创建启用 SFTP 的服务器

Secure Shell (SSH) 文件传输协议 (SFTP) 是一种用于通过互联网安全传输数据的网络协议。该协议支持 SSH 的完整安全和身份验证功能。它被广泛应用于金融服务、医疗保健、零售和广告等各行各业的业务合作伙伴之间交换数据，包括敏感信息。

注意

Transfer Family 的 SFTP 服务器通过端口 22 运行。对于 VPC 托管的端点，SFTP Transfer Family 服务器也可以通过端口 2222 或端口 22000 运行。有关更多信息，请参阅 在虚拟私有云中创建服务器。

另请参阅

• 我们提供了一个创建 SFTP Transfer Family 服务器的 AWS CDK 示例。该示例使用 TypeScript，可 GitHub 在此处找到。

• 有关如何在 VPC 内部署 Transfer Family 服务器的演练，请参阅使用 IP 允许列表保护您的 AWS Transfer Family 服务器。

创建启用 SFTP 的服务器

1. 通过 https://console.aws.amazon.com/transfer/ 打开 AWS Transfer Family 控制台，从导航窗格中选择 “服务器”，然后选择 “创建服务器”。

2. 在选择协议中，选择 SFTP，然后选择下一步。

3. 在选择身份提供商中，选择要用于管理用户访问权限的身份提供商。您有以下选项：

   • 服务托管-您将用户身份和密钥存储在中 AWS Transfer Family。

   • AWS Directory Service for Microsoft Active Directory— 您提供用于访问终端节点的 AWS Directory Service 目录。这样，您就可以使用存储在 Activity Directory 中的凭证对用户进行身份验证。要了解有关与 AWS Managed Microsoft AD 身份提供商合作的更多信息，请参阅使用 Di AWS rectory Service 身份提供商。

     注意

     • 不支持跨账户目录和共享目录。 AWS Managed Microsoft AD

     • 要设置以 Directory Service 作为身份提供者的服务器，您需要添加一些 AWS Directory Service 权限。有关更多信息，请参阅 开始使用之前 AWS Directory Service for Microsoft Active Directory。

   • 自定义身份提供商 — 请选择以下任一选项：

     • AWS Lambda 用于连接您的身份提供商-您可以使用由 Lambda 函数支持的现有身份提供商。您提供 Lambda 函数名称。有关更多信息，请参阅 AWS Lambda 用于整合您的身份提供商。

     • 使用 Amazon API Gateway 连接您的身份提供商 — 您可以创建由 Lambda 函数支持的 API 网关方法以用作身份提供商。您提供一个 Amazon API Gateway URL 和一个调用角色。有关更多信息，请参阅 使用 Amazon API Gateway 整合您的身份提供程序。

     对于任一选项，您还可以指定如何进行身份验证。

     • 密码或密钥-用户可以使用其密码或密钥进行身份验证。这是默认值。

     • 仅限密码-用户必须提供密码才能连接。

     • 仅限密钥 — 用户必须提供私钥才能连接。

     • 密码和密钥 — 用户必须同时提供私钥和密码才能连接。服务器首先检查密钥，如果密钥有效，系统会提示输入密码。如果提供的私有密钥与存储的公有密钥不匹配，则身份验证失败。

     

4. 选择下一步。

5. 在选择端点中，执行以下操作：

   1. 对于端点类型，选择可公开访问的端点类型。有关 VPC 托管的端点，请参阅在虚拟私有云中创建服务器。

   2. （可选）对于自定义主机名，选择无。

      您将获得由提供的服务器主机名 AWS Transfer Family。服务器主机名使用格式 serverId.server.transfer.regionId.amazonaws.com。

      对于自定义主机名，您可以为服务器端点指定自定义别名。要了解有关使用自定义主机名的更多信息，请参阅使用自定义主机名。

   3. （可选）对于启用 FIPS，请选中启用 FIPS 端点复选框以确保端点符合联邦信息处理标准 (FIPS)。

      注意

      启用 FIPS 的端点仅在北美 AWS 地区可用。有关可用区域，请参阅AWS 一般参考中的AWS Transfer Family 端点和限额。有关 FIPS 的更多信息，请参阅联邦信息处理标准 (FIPS) 140-2。

