Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione di un endpoint server SFTP, FTPS o FTP
Questo argomento fornisce dettagli sulla creazione e l'utilizzo di endpoint AWS Transfer Family server che utilizzano uno o più protocolli SFTP, FTPS e FTP.
Argomenti
- Opzioni del provider di identità
- AWS Transfer Family matrice del tipo di endpoint
- Configurazione di un endpoint server SFTP, FTPS o FTP
- Trasferimento di file su un endpoint server utilizzando un client
- Gestione degli utenti per gli endpoint del server
- Utilizzo di directory logiche per semplificare le strutture di directory Transfer Family
Opzioni del provider di identità
AWS Transfer Family fornisce diversi metodi per l'autenticazione e la gestione degli utenti. La tabella seguente confronta i provider di identità disponibili che puoi utilizzare con Transfer Family.
| Azione | AWS Transfer Family servizio gestito | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda |
|---|---|---|---|---|
| Protocolli supportati | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP |
|
Autenticazione basata su chiavi |
Sì |
No |
Sì |
Sì |
|
Autenticazione password |
No |
Sì |
Sì |
Sì |
|
AWS Identity and Access Management (IAM) e POSIX |
Sì |
Sì |
Sì |
Sì |
|
cartella home logica |
Sì |
Sì |
Sì |
Sì |
| Accesso parametrizzato (basato sul nome utente) | Sì | Sì | Sì | Sì |
|
Struttura di accesso ad hoc |
Sì |
No |
Sì |
Sì |
|
AWS WAF |
No |
No |
Sì |
No |
Note:
IAM viene utilizzato per controllare l'accesso per lo storage di backup di Amazon S3 e POSIX viene utilizzato per Amazon EFS.
-
Ad hoc si riferisce alla possibilità di inviare il profilo utente in fase di esecuzione. Ad esempio, puoi indirizzare gli utenti nelle loro home directory passando il nome utente come variabile.
-
Per ulteriori informazioni su AWS WAF, vedereAggiungi un firewall per applicazioni Web.
-
C'è un post sul blog che descrive l'utilizzo di una funzione Lambda integrata con Microsoft Azure AD come provider di identità Transfer Family. Per i dettagli, vedere Autenticazione AWS Transfer Family con Azure Active
Directory e. AWS Lambda -
Forniamo diversi AWS CloudFormation modelli per aiutarti a implementare rapidamente un server Transfer Family che utilizza un provider di identità personalizzato. Per informazioni dettagliate, vedi Modelli di funzioni Lambda.
Nelle seguenti procedure, è possibile creare un server abilitato per SFTP, un server abilitato per FTPS, un server abilitato per FTP o un server abilitato per AS2.
Approfondimenti
AWS Transfer Family matrice del tipo di endpoint
Quando crei un server Transfer Family, scegli il tipo di endpoint da utilizzare. La tabella seguente descrive le caratteristiche per ogni tipo di endpoint.
