建立啟用 SFTP 的伺服器

安全殼層 (SSH) 檔案傳輸通訊協定 (SFTP) 是一種網路通訊協定，用於透過網際網路安全傳輸資料。該協議支持 SSH 的完整安全性和身份驗證功能。它廣泛用於交換數據，包括金融服務，醫療保健，零售和廣告等各種行業的業務合作夥伴之間的敏感信息。

注意

Transfer Family 的 SFTP 伺服器透過連接埠 22 操作。對於 VPC 人雲端託管的端點，SFTP Transfer Family 伺服器也可以透過連接埠 2222 或連接埠 22000 進行操作。如需詳細資訊，請參閱 在虛擬私有雲中建立伺服器。

另請參閱

• 我們提供建立 SFTP Transfer Family 伺服器的 AWS CDK 範例。此範例使用 TypeScript，且可在 GitHub 此處取得。

• 如需如何在 VPC 內部署 Transfer Family 伺服器的逐步解說，請參閱使用 IP 允許清單來保護您的 AWS Transfer Family 伺服器。

若要建立已啟用 SFTP 的伺服器

1. 在 https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台，並從導覽窗格中選取 [伺服器]，然後選擇 [建立伺服器]。

2. 在 [選擇通訊協定] 中選取 [SFTP]，然後選擇 [下一步]。

3. 在 [選擇身分識別提供者] 中，選擇您要用來管理使用者存取權的身分識別提供者。您有下列選項：

   • 服務受管理 — 您將使用者身分識別和金鑰儲存在中 AWS Transfer Family。

   • AWS Directory Service for Microsoft Active Directory— 您提供存取端點的 AWS Directory Service 目錄。如此一來，您就可以使用儲存在 Active Directory 中的認證來驗證您的使用者。若要深入瞭解如何使用 AWS Managed Microsoft AD 身分識別提供者，請參閱使用 AWS Directory Service 的 Microsoft 活動目錄。

     注意

     • 不支援跨帳戶和共用目錄。 AWS Managed Microsoft AD

     • 若要將 Directory Service 設定為您的身分識別提供者的伺服器，您需要新增一些 AWS Directory Service 權限。如需詳細資訊，請參閱 開始使用之前 AWS Directory Service for Microsoft Active Directory。

   • 自訂身分識別提供者 — 選擇下列其中一個選項：

     • 用於連 AWS Lambda 接您的身分提供者 — 您可以使用由 Lambda 函數支援的現有身分識別提供者。您提供 Lambda 函數的名稱。如需詳細資訊，請參閱 用 AWS Lambda 於整合您的身分識別提供者。

     • 使用 Amazon API Gateway 連接您的身分供應商 — 您可以建立由 Lambda 函數支援的 API Gateway 方法，用作身分識別供應商。您提供 Amazon API Gateway 網址和叫用角色。如需詳細資訊，請參閱 使用 Amazon API Gateway 整合您的身分供應商。

     對於任一選項，您也可以指定如何進行驗證。

     • 密碼或金鑰 — 使用者可以使用其密碼或金鑰進行驗證。這是預設值。

     • 僅限密碼 — 使用者必須提供密碼才能連線。

     • 僅限金鑰 — 使用者必須提供私密金鑰才能連線。

     • 密碼與金鑰 — 使用者必須同時提供私密金鑰和密碼才能連線。伺服器會先檢查金鑰，然後如果金鑰有效，系統會提示輸入密碼。如果提供的私密金鑰與儲存的公開金鑰不符，驗證會失敗。

     

4. 選擇下一步。

5. 在 [選擇端點] 中，執行下列動作：

   1. 對於端點類型，請選擇可公開存取的端點類型。如需 VPC 託管端點的資訊，請參閱在虛擬私有雲中建立伺服器。

   2. (選擇性) 對於自訂主機名稱，請選擇無。

      您會取得由提供的伺服器主機名稱 AWS Transfer Family。伺服器主機名稱的格式為 serverId.server.transfer.regionId.amazonaws.com。

      對於自訂主機名稱，您可以為伺服器端點指定自訂別名。若要進一步瞭解如何使用自訂主機名稱，請參閱使用自訂主機名稱。

   3. (選擇性) 對於啟用 FIPS，請選取已啟用 FIPS 的端點核取方塊，以確保端點符合聯邦資訊處理標準 (FIPS)。

      注意

      已啟用 FIPS 的端點僅適用於北美 AWS 地區。如需可用區AWS Transfer Family 域，請參閱 AWS 一般參考. 如需 FIPS 的詳細資訊，請參閱聯邦資訊處理標準 (FIPS) 140-2。

