在虛擬私有雲端中建立伺服器 - AWS Transfer Family

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在虛擬私有雲端中建立伺服器

您可以在虛擬私有雲 (VPC) 內託管伺服器端點,用於在 Amazon S3 儲存貯體或 Amazon EFS 檔案系統之間傳輸資料,而無需透過公用網際網路。

注意

2021 年 5 月 19 日之後,您無法使用建立伺服器EndpointType=VPC_ENDPOINT在您的AWS帳戶(如果您的帳戶在 2021 年 5 月 19 日之前尚未完成)。如果您已建立的伺服器EndpointType=VPC_ENDPOINT在您的AWS在 2021 年 2 月 21 日或之前的帳戶將不會受到影響。在此日期之後,請使用EndpointType=VPC。如需詳細資訊,請參閱 停止使用 VPC_ 端點

如果您使用 Amazon Virtual Private Cloud (Amazon VPC) 來託管您的AWS資源,您可以在 VPC 和伺服器之間建立私有連線。然後,您可以使用此伺服器透過您的用戶端往返 Amazon S3 儲存貯體傳輸資料,而不需透過公有網際網路。

您可以使用 Amazon VPCAWS在自訂虛擬網路中的資源。您可利用 VPC 來控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。如需 VPC 的詳細資訊,請參閱。什麼是 Amazon VPC?中的Amazon VPC User Guide

在下一節中,找到如何建立 VPC 並將其連接到伺服器的指示。作為概述,您可以執行以下操作:

  1. 使用 VPC 端點來設定伺服器。

  2. 使用您在 VPC 中的用戶端透過 VPC 端點 Connect 到伺服器。這麼做可讓您使用透過 Amazon S3 儲存貯體傳輸存放在 Amazon S3 儲存貯體的資料。AWS Transfer Family。即使已與公有網路中斷連線,您也可以執行此傳輸。

  3. 此外,如果您選擇讓伺服器的端點網際網路對向,您可以將彈性 IP 位址與端點建立關聯。這樣做可讓 VPC 以外的用戶端連線到您的伺服器。您可以使用 VPC 安全群組來控制對僅來自允許位址的要求所產生之已驗證使用者的存取。

建立只能在 VPC 中存取的伺服器端點

在下列程序中,您將建立一個伺服器端點,此端點只能由 VPC 中的資源存取。

在 VPC 內建立伺服器端點

  1. 開啟AWS Transfer Family主控台https://console.aws.amazon.com/transfer/

  2. 從導覽窗格中,選取伺服器,然後選擇建立伺服器

  3. In選擇通訊協定,選擇一或多個通訊協定,然後選擇下一頁。如需通訊協定的詳細資訊,請參閱。步驟 2:建立啟用 SFTP 的伺服器

  4. In選擇身分供應商,選擇受管服務存儲用戶身份和密鑰AWS Transfer Family下一步,然後選擇下一頁

    注意

    此程序使用服務受管選項。如果選擇自訂,您提供 Amazon API Gateway 端點和AWS Identity and Access Management用於存取端點的 (IAM) 角色。如此即可整合您的目錄服務,驗證您的使用者身份並授權。若要進一步了解使用自訂身分供應商,請參閱使用自訂身分提供者

  5. In選擇端點,執行下列動作:

    注意

    適用於 Transfer Family 的 FTP 和 FTPS 伺服器可在連接埠 21 (控制通道) 和連接埠範圍 8192-8200 (資料通道) 上運作。

    1. 適用於Endpoint type (端點類型),選擇VPC 端託管用於託管服務器端點的端點類型。

    2. 適用於存取,選擇內部 (Internal)使您的端點僅供使用端點私有 IP 地址的客戶訪問。

      注意

      如需詳細資訊,面向互聯網選項,請參閱為伺服器建立面向 Internet 的端點。在 VPC 中建立的伺服器,僅供內部存取使用,不支援自訂的主機名稱。

    3. 適用於VPC中,選擇現有的 VPC ID 或選擇建立 VPC建立新 VPC

    4. 在 中可用區域區段中,選擇多達三個可用區域和關聯的子網路。

    5. 在 中安全群組區段中,選擇現有的安全性群組 ID 或 ID,或選擇建立安全群組建立新的安全群組 如需安全群組的詳細資訊,請參閱 。VPC 的安全群組中的Amazon Virtual Private Cloud 使用者指南。若要建立安全群組,請參閱建立安全群組中的Amazon Virtual Private Cloud 使用者指南

