建立已啟用 SFTP的伺服器

Secure Shell （SSH）檔案傳輸通訊協定（SFTP）是用於透過網際網路安全傳輸資料的網路通訊協定。通訊協定支援的完整安全和身分驗證功能SSH。它廣泛用於交換資料，包括金融服務、醫療保健、零售和廣告等各種產業的業務合作夥伴之間的敏感資訊。

注意

SFTP 適用於 Transfer Family 的伺服器透過連接埠 22 運作。對於 VPC託管的端點，SFTPTransfer Family 伺服器也可以透過連接埠 2222 操作。如需詳細資訊，請參閱在虛擬私有雲端中建立伺服器。

另請參閱

我們提供建立 SFTP Transfer Family 伺服器 AWS CDK 的範例。此範例使用 TypeScript、和，可於 GitHub 此處取得。
如需如何在內部署 Transfer Family 伺服器的詳細資訊VPC，請參閱使用 IP 允許清單來保護您的 AWS Transfer Family 伺服器。

若要建立SFTP已啟用的伺服器

在開啟 AWS Transfer Family 主控台https://console.aws.amazon.com/transfer/，然後從導覽窗格中選取伺服器，然後選擇建立伺服器 。
在選擇通訊協定 中，選取 SFTP，然後選擇下一步 。
在選擇身分提供者 中，選擇您要用來管理使用者存取權的身分提供者。您有下列選項：
- 服務受管：您可以在中存放使用者身分和金鑰 AWS Transfer Family。
- AWS Directory Service for Microsoft Active Directory – 您提供一個 AWS Directory Service 目錄來存取端點。如此一來，您可以使用儲存在 Active Directory 中的憑證來驗證使用者。若要進一步了解如何使用 AWS Managed Microsoft AD 身分提供者，請參閱使用 AWS Directory Service 身分提供者。
  注意
  不支援跨帳戶和共用目錄 AWS Managed Microsoft AD。
  
  若要使用 Directory Service 作為身分提供者來設定伺服器，您需要新增一些 AWS Directory Service 許可。如需詳細資訊，請參閱開始使用之前 AWS Directory Service for Microsoft Active Directory。
- 自訂身分提供者 – 選擇下列其中一個選項：
  - 使用 AWS Lambda 來連接身分提供者 – 您可以使用現有的身分提供者，並由 Lambda 函數提供支援。您提供 Lambda 函數的名稱。如需詳細資訊，請參閱使用 AWS Lambda 整合您的身分提供者。
  - 使用 Amazon API Gateway 來連接您的身分提供者 – 您可以建立由 Lambda 函數支援的API閘道方法，以用作身分提供者。您提供 Amazon API Gateway URL和調用角色。如需詳細資訊，請參閱使用 Amazon API Gateway 整合您的身分提供者。
  對於任一選項，您也可以指定如何驗證。
  - 密碼或金鑰 – 使用者可以使用其密碼或金鑰進行身分驗證。這是預設值。
  - 密碼 ONLY – 使用者必須提供密碼才能連線。
  - 金鑰 ONLY – 使用者必須提供其私有金鑰才能連線。
  - 密碼AND金鑰 – 使用者必須提供其私有金鑰和密碼才能連線。伺服器會先檢查金鑰，如果金鑰有效，系統會提示輸入密碼。如果提供的私有金鑰與儲存的公有金鑰不相符，身分驗證會失敗。
選擇 Next (下一步)。
在選擇端點中，執行下列動作：
1. 針對端點類型 ，選擇可公開存取的端點類型。如需VPC託管端點，請參閱在虛擬私有雲端中建立伺服器。
2. （選用）針對自訂主機名稱 ，選擇無。
  
  您可以取得提供的伺服器主機名稱 AWS Transfer Family。伺服器主機名稱的格式為 serverId.server.transfer.regionId.amazonaws.com。
  
  對於自訂主機名稱，您可以為伺服器端點指定自訂別名。若要進一步了解如何使用自訂主機名稱，請參閱使用自訂主機名稱。
3. （選用）針對FIPS已啟用 ，選取FIPS已啟用端點核取方塊，以確保端點符合聯邦資訊處理標準（FIPS）。
  
