Creare un server compatibile con FTPS

File Transfer Protocol over SSL (FTPS) è un'estensione di FTP. Utilizza i protocolli crittografici Transport Layer Security (TLS) e Secure Sockets Layer (SSL) per crittografare il traffico. FTPS consente la crittografia delle connessioni dei canali di controllo e dati in modo simultaneo o indipendente.

Per creare un server compatibile con FTPS

1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/ e seleziona Server dal pannello di navigazione, quindi scegli Crea server.

2. In Scegli i protocolli, seleziona FTPS.

   Per Certificato server, scegli un certificato archiviato in AWS Certificate Manager (ACM) che verrà utilizzato per identificare il server quando i client si connettono ad esso tramite FTPS, quindi scegli Avanti.

   Per richiedere un nuovo certificato pubblico, consulta Richiedere un certificato pubblico nella Guida per l'AWS Certificate Manager utente.

   Per importare un certificato esistente in ACM, consulta Importazione di certificati in ACM nella Guida per l'AWS Certificate Manager utente.

   Per richiedere un certificato privato per utilizzare FTPS tramite indirizzi IP privati, consulta Richiesta di un certificato privato nella Guida per l'utente.AWS Certificate Manager

   Sono supportati i certificati con gli algoritmi di crittografia e le dimensioni delle chiavi seguenti:

   • RSA a 2048 bit (RSA_2048)

   • RSA a 4096 bit (RSA_4096)

   • Elliptic Prime Curve a 256 bit (EC_prime256v1)

   • Elliptic Prime Curve a 384 bit (EC_secp384r1)

   • Elliptic Prime Curve a 521 bit (EC_secp521r1)

   Nota

   Il certificato deve essere un certificato SSL/TLS X.509 versione 3 valido con FQDN o indirizzo IP specificato e contenere informazioni sull'emittente.

3. In Scegli un provider di identità, scegli il provider di identità che desideri utilizzare per gestire l'accesso degli utenti. Sono disponibili le seguenti opzioni:

   • AWS Directory Service for Microsoft Active Directory— Fornisci una AWS Directory Service directory per accedere all'endpoint. In questo modo, è possibile utilizzare le credenziali archiviate in Active Directory per autenticare gli utenti. Per ulteriori informazioni sull'utilizzo dei provider di AWS Managed Microsoft AD identità, consulta. Utilizzo del provider di identità AWS Directory Service

     Nota

     • Le directory Cross-Account e Shared non sono supportate per. AWS Managed Microsoft AD

     • Per configurare un server con Directory Service come provider di identità, è necessario aggiungere alcune AWS Directory Service autorizzazioni. Per informazioni dettagliate, vedi Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory.

   • Provider di identità personalizzato: scegli una delle seguenti opzioni:

     • AWS Lambda Utilizzalo per connettere il tuo provider di identità: puoi utilizzare un provider di identità esistente, supportato da una funzione Lambda. Fornisci il nome della funzione Lambda. Per ulteriori informazioni, consulta Utilizzo AWS Lambda per integrare il proprio provider di identità.

     • Usa Amazon API Gateway per connettere il tuo provider di identità: puoi creare un metodo API Gateway supportato da una funzione Lambda da utilizzare come provider di identità. Fornisci un URL di Amazon API Gateway e un ruolo di chiamata. Per ulteriori informazioni, consulta Utilizzo di Amazon API Gateway per integrare il tuo provider di identità.

     

4. Seleziona Successivo.

5. In Scegli un endpoint, procedi come segue:

   Nota

   I server FTPS per Transfer Family funzionano su Port 21 (Control Channel) e Port Range 8192—8200 (Data Channel).

   1. Per Tipo di endpoint, scegli il tipo di endpoint ospitato da VPC per ospitare l'endpoint del tuo server. Per informazioni sulla configurazione dell'endpoint ospitato da VPC, consulta. Crea un server in un cloud privato virtuale

      Nota

      Gli endpoint accessibili pubblicamente non sono supportati.

   2. (Facoltativo) Per FIPS Enabled, selezionate la casella di controllo FIPS Enabled Endpoint per assicurarvi che l'endpoint sia conforme ai Federal Information Processing Standards (FIPS).

      Nota

      Gli endpoint compatibili con FIPS sono disponibili solo nelle regioni del Nord America. AWS Per le regioni disponibili, consulta gli AWS Transfer Family endpoint e le quote nel. Riferimenti generali di AWS Per ulteriori informazioni su FIPS, vedere Federal Information Processing Standard (FIPS) 140-2.

   3. Seleziona Successivo.

   

6. Nella pagina Scegli il dominio, scegli il servizio AWS di archiviazione che desideri utilizzare per archiviare e accedere ai tuoi dati tramite il protocollo selezionato:

   • Scegli Amazon S3 per archiviare e accedere ai tuoi file come oggetti tramite il protocollo selezionato.

