建立啟用 SFTP 的伺服器

Secure Shell (SSH) 檔案傳輸通訊協定 (SFTP) 是一種網路通訊協定，用於透過網際網路安全地傳輸資料。通訊協定支援 SSH 的完整安全性和身分驗證功能。它廣泛用於交換資料，包括金融服務、醫療保健、零售和廣告等各種產業的業務合作夥伴之間的敏感資訊。

請注意下列事項

• Transfer Family 的 SFTP 伺服器會透過連接埠 22 運作。對於 VPC 託管的端點，SFTP Transfer Family 伺服器也可以透過連接埠 2222、2223 或 22000 操作。如需詳細資訊，請參閱在虛擬私有雲端中建立伺服器。

• 公有端點無法透過安全群組限制流量。若要搭配 Transfer Family 伺服器使用安全群組，您必須在虛擬私有雲端 (VPC) 內託管伺服器的端點，如中所述在虛擬私有雲端中建立伺服器。

另請參閱

• 我們提供建立 SFTP Transfer Family 伺服器 AWS CDK 的範例。此範例使用 TypeScript，並可在 GitHub 上取得。

• 如需如何在 VPC 內部署 Transfer Family 伺服器的逐步解說，請參閱使用 IP 允許清單來保護您的 AWS Transfer Family 伺服器。

建立啟用 SFTP 的伺服器

1. 在 https：//https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台，然後從導覽窗格中選取伺服器，然後選擇建立伺服器。

2. 在選擇通訊協定中，選取 SFTP，然後選擇下一步。

3. 在選擇身分提供者中，選擇您要用來管理使用者存取的身分提供者。您有下列選項：

   • 服務受管 – 您可以將使用者身分和金鑰存放在其中 AWS Transfer Family。

   • AWS Directory Service for Microsoft Active Directory – 您提供 AWS Directory Service 目錄來存取端點。如此一來，您就可以使用儲存在 Active Directory 中的登入資料來驗證您的使用者。若要進一步了解如何使用 AWS Managed Microsoft AD 身分提供者，請參閱 使用 AWS Directory Service for Microsoft Active Directory。

     注意

     • 不支援跨帳戶和共用目錄 AWS Managed Microsoft AD。

     • 若要使用 Directory Service 做為您的身分提供者來設定伺服器，您需要新增一些 AWS Directory Service 許可。如需詳細資訊，請參閱開始使用 之前 AWS Directory Service for Microsoft Active Directory。

   • 自訂身分提供者 – 選擇下列其中一個選項：

     • 使用 AWS Lambda 連接您的身分提供者 – 您可以使用 Lambda 函數支援的現有身分提供者。您提供 Lambda 函數的名稱。如需詳細資訊，請參閱使用 AWS Lambda 整合您的身分提供者。

     • 使用 Amazon API Gateway 連接您的身分提供者 – 您可以建立由 Lambda 函數支援的 API Gateway 方法，以用作身分提供者。您提供 Amazon API Gateway URL 和 調用角色。如需詳細資訊，請參閱使用 Amazon API Gateway 整合您的身分提供者。

     

4. 選擇下一步。

5. 在選擇端點中，執行下列動作：

   1. 針對端點類型，選擇可公開存取的端點類型。如需 VPC 託管端點，請參閱 在虛擬私有雲端中建立伺服器。

   2. 對於 IP 地址類型，請選擇 IPv4 （預設） 以獲得回溯相容性，或選擇雙堆疊來啟用 IPv4 和 IPv6 與端點的連線。

      注意

      雙堆疊模式可讓您的 Transfer Family 端點與啟用 IPv4 和 IPv6 的用戶端通訊。這可讓您逐步從 IPv4 轉換到 IPv6 型系統，而不需要一次全部切換。

   3. （選用） 針對自訂主機名稱，選擇無。

      您可以取得 提供的伺服器主機名稱 AWS Transfer Family。伺服器主機名稱的格式為 serverId.server.transfer.regionId.amazonaws.com。

      對於自訂主機名稱，您可以為伺服器端點指定自訂別名。若要進一步了解如何使用自訂主機名稱，請參閱 使用自訂主機名稱。

   4. （選用） 對於啟用 FIPS，選取啟用 FIPS 端點核取方塊，以確保端點符合聯邦資訊處理標準 (FIPS)。

      注意

      啟用 FIPS 的端點僅適用於北美 AWS 區域。如需可用的區域，請參閱《》中的AWS Transfer Family 端點和配額AWS 一般參考。如需 FIPS 的詳細資訊，請參閱聯邦資訊處理標準 (FIPS) 140-2。