   4. 选择下一步。

6. 在 “选择域” 页面上，选择要用于通过所选协议 AWS 存储和访问数据的存储服务：

   • 选择 Amazon S3，通过所选协议将您的文件作为对象存储和访问。

   • 选择 Amazon EFS，通过所选协议在 Amazon EFS 文件系统中存储和访问您的文件。

   选择下一步。

7. 在配置其他详细信息中，执行以下操作：

   1. 对于日志记录，指定现有日志组或创建新日志组（默认选项）。如果您选择现有日志组，则必须选择与您的日志组关联的日志组 AWS 账户。

      

      如果选择 “创建日志组”，则 CloudWatch 控制台 (https://console.aws.amazon.com/cloudwatch/) 将打开 “创建日志组” 页面。有关详细信息，请参阅在 Log CloudWatch s 中创建日志组。

   2. （可选）对于托管工作流程，请选择 Transfer Family 在执行工作流程时应承担的工作流程 ID（和相应的角色）。您可以选择一个工作流程在完成上传后执行，选择另一个工作流程在部分上传时执行。要了解有关使用托管工作流程处理文件的更多信息，请参阅AWS Transfer Family 托管工作流程。

      

   3. 对于加密算法选项，请选择包含允许服务器使用的加密算法的安全策略。我们的最新安全策略是默认策略：有关详细信息，请参阅AWS Transfer Family 服务器的安全策略。

   4. （可选）对于 Server Host Key，输入 RSA、ED25519 或 ECDSA 私有密钥，该私有密钥将用于在客户端通过 SFTP 连接到服务器时标识服务器。您还可以添加描述以区分多个主机密钥。

      创建服务器后，您可以添加其他主机密钥。如果您想轮换密钥或想要使用不同类型的密钥（例如 RSA 密钥和 ECDSA 密钥），则拥有多个主机密钥非常有用。

      注意

      服务器主机密钥部分仅用于从启用 SFTP 的现有服务器迁移用户。

   5. （可选）对于标签，在密钥和值中，输入一个或多个标签作为键值对，然后选择添加标签。

   6. 选择下一步。

   7. 您可以优化 Amazon S3 目录的性能。例如，假设您进入主目录，并且有 10,000 个子目录。换句话说，您的亚马逊 S3 存储桶有 10,000 个文件夹。在这种情况下，如果您运行 ls (list) 命令，则列表操作需要六到八分钟。但是，如果您优化目录，则此操作只需要几秒钟。

      使用控制台创建服务器时，默认情况下会启用优化目录。如果您使用 API 创建服务器，则默认情况下不启用此行为。

      

   8. （可选）配置 AWS Transfer Family 服务器以向最终用户显示自定义消息，例如组织政策或条款和条件。对于显示横幅，在预身份验证显示横幅文本框中，输入要在用户进行身份验证之前向其显示的短信。

   9. （可选）您可以配置以下其他选项。

      • SetStat 选项：启用此选项可忽略客户端尝试对您上传到 Amazon S3 存储桶的文件使用SETSTAT时生成的错误。有关更多详细信息，请参阅中的SetStatOption文档ProtocolDetails。

      • TLS 会话恢复：仅当您启用 FTPS 作为该服务器的协议之一时，此选项才可用。

      • 被动 IP：仅当您启用 FTPS 或 FTP 作为该服务器的协议之一时，此选项才可用。

      

8. 在审核和创建页面上，审核您的选择。

   • 如果要编辑其中任何一个，请选择该步骤旁边的编辑。

     注意

     在选择编辑的步骤之后，您必须审核每个步骤。

   • 如果没有任何更改，请选择创建服务器来创建您的服务器。您将转至如下所示的 Servers (服务器) 页面，其中列出了您的新服务器。

您的新服务器状态更改为在线可能需要几分钟时间。此时，您的服务器可以执行文件操作，但您需要先创建一个用户。有关创建用户的详细信息，请参阅管理服务器端点的用户。