在虛擬私有雲中建立伺服器 - AWS Transfer Family

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在虛擬私有雲中建立伺服器

您可以在虛擬私有雲 (VPC) 內託管伺服器端點,用於在 Amazon S3 儲存貯體或 Amazon EFS 檔案系統之間傳輸資料,而無需透過公用網際網路。

注意

2021 年 5 月 19 日之後,如果您的AWS帳戶EndpointType=VPC_ENDPOINT在 2021 年 5 月 19 日之前尚未使用,您將無法使用您的帳戶建立伺服器。如果您在 2021 年 2 月 21 日或之前已經EndpointType=VPC_ENDPOINT在您的AWS帳戶中創建了服務器,則不會受到影響。在此日期之後,使用 EndpointType = VPC。如需詳細資訊,請參閱 停止使用 VPC_ 端點

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 託管資AWS源,則可以在 VPC 和伺服器之間建立私有連接。然後,您可以使用此伺服器透過用戶端在 Amazon S3 儲存貯體之間傳輸資料,而無需使用公有 IP 定址或需要網際網路閘道。

您可以使用 Amazon VPC 在自訂虛擬網路中啟動AWS資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。如需 VPC 的詳細資訊,請參閱什麼是 Amazon V PC? 在 Amazon VPC 用戶指南中。

在接下來的章節中,找到有關如何建立 VPC 並將其連接到伺服器的說明。作為概述,您可以執行以下操作:

  1. 使用 VPC 端點設定伺服器。

  2. 透過 VPC 端點使用 VPC 內部的用戶端 Connect 線到伺服器。這樣做可讓您透過用戶端使用傳輸存放在 Amazon S3 儲存貯體中的資料AWS Transfer Family。即使網路與公用網際網路中斷連線,您也可以執行此傳輸。

  3. 此外,如果您選擇讓伺服器的端點網際網路對向,您可以將彈性 IP 位址與端點建立關聯。這樣做可讓 VPC 以外的用戶端連線到您的伺服器。您可以使用 VPC 安全群組來控制對僅來自允許位址的要求所產生之已驗證使用者的存取。

建立只能在 VPC 中存取的伺服器端點

在下列程序中,您會建立只有 VPC 內的資源可存取的伺服器端點。

在 VPC 內建立伺服器端點
  1. 請在以下位置開啟AWS Transfer Family主控台。 https://console.aws.amazon.com/transfer/

  2. 在導覽窗格中,選取伺服器,然後選擇建立伺服器

  3. 在 [選擇通訊協定] 中選取一或多個通訊協定,然後選擇 [一步]。如需通訊協定的詳細資訊,請參閱步驟 2:建立啟用 SFTP 的伺服器

  4. 在 [選擇身分識別提供者] 中,選擇 [用來儲存使用者識別和金鑰的受管服務]AWS Transfer Family,然後選擇 [下一步]

    注意

    此程序使用服務管理的選項。如果選擇「自訂」,則提供 Amazon API Gateway 端點和 AWS Identity and Access Management (IAM) 角色來存取端點。這樣,您就可以整合目錄服務來驗證和授權使用者。若要進一步了解使用自訂身分提供者,請參閱使用自訂身分識別提供者

  5. 選擇端點中,執行下列操作:

    注意

    適用於 Transfer Family 的 FTP 和 FTPS 伺服器可在連接埠 21 (控制通道) 和連接埠範圍 8192-8200 (資料通道) 上運作。

    1. 對於端點類型,請選擇 VPC 託管端點類型來託管伺服器的端點。

    2. 對於 [存取],選擇 [內部],讓您的端點僅供使用端點私有 IP 位址的用戶端存取。

      注意

      如需「網際網路對接」選項的詳細資訊,請參閱 為您的伺服器建立面向網際網路的端點 在 VPC 中建立的僅供內部存取的伺服器不支援自訂主機名稱。

    3. 對於 VPC,請選擇現有的 VPC ID 或選擇 [建立 VPC] 以建立新的 VPC

    4. 在「可用區域」段落中,選擇最多三個可用區域和相關子網路。

    5. 在「安全群組」區段中,選擇現有的一或多個安全性群組 ID,或選擇「建立安全性群組」以建立新的安全性群組。如需有關安全群組的詳細資訊,請參閱 Amazon Virtual Private Cloud 使用者指南中的 VPC 安全群組。若要建立安全群組,請參閱 Amazon Virtual Private Cloud 使用者指南中的建立安全群組。