   5. 選擇下一步。

6. 在選擇網域頁面上，選擇您要用來透過所選通訊協定存放和存取資料的 AWS 儲存服務：

   • 選擇 Amazon S3 以儲存和存取檔案，做為所選通訊協定的物件。

   • 選擇 Amazon EFS，透過選取的通訊協定在 Amazon EFS 檔案系統中存放和存取您的檔案。

   選擇下一步。

7. 在設定其他詳細資訊中，執行下列動作：

   1. 針對記錄，請指定現有的日誌群組或建立新的日誌群組 （預設選項）。如果您選擇現有的日誌群組，則必須選取與您的 相關聯的日誌群組 AWS 帳戶。

      

      如果您選擇建立日誌群組，CloudWatch 主控台 (https://console.aws.amazon.com/cloudwatch/：//) 會開啟建立日誌群組頁面。如需詳細資訊，請參閱在 CloudWatch Logs 中建立日誌群組。

   2. （選用） 針對受管工作流程，選擇 Transfer Family 在執行工作流程時應擔任的工作流程 IDs （和對應的角色）。您可以選擇一個工作流程在完整上傳時執行，另一個工作流程在部分上傳時執行。若要進一步了解如何使用受管工作流程處理檔案，請參閱 AWS Transfer Family 受管工作流程。

      

   3. 針對密碼編譯演算法選項，選擇安全政策，其中包含啟用供伺服器使用的密碼編譯演算法。我們最新的安全政策是預設值：如需詳細資訊，請參閱 AWS Transfer Family 伺服器的安全政策。

   4. （選用） 對於伺服器主機金鑰，輸入 RSA、ED25519 或 ECDSA 私有金鑰，用於在用戶端透過 SFTP 連線到伺服器時識別伺服器。您也可以新增描述，以區分多個主機金鑰。

      建立伺服器之後，您可以新增其他主機金鑰。如果您想要輪換金鑰，或想要擁有不同類型的金鑰，例如 RSA 金鑰和 ECDSA 金鑰，則擁有多個主機金鑰非常有用。

      注意

      伺服器主機金鑰區段僅用於從已啟用 SFTP 的現有伺服器遷移使用者。

   5. （選用） 對於標籤，對於索引鍵和值，輸入一或多個標籤做為索引鍵/值對，然後選擇新增標籤。

   6. 選擇下一步。

   7. 您可以最佳化 Amazon S3 目錄的效能。例如，假設您進入主目錄，而且您有 10，000 個子目錄。換句話說，Amazon S3 儲存貯體有 10，000 個資料夾。在此案例中，如果您執行 ls（清單） 命令，則清單操作需要 6 到 8 分鐘。不過，如果您最佳化目錄，此操作只需要幾秒鐘的時間。

      當您使用主控台建立伺服器時，預設會啟用最佳化目錄。如果您使用 API 建立伺服器，則預設不會啟用此行為。

      

   8. （選用） 設定 AWS Transfer Family 伺服器，向最終使用者顯示自訂訊息，例如組織政策或條款與條件。對於顯示橫幅，在驗證前顯示橫幅文字方塊中，輸入您要在使用者驗證之前顯示給他們的文字訊息。

   9. （選用） 您可以設定下列其他選項。

      • SetStat 選項：啟用此選項可忽略用戶端嘗試在您上傳至 Amazon S3 儲存貯體的檔案SETSTAT上使用 時所產生的錯誤。如需其他詳細資訊，請參閱 ProtocolDetails 中的 SetStatOption 文件。

      • TLS 工作階段恢復：只有在您已啟用 FTPS 做為此伺服器的其中一個通訊協定時，才能使用此選項。

      • 被動 IP：只有在您已啟用 FTPS 或 FTP 做為此伺服器的其中一個通訊協定時，才能使用此選項。

      

8. 在檢閱和建立中，檢閱您的選擇。

   • 如果您想要編輯其中任何項目，請選擇步驟旁的編輯。

     注意

     您必須在選擇編輯的步驟之後檢閱每個步驟。

   • 如果您沒有變更，請選擇建立伺服器以建立伺服器。您會前往顯示下列內容的 Servers (伺服器) 頁面，這裡會列出您的新伺服器。

在新伺服器的狀態變更為線上之前，可能需要幾分鐘的時間。此時，您的伺服器可以執行檔案操作，但您必須先建立使用者。如需建立使用者的詳細資訊，請參閱 管理伺服器端點的使用者。