创建启用 FTPS 的服务器 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建启用 FTPS 的服务器

通过 SSL (FTPS) 的文件传输协议是 FTP 的扩展。它使用传输层安全性 (TLS) 和安全套接字层 (SSL) 加密协议加密。FTPS 允许同时或独立地对控制和数据通道连接进行加密。

创建启用 FTPS 的服务器

  1. 打开Amazon Transfer Family控制台位于https://console.aws.amazon.com/transfer/,然后选择创建服务器.

  2. In选择协议,选择FTPS.

    适用于服务器证书中,选择存储在Amazon Certificate Manager(ACM),该选项将用于在客户端通过 FTPS 连接到服务器,然后选择下一步.

    要请求新的公共证书,请参阅请求公有证书中的Amazon Certificate Manager用户指南.

    要将现有证书导入到 ACM,请参阅将证书导入 ACM中的Amazon Certificate Manager用户指南.

    要请求私有证书以通过私有 IP 地址使用 FTPS,请参阅请求私有证书中的Amazon Certificate Manager用户指南.

    支持具有以下加密算法和密钥大小的证书:

    • 2048 位 RSA (RSA_2048)

    • 4096 位 RSA (RSA_4096)

    • Elliptic Prime Curve 256 位 (EC_prime256v1)

    • Elliptic Prime Curve 384 位 (EC_secp384r1)

    • Elliptic Prime Curve 521 位 (EC_secp521r1)

    注意

    证书必须是指定了 FQDN 或 IP 地址且具有有关颁发者的信息的有效 SSL/TLS X.509 版本 3 证书。

    
                        显示选择 FTPS 的 “选择协议” 对话框的控制台屏幕截图。
  3. In选择身份提供商中,选择要用于管理用户访问的身份提供商:您有以下选项:

    • 选择Amazon Directory Service for Microsoft Active Directory如果您希望使用活动目录中的凭据对用户进行身份验证。您提供了Amazon Directory Service目录来访问终端节点。执行此操作后,您可以使用存储在 Active Directory 中的凭据对用户进行身份验证。

      注意

      跨账户和共享目录不支持Amazon Managed Microsoft AD.

      要了解有关使用Amazon Managed Microsoft AD身份提供商,请参阅使用 Amazon Directory Service for Microsoft Active Directory.

      1. In选择身份提供商中,选择AmazonDirectory Service.

        
                                        显示选择 Directory Service 的 “选择身份提供程序” 对话框的控制台屏幕截图
      2. 这些区域有:目录列表包含您已配置的所有托管目录。在列表中选择一个目录。

      3. 选择 Next (下一步)

    • 选择Custom (自定义)如果您希望使用 Amazon API Gateway 服务对用户进行身份验证。您提供 API Gateway 终端节点和Amazon Identity and Access Management(IAM) 角色以访问终端节点。执行此操作后,您可以集成目录服务,用于对用户进行身份验证和授权。

      1. 适用于身份提供商类型中,选择Custom (自定义). 有关自定义身份提供商的更多信息,请参阅使用自定义身份提供商.

        
                                        控制台屏幕截图显示选择身份提供程序对话框,并选择自定义。
      2. 适用于定制提供程序下,输入 Amazon API Gateway URL。

        注意

        仅支持 API Gateway 身份提供程序类型。

      3. 适用于调用角色下,选择 IAM 角色以访问终端节点。

      4. 选择 Next (下一步)

  4. In选择终端节点中,执行以下操作:

    注意

    用于 Transfer Family 的 FTPS 服务器通过端口 21(控制通道)和端口范围 8192-8200(数据通道)运行。

    1. 适用于终端节点类型中,选择托管的 VPC端点类型来托管服务器的终端节点。有关设置 VPC 托管终端节点的信息,请参阅在 Virtual Private Cloud 中创建服务器.

      注意

      不支持可公开访问的终端节点。

    2. (可选)用于FIPS 已启用,选择FIPS 启用终端节点复选框,以确保终端节点符合联邦信息处理标准 (FIPS)。

      注意

      启用 FIPS 的端点仅在北美提供Amazon区域。有关可用区域,请参阅Amazon Transfer Family终端节点和配额中的Amazon一般参考. 有关可用 FIPS 终端节点的更多信息,请参阅美国联邦信息处理标准 (FIPS) 140-2.

    3. 选择 Next (下一步)

    
                        显示选择 VPC 托管的 “选择终端节点” 对话框的控制台屏幕截图。
  5. 在存储库的选择域页面上,选择Amazon存储服务,用于通过选定协议存储和访问数据:

    • 选择Amazon S3通过选定协议将文件作为对象存储和访问。

    • 选择Amazon EFS通过选定的协议在 Amazon EFS 文件系统中存储和访问您的文件。

    选择 Next (下一步)

  6. In配置其他详细信息中,执行以下操作:

    1. 适用于CloudWatch 日志记录,请选择以下选项之一,以启用 Amazon CloudWatch 对您的用户活动进行日志记录:

      • 创建新角色,以允许 Transfer Family 自动创建 IAM 角色,只要您拥有创建新角色的正确权限。创建的 IAM 角色称为AWSTransferLoggingAccess.

      • 选择现有角色以从您的账户中选择现有 IAM 角色。UNDER日志记录角色下,选择角色。此 IAM 角色应包括信任策略,该策略包括服务设置为transfer.amazonaws.com.

        有关 CloudWatch 日志记录的更多信息,请参阅使用 CloudWatch 视记录活动.

      注意
      • 如果未指定日志记录角色,则无法在 CloudWatch 中查看最终用户活动。

      • 如果您不想设置 CloudWatch 日志记录角色,请选择选择现有角色,但不要选择日志记录角色。

      
                                控制台屏幕截图显示 CloudWatch 日志记录部分,并选择了创建新角色。
    2. 适用于加密算法选项中,选择包含服务器启用的加密算法的安全策略。

      注意

      默认情况下:

      • 如果FIPS 启用终端节点未选中,则TransferSecurityPolicy-2020-06安全策略附加到您的服务器。

      • 如果FIPS 启用终端节点,则TransferSecurityPolicy-FIPS-2020-06安全策略附加到您的服务器。

      有关安全策略的更多信息,请参阅使用安全策略

      
                                控制台屏幕截图显示了选定安全策略的加密算法选项部分。
    3. (可选)用于服务器主机密钥,请将其保留为空。

      注意

      本节仅用于从已启用 SFTP 的现有服务器迁移用户。

      
                                显示服务器主机密钥部分的控制台屏幕截图。
    4. (可选)用于标签, 用于密钥,以键/值对格式输入一个或多个标签,然后选择添加标签.

    5. 选择 Next (下一步)

      
                                显示标记部分的控制台屏幕截图。
  7. In审核和创建,审核您的选择。

    • 如果要编辑其中任何一个,请选择编辑旁边的步骤。

      注意

      您需要在选择编辑的步骤之后查看每个步骤。

    • 如果您没有更改,请选择创建服务器以创建服务器。您将转至如下所示的 Servers (服务器) 页面,其中列出了您的新服务器。

您的新服务器状态更改为在线. 到时候,您的服务器可以执行用户的文件操作。


                控制台屏幕截图显示服务器部分,其中包含服务器 ID 和启动状态。

后续步骤— 对于下一步,请继续使用自定义身份提供商来设置用户。