在虛擬私有雲端中建立伺服器 - AWS Transfer Family
建立VPC只能在 中存取的伺服器端點建立面向網際網路的端點變更端點類型停止使用 VPC_ENDPOINT

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在虛擬私有雲端中建立伺服器

您可以在虛擬私有雲端 (VPC) 中託管伺服器的端點,以用於在 Amazon S3 儲存貯體或 Amazon EFS 檔案系統中來回傳輸資料,而無需透過公有網際網路。

注意

2021 年 5 月 19 日後,如果您的帳戶未在 2021 年 5 月 19 日之前使用 建立伺服器,則無法在EndpointType=VPC_ENDPOINT AWS 帳戶中使用 建立伺服器。如果您已EndpointType=VPC_ENDPOINT在 2021 年 2 月 21 日或之前在 AWS 帳戶中使用 建立伺服器,則不會受到影響。在此日期之後,請使用 EndpointType=VPC。如需詳細資訊,請參閱停止使用 VPC_ENDPOINT

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 託管 AWS 資源,您可以在 VPC和 伺服器之間建立私有連線。然後,您可以使用此伺服器透過用戶端在 Amazon S3 儲存貯體之間傳輸資料,而無需使用公有 IP 定址或需要網際網路閘道。

使用 Amazon VPC,您可以在自訂虛擬網路中啟動 AWS 資源。您可以使用 VPC來控制網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。如需 的詳細資訊VPCs,請參閱 Amazon 使用者指南 VPC中的什麼是 Amazon?。 VPC

在下一節中,尋找如何建立 並將其連線至VPC伺服器的指示。概觀如下:

  1. 使用VPC端點設定伺服器。

  2. 透過VPCVPC端點使用 內部的用戶端連線至您的伺服器。這樣做可讓您使用 ,透過用戶端傳輸存放在 Amazon S3 儲存貯體中的資料 AWS Transfer Family。即使網路與公有網際網路中斷連線,您也可以執行此傳輸。

  3. 此外,如果您選擇讓伺服器的端點面向網際網路,您可以將彈性 IP 地址與端點建立關聯。這樣做可讓VPC連線伺服器以外的用戶端。您可以使用VPC安全群組來控制對僅來自允許地址之請求的已驗證使用者的存取。

主題

建立只能在您的 內存取的伺服器端點 VPC

在下列程序中,您可以建立只能存取 內資源的伺服器端點VPC。

在 內建立伺服器端點 VPC

  1. 在 開啟 AWS Transfer Family 主控台https://console.aws.amazon.com/transfer/

  2. 從導覽窗格中,選取伺服器 ,然後選擇建立伺服器

  3. 選擇通訊協定 中,選取一或多個通訊協定,然後選擇下一步 。如需通訊協定的詳細資訊,請參閱 步驟 2:建立已啟用 SFTP的伺服器

  4. 選擇身分提供者 中,選擇 Service 受管以將使用者身分和金鑰存放在 中 AWS Transfer Family,然後選擇下一步

    注意

    此程序使用服務受管選項。如果您選擇自訂 ,您會提供 Amazon API Gateway 端點和 AWS Identity and Access Management (IAM) 角色來存取端點。如此一來,您就可以整合目錄服務來驗證和授權您的使用者。若要進一步了解使用自訂身分提供者,請參閱使用自訂身分提供者

  5. 選擇端點 中,執行下列動作:

    注意

    FTP 和 Transfer Family 的FTPS伺服器透過連接埠 21 (控制頻道) 和連接埠範圍 8192-8200 (資料頻道) 運作。

    1. 對於端點類型 ,選擇VPC託管端點類型以託管伺服器的端點。

    2. 針對存取 ,選擇內部,讓端點只能使用端點私有 IP 地址的用戶端存取。

      注意

      如需網際網路面向選項的詳細資訊,請參閱 為您的伺服器建立面向網際網路的端點。在 中建立VPC僅供內部存取的伺服器不支援自訂主機名稱。

    3. 針對 VPC,選擇現有的 VPC ID 或選擇建立 VPC以建立新的 VPC。

    4. 可用區域區段中,選擇最多三個可用區域和相關聯的子網路。

    5. 安全群組區段中,選擇現有的安全群組 ID,IDs或選擇建立安全群組以建立新的安全群組。如需安全群組的詳細資訊,請參閱 Amazon Virtual Private Cloud 使用者指南 中的 安全群組VPC。若要建立安全群組,請參閱 Amazon Virtual Private Cloud 使用者指南 中的建立安全群組

