilisateurs finaux. Vous pouvez également afficher un message du jour personnalisé (MOTD) aux utilisateurs qui se sont authentifiés avec succès.

      Pour Afficher la bannière, dans la zone de texte de la bannière d'affichage préalable à l'authentification, entrez le message texte que vous souhaitez afficher à vos utilisateurs avant qu'ils ne s'authentifient, et dans la zone de texte de la bannière d'affichage après l'authentification, entrez le texte que vous souhaitez afficher à vos utilisateurs une fois qu'ils se sont authentifiés avec succès.

      La section Afficher la console de bannières.

    9. (Facultatif) Vous pouvez configurer les options supplémentaires suivantes.

      • SetStat option : activez cette option pour ignorer l'erreur générée lorsqu'un client tente de l'utiliser SETSTAT sur un fichier que vous téléchargez dans un compartiment Amazon S3. Pour plus de détails, consultez la SetStatOption documentation dans cette ProtocolDetailsrubrique.

      • TLSreprise de session : fournit un mécanisme permettant de reprendre ou de partager une clé secrète négociée entre le contrôle et la connexion de données pour une FTPS session. Pour plus de détails, consultez la TlsSessionResumptionMode documentation dans cette ProtocolDetailsrubrique.

      • IP passive : indique le mode passif, pour FTP et les FTPS protocoles. Entrez une IPv4 adresse unique, telle que l'adresse IP publique d'un pare-feu, d'un routeur ou d'un équilibreur de charge. Pour plus de détails, consultez la PassiveIp documentation dans cette ProtocolDetailsrubrique.

  8. Dans Réviser et créer, passez en revue vos choix.

    • Si vous souhaitez modifier l'un d'entre eux, choisissez Modifier à côté de l'étape.

      Note

      Vous devez passer en revue chaque étape après celle que vous avez choisi de modifier.

    • Si aucune modification n'est apportée, choisissez Create server pour créer votre serveur. Vous êtes dirigé vers la page Servers (Serveurs), représentée ci-dessous, dans laquelle figure votre nouveau serveur.

Quelques minutes peuvent s'écouler avant que le statut de votre nouveau serveur passe à En ligne. À ce stade, votre serveur peut effectuer des opérations sur fichiers pour vos utilisateurs.

La page de console Servers avec le nouvel ID de serveur et le statut Starting.

Prochaines étapes : Pour l'étape suivante, passez Travailler avec des fournisseurs d'identité personnalisés à la section Configuration des utilisateurs.