      注意

      您的 VPC 會自動具有預設安全群組。如果您在啟動伺服器時未指定不同的安全群組或群組,我們會將預設安全性群組與您的伺服器建立關聯。

      對於安全性群組的輸入規則,您可以將 SSH 流量設定為使用連接埠 22、2222 或兩者。連接埠 22 是預設設定的。若要使用連接埠 2222,請將輸入規則新增至安全性群組。針對類型,選擇 [自訂 TCP],然後輸入 2222 [連接埠範圍],然後針對來源輸入與 SSH 連接埠 22 規則相同的 CIDR 範圍。

      
               範例安全群組的輸入規則,顯示連接埠 22 上的 SSH 和連接埠 2222 上的自訂 TCP 規則。
    6. (選擇性) 對於啟用 FIPS,請選取已啟用 FIPS 的端點核取方塊,以確保端點符合聯邦資訊處理標準 (FIPS)。

      注意

      已啟用 FIPS 的端點僅適用於北美AWS地區。如需可用區AWS Transfer Family域,請參閱 AWS 一般參考. 如需 FIPS 的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2。

    7. 選擇下一步

  6. 設定其他詳細資料中,執行下列動作:

    1. 對於CloudWatch 記錄,請選擇下列其中一項來啟用 Amazon CloudWatch 記錄使用者活動:

      • 建立新角色以允許 Transfer Family 自動建立 IAM 角色,只要您擁有建立新角色的適當權限即可。所建立的 IAM 角色稱為AWSTransferLoggingAccess

      • 選擇現有角色以從您的帳戶中選擇現有的 IAM 角色。在記錄角色下,選擇角色。此 IAM 角色應包含服務設定為的信任政策transfer.amazonaws.com

        如需 CloudWatch 記錄的詳細資訊,請參閱設定 CloudWatch 記錄角色

      注意
      • 如果您未指定記錄角色, CloudWatch 則無法檢視中的使用者活動。

      • 如果您不想設定 CloudWatch 記錄角色,請選取 [選擇現有角色],但不要選取記錄角色。

    2. 對於密碼編譯演算法選項,請選擇包含伺服器啟用的加密演算法的安全性原則。

      注意

      根據預設,除非您選擇不同的TransferSecurityPolicy-2020-06安全性原則,否則安全性原則會附加至您的伺服器。

      如需關於安全政策的詳細資訊,請參閱的安全性原則 AWS Transfer Family

    3. (選擇性) 對於「伺服器主機金鑰」,請輸入 RSA、ED25519 或 ECDSA 私密金鑰,當用戶端透過 SFTP 連線至伺服器時,用來識別伺服器。

      注意

      本節僅適用於從現有啟用 SFTP 的伺服器移轉使用者。

    4. (選擇性) 對於標,對於「值」和「」,輸入一或多個標籤作為鍵值配對,然後選擇「新增標籤」。

    5. 選擇下一步

  7. 在「檢閱並建立」中,檢閱您的選擇。如果您:

    • 要編輯其中任何一個,請選擇步驟旁邊的 「編輯」

      注意

      您必須在選擇要編輯的步驟之後檢閱每個步驟。

    • 沒有變更,請選擇 [建立伺服器] 來建立您的伺服器。您會前往顯示下列內容的 Servers (伺服器) 頁面,這裡會列出您的新伺服器。

新伺服器的狀態變更為「線上」可能需要幾分鐘的時間。此時,您的伺服器會執行您使用者的檔案操作。

為您的伺服器建立面向網際網路的端點

在下列程序中,您會建立伺服器端點。只有 VPC 預設安全性群組中允許來源 IP 位址的用戶端才能透過網際網路存取此端點。此外,透過使用彈性 IP 位址讓您的端點網際網路對向,您的用戶端可以使用彈性 IP 位址來允許存取其防火牆中的端點。

注意

只有 SFTP 和 FTPS 可以在面向網際網路的 VPC 託管端點上使用。

建立網際網路對向端點
  1. 請在以下位置開啟AWS Transfer Family主控台。 https://console.aws.amazon.com/transfer/

  2. 在導覽窗格中,選取伺服器,然後選擇建立伺服器

  3. 在 [選擇通訊協定] 中選取一或多個通訊協定,然後選擇 [一步]。如需通訊協定的詳細資訊,請參閱步驟 2:建立啟用 SFTP 的伺服器

  4. 在 [選擇身分識別提供者] 中,選擇 [用來儲存使用者識別和金鑰的受管服務]AWS Transfer Family,然後選擇 [下一步]