      注意

      您的 VPC會自動隨附預設安全群組。如果您在啟動伺服器時未指定不同的安全群組,我們會將預設安全群組與您的伺服器建立關聯。

      對於安全群組的傳入規則,您可以將SSH流量設定為使用連接埠 22、2222 或兩者。連接埠 22 預設為 。若要使用連接埠 2222,您可以將傳入規則新增至安全群組。對於類型,請選擇自訂 TCP,然後在2222連接埠範圍 中輸入 ,然後在來源中輸入與SSH連接埠 22 規則相同的CIDR範圍。

      範例安全群組的傳入規則,顯示連接埠 22 SSH上的 規則,以及連接埠 2222 上的自訂TCP規則。

    6. (選用) 針對FIPS已啟用 ,選取FIPS已啟用端點核取方塊,以確保端點符合聯邦資訊處理標準 (FIPS)。

      注意

      FIPS啟用 的端點僅適用於北美 AWS 區域。如需可用區域的資訊,請參閱中的AWS Transfer Family 端點和配額AWS 一般參考。如需 的詳細資訊FIPS,請參閱聯邦資訊處理標準 (FIPS) 140-2

    7. 選擇 Next (下一步)

  6. 設定其他詳細資訊 中,執行下列動作:

    1. 針對CloudWatch 記錄 ,請選擇下列其中一項來啟用 Amazon CloudWatch 記錄您的使用者活動:

      • 建立新的角色,以允許 Transfer Family 自動建立IAM角色,只要您擁有建立新角色的正確許可。建立IAM的角色稱為 AWSTransferLoggingAccess

      • 選擇現有角色,從您的帳戶中選擇現有IAM角色。在記錄角色 下,選擇角色。此IAM角色應包含服務設定為 的信任政策transfer.amazonaws.com

        如需 CloudWatch 記錄的詳細資訊,請參閱 設定 CloudWatch 記錄角色

      注意

      • CloudWatch 如果您未指定記錄角色,則無法在 中檢視最終使用者活動。

      • 如果您不想設定 CloudWatch 記錄角色,請選取選擇現有角色 ,但不要選取記錄角色。

    2. 針對密碼編譯演算法選項 ,選擇包含啟用供伺服器使用之密碼編譯演算法的安全政策。

      注意

      根據預設,除非您選擇不同的安全政策,否則TransferSecurityPolicy-2020-06安全政策會連接至您的伺服器。

      如需關於安全政策的詳細資訊,請參閱的安全政策 AWS Transfer Family

    3. (選用) 對於伺服器主機金鑰 ,輸入 RSA、 ED25519或 ECDSA 私有金鑰,當用戶端透過 連線到伺服器時,該金鑰將用於識別您的伺服器SFTP。

      注意

      本節僅適用於從已啟用 SFTP的現有伺服器遷移使用者。

    4. (選用) 對於標籤 ,對於索引鍵,輸入一或多個標籤作為索引鍵值對,然後選擇新增標籤

    5. 選擇 Next (下一步)

  7. 檢閱和建立 中,檢閱您的選擇。如果您:

    • 想要編輯其中任何一個,請選擇步驟旁的編輯

      注意

      您將需要在選擇編輯的步驟之後檢閱每個步驟。

    • 沒有變更,請選擇建立伺服器以建立伺服器。您會前往顯示下列內容的 Servers (伺服器) 頁面,這裡會列出您的新伺服器。

新伺服器狀態變更為線上 之前,可能需要幾分鐘的時間。此時,您的伺服器會執行您使用者的檔案操作。

為您的伺服器建立面向網際網路的端點

在下列程序中,您可以建立伺服器端點。此端點只能透過網際網路存取,其來源 IP 地址在 VPC的預設安全群組中為允許的用戶端。此外,透過使用彈性 IP 地址讓端點面向網際網路,您的用戶端可以使用彈性 IP 地址,允許存取其防火牆中的端點。

注意

只有 SFTP和 FTPS可用於面向網際網路的VPC託管端點。

建立面向網際網路的端點

  1. 在 開啟 AWS Transfer Family 主控台https://console.aws.amazon.com/transfer/

  2. 從導覽窗格中,選取伺服器 ,然後選擇建立伺服器

  3. 選擇通訊協定 中,選取一或多個通訊協定,然後選擇下一個 。如需通訊協定的詳細資訊,請參閱 步驟 2:建立已啟用 SFTP的伺服器

  4. 選擇身分提供者 中,選擇 Service 受管以將使用者身分和金鑰存放在 中 AWS Transfer Family,然後選擇下一步

    注意

    此程序使用服務受管選項。如果您選擇自訂 ,您會提供 Amazon API Gateway 端點和 AWS Identity and Access Management (IAM) 角色來存取端點。如此一來,您就可以整合目錄服務來驗證和授權您的使用者。若要進一步了解使用自訂身分提供者,請參閱使用自訂身分提供者