Matrice del tipo di endpoint | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Caratteristica | Pubblica | VPC - Internet | VPC - Interno | VPC_Endpoint (obsoleto) | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Protocolli supportati | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Accesso | Da Internet. Questo tipo di endpoint non richiede alcuna configurazione speciale nel tuo VPC. | Tramite Internet e dall'interno di ambienti VPC e connessi a VPC, come un data center locale o una VPN. AWS Direct Connect | Dall'interno di ambienti VPC e connessi a VPC, come un data center locale o una VPN. AWS Direct Connect | Dall'interno di ambienti VPC e connessi a VPC, come un data center locale o una VPN. AWS Direct Connect | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Indirizzo IP statico | Non è possibile allegare un indirizzo IP statico. AWS fornisce indirizzi IP soggetti a modifiche. |
È possibile collegare indirizzi IP elastici all'endpoint. Questi possono essere indirizzi AWS IP di proprietà o indirizzi IP personali (Bring your own IP address). Gli indirizzi IP elastici collegati all'endpoint non cambiano. Inoltre, gli indirizzi IP privati collegati al server non vengono modificati. |
Gli indirizzi IP privati collegati all'endpoint non cambiano. | Gli indirizzi IP privati collegati all'endpoint non cambiano. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Elenco degli IP consentiti di origine |
Questo tipo di endpoint non supporta gli elenchi consentiti per indirizzi IP di origine. L'endpoint è accessibile al pubblico e ascolta il traffico sulla porta 22. NotaPer gli endpoint ospitati su VPC, i server SFTP Transfer Family possono funzionare sulla porta 22 (impostazione predefinita), la porta 2222 o la porta 22000. |
Per consentire l'accesso tramite l'indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e gli ACL di rete collegati alla sottorete in cui si trova l'endpoint. |
Per consentire l'accesso tramite indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e le liste di controllo dell'accesso alla rete (ACL di rete) collegate alla sottorete in cui si trova l'endpoint. |
Per consentire l'accesso tramite indirizzo IP di origine, è possibile utilizzare i gruppi di sicurezza collegati agli endpoint del server e gli ACL di rete collegati alla sottorete in cui si trova l'endpoint. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Elenco degli indirizzi consentiti dal firewall del client |
È necessario consentire il nome DNS del server. Poiché gli indirizzi IP sono soggetti a modifiche, evita di utilizzare gli indirizzi IP per l'elenco consentito del firewall del client. |
È possibile consentire il nome DNS del server o gli indirizzi IP elastici collegati al server. |
È possibile consentire gli indirizzi IP privati o il nome DNS degli endpoint. |
È possibile consentire gli indirizzi IP privati o il nome DNS degli endpoint. |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Nota
Il tipo di VPC_ENDPOINT endpoint è ora obsoleto e non può essere utilizzato per creare nuovi server. Invece di utilizzareEndpointType=VPC_ENDPOINT, utilizza il nuovo tipo di endpoint VPC (EndpointType=VPC), che puoi usare come interfaccia interna o Internet, come descritto nella tabella precedente. Per informazioni dettagliate, vedi Interruzione dell'uso di VPC_ENDPOINT.
Considerate le seguenti opzioni per aumentare il livello di sicurezza del vostro server: AWS Transfer Family
-
Utilizza un endpoint VPC con accesso interno, in modo che il server sia accessibile solo ai client all'interno del tuo VPC o agli ambienti connessi a VPC, come un data center locale o una VPN. AWS Direct Connect
-
Per consentire ai client di accedere all'endpoint tramite Internet e proteggere il server, utilizza un endpoint VPC con accesso a Internet. Quindi, modifica i gruppi di sicurezza del VPC per consentire il traffico solo da determinati indirizzi IP che ospitano i client degli utenti.
-
Se richiedi l'autenticazione basata su password e utilizzi un provider di identità personalizzato con il tuo server, è buona norma che la politica in materia di password impedisca agli utenti di creare password deboli e limiti il numero di tentativi di accesso non riusciti.
AWS Transfer Family è un servizio gestito e quindi non fornisce l'accesso alla shell. Non è possibile accedere direttamente al server SFTP sottostante per eseguire comandi nativi del sistema operativo sui server Transfer Family.
-
Usa un Network Load Balancer davanti a un endpoint VPC con accesso interno. Cambia la porta del listener sul load balancer dalla porta 22 a una porta diversa. Ciò può ridurre, ma non eliminare, il rischio che scanner di porte e bot controllino il server, poiché la porta 22 è la più comunemente utilizzata per la scansione. Per maggiori dettagli, consulta il post sul blog Network Load Balancer
now support Security groups. Nota
Se si utilizza un Network Load Balancer, AWS Transfer Family CloudWatch i log mostrano l'indirizzo IP dell'NLB, anziché l'indirizzo IP effettivo del client.
