Crea un server SFTP abilitato

Secure Shell (SSH) File Transfer Protocol (SFTP) è un protocollo di rete utilizzato per il trasferimento sicuro di dati su Internet. Il protocollo supporta tutte le funzionalità di sicurezza e autenticazione diSSH. È ampiamente utilizzato per lo scambio di dati, comprese informazioni sensibili tra partner commerciali in una varietà di settori come i servizi finanziari, la sanità, la vendita al dettaglio e la pubblicità.

Nota

SFTPi server per Transfer Family funzionano sulla porta 22. Per gli endpoint VPC ospitati, i server SFTP Transfer Family possono funzionare anche tramite la porta 2222. Per informazioni dettagliate, consultare Crea un server in un cloud privato virtuale.

Consulta anche

• Forniamo un AWS CDK esempio per la creazione di un server SFTP Transfer Family. L'esempio utilizza TypeScript ed è disponibile GitHub qui.

• Per una procedura dettagliata su come implementare un server Transfer Family all'interno di un serverVPC, consulta Utilizzare l'elenco degli IP consentiti per proteggere i server. AWS Transfer Family

Per creare un server abilitato SFTP

1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/e seleziona Server dal riquadro di navigazione, quindi scegli Crea server.

2. In Scegli protocolli, seleziona SFTP, quindi scegli Avanti.

   

3. In Scegli un provider di identità, scegli il provider di identità che desideri utilizzare per gestire l'accesso degli utenti. Sono disponibili le seguenti opzioni:

   • Servizio gestito: memorizzi le identità e le chiavi degli utenti. AWS Transfer Family

     

   • AWS Directory Service for Microsoft Active Directory— Fornisci una AWS Directory Service directory per accedere all'endpoint. In questo modo, è possibile utilizzare le credenziali archiviate in Active Directory per autenticare gli utenti. Per ulteriori informazioni sull'utilizzo dei provider di AWS Managed Microsoft AD identità, consulta. Utilizzo del provider di identità AWS Directory Service

     Nota

     • Le directory Cross-Account e Shared non sono supportate per. AWS Managed Microsoft AD

     • Per configurare un server con Directory Service come provider di identità, è necessario aggiungere alcune AWS Directory Service autorizzazioni. Per informazioni dettagliate, consultare Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory.

     

   • Provider di identità personalizzato: scegli una delle seguenti opzioni:

     • AWS Lambda Utilizzalo per connettere il tuo provider di identità: puoi utilizzare un provider di identità esistente, supportato da una funzione Lambda. Fornisci il nome della funzione Lambda. Per ulteriori informazioni, consulta Utilizzo AWS Lambda per integrare il proprio provider di identità.

     • Usa Amazon API Gateway per connettere il tuo provider di identità: puoi creare un metodo API Gateway supportato da una funzione Lambda da utilizzare come provider di identità. Fornisci un Amazon API Gateway URL e un ruolo di chiamata. Per ulteriori informazioni, consulta Utilizzo di Amazon API Gateway per integrare il tuo provider di identità.

     Per entrambe le opzioni, puoi anche specificare come effettuare l'autenticazione.

     • Password O chiave: gli utenti possono autenticarsi con la propria password o la propria chiave. Si tratta del valore di default.

     • Password ONLY: gli utenti devono fornire la propria password per connettersi.

     • Chiave ONLY: gli utenti devono fornire la propria chiave privata per connettersi.

     • ANDChiave password: gli utenti devono fornire sia la chiave privata che la password per connettersi. Il server controlla prima la chiave e poi, se la chiave è valida, il sistema richiede una password. Se la chiave privata fornita non corrisponde alla chiave pubblica archiviata, l'autenticazione fallisce.

     

4. Scegli Next (Successivo).

5. In Scegli un endpoint, procedi come segue:

   1. Per Tipo di endpoint, scegli il tipo di endpoint accessibile pubblicamente. Per un endpoint VPCospitato, vedi. Crea un server in un cloud privato virtuale

   2. (Facoltativo) Per Nome host personalizzato, scegli Nessuno.

      Ottieni un nome host del server fornito da. AWS Transfer Family Il nome host del server ha il formato serverId.server.transfer.regionId.amazonaws.com.

      Per un nome host personalizzato, è necessario specificare un alias personalizzato per l'endpoint del server. Per ulteriori informazioni sull'utilizzo di nomi host personalizzati, consulta. Lavorare con nomi host personalizzati

   3. (Facoltativo) In FIPSEnabled, selezionate la casella di controllo FIPSEnabled endpoint per assicurarvi che l'endpoint sia conforme ai Federal Information Processing Standards (). FIPS

      Nota

      FIPSgli endpoint abilitati sono disponibili solo nelle regioni del Nord America. AWS Per le regioni disponibili, consulta gli AWS Transfer Family endpoint e le quote in. Riferimenti generali di AWS Per ulteriori informazioni suFIPS, vedere Federal Information Processing Standard (FIPS) 140-2.