  5. 選擇端點 中,執行下列動作:

    1. 對於端點類型 ,選擇VPC託管端點類型以託管伺服器的端點。

    2. 針對存取 ,選擇網際網路面向,讓用戶端可透過網際網路存取您的端點。

      注意

      當您選擇面向網際網路 時,您可以選擇每個子網路或子網路中的現有彈性 IP 地址。或者,您可以前往VPC主控台 (https://console.aws.amazon.com/vpc/) 配置一或多個新的彈性 IP 地址。這些地址可以由您擁有 AWS 或由您擁有。您無法將已在端點上使用的彈性 IP 地址建立關聯。

    3. (選用) 針對自訂主機名稱 ,選擇下列其中一項:

      注意

      AWS GovCloud (US) 需要直接透過彈性 IP 地址連線的客戶,或在 Commercial Route 53 中建立指向其 的主機名稱記錄EIP。如需針對 GovCloud 端點使用 Route 53 的詳細資訊,請參閱 AWS GovCloud (US) 使用者指南 中的使用 AWS GovCloud (US) 資源設定 Amazon Route 53

      • Amazon Route 53 DNS 別名 – 如果您要使用的主機名稱已向 Route 53 註冊。然後,您可以輸入主機名稱。

      • 其他 DNS – 如果您要使用的主機名稱已向其他DNS提供者註冊。然後,您可以輸入主機名稱。

      • – 使用伺服器的端點,不使用自訂主機名稱。伺服器主機名稱的格式為 server-id.server.transfer.region.amazonaws.com

        注意

        對於 中的客戶 AWS GovCloud (US),選取不會以此格式建立主機名稱。

      若要進一步了解如何使用自訂主機名稱,請參閱 使用自訂主機名稱

    4. 針對 VPC,選擇現有的 VPC ID 或選擇建立 VPC以建立新的 VPC。

    5. 可用區域區段中,選擇最多三個可用區域和相關聯的子網路。針對IPv4地址 ,為每個子網路選擇彈性 IP 地址。這是用戶端可用來允許存取其防火牆中端點的 IP 地址。

    6. 安全群組區段中,選擇現有的安全群組 ID,IDs或選擇建立安全群組以建立新的安全群組。如需安全群組的詳細資訊,請參閱 Amazon Virtual Private Cloud 使用者指南 中的 安全群組VPC。若要建立安全群組,請參閱 Amazon Virtual Private Cloud 使用者指南 中的建立安全群組

      注意

      您的 VPC會自動隨附預設安全群組。如果您在啟動伺服器時未指定不同的安全群組,我們會將預設安全群組與您的伺服器建立關聯。

      對於安全群組的傳入規則,您可以將SSH流量設定為使用連接埠 22、2222 或兩者。連接埠 22 預設為 。若要使用連接埠 2222,您可以將傳入規則新增至安全群組。對於類型,請選擇自訂 TCP,然後在2222連接埠範圍 中輸入 ,然後在來源中輸入與SSH連接埠 22 規則相同的CIDR範圍。

      範例安全群組的傳入規則,顯示連接埠 22 SSH上的 規則,以及連接埠 2222 上的自訂TCP規則。

    7. (選用) 針對FIPS已啟用 ,選取FIPS已啟用端點核取方塊,以確保端點符合聯邦資訊處理標準 (FIPS)。

      注意

      FIPS啟用 的端點僅適用於北美 AWS 區域。如需可用區域的資訊,請參閱中的AWS Transfer Family 端點和配額AWS 一般參考。如需 的詳細資訊FIPS,請參閱聯邦資訊處理標準 (FIPS) 140-2

    8. 選擇 Next (下一步)

  6. 設定其他詳細資訊 中,執行下列動作:

    1. 針對CloudWatch 記錄 ,請選擇下列其中一項來啟用 Amazon CloudWatch 記錄您的使用者活動:

      • 建立新的角色,以允許 Transfer Family 自動建立IAM角色,只要您擁有建立新角色的正確許可。建立IAM的角色稱為 AWSTransferLoggingAccess