      注意

      您的 VPC 會自動具有預設安全群組。如果您並未在啟動伺服器時指定不同的安全群組,則與您的伺服器預設安全群組建立關聯。

    6. (選擇性) 對於FIPS 已啟用下一步,選取FIPS 已啟用端點核取方塊,確保端點符合聯邦資訊處理標準 (FIPS)。

      注意

      已啟用 FIPS 的端點僅在北美地區提供AWS區域。如需可用的區域,請參閱AWS Transfer Family端點和配額中的AWS一般參考。如需 FIPS 的詳細資訊,請參閱。美國聯邦資訊處理標準 (FIPS) 140-2

    7. 選擇 Next (下一步)。

  6. In設定其他詳細資訊,執行下列動作:

    1. 適用於CloudWatch 記錄,選擇下列其中一項,啟用 Amazon Virtual (Amazon Virtual CloudWatch 記錄您的用戶活動:

      • Create a new role (建立新角色)允許 Transfer Family 自動建立 IAM 角色,只要您擁有建立新角色的適當權限即可。所建立的 IAM 角色稱為AWSTransferLoggingAccess

      • 選擇現有角色從您的帳戶選擇現有 IAM 角色。UNTER記錄角色,選擇角色。此 IAM 角色應包含信任政策Service (服務)設定transfer.amazonaws.com

        如需有關 的詳細資訊 CloudWatch 記錄,請參閱使用日誌記錄活動 CloudWatch

      注意
      • 您無法檢視中的終端使用者活動 CloudWatch 如不指定日誌角色。

      • 如果您不想要設定 CloudWatch 記錄角色, 選擇選擇現有角色,但不要選取記錄角色。

    2. 適用於密碼編譯算法選項」中,選擇包含啟用供伺服器使用的加密演算法的安全性原則。

      注意

      在預設情況下,TransferSecurityPolicy-2020-06安全政策會附加到伺服器,除非您選擇不同伺服器。

      如需關於安全政策的詳細資訊,請參閱使用安全政策

    3. (選擇性) 對於伺服器主機金鑰,輸入 RSA、ED25519 或 ECDSA 私有金鑰,當用戶端透過 SFTP 連線到伺服器時,該私有金鑰將用於識別您的伺服器。

      注意

      本節僅適用於從現有啟用 SFTP 的伺服器移轉使用者。

    4. (選擇性) 對於標籤,為金鑰數值,輸入一或多個標籤做為金鑰/值對,然後選擇新增標籤

    5. 選擇 Next (下一步)。

  7. InReview and create (檢閱和建立),檢視您的選擇。如果您:

    • 要編輯其中的任何一個,選擇Edit (編輯)在步驟旁邊。

      注意

      您必須在選擇編輯的步驟後檢閱每個步驟。

    • 沒有變更,請選擇建立伺服器建立您的伺服器。您會前往顯示下列內容的 Servers (伺服器) 頁面,這裡會列出您的新伺服器。

您的新伺服器狀態需要幾分鐘才會變更成線上。此時,您的伺服器會執行您使用者的檔案操作。

為伺服器建立面向 Internet 的端點

在下列程序中,您會建立伺服器端點。只有 VPC 預設安全性群組中允許來源 IP 位址的用戶端才能透過網際網路存取此端點。此外,透過使用彈性 IP 位址讓您的端點網際網路對向,您的用戶端可以使用彈性 IP 位址來允許存取其防火牆中的端點。

