本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建FTPS启用了该功能的服务器
文件传输协议 ov SSL er (FTPS) 是的扩展FTP。它使用传输层安全 (TLS) 和安全套接字层 (SSL) 加密协议来加密流量。FTPS允许同时或独立对控制和数据通道连接进行加密。
创建FTPS启用了-的服务器
-
打开 Amazon Transfer Family 控制台,从导航窗格中选择 “服务器”,然后选择 “创建服务器”。https://console.aws.amazon.com/transfer/
-
在选择协议中,选择FTPS。
对于服务器证书,请选择存储在 Amazon Certificate Manager (ACM) 中的证书,该证书将在客户端连接到服务器时用于识别您的服务器,FTPS然后选择下一步。
要请求新的公有证书,请参阅 Amazon Certificate Manager 用户指南中的请求公有证书。
要将现有证书导入ACM,请参阅《Amazon Certificate Manager 用户指南》ACM中的将证书导入。
要FTPS通过私有 IP 地址请求使用私有证书,请参阅Amazon Certificate Manager 用户指南中的申请私有证书。
支持具有以下加密算法和密钥大小的证书:
-
2048 位 (_2048RSA) RSA
-
4096 位 (_4096RSA) RSA
-
Elliptic Prime Curve 256 位 (EC_prime256v1)
-
Elliptic Prime Curve 384 位 (EC_secp384r1)
-
Elliptic Prime Curve 521 位 (EC_secp521r1)
注意
该证书必须是有效的SSL/TLSX.509 版本 3 证书,其中指定了FQDN或 IP 地址以及有关颁发者的信息。
-
-
在选择身份提供商中,选择要用于管理用户访问权限的身份提供商。您有以下选项:
-
Amazon Directory Service for Microsoft Active Directory— 您提供用于访问端点的 Amazon Directory Service 目录。这样,您就可以使用存储在 Activity Directory 中的凭证对用户进行身份验证。要了解有关与 Amazon Managed Microsoft AD 身份提供商合作的更多信息,请参阅使用 Di Amazon rectory Service 身份提供商。
注意
-
不支持跨账户目录和共享目录。 Amazon Managed Microsoft AD
-
要设置以 Directory Service 作为身份提供者的服务器,您需要添加一些 Amazon Directory Service 权限。有关详细信息,请参阅开始使用之前 Amazon Directory Service for Microsoft Active Directory。
-
-
自定义身份提供商 — 请选择以下任一选项:
-
Amazon Lambda 用于连接您的身份提供商-您可以使用由 Lambda 函数支持的现有身份提供商。您提供 Lambda 函数名称。有关更多信息,请参阅 Amazon Lambda 用于集成您的身份提供商。
-
使用 Amazon API Gateway 连接您的身份提供商 — 您可以创建由 Lambda 函数支持的API网关方法以用作身份提供商。您提供一个 Amazon API Gateway URL 和一个调用角色。有关更多信息,请参阅 使用 Amazon API Gateway 整合您的身份提供商。
-
-
-
选择下一步。
-
在选择端点中,执行以下操作:
注意
FTPSTransfer Family 的服务器通过端口 21(控制通道)和端口范围 8192—8200(数据通道)运行。
-
对于端点类型,选择VPC托管终端节点类型来托管服务器的终端节点。有关设置VPC托管终端节点的信息,请参阅在虚拟私有云中创建服务器。
注意
不支持可公共访问的端点。
-
(可选)在 “FIPS已启用” 中,选中 “FIPS已启用端点” 复选框以确保端点符合联邦信息处理标准(FIPS)。
注意