   4. Scegli Next (Successivo).

   

6. Nella pagina Scegli il dominio, scegli il servizio AWS di archiviazione che desideri utilizzare per archiviare e accedere ai tuoi dati tramite il protocollo selezionato:

   • Scegli Amazon S3 per archiviare e accedere ai tuoi file come oggetti tramite il protocollo selezionato.

   • Scegli Amazon EFS per archiviare e accedere ai tuoi file nel tuo EFS file system Amazon tramite il protocollo selezionato.

   Scegli Next (Successivo).

7. In Configura dettagli aggiuntivi, procedi come segue:

   1. Per la registrazione, specifica un gruppo di log esistente o creane uno nuovo (opzione predefinita).

      

      Se si sceglie un gruppo di log esistente, è necessario selezionarne uno associato al proprio Account AWS.

      

      Se scegli Crea gruppo di log, la CloudWatch console (https://console.aws.amazon.com/cloudwatch/) si apre sulla pagina Crea gruppo di log. Per i dettagli, consulta Creare un gruppo di log in CloudWatch Logs.

   2. (Facoltativo) Per i flussi di lavoro gestiti, scegliete il flusso di lavoro IDs (e il ruolo corrispondente) che Transfer Family deve assumere durante l'esecuzione del flusso di lavoro. È possibile scegliere un flusso di lavoro da eseguire dopo un caricamento completo e un altro da eseguire dopo un caricamento parziale. Per ulteriori informazioni sull'elaborazione dei file utilizzando flussi di lavoro gestiti, consultaAWS Transfer Family flussi di lavoro gestiti.

      

   3. Per le opzioni relative agli algoritmi crittografici, scegli una politica di sicurezza che contenga gli algoritmi crittografici abilitati per l'uso dal tuo server.

      Nota

      Per impostazione predefinita:

      • Se l'FIPSopzione Enabled endpoint non è selezionata, la policy TransferSecurityPolicy-2020-06 di sicurezza è allegata al server.

      • Se è selezionato FIPSEnabled endpoint, la policy TransferSecurityPolicy-FIPS-2020-06 di sicurezza è collegata al server.

      Per ulteriori informazioni sulle policy di sicurezza, consulta Politiche di sicurezza per AWS Transfer Family.

      

   4. (Facoltativo) Per Server Host Key RSAED25519, inserisci una chiave o una chiave ECDSA privata che verrà utilizzata per identificare il server quando i client si connettono ad esso. SFTP Puoi anche aggiungere una descrizione per distinguere tra più chiavi host.

      Dopo aver creato il server, puoi aggiungere chiavi host aggiuntive. Avere più chiavi host è utile se si desidera ruotare le chiavi o se si desidera disporre di diversi tipi di chiavi, ad esempio una RSA chiave e anche una ECDSA chiave.

      Nota

      La sezione Server Host Key viene utilizzata solo per migrare gli utenti da un server abilitato SFTP esistente.

      

   5. (Facoltativo) Per Tag, per Chiave e Valore, inserite uno o più tag come coppie chiave-valore, quindi scegliete Aggiungi tag.

   6. Scegli Next (Successivo).

      

   7. Puoi ottimizzare le prestazioni per le tue directory Amazon S3. Ad esempio, supponiamo di accedere alla directory home e di avere 10.000 sottodirectory. In altre parole, il tuo bucket S3 ha 10.000 cartelle. In questo scenario, se si esegue il comando ls (list), l'operazione list richiede dai sei agli otto minuti. Tuttavia, se ottimizzi le directory, questa operazione richiede solo pochi secondi.

      

   8. (Facoltativo) Configura AWS Transfer Family i server per visualizzare messaggi personalizzati come politiche organizzative o termini e condizioni agli utenti finali. Per Visualizza banner, nella casella di testo Pre-autenticazione visualizza banner, inserisci il messaggio di testo che desideri mostrare agli utenti prima che si autentichino.

      

   9. (Facoltativo) È possibile configurare le seguenti opzioni aggiuntive.

      • SetStat opzione: abilita questa opzione per ignorare l'errore generato quando un client tenta di utilizzarlo SETSTAT su un file che stai caricando su un bucket Amazon S3. Per ulteriori dettagli, consulta la SetStatOption documentazione in. ProtocolDetails

      • TLSripresa della sessione: questa opzione è disponibile solo se è stata abilitata FTPS come uno dei protocolli per questo server.

      • IP passivo: questa opzione è disponibile solo se è stata abilitata FTPS o FTP come uno dei protocolli per questo server.

      

8. In Rivedi e crea, rivedi le tue scelte.

   • Se desideri modificarne una, scegli Modifica accanto al passaggio.

     Nota

     Devi rivedere ogni passaggio dopo quello che hai scelto di modificare.

   • Se non hai apportato modifiche, scegli Crea server per creare il tuo server. Viene visualizzata la pagina Servers (Server), mostrata di seguito, in cui è elencato il nuovo server.

Possono essere necessari un paio di minuti prima che lo stato del nuovo server passi a Online. A questo punto, il server può eseguire operazioni sui file per gli utenti.