注意

只有 SFTP 和 FTPS 可以在面向網際網路的 VPC 託管端點上使用。

建立面向網際網路的端點

  1. 開啟AWS Transfer Family主控台https://console.aws.amazon.com/transfer/

  2. 從導覽窗格中,選取伺服器,然後選擇建立伺服器

  3. In選擇通訊協定,選擇一或多個通訊協定,然後選擇下一頁。如需通訊協定的詳細資訊,請參閱。步驟 2:建立啟用 SFTP 的伺服器

  4. In選擇身分供應商,選擇受管服務存儲用戶身份和密鑰AWS Transfer Family下一步,然後選擇下一頁

    注意

    此程序使用服務受管選項。如果選擇自訂,您提供 Amazon API Gateway 端點和AWS Identity and Access Management用於存取端點的 (IAM) 角色。如此即可整合您的目錄服務,驗證您的使用者身份並授權。若要進一步了解使用自訂身分供應商,請參閱使用自訂身分提供者

  5. In選擇端點,執行下列動作:

    1. 適用於Endpoint type (端點類型),選擇VPC 端託管用於託管服務器端點的端點類型。

    2. 適用於存取,選擇面向互聯網使客戶可以通過互聯網訪問您的端點。

      注意

      當您選擇面向互聯網,您可以在每項子網路或子網路中選擇現有的彈性 IP 地址。或者,您可以轉到 VPC 控制台(https://console.aws.amazon.com/vpc/) 以配置一或多個新的彈性 IP 地址。這些地址可以由AWS或由你。您無法將已在使用的彈性 IP 位址與端點建立關聯。

    3. (選擇性) 對於自訂主機名稱,選擇下列其中一項:

      • Amazon Route 53 DNS 別名— 如果您希望使用的主機名稱是向 Route 53 註冊的。您便可以輸入主機名稱。

      • 其他 DNS— 若您希望使用的主機名稱是向另一個 DNS 提供者註冊的。您便可以輸入主機名稱。

      • — 使用伺服器的端點,而非自訂主機名稱。伺服器主機名稱的格式為 server-id.server.transfer.region.amazonaws.com

        若要進一步了解使用自訂主機名稱,請參閱。使用自訂主機名稱

    4. 適用於VPC中,選擇現有的 VPC ID 或選擇建立 VPC建立新 VPC

    5. 在 中可用區域區段中,選擇多達三個可用區域和關聯的子網路。適用於IPv4 地址,選擇一個彈性 IP 地址針對每個子網路。這是您的用戶端可用來允許在其防火牆中存取端點的 IP 位址。

    6. 在 中安全群組區段中,選擇現有的安全性群組 ID 或 ID,或選擇建立安全群組建立新的安全群組 如需安全群組的詳細資訊,請參閱 。VPC 的安全群組中的Amazon Virtual Private Cloud 使用者指南。若要建立安全群組,請參閱建立安全群組中的Amazon Virtual Private Cloud 使用者指南

      注意

      您的 VPC 會自動具有預設安全群組。如果您並未在啟動伺服器時指定不同的安全群組,則與您的伺服器預設安全群組建立關聯。

    7. (選擇性) 對於FIPS 已啟用下一步,選取FIPS 已啟用端點核取方塊,確保端點符合聯邦資訊處理標準 (FIPS)。

      注意

      已啟用 FIPS 的端點僅在北美地區提供AWS區域。如需可用的區域,請參閱AWS Transfer Family端點和配額中的AWS一般參考。如需 FIPS 的詳細資訊,請參閱。美國聯邦資訊處理標準 (FIPS) 140-2

    8. 選擇 Next (下一步)。

  6. In設定其他詳細資訊,執行下列動作:

    1. 適用於CloudWatch 記錄,選擇下列其中一項,啟用 Amazon Virtual (Amazon Virtual CloudWatch 記錄您的用戶活動:

      • Create a new role (建立新角色)允許 Transfer Family 自動建立 IAM 角色,只要您擁有建立新角色的適當權限即可。所建立的 IAM 角色稱為AWSTransferLoggingAccess

      • 選擇現有角色從您的帳戶選擇現有 IAM 角色。UNTER記錄角色,選擇角色。此 IAM 角色應包含信任政策Service (服務)設定transfer.amazonaws.com

