本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立啟用 SFTP 的伺服器
安全殼層 (SSH) 檔案傳輸通訊協定 (SFTP) 是一種網路通訊協定,用於透過網際網路安全傳輸資料。該協議支持 SSH 的完整安全性和身份驗證功能。它廣泛用於交換數據,包括金融服務,醫療保健,零售和廣告等各種行業的業務合作夥伴之間的敏感信息。
注意
Transfer Family 的 SFTP 伺服器透過連接埠 22 操作。對於 VPC 人雲端託管的端點,SFTP Transfer Family 伺服器也可以透過連接埠 2222 或連接埠 22000 進行操作。如需詳細資訊,請參閱 在虛擬私有雲中建立伺服器。
另請參閱
-
我們提供建立 SFTP Transfer Family 伺服器的 AWS CDK 範例。此範例使用 TypeScript,且可在 GitHub 此處
取得。 -
如需如何在 VPC 內部署 Transfer Family 伺服器的逐步解說,請參閱使用 IP 允許清單來保護您的 AWS Transfer Family 伺服器
。
若要建立已啟用 SFTP 的伺服器
-
在 https://console.aws.amazon.com/transfer/
開啟 AWS Transfer Family 主控台,並從導覽窗格中選取 [伺服器],然後選擇 [建立伺服器]。 -
在 [選擇通訊協定] 中選取 [SFTP],然後選擇 [下一步]。
-
在 [選擇身分識別提供者] 中,選擇您要用來管理使用者存取權的身分識別提供者。您有下列選項:
-
服務受管理 — 您將使用者身分識別和金鑰儲存在中 AWS Transfer Family。
-
AWS Directory Service for Microsoft Active Directory— 您提供存取端點的 AWS Directory Service 目錄。如此一來,您就可以使用儲存在 Active Directory 中的認證來驗證您的使用者。若要深入瞭解如何使用 AWS Managed Microsoft AD 身分識別提供者,請參閱使用 AWS Directory Service 的 Microsoft 活動目錄。
注意
-
不支援跨帳戶和共用目錄。 AWS Managed Microsoft AD
-
若要將 Directory Service 設定為您的身分識別提供者的伺服器,您需要新增一些 AWS Directory Service 權限。如需詳細資訊,請參閱 開始使用之前 AWS Directory Service for Microsoft Active Directory。
-
-
自訂身分識別提供者 — 選擇下列其中一個選項:
-
用於連 AWS Lambda 接您的身分提供者 — 您可以使用由 Lambda 函數支援的現有身分識別提供者。您提供 Lambda 函數的名稱。如需詳細資訊,請參閱 用 AWS Lambda 於整合您的身分識別提供者。
-
使用 Amazon API Gateway 連接您的身分供應商 — 您可以建立由 Lambda 函數支援的 API Gateway 方法,用作身分識別供應商。您提供 Amazon API Gateway 網址和叫用角色。如需詳細資訊,請參閱 使用 Amazon API Gateway 整合您的身分供應商。
對於任一選項,您也可以指定如何進行驗證。
-
密碼或金鑰 — 使用者可以使用其密碼或金鑰進行驗證。這是預設值。
-
僅限密碼 — 使用者必須提供密碼才能連線。
-
僅限金鑰 — 使用者必須提供私密金鑰才能連線。
-
密碼與金鑰 — 使用者必須同時提供私密金鑰和密碼才能連線。伺服器會先檢查金鑰,然後如果金鑰有效,系統會提示輸入密碼。如果提供的私密金鑰與儲存的公開金鑰不符,驗證會失敗。
-
-
-
選擇下一步。
-
在 [選擇端點] 中,執行下列動作:
-
對於端點類型,請選擇可公開存取的端點類型。如需 VPC 託管端點的資訊,請參閱在虛擬私有雲中建立伺服器。
-
(選擇性) 對於自訂主機名稱,請選擇無。
您會取得由提供的伺服器主機名稱 AWS Transfer Family。伺服器主機名稱的格式為
。serverId
.server.transfer.regionId
.amazonaws.com對於自訂主機名稱,您可以為伺服器端點指定自訂別名。若要進一步瞭解如何使用自訂主機名稱,請參閱使用自訂主機名稱。
-
(選擇性) 對於啟用 FIPS,請選取已啟用 FIPS 的端點核取方塊,以確保端點符合聯邦資訊處理標準 (FIPS)。
注意
已啟用 FIPS 的端點僅適用於北美 AWS 地區。如需可用區AWS Transfer Family 域,請參閱 AWS 一般參考. 如需 FIPS 的詳細資訊,請參閱聯邦資訊處理標準 (FIPS)
140-2。 -
選擇下一步。
-
-
在 [選擇網域] 頁面上,選擇您要用來透過所選通訊協定 AWS 儲存和存取資料的儲存服務:
選擇 Amazon S3,透過所選通訊協定以物件形式存放和存取檔案。
選擇 Amazon EFS,透過選取的通訊協定存放和存取 Amazon EFS 檔案系統中的檔案。
選擇下一步。
-
在設定其他詳細資料中,執行下列動作:
-
若要進行記錄,請指定現有的記錄群組或建立新的記錄群組 (預設選項)。如果您選擇現有的記錄群組,則必須選取與 AWS 帳戶.