    注意

    此程序使用服務管理的選項。如果選擇「自訂」,則提供 Amazon API Gateway 端點和 AWS Identity and Access Management (IAM) 角色來存取端點。這樣,您就可以整合目錄服務來驗證和授權使用者。若要進一步了解使用自訂身分提供者,請參閱使用自訂身分識別提供者

  5. 選擇端點中,執行下列操作:

    1. 對於端點類型,請選擇 VPC 託管端點類型來託管伺服器的端點。

    2. 在 [存取] 中,選擇 [網際網路對向] 讓用戶端透過網際網路存取您的端點。

      注意

      當您選擇「網際網路對接」時,您可以在每個子網路或子網路中選擇現有的彈性 IP 位址。或者,您可以轉到 VPC 控制台(https://console.aws.amazon.com/vpc/)以分配一個或多個新的彈性 IP 地址。這些地址可以由您擁有,也可AWS以由您擁有。您無法將已在使用的彈性 IP 位址與端點建立關聯。

    3. (選擇性) 對於「自訂主機名稱」,請選擇下列其中一項:

      注意

      AWS GovCloud (US)需要直接透過彈性 IP 位址連線的客戶,或在商業路線 53 內建立指向 EIP 的主機名稱記錄。如需將 Route 53 用於 GovCloud 端點的詳細資訊,請參閱使用AWS GovCloud (US)者指南中的使用您的AWS GovCloud (US)資源設定 Amazon Route 53

      • Amazon 路由 53 DNS 別名 — 如果您要使用的主機名已在 Route 53 中註冊。然後,您可以輸入主機名稱。

      • 其他 DNS — 如果您要使用的主機名稱已向其他 DNS 提供商註冊。然後,您可以輸入主機名稱。

      • — 使用伺服器的端點,而不使用自訂主機名稱。伺服器主機名稱的格式為 server-id.server.transfer.region.amazonaws.com

        注意

        對於中的客戶AWS GovCloud (US),選取「」並不會以此格式建立主機名稱。

      若要深入瞭解如何使用自訂主機名稱,請參閱使用自訂主機名稱

    4. 對於 VPC,請選擇現有的 VPC ID 或選擇 [建立 VPC] 以建立新的 VPC

    5. 在「可用區域」段落中,選擇最多三個可用區域和相關子網路。對於 IPv4 位址,請為每個子網路選擇一個彈性 IP 位址。這是用戶端可用來允許在其防火牆中存取端點的 IP 位址。

    6. 在「安全群組」區段中,選擇現有的一或多個安全性群組 ID,或選擇「建立安全性群組」以建立新的安全性群組。如需有關安全群組的詳細資訊,請參閱 Amazon Virtual Private Cloud 使用者指南中的 VPC 安全群組。若要建立安全群組,請參閱 Amazon Virtual Private Cloud 使用者指南中的建立安全群組。

      注意

      您的 VPC 會自動具有預設安全群組。如果您在啟動伺服器時未指定不同的安全群組或群組,我們會將預設安全性群組與您的伺服器建立關聯。

      對於安全性群組的輸入規則,您可以將 SSH 流量設定為使用連接埠 22、2222 或兩者。連接埠 22 是預設設定的。若要使用連接埠 2222,請將輸入規則新增至安全性群組。針對類型,選擇 [自訂 TCP],然後輸入 2222 [連接埠範圍],然後針對來源輸入與 SSH 連接埠 22 規則相同的 CIDR 範圍。

      
               範例安全群組的輸入規則,顯示連接埠 22 上的 SSH 和連接埠 2222 上的自訂 TCP 規則。
    7. (選擇性) 對於啟用 FIPS,請選取已啟用 FIPS 的端點核取方塊,以確保端點符合聯邦資訊處理標準 (FIPS)。

      注意

      已啟用 FIPS 的端點僅適用於北美AWS地區。如需可用區AWS Transfer Family域,請參閱 AWS 一般參考. 如需 FIPS 的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2。

    8. 選擇下一步

  6. 設定其他詳細資料中,執行下列動作:

    1. 對於CloudWatch 記錄,請選擇下列其中一項來啟用 Amazon CloudWatch 記錄使用者活動:

      • 建立新角色以允許 Transfer Family 自動建立 IAM 角色,只要您擁有建立新角色的適當權限即可。所建立的 IAM 角色稱為AWSTransferLoggingAccess