        如需有關 的詳細資訊 CloudWatch 記錄,請參閱使用日誌記錄活動 CloudWatch

      注意
      • 您無法檢視中的終端使用者活動 CloudWatch 如不指定日誌角色。

      • 如果您不想要設定 CloudWatch 記錄角色, 選擇選擇現有角色,但不要選取記錄角色。

    2. 適用於密碼編譯算法選項」中,選擇包含啟用供伺服器使用的加密演算法的安全性原則。

      注意

      在預設情況下,TransferSecurityPolicy-2020-06安全政策會附加到伺服器,除非您選擇不同伺服器。

      如需關於安全政策的詳細資訊,請參閱使用安全政策

    3. (選擇性) 對於伺服器主機金鑰,輸入 RSA、ED25519 或 ECDSA 私有金鑰,當用戶端透過 SFTP 連線到伺服器時,該私有金鑰將用於識別您的伺服器。

      注意

      本節僅適用於從現有啟用 SFTP 的伺服器移轉使用者。

    4. (選擇性) 對於標籤,為金鑰數值,輸入一或多個標籤做為金鑰/值對,然後選擇新增標籤

    5. 選擇 Next (下一步)。

    6. (選擇性) 對於受管工作流程」中,選取「轉移系列」在執行工作流程時應承擔的工作流程 ID 和對應角色。若要進一步瞭解如何使用受管理的工作流程處理檔案,請參閱AWS Transfer Family受控工作流程

      
                                顯示標籤部分的主控台螢幕擷取畫面。
  7. InReview and create (檢閱和建立),檢視您的選擇。如果您:

    • 要編輯其中的任何一個,選擇Edit (編輯)在步驟旁邊。

      注意

      您必須在選擇編輯的步驟後檢閱每個步驟。

    • 沒有變更,請選擇建立伺服器建立您的伺服器。您會前往顯示下列內容的 Servers (伺服器) 頁面,這裡會列出您的新伺服器。

您可以選擇伺服器 ID,以查看您剛建立的伺服器的詳細設定。列之後公有 IPv4 地址已填入,您提供的彈性 IP 位址已成功與伺服器的端點建立關聯。

注意

當 VPC 中的伺服器處於線上狀態時,只能修改子網路,而且只能透過UpdateServerAPI。您必須停止伺服器以新增或變更伺服器端點的彈性 IP 位址。

變更您的伺服器的端點類型

如果您的現有伺服器可透過網際網路存取 (即具有公有端點類型),您可以將其端點變更為 VPC 端點。

注意

如果 VPC 中的現有伺服器顯示為VPC_ENDPOINT,我們建議您將其修改為新的 VPC 端點類型。使用此新端點類型,您不再需要使用 Network Load Balancer (NLB) 將彈性 IP 位址與伺服器端點建立關聯。此外,您可以使用 VPC 安全群組來限制存取伺服器的端點。不過,您可以繼續使用VPC_ENDPOINT根據需要的端點類型。

下列程序假設您有伺服器使用目前的公有端點類型或較舊的公有端點類型VPC_ENDPOINT

變更您的伺服器的端點類型

  1. 開啟AWS Transfer Family主控台https://console.aws.amazon.com/transfer/

  2. 在導覽窗格中,選擇 Servers (伺服器)

  3. 選取您要變更其端點類型的伺服器的核取方塊。

    重要

    您必須先停止伺服器,才能變更其端點。

  4. 針對 Actions (動作),選擇 Stop (停止)。

  5. 在出現的確認對話方塊中,選擇停止,確認要停止伺服器。

    注意

    在繼續進行下一步之前,請參閱端點詳細資料,等待狀態要變更為的伺服器離線; 這可能需要數分鐘。您可能必須選擇重新整理伺服器頁面以查看狀態變更。

    伺服器出現之前,您無法進行任何編輯離線

  6. In端點詳細資料,選擇Edit (編輯)

  7. In編輯端點組態,執行下列動作:

    1. 適用於編輯端點類型,選擇VPC 端託管

    2. 適用於存取,選擇下列其中一項:

      • 內部 (Internal)使您的端點僅供使用端點私有 IP 地址的客戶訪問。

      • 面向互聯網讓客戶可從公有網際網路連線。

        注意

        當您選擇面向互聯網,您可以在每項子網路或子網路中選擇現有的彈性 IP 地址。或者,您可以前往 VPC 主控台 (https://console.aws.amazon.com/vpc/) 以配置一或多個新的彈性 IP 地址。這些地址可以由AWS或由你。您無法將已在使用的彈性 IP 位址與端點建立關聯。