如果您選擇 [建立記錄群組], CloudWatch 主控台 (https://console.aws.amazon.com/cloudwatch/
) 會開啟 [建立記錄群組] 頁面。如需詳細資訊,請參閱在 CloudWatch 記錄檔中建立記錄群組。 -
(選擇性) 對於「受管理的工作流程」,請選擇「Transfer Family」在執行工作流程時應承擔的工作流程 ID (以及對應角色)。您可以選擇一個工作流程在完成上載時執行,另一個工作流程在部分上傳時執行。若要進一步瞭解如何使用受管理的工作流程處理檔案,請參閱AWS Transfer Family 管理工作流。
-
對於密碼編譯演算法選項,請選擇包含伺服器啟用的加密演算法的安全性原則。我們最新的安全性政策為預設值:如需詳細資訊,請參閱AWS Transfer Family 伺服器的安全性原則。
-
(選擇性) 對於「伺服器主機金鑰」,請輸入 RSA、ED25519 或 ECDSA 私密金鑰,當用戶端透過 SFTP 連線至伺服器時,用來識別伺服器。您也可以加入描述以區分多個主機金鑰。
建立伺服器之後,您可以新增其他主機金鑰。如果您想要旋轉金鑰或想要使用不同類型的金鑰 (例如 RSA 金鑰和 ECDSA 金鑰),則擁有多個主機金鑰非常有用。
注意
「伺服器主機金鑰」區段僅用於從現有啟用 SFTP 的伺服器移轉使用者。
-
(選擇性) 對於標籤,對於「鍵值」和「值」,輸入一或多個標籤作為鍵值配對,然後選擇「新增標籤」。
-
選擇下一步。
-
您可以優化 Amazon S3 目錄的效能。例如,假設您進入您的主目錄,並且您有 10,000 個子目錄。換句話說,您的 Amazon S3 存儲桶有 10,000 個文件夾。在這個案例中,如果您執行
ls
(list) 命令,清單作業需要六到八分鐘之間。但是,如果您最佳化您的目錄,此作業只需要幾秒鐘的時間。當您使用主控台建立伺服器時,依預設會啟用最佳化的目錄。如果您使用 API 建立伺服器,則預設不會啟用此行為。
-
(選擇性) 將 AWS Transfer Family 伺服器設定為向您的使用者顯示自訂訊息,例如組織原則或條款與條件。在 [顯示橫幅] 中,在 [預先驗證顯示橫幅] 文字方塊中,輸入您要在使用者進行驗證之前顯示的文字訊息。
-
(選擇性) 您可以設定下列其他選項。
-
SetStat 選項:啟用此選項可忽略用戶端嘗試在您上傳至 Amazon S3 儲存貯體的檔案
SETSTAT
上使用時產生的錯誤。如需其他詳細資訊,請參SetStatOption
閱中的文件ProtocolDetails。 -
TLS 工作階段恢復:只有在您已啟用 FTPS 作為此伺服器的其中一個通訊協定時,才能使用此選項。
-
被動 IP:只有在您已啟用 FTPS 或 FTP 作為此伺服器的其中一個通訊協定時,才能使用此選項。
-
-
-
在「檢閱並建立」中,檢閱您的選擇。
-
如果您要編輯其中任何一個,請選擇步驟旁邊的「編輯」。
注意
您必須在選擇要編輯的步驟之後檢閱每個步驟。
-
如果您沒有變更,請選擇 [建立伺服器] 來建立您的伺服器。您會前往顯示下列內容的 Servers (伺服器) 頁面,這裡會列出您的新伺服器。
-
新伺服器的狀態變更為「線上」可能需要幾分鐘的時間。此時,您的伺服器可以執行檔案作業,但您必須先建立使用者。如需建立使用者的詳細資訊,請參閱管理伺服器端點的使用者。