   4. 選擇下一步。

6. 在 [選擇網域] 頁面上，選擇您要用來透過所選通訊協定 AWS 儲存和存取資料的儲存服務：

   • 選擇 Amazon S3，透過所選通訊協定以物件形式存放和存取檔案。

   • 選擇 Amazon EFS，透過選取的通訊協定存放和存取 Amazon EFS 檔案系統中的檔案。

   選擇下一步。

7. 在設定其他詳細資料中，執行下列動作：

   1. 若要進行記錄，請指定現有的記錄群組或建立新的記錄群組 (預設選項)。如果您選擇現有的記錄群組，則必須選取與 AWS 帳戶.

      

      如果您選擇 [建立記錄群組]， CloudWatch 主控台 (https://console.aws.amazon.com/cloudwatch/) 會開啟 [建立記錄群組] 頁面。如需詳細資訊，請參閱在 CloudWatch 記錄檔中建立記錄群組。

   2. (選擇性) 對於「受管理的工作流程」，請選擇「Transfer Family」在執行工作流程時應承擔的工作流程 ID (以及對應角色)。您可以選擇一個工作流程在完成上載時執行，另一個工作流程在部分上傳時執行。若要進一步瞭解如何使用受管理的工作流程處理檔案，請參閱AWS Transfer Family 管理工作流。

      

   3. 對於密碼編譯演算法選項，請選擇包含伺服器啟用的加密演算法的安全性原則。我們最新的安全性政策為預設值：如需詳細資訊，請參閱AWS Transfer Family 伺服器的安全性原則。

   4. (選擇性) 對於「伺服器主機金鑰」，請輸入 RSA、ED25519 或 ECDSA 私密金鑰，當用戶端透過 SFTP 連線至伺服器時，用來識別伺服器。您也可以加入描述以區分多個主機金鑰。

      建立伺服器之後，您可以新增其他主機金鑰。如果您想要旋轉金鑰或想要使用不同類型的金鑰 (例如 RSA 金鑰和 ECDSA 金鑰)，則擁有多個主機金鑰非常有用。

      注意

      「伺服器主機金鑰」區段僅用於從現有啟用 SFTP 的伺服器移轉使用者。

   5. (選擇性) 對於標籤，對於「鍵值」和「值」，輸入一或多個標籤作為鍵值配對，然後選擇「新增標籤」。

   6. 選擇下一步。

   7. 您可以優化 Amazon S3 目錄的效能。例如，假設您進入您的主目錄，並且您有 10,000 個子目錄。換句話說，您的 Amazon S3 存儲桶有 10,000 個文件夾。在這個案例中，如果您執行 ls (list) 命令，清單作業需要六到八分鐘之間。但是，如果您最佳化您的目錄，此作業只需要幾秒鐘的時間。

      當您使用主控台建立伺服器時，依預設會啟用最佳化的目錄。如果您使用 API 建立伺服器，則預設不會啟用此行為。

      

   8. (選擇性) 將 AWS Transfer Family 伺服器設定為向您的使用者顯示自訂訊息，例如組織原則或條款與條件。在 [顯示橫幅] 中，在 [預先驗證顯示橫幅] 文字方塊中，輸入您要在使用者進行驗證之前顯示的文字訊息。

   9. (選擇性) 您可以設定下列其他選項。

      • SetStat 選項：啟用此選項可忽略用戶端嘗試在您上傳至 Amazon S3 儲存貯體的檔案SETSTAT上使用時產生的錯誤。如需其他詳細資訊，請參SetStatOption閱中的文件ProtocolDetails。

      • TLS 工作階段恢復：只有在您已啟用 FTPS 作為此伺服器的其中一個通訊協定時，才能使用此選項。

      • 被動 IP：只有在您已啟用 FTPS 或 FTP 作為此伺服器的其中一個通訊協定時，才能使用此選項。

      

8. 在「檢閱並建立」中，檢閱您的選擇。

   • 如果您要編輯其中任何一個，請選擇步驟旁邊的「編輯」。

     注意

     您必須在選擇要編輯的步驟之後檢閱每個步驟。

   • 如果您沒有變更，請選擇 [建立伺服器] 來建立您的伺服器。您會前往顯示下列內容的 Servers (伺服器) 頁面，這裡會列出您的新伺服器。

新伺服器的狀態變更為「線上」可能需要幾分鐘的時間。此時，您的伺服器可以執行檔案作業，但您必須先建立使用者。如需建立使用者的詳細資訊，請參閱管理伺服器端點的使用者。