      • 選擇現有角色以從您的帳戶中選擇現有的 IAM 角色。在記錄角色下,選擇角色。此 IAM 角色應包含服務設定為的信任政策transfer.amazonaws.com

        如需有關 CloudWatch 記錄的詳細資訊,請參閱設定 CloudWatch 記錄角色

      注意
      • 如果您未指定記錄角色, CloudWatch 則無法檢視中的使用者活動。

      • 如果您不想設定 CloudWatch 記錄角色,請選取 [選擇現有角色],但不要選取記錄角色。

    2. 對於密碼編譯演算法選項,請選擇包含伺服器啟用的加密演算法的安全性原則。

      注意

      根據預設,除非您選擇不同的TransferSecurityPolicy-2020-06安全性原則,否則安全性原則會附加至您的伺服器。

      如需關於安全政策的詳細資訊,請參閱的安全性原則 AWS Transfer Family

    3. (選擇性) 對於「伺服器主機金鑰」,請輸入 RSA、ED25519 或 ECDSA 私密金鑰,當用戶端透過 SFTP 連線至伺服器時,用來識別伺服器。

      注意

      本節僅適用於從現有啟用 SFTP 的伺服器移轉使用者。

    4. (選擇性) 對於標,對於「值」和「」,輸入一或多個標籤作為鍵值配對,然後選擇「新增標籤」。

    5. 選擇下一步

    6. (選擇性) 對於「受管理的工作流程」,請選擇「Transfer Family」在執行工作流程時應承擔的工作流程 ID (以及對應角色)。您可以選擇一個工作流程在完成上載時執行,另一個工作流程在部分上傳時執行。若要進一步瞭解如何使用受管理的工作流程處理檔案,請參閱AWS Transfer Family 管理工作流

      
                                受管理工作流程主控台區段。
  7. 在「檢閱並建立」中,檢閱您的選擇。如果您:

    • 要編輯其中任何一個,請選擇步驟旁邊的 「編輯」

      注意

      您必須在選擇要編輯的步驟之後檢閱每個步驟。

    • 沒有變更,請選擇 [建立伺服器] 來建立您的伺服器。您會前往顯示下列內容的 Servers (伺服器) 頁面,這裡會列出您的新伺服器。

您可以選擇伺服器 ID,以查看剛建立之伺服器的詳細設定。填入 [公用 IPv4 位址] 資料行之後,您提供的彈性 IP 位址就會成功與伺服器的端點建立關聯。

注意

當 VPC 中的伺服器連線時,只能透過 API 修改子網路。UpdateServer您必須停止伺服器,才能新增或變更伺服器端點的彈性 IP 位址。

變更伺服器的端點類型

如果您有可透過網際網路存取的現有伺服器 (也就是具有公用端點類型),則可以將其端點變更為 VPC 端點。

注意

如果 VPC 中的現有伺服器顯示為VPC_ENDPOINT,建議您將其修改為新的 VPC 端點類型。使用此新端點類型,您不再需要使用 Network Load Balancer (NLB) 將彈性 IP 位址與伺服器端點建立關聯。此外,您可以使用 VPC 安全群組來限制對伺服器端點的存取。不過,您可以視需要繼續使用VPC_ENDPOINT端點類型。

下列程序假設您的伺服器使用目前的公用端點類型或較舊的VPC_ENDPOINT類型。

變更伺服器的端點類型
  1. 開啟主AWS Transfer Family控台,網址為 https://console.aws.amazon.com/transfer/

  2. 在導覽窗格中,選擇 Servers (伺服器)

  3. 選取要變更其端點類型之伺服器的核取方塊。

    重要

    您必須先停止伺服器,才能變更其端點。

  4. 針對 Actions (動作),選擇 Stop (停止)。

  5. 在出現的確認對話方塊中,選擇「停止」以確認您要停止伺服器。

    注意

    在繼續執行下一個步驟之前,請在端點詳細資料中等待伺服器的狀態變更為 [離線];這可能需要幾分鐘的時間。您可能必須在「伺服器」頁面上選擇「重新整理」,才能查看狀態變更。

    在伺服器離線之前,您將無法進行任何編輯。

  6. 端點詳細資料中,選擇編輯

  7. 編輯端點組態中,執行下列操作:

    1. 針對 [編輯端點類型],選擇 [VPC 託管]。

    2. 對於「存取」,請選擇下列其中一項:

      • 內部,使您的端點只能由使用端點的私有 IP 地址的客戶端訪問。

      • 網際網路面對」可讓用戶端透過公用網際網路存取您的端點。

        注意

        當您選擇「網際網路對接」時,您可以在每個子網路或子網路中選擇現有的彈性 IP 位址。或者,您可以轉到 VPC 控制台(https://console.aws.amazon.com/vpc/)以分配一個或多個新的彈性 IP 地址。這些地址可以由您擁有,也可AWS以由您擁有。您無法將已在使用的彈性 IP 位址與端點建立關聯。

    3. (僅適用於面向網際網路存取的選擇性) 對於自訂主機名稱,請選擇下列其中一項:

      • Amazon 路由 53 DNS 別名 — 如果您要使用的主機名已在 Route 53 中註冊。然後,您可以輸入主機名稱。

      • 其他 DNS — 如果您要使用的主機名稱已向其他 DNS 提供商註冊。然後,您可以輸入主機名稱。

      • — 使用伺服器的端點,而不使用自訂主機名稱。伺服器主機名稱的格式為 serverId.server.transfer.regionId.amazonaws.com

        若要深入瞭解如何使用自訂主機名稱,請參閱使用自訂主機名稱

    4. 對於 VPC,請選擇現有的 VPC ID,或選擇 [建立 VPC] 以建立新的 VPC

    5. 在「可用區域」段落中,選取最多三個可用區域和相關子網路。如果選擇「網際網路對向」,也請為每個子網路選擇一個彈性 IP 位址。

      注意

      如果您想要最多三個可用區域,但沒有足夠的可用區域,請在 VPC 主控台 (https://console.aws.amazon.com/vpc/) 中建立它們。

      如果您修改子網路或彈性 IP 位址,伺服器需要幾分鐘的時間來更新。在伺服器更新完成之前,您無法儲存變更。

    6. 選擇儲存

  8. 在 [動作] 中,選擇 [開始],然後等待伺服器狀態變更為 [線上];這可能需要幾分鐘的時間。

    注意

    如果您將公用端點類型變更為 VPC 端點類型,請注意您伺服器的端點類型已變更為 V PC。

預設安全群組會附加至端點。若要變更或新增其他安全性群組,請參閱建立安全性群組

停止使用 VPC_ 端點

AWS Transfer Family正在停止EndpointType=VPC_ENDPOINT為新AWS帳戶建立伺服器的能力。自 2021 年 5 月 19 日起,未擁有端點類型的AWS Transfer Family伺服器的AWS帳戶VPC_ENDPOINT將無法使用EndpointType=VPC_ENDPOINT. 如果您已經擁有使用VPC_ENDPOINT端點類型的伺服器,建議您EndpointType=VPC儘快開始使用。如需詳細資訊,請參閱將AWS Transfer Family伺服器端點類型從 VPC_ENDPOINT 更新為 VPC。

我們於 2020 年早些時候推出了新的VPC端點類型。如需詳細資訊,請參AWS Transfer Family閱 SFTP 支援 VPC 安全群組和彈性 IP 位址。這個新的端點功能更豐富,更具成本效益,並且不 PrivateLink 收取任何費用。如需詳細資訊,請參閱AWS PrivateLink 定價

此端點類型在功能上等同於先前的端點類型 (VPC_ENDPOINT)。您可以將彈性 IP 位址直接連接到端點,使其面向網際網路,並使用安全群組進行來源 IP 篩選。如需詳細資訊,請參閱使用 IP 允許清單來保護您AWS Transfer Family的 SFTP 伺服器部落格文章。

您也可以在共用 VPC 環境中託管此端點。如需詳細資訊,請參閱AWS Transfer Family現在支援共用服務 VPC 環境

除了 SFTP 之外,您還可以使用 VPC EndpointType 來啟用 FTPS 和 FTP。我們不打算將這些功能和 FTPS/FTP 支持添加到. EndpointType=VPC_ENDPOINT 我們還從AWS Transfer Family控制台中刪除了此端點類型作為選項。

您可以使用 Transfer Family 主控台、API AWS CLI、SDK 或AWS CloudFormation變更伺服器的端點類型。若要變更伺服器的端點類型,請參閱將AWS Transfer Family伺服器端點類型從 VPC_ 端點更新為 VPC

如果您有任何疑問,請聯絡AWS Support或您的AWS客戶團隊。

注意

我們不打算將這些功能和 FTPS 或 FTP 支持添加到 EndpointType = VPC_ 端點。我們不再在AWS Transfer Family控制台上將其作為選項提供。

如果您還有其他問題,可以通過AWS Support或您的客戶團隊與我們聯繫。