    3. (僅適用於面向互聯網的訪問可選)自訂主機名稱,選擇下列其中一項:

      • Amazon Route 53 DNS 別名— 如果您希望使用的主機名稱是向 Route 53 註冊的。您便可以輸入主機名稱。

      • 其他 DNS— 若您希望使用的主機名稱是向另一個 DNS 提供者註冊的。您便可以輸入主機名稱。

      • — 使用伺服器的端點,而非自訂主機名稱。伺服器主機名稱的格式為 serverId.server.transfer.regionId.amazonaws.com

        若要進一步了解使用自訂主機名稱,請參閱。使用自訂主機名稱

    4. 適用於VPC,選擇現有的 VPC ID,或選擇建立 VPC建立新 VPC

    5. 在 中可用區域區段中,選取多達三個可用區域和關聯的子網路。如果面向互聯網選擇,同時為每個子網路選擇彈性 IP 地址。

      注意

      如果您想要最多三個可用區域,但沒有足夠的可用區域,請在 VPC 主控台中建立它們 (https://console.aws.amazon.com/vpc/

      如果您修改子網路或彈性 IP 位址,伺服器需要幾分鐘的時間來更新。在伺服器更新完成之前,您無法儲存變更。

    6. 選擇 Save (儲存)。

  8. 適用於動作,選擇啟動並等候伺服器的狀態變更為線上; 這可能需要數分鐘。

    注意

    如果您將公用端點類型變更為 VPC 端點類型,請注意Endpoint type (端點類型)針對您的伺服器已變更為VPC

預設安全群組會附加至端點。若要變更或新增額外的安全群組,請參閱。建立安全群組

停止使用 VPC_ 端點

AWS Transfer Family正在停止建立伺服器的能力EndpointType=VPC_ENDPOINT針對新的AWS帳戶。截至 2021 年 5 月 19 日,AWS不擁有的帳戶AWS Transfer Family端點類型為的伺服器VPC_ENDPOINT將無法建立新的伺服器EndpointType=VPC_ENDPOINT。如果您已經擁有使用VPC_ENDPOINT端點類型,我們建議您先使用EndpointType=VPC盡快。如需詳細資訊,請參閱更新您的AWS Transfer Family從 VPC 端點到 VPC 的伺服器端點類型

我們推出了新的VPC2020 年早些時候的端點類型。如需詳細資訊,請參閱「」AWS Transfer Family適用於 SFTP 支援 VPC 端安全群組和彈性 IP 位址。這個新的端點功能更豐富,更具成本效益,並且沒有 PrivateLink 收費。如需詳細資訊,請參閱「」AWS PrivateLink 價錢

此端點類型在功能上等同於先前的端點類型 (VPC_ENDPOINT。您可以將彈性 IP 位址直接連接到端點,使其面向網際網路,並使用安全群組進行來源 IP 篩選。如需詳細資訊,請參閱「」使用 IP 允許列表來保護您的AWS Transfer Family適用於 SFTP 伺服器

您也可以在共用 VPC 環境中託管此端點。如需詳細資訊,請參閱「」AWS Transfer Family現在支援共用服務 VPC 環境

除了 SFTP,您也能使用 VPCEndpointType以啟用 FTPS 和 FTP。我們不打算將這些功能和 FTPS/FTP 支持添加到EndpointType=VPC_ENDPOINT。我們也從中移除了此端點類型作為選項AWS Transfer Family主控台。

您可以使用 Transfer Family 主控台變更伺服器的端點類型。AWS CLI、API、軟體開發套件或AWS CloudFormation。若要變更伺服器的端點類型,請參閱更新AWS Transfer Family從 VPC 端點到 VPC 的伺服器端點類型

如有任何問題,請聯絡我們。AWS Support或您的AWS帳戶團隊。

注意

我們不打算將這些功能和 FTPS 或 FTP 支持添加到 EndpointType= 電腦端點。我們不再提供它作為一個選項AWS Transfer Family主控台。

如果您還有其他問題,可以通過以下方式與我們聯繫AWS Support或您的帳戶團隊。