  注意
  FIPS啟用的端點僅適用於北美 AWS 區域。如需可用區域的資訊，請參閱中的AWS Transfer Family 端點和配額AWS 一般參考。如需的詳細資訊FIPS，請參閱聯邦資訊處理標準（FIPS） 140-2 。
4. 選擇 Next (下一步)。
在選擇網域頁面上，選擇您要用來透過所選通訊協定存放和存取資料的 AWS 儲存服務：
- 選擇 Amazon S3 以儲存和存取檔案作為所選通訊協定上的物件。
- 選擇 AmazonEFS，透過選取的通訊協定將檔案存放和存取到您的 Amazon EFS 檔案系統中。
選擇 Next (下一步)。
在設定其他詳細資訊 中，執行下列動作：
1. 若要記錄，請指定現有的日誌群組或建立新的日誌群組（預設選項）。
  
  如果您選擇現有的日誌群組，您必須選取與相關聯的日誌群組 AWS 帳戶。
  
  如果您選擇建立日誌群組 ， CloudWatch 主控台（https://console.aws.amazon.com/cloudwatch/）會開啟建立日誌群組頁面。如需詳細資訊，請參閱在日誌中建立 CloudWatch 日誌群組。
2. （選用）針對受管工作流程 ，選擇 Transfer Family 在執行工作流程時應擔任的工作流程 IDs（和對應的角色）。您可以選擇一個工作流程在完整上傳時執行，另一個工作流程在部分上傳時執行。若要進一步了解如何使用受管工作流程處理檔案，請參閱 AWS Transfer Family 受管工作流程。
3. 針對密碼編譯演算法選項 ，選擇包含啟用供伺服器使用之密碼編譯演算法的安全政策。
  注意
  根據預設：
  如果未選取FIPS已啟用端點，則TransferSecurityPolicy-2020-06安全政策會連接至您的伺服器。
  
  如果選取FIPS已啟用端點，則TransferSecurityPolicy-FIPS-2020-06安全政策會連接至您的伺服器。
  如需關於安全政策的詳細資訊，請參閱的安全政策 AWS Transfer Family。
4. （選用）對於伺服器主機金鑰 ，輸入 RSA、 ED25519或 ECDSA 私有金鑰，當用戶端透過連線到伺服器時，該金鑰將用於識別您的伺服器SFTP。您也可以新增描述，以區分多個主機金鑰。
  
  建立伺服器後，您可以新增其他主機金鑰。如果您想要輪換金鑰，或想要擁有不同類型的金鑰，例如RSA金鑰和ECDSA金鑰，則擁有多個主機金鑰非常有用。
  
  注意
  伺服器主機金鑰區段僅用於從已啟用 SFTP的現有伺服器遷移使用者。
5. （選用）針對標籤，針對金鑰和值，輸入一或多個標籤作為鍵值對，然後選擇新增標籤 。
6. 選擇 Next (下一步)。
7. 您可以最佳化 Amazon S3 目錄的效能。例如，假設您進入主目錄，並且有 10，000 個子目錄。換句話說，S3 儲存貯體有 10，000 個資料夾。在此案例中，如果您執行 ls（清單）命令，則清單操作需要 6 到 8 分鐘。不過，如果您最佳化目錄，此操作只需要幾秒鐘的時間。
8. （選用）設定 AWS Transfer Family 伺服器向最終使用者顯示自訂訊息，例如組織政策或條款與條件。對於顯示橫幅 ，在預先驗證顯示橫幅文字方塊中，輸入您要在使用者驗證之前顯示的文字簡訊。
9. （選用）您可以設定下列其他選項。
  - SetStat 選項 ：啟用此選項可忽略用戶端嘗試在您上傳到 Amazon S3 儲存貯體的檔案SETSTAT上使用時所產生的錯誤。如需其他詳細資訊，請參閱中的SetStatOption文件ProtocolDetails。
  - TLS 工作階段恢復 ：只有在您啟用 FTPS作為此伺服器的其中一個通訊協定時，才能使用此選項。
  - 被動 IP ：只有在您已啟用 FTPS或 FTP作為此伺服器的其中一個通訊協定時，才能使用此選項。
在檢閱和建立 中，檢閱您的選擇。
- 如果您想要編輯其中任何一個，請選擇步驟旁的編輯。
  
  注意
  您必須在選擇編輯的步驟之後檢閱每個步驟。
- 如果您沒有變更，請選擇建立伺服器以建立伺服器。您會前往顯示下列內容的 Servers (伺服器) 頁面，這裡會列出您的新伺服器。