FIPS启用了的终端节点仅在北美 Amazon 地区可用。有关可用区域,请参阅 Amazon Web Services 一般参考 中的 Amazon Transfer Family 端点和限额。有关的更多信息FIPS,请参阅《联邦信息处理标准》(FIPS) 140-2
。 -
选择下一步。
-
-
在 “选择域” 页面上,选择要用于通过所选协议 Amazon 存储和访问数据的存储服务:
选择 Amazon S3,通过所选协议将您的文件作为对象存储和访问。
选择 Amazon EFS,通过所选协议在您的亚马逊EFS文件系统中存储和访问您的文件。
选择下一步。
-
在配置其他详细信息中,执行以下操作:
-
对于日志记录,指定现有日志组或创建新日志组(默认选项)。
如果您选择现有日志组,则必须选择与您的日志组关联的日志组 Amazon Web Services 账户。
如果选择 “创建日志组”,则 CloudWatch 控制台 (https://console.aws.amazon.com/cloudwatch/
) 将打开 “创建日志组” 页面。有关详细信息,请参阅在日志中创建 CloudWatch 日志组。 -
(可选)对于托管工作流程,选择 Tr IDs ansfer Family 在执行工作流程时应担任的工作流程(和相应的角色)。您可以选择一个工作流程在完成上传后执行,选择另一个工作流程在部分上传时执行。要了解有关使用托管工作流程处理文件的更多信息,请参阅 Amazon Transfer Family 托管工作流程。
-
对于加密算法选项,请选择包含允许服务器使用的加密算法的安全策略。
注意
默认情况下:
-
如果未选择 FIPS“启用端点”,则
TransferSecurityPolicy-2020-06
安全策略将附加到您的服务器。 -
如果选择FIPS了 “启用端点”,则
TransferSecurityPolicy-FIPS-2020-06
安全策略将附加到您的服务器。
有关安全策略的更多信息,请参阅 的安全策略 Amazon Transfer Family。
-
-
对于服务器主机密钥,请将其留空。
注意
服务器主机密钥部分仅用于从SFTP已启用该功能的现有服务器迁移用户。
-
(可选)对于标签,在密钥和值中,输入一个或多个标签作为键值对,然后选择添加标签。
-
您可以优化 Amazon S3 目录的性能。例如,假设您进入主目录,并且有 10,000 个子目录。换句话说,您的 S3 存储桶有 10,000 个文件夹。在这种情况下,如果您运行
ls
(list) 命令,则列表操作需要六到八分钟。但是,如果您优化目录,则此操作只需要几秒钟。 -
选择下一步。
-
(可选)您可以将 Amazon Transfer Family 服务器配置为向最终用户显示自定义消息,例如组织政策或条款和条件。您还可以向成功通过身份验证的用户显示自定义的每日消息 (MOTD)。
对于显示横幅,在预身份验证显示横幅文本框中,输入要在用户进行身份验证之前向他们显示的短信,然后在后身份验证显示横幅文本框中,输入要在用户成功进行身份验证后向他们显示的文本。
-
(可选)您可以配置以下其他选项。
-
SetStat 选项:启用此选项可忽略客户端尝试对您上传到 Amazon S3 存储桶的文件使用
SETSTAT
时生成的错误。有关其他详细信息,请参阅ProtocolDetails主题中的SetStatOption
文档。 -
TLS会话恢复:提供一种机制,用于在会FTPS话的控制和数据连接之间恢复或共享经过协商的密钥。有关其他详细信息,请参阅ProtocolDetails主题中的
TlsSessionResumptionMode
文档。 -
被动 IP:表示被动模式,适用于FTP和FTPS协议。输入单个IPv4地址,例如防火墙、路由器或负载均衡器的公有 IP 地址。有关其他详细信息,请参阅ProtocolDetails主题中的
PassiveIp
文档。
-
-
-
在审核和创建页面上,审核您的选择。
-
如果要编辑其中任何一个,请选择该步骤旁边的编辑。
注意
在选择编辑的步骤之后,您必须审核每个步骤。
-
如果没有任何更改,请选择创建服务器来创建您的服务器。您将转至如下所示的服务器页面,其中列出了您的新服务器。
-
您的新服务器状态更改为在线可能需要几分钟时间。到时候,您的服务器可以执行用户的文件操作。
后续步骤:对于下一步,请继续前往 使用自定义身份提供程序 设置用户。