      • 選擇現有角色,從您的帳戶中選擇現有IAM角色。在記錄角色 下,選擇角色。此IAM角色應包含服務設定為 的信任政策transfer.amazonaws.com

        如需 CloudWatch 記錄的詳細資訊,請參閱 設定 CloudWatch 記錄角色

      注意

      • CloudWatch 如果您未指定記錄角色,則無法在 中檢視最終使用者活動。

      • 如果您不想設定 CloudWatch 記錄角色,請選取選擇現有角色 ,但不要選取記錄角色。

    2. 針對密碼編譯演算法選項 ,選擇包含啟用供伺服器使用之密碼編譯演算法的安全政策。

      注意

      根據預設,除非您選擇不同的安全政策,否則TransferSecurityPolicy-2020-06安全政策會連接至您的伺服器。

      如需關於安全政策的詳細資訊,請參閱的安全政策 AWS Transfer Family

    3. (選用) 對於伺服器主機金鑰 ,輸入 RSA、 ED25519或 ECDSA 私有金鑰,當用戶端透過 連線到伺服器時,該金鑰將用於識別您的伺服器SFTP。

      注意

      本節僅適用於從已啟用 SFTP的現有伺服器遷移使用者。

    4. (選用) 針對標籤 ,針對金鑰,輸入一或多個標籤作為鍵值對,然後選擇新增標籤

    5. 選擇 Next (下一步)

    6. (選用) 針對受管工作流程 ,選擇 Transfer Family 在執行工作流程時應擔任的工作流程 IDs(和對應的角色)。您可以選擇一個工作流程在完整上傳時執行,另一個工作流程在部分上傳時執行。若要進一步了解如何使用受管工作流程處理檔案,請參閱 AWS Transfer Family 受管工作流程

      受管工作流程主控台區段。

  7. 檢閱和建立 中,檢閱您的選擇。如果您:

    • 想要編輯其中任何一個,請選擇步驟旁的編輯

      注意

      您將需要在選擇編輯的步驟之後檢閱每個步驟。

    • 沒有變更,請選擇建立伺服器以建立伺服器。您會前往顯示下列內容的 Servers (伺服器) 頁面,這裡會列出您的新伺服器。

您可以選擇伺服器 ID,以查看您剛建立之伺服器的詳細設定。填入資料欄公有IPv4地址後,您提供的彈性 IP 地址會成功與伺服器的端點建立關聯。

注意

當您在 中的伺服器VPC上線時,只能修改子網路,且只能透過 UpdateServer 進行修改API。您必須停止伺服器,才能新增或變更伺服器端點的彈性 IP 地址。

變更伺服器的端點類型

如果您有可透過網際網路存取的現有伺服器 (即具有公有端點類型),您可以將其端點變更為VPC端點。

注意

如果您在VPC顯示為 的 中有現有伺服器VPC_ENDPOINT,建議您將其修改為新的VPC端點類型。使用此新端點類型時,您不再需要使用 Network Load Balancer (NLB) 將彈性 IP 地址與伺服器的端點建立關聯。此外,您可以使用VPC安全群組來限制對伺服器端點的存取。不過,您可以視需要繼續使用VPC_ENDPOINT端點類型。

下列程序假設您有一個伺服器使用目前的公有端點類型或較舊的VPC_ENDPOINT類型。

變更伺服器的端點類型

  1. 在 開啟 AWS Transfer Family 主控台https://console.aws.amazon.com/transfer/

  2. 在導覽窗格中,選擇 Servers (伺服器)

  3. 選取您要變更其端點類型的伺服器的核取方塊。

    重要

    您必須先停止伺服器,才能變更其端點。

  4. 針對 Actions (動作),選擇 Stop (停止)。

  5. 在出現的確認對話方塊中,選擇停止以確認您想要停止伺服器。

    注意

    在繼續下一個步驟之前,在端點詳細資訊 中,等待伺服器狀態變更為離線 ;這可能需要幾分鐘的時間。您可能需要在伺服器頁面上選擇重新整理,才能查看狀態變更。

    在伺服器離線 之前,您將無法進行任何編輯。

  6. 端點詳細資訊 中,選擇編輯

  7. 編輯端點組態 中,執行下列動作:

    1. 對於編輯端點類型 ,選擇VPC託管的

    2. 針對存取 ,選擇下列其中一項:

      • 內部,讓端點只能使用端點私有 IP 地址的用戶端存取。

      • 網際網路面向,讓用戶端可透過公有網際網路存取您的端點。

        注意

        當您選擇面向網際網路 時,您可以選擇每個子網路或子網路中現有的彈性 IP 地址。或者,您可以前往VPC主控台 (https://console.aws.amazon.com/vpc/) 配置一或多個新的彈性 IP 地址。這些地址可由您擁有或 AWS 由您擁有。您無法將已在端點上使用的彈性 IP 地址建立關聯。

    3. (僅適用於網際網路面向存取的選用) 對於自訂主機名稱 ,請選擇下列其中一項:

      • Amazon Route 53 DNS 別名 – 如果您要使用的主機名稱已向 Route 53 註冊。然後,您可以輸入主機名稱。

      • 其他 DNS – 如果您要使用的主機名稱已向其他DNS提供者註冊。然後,您可以輸入主機名稱。

      • – 使用伺服器的端點,不使用自訂主機名稱。伺服器主機名稱的格式為 serverId.server.transfer.regionId.amazonaws.com

        若要進一步了解如何使用自訂主機名稱,請參閱 使用自訂主機名稱

    4. 針對 VPC,選擇現有的 VPC ID,或選擇建立 VPC以建立新的 VPC。

    5. 可用區域區段中,選取最多三個可用區域和相關聯的子網路。如果選擇網際網路面向,也請為每個子網路選擇彈性 IP 地址。

      注意

      如果您想要最多三個可用區域,但沒有足夠的可用,請在VPC主控台 () 中建立可用區域https://console.aws.amazon.com/vpc/

      如果您修改子網路或彈性 IP 地址,伺服器需要幾分鐘的時間進行更新。在伺服器更新完成之前,您無法儲存變更。

    6. 選擇 Save (儲存)。

  8. 對於動作 ,選擇開始並等待伺服器狀態變更為線上 ;這可能需要幾分鐘的時間。

    注意

    如果您將公有端點類型變更為VPC端點類型,請注意您伺服器的端點類型已變更為 VPC

預設安全群組會連接至端點。若要變更或新增其他安全群組,請參閱建立安全群組。

停止使用 VPC_ENDPOINT

AWS Transfer Family 正在停止EndpointType=VPC_ENDPOINT為新 AWS 帳戶使用 建立伺服器的功能。自 2021 年 5 月 19 日起,不擁有端點類型為 之 AWS Transfer Family 伺服器 AWS 的帳戶VPC_ENDPOINT將無法使用 建立新的伺服器EndpointType=VPC_ENDPOINT。如果您已經擁有使用VPC_ENDPOINT端點類型的伺服器,建議您EndpointType=VPC盡快開始使用 。如需詳細資訊,請參閱將 AWS Transfer Family 伺服器端點類型從 VPC_ENDPOINT 更新為 VPC

我們在 2020 年稍早推出新的VPC端點類型。如需詳細資訊,請參閱 AWS Transfer Family 的 SFTP支援VPC安全群組和彈性 IP 地址。這個新端點的功能更豐富且符合成本效益,而且不 PrivateLink 收取費用。如需詳細資訊,請參閱AWS PrivateLink 定價

此端點類型在功能上相當於先前的端點類型 (VPC_ENDPOINT)。您可以直接將彈性 IP 地址連接至端點,使其面向網際網路,並使用安全群組進行來源 IP 篩選。如需詳細資訊,請參閱使用 IP 允許清單,以保護 AWS Transfer Family 適用於SFTP伺服器的 部落格文章。

您也可以在共用環境中託管此端點VPC。如需詳細資訊,請參閱 AWS Transfer Family 現在支援共用服務VPC環境

除了 之外SFTP,您可以使用 VPCEndpointType來啟用 FTPS和 FTP。我們不打算將這些功能和FTPS/FTP支援新增至 EndpointType=VPC_ENDPOINT。我們也從 AWS Transfer Family 主控台中移除此端點類型作為選項。

您可以使用 Transfer Family 主控台、 AWS CLI、 APISDKs或 變更伺服器的端點類型 AWS CloudFormation。若要變更伺服器的端點類型,請參閱 將 AWS Transfer Family 伺服器端點類型從 VPC_ENDPOINT 更新為 VPC

如果您有任何問題,請聯絡 AWS 支援 或您的 AWS 客戶團隊。

注意

我們不打算將這些功能和FTPS/或FTP支援新增至 EndpointType=VPC_ENDPOINT。我們不再提供它作為 AWS Transfer Family 主控台上的選項。

如果您有其他問題,可以透過 AWS 支援 或您的客戶團隊與我們聯絡。