管理已啟用 SFTP 的伺服器的主機金鑰

伺服器主機金鑰是 Transfer Family 伺服器用來為發起人提供唯一身分的私有金鑰，並保證它是正確的伺服器。該保證是由發起人known_hosts檔案中存在正確的公有金鑰強制執行。( known_hosts 檔案是大多數 SSH 用戶端用來存放您已連線之伺服器的公有金鑰的標準功能。) 您可以針對伺服器執行 ，擷取對應至伺服器主機金鑰ssh-keyscan的公有金鑰。

重要

意外變更伺服器的主機金鑰可能造成破壞。視 SFTP 用戶端的設定方式而定，它可能會立即失敗，並顯示沒有信任主機金鑰存在的訊息，或出現威脅提示。如果有用於自動化連線的指令碼，它們很可能也會失敗。

根據預設， 會為啟用 SFTP 的伺服器 AWS Transfer Family 產生主機金鑰。您可以匯入伺服器主機金鑰來保留主機身分，並避免更新用戶端信任存放區。 何時匯入主機金鑰會列出您可能想要這麼做的幾個原因。如果您不提供主機金鑰，則會為您產生新的金鑰。

AWS Transfer Family 支援多種不同類型的主機金鑰 (RSA、ECDSA 和 ED25519)，可與更廣泛的用戶端主機簽章演算法相容。不同的金鑰類型可啟用特定演算法：RDA 金鑰可啟用 rsa-* 演算法、ECDSA 金鑰可啟用 ecdsa-* 演算法，而 ED25519 金鑰可啟用 ed25519 演算法。在伺服器建立時間規劃您的金鑰類型，因為在用戶端開始與伺服器互動之後引入其他金鑰類型，可能會對某些用戶端造成干擾，並可能和取代現有的主機金鑰一樣有問題。

若要防止提示使用者再次驗證已啟用 SFTP 伺服器的真實性，請將現場部署伺服器的主機金鑰匯入已啟用 SFTP 的伺服器。這麼做也會防止使用者收到潛在中間人攻擊的警告。

您也可以定期輪換主機金鑰，做為額外的安全措施。如需詳細資訊，請參閱輪換伺服器主機金鑰。

注意

伺服器主機金鑰由支援 SFTP 通訊協定的伺服器使用。

何時匯入主機金鑰

雖然 AWS Transfer Family 可以自動產生主機金鑰，但匯入您自己的主機金鑰有幾種情況可提供操作優勢：

• 伺服器遷移 - 您正在從現有伺服器遷移至 ， AWS Transfer Family 並希望避免更新現有用戶端的用戶端信任存放區 (known_hosts 檔案）。

• 災難復原和容錯移轉 - 您擁有多個共用相同公有 DNS 名稱的 AWS Transfer Family 伺服器 （例如，一個在美國東部 （俄亥俄） 和一個在美國西部 （奧勒岡）)。在兩個伺服器上使用相同的主機金鑰可確保無縫容錯移轉，而不會發生用戶端身分驗證失敗。

• 營運持續性 - 您希望主機金鑰材料未來可與其他伺服器 (AWS Transfer Family 或其他） 搭配使用，以在整個基礎設施中維持一致的伺服器身分。

• 演算法控制 - 您想要透過提供更多主機金鑰演算法來提高用戶端相容性，或者您想要透過僅提供與特定演算法相容的金鑰來控制用戶端可以使用的演算法。

下列主題提供管理伺服器主機金鑰的詳細程序：

• 新增額外的伺服器主機金鑰 - 將其他主機金鑰新增至伺服器

• 刪除伺服器主機金鑰 - 從伺服器移除主機金鑰

• 輪換伺服器主機金鑰 - 輪換主機金鑰以增強安全性

• 其他伺服器主機金鑰資訊 - 檢視和管理主機金鑰詳細資訊