   • Scegli Amazon EFS per archiviare e accedere ai tuoi file nel tuo file system Amazon EFS tramite il protocollo selezionato.

   Seleziona Successivo.

7. In Configura dettagli aggiuntivi, procedi come segue:

   1. Per la registrazione, specifica un gruppo di log esistente o creane uno nuovo (opzione predefinita).

      

      Se scegli Crea gruppo di log, la CloudWatch console (https://console.aws.amazon.com/cloudwatch/) apre la pagina Crea gruppo di log. Per i dettagli, consulta Creare un gruppo di log in CloudWatch Logs.

   2. (Facoltativo) Per i flussi di lavoro gestiti, scegliete gli ID del flusso di lavoro (e un ruolo corrispondente) che Transfer Family deve assumere durante l'esecuzione del flusso di lavoro. È possibile scegliere un flusso di lavoro da eseguire dopo un caricamento completo e un altro da eseguire dopo un caricamento parziale. Per ulteriori informazioni sull'elaborazione dei file utilizzando flussi di lavoro gestiti, consultaAWS Transfer Family flussi di lavoro gestiti.

      

   3. Per le opzioni relative agli algoritmi crittografici, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso dal tuo server. La nostra politica di sicurezza più recente è quella predefinita: per i dettagli, consulta. Politiche di sicurezza per AWS Transfer Family i server

   4. Per Server Host Key, lascia vuoto il campo.

   5. (Facoltativo) Per Tag, per Chiave e Valore, inserisci uno o più tag come coppie chiave-valore, quindi scegli Aggiungi tag.

   6. Puoi ottimizzare le prestazioni per le tue directory Amazon S3. Ad esempio, supponiamo di accedere alla directory home e di avere 10.000 sottodirectory. In altre parole, il tuo bucket Amazon S3 ha 10.000 cartelle. In questo scenario, se si esegue il comando ls (list), l'operazione list richiede dai sei agli otto minuti. Tuttavia, se si ottimizzano le directory, questa operazione richiede solo pochi secondi.

      Quando si crea il server utilizzando la console, le directory ottimizzate sono abilitate per impostazione predefinita. Se crei il server utilizzando l'API, questo comportamento non è abilitato per impostazione predefinita.

      

   7. Seleziona Successivo.

   8. (Facoltativo) È possibile configurare AWS Transfer Family i server per visualizzare messaggi personalizzati, ad esempio politiche organizzative o termini e condizioni, agli utenti finali. È inoltre possibile visualizzare il messaggio del giorno (MOTD) personalizzato agli utenti che si sono autenticati correttamente.

      Per Visualizza banner, nella casella di testo Banner di visualizzazione pre-autenticazione, inserisci il messaggio di testo che desideri mostrare agli utenti prima che si autentichino e nella casella di testo Banner di visualizzazione post-autenticazione, inserisci il testo che desideri mostrare agli utenti dopo che si sono autenticati con successo.

   9. (Facoltativo) È possibile configurare le seguenti opzioni aggiuntive.

      • SetStat opzione: abilita questa opzione per ignorare l'errore generato quando un client tenta di utilizzarlo SETSTAT su un file che stai caricando su un bucket Amazon S3. Per ulteriori dettagli, consulta la SetStatOption documentazione nell'argomento. ProtocolDetails

      • Ripresa della sessione TLS: fornisce un meccanismo per riprendere o condividere una chiave segreta negoziata tra il controllo e la connessione dati per una sessione FTPS. Per ulteriori dettagli, consultate la documentazione nell'argomento. TlsSessionResumptionMode ProtocolDetails

      • IP passivo: indica la modalità passiva, per i protocolli FTP e FTPS. Inserisci un singolo indirizzo IPv4, ad esempio l'indirizzo IP pubblico di un firewall, router o load balancer. Per ulteriori dettagli, consultate la PassiveIp documentazione nell'ProtocolDetailsargomento.

      

8. In Rivedi e crea, esamina le tue scelte.

   • Se desideri modificarne una, scegli Modifica accanto al passaggio.

     Nota

     Devi rivedere ogni passaggio dopo quello che hai scelto di modificare.

   • Se non hai apportato modifiche, scegli Crea server per creare il tuo server. Viene visualizzata la pagina Servers (Server), mostrata di seguito, in cui è elencato il nuovo server.

Possono essere necessari un paio di minuti prima che lo stato del nuovo server passi a Online. A questo punto, il server può eseguire operazioni sui file per gli utenti.

Passaggi successivi: per il passaggio successivo, continua con Lavorare con provider di identità personalizzati la configurazione degli utenti.