本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建启用 FTPS 的服务器
基于 SSL 的文件传输协议 (FTPS) 是 FTP 的扩展。它使用传输层安全性 (TLS) 和安全套接字层 (SSL) 加密协议来加密流量。FTPS 允许同时或单独加密控制和数据通道连接。
创建启用 FTPS 的服务器
-
在 https://console.aws.amazon.com/transfer/
打开Amazon Transfer Family控制台,从导航窗格中选择 “服务器”,然后选择 “创建服务器”。 -
在 “选择协议” 中,选择 FTPS。
对于服务器证书,选择存储在Amazon Certificate Manager(ACM)中的证书,该证书将用于在客户端通过 FTPS 连接到服务器时标识服务器,然后选择 Ne x t。
要请求新的公有证书,请参阅《Amazon Certificate Manager用户指南》中的请求公有证书。
要将现有证书导入到 ACM,请参阅《Amazon Certificate Manager用户指南》中的将证书导入到 ACM。
要请求私有证书以通过私有 IP 地址使用 FTPS,请参阅《Amazon Certificate Manager用户指南》中的请求私有证书。
支持具有以下加密算法和密钥大小的证书:
-
2048 位 RSA (RSA_2048)
-
4096 位 RSA (RSA_4096)
-
Elliptic Prime Curve 256 位 (EC_prime256v1)
-
Elliptic Prime Curve 384 位 (EC_secp384r1)
-
Elliptic Prime Curve 521 位 (EC_secp521r1)
注意 证书必须是指定了 FQDN 或 IP 地址且具有有关颁发者的信息的有效 SSL/TLS X.509 版本 3 证书。
-
-
在 C etails det ails (选择身份提供商中) 中,选择要用于管理用户访问权限的身份提供商。您有以下选项:
-
Amazon Directory Service for Microsoft Active Directory— 您提供访问终端节点的Amazon Directory Service目录。这样,您就可以使用存储在 Active Direcory 中的凭据对用户进行身份验证。要了解有关与Amazon Managed Microsoft AD身份提供商合作的更多信息,请参阅使用Amazon Directory Service 身份提供商。
注意 -
不支持跨账户和共享目录Amazon Managed Microsoft AD。
-
要设置以Directory Service 作为身份提供商的服务器,您需要添加一些Amazon Directory Service权限。有关详细信息,请参阅在您开始使用之前Amazon Directory Service for Microsoft Active Directory。
-
-
自定义身份提供商 —请选择以下任一选项:
-
Amazon Lambda用于连接您的身份提供商-您可以使用由 Lambda 函数支持的现有身份提供商。您提供 Lambda 函数的名称。有关更多信息,请参阅Amazon Lambda用于集成您的身份提供商:
-
使用 Amazon API Gateway 连接您的身份提供商 — 您可以创建由 Lambda 函数支持的 API Gateway 方法,用作身份提供商。您提供Amazon API Gateway URL 和调用角色。有关更多信息,请参阅使用Amazon API Gateway 集成您的身份提供商:
-
-
-
选择 Next(下一步)。
-
在选择端点中,执行以下操作:
注意 Transfer Family 的 FTPS 服务器通过端口 21(控制通道)和端口 8192—8200(数据通道)运行。
-
对于终端节点类型,选择 VPC 托管的终端节点类型来托管服务器的终端节点。有关设置 VPC 托管终端节点的信息,请参阅在虚拟私有云中创建服务器。
注意 不支持可公开访问的端点。
-
(可选)对于 FIPS 已启用,请选中 FIPS 启用的端点复选框以确保该端点符合联邦信息处理标准 (FIPS)。
注意 启用 FIPS 的终端仅在北美可用Amazon Web Services 区域。有关可用区域,请参阅《Amazon一般参考》中的Amazon Transfer Family终端节点和配额。有关可用的 FIPS 终端节点的更多信息,请参阅美国联邦信息处理标准 (FIPS) 第 140-2 版
。 -
选择 Next(下一步)。
-
-
在 “选择域” 页面上,选择要用于通过所选协议Amazon存储和访问数据的存储服务:
选择 Amazon S3,通过所选协议将文件作为对象存储和访问。
选择 Amazon EFS,通过所选协议在 Amazon EFS 文件系统中存储和访问您的文件。
选择 Next(下一步)。
-
在 Configure Addetails (配置其他详细信息) 中
-
要进行CloudWatch 登录,请选择以下选项之一以启用 Amazon CloudWatch 记录您的用户活动:
-
创建一个新角色以允许 Transfer Family 自动创建 IAM 角色,前提是您拥有创建新角色的权限。创建的 IAM 角色被称为
AWSTransferLoggingAccess
。 -
请选择一个现有角色以从账户中选择一个现有 IAM 角色。在 “记录角色” 下,选择角色。此 IAM 角色应包含将服务设置为的信任策略
transfer.amazonaws.com
。有关 CloudWatch 日志记录的更多信息,请参阅使用 CloudWatch。
注意 -
CloudWatch 如果您未指定日志角色,则无法在中查看最终用户的活动。
-
如果您不想设置 CloudWatch 日志角色,请选择选择现有角色,但不要选择日志角色。
-
-
对于加密算法选项,请选择包含允许服务器使用的加密算法的安全策略。
注意 默认情况下:
-
如果未选择启用 FIPS 的端点,则
TransferSecurityPolicy-2020-06
安全策略将附加到您的服务器。 -
如果选择了启用 FIPS 的端点,则
TransferSecurityPolicy-FIPS-2020-06
安全策略将附加到您的服务器。
有关安全策略的更多信息,请参阅使用安全策略。
-
-
对于服务器主机密钥,请将其留空。
注意 服务器主机密钥部分仅用于从启用 SFTP 的现有服务器迁移用户。
-
(可选)对于标签,在键和值中,输入一个或多个标签作为键值对,然后选择添加标签。
-
选择 Next(下一步)。
-
(可选)对于托管工作流,选择 Transfer Family 在执行工作流时应担任的工作流 ID(和相应的角色)。您可以选择一个工作流程在完成上载后执行,选择另一个工作流程在部分上传时执行。要了解有关使用托管工作流程处理文件的更多信息,请参阅Amazon Transfer Family托管工作流程。
-
(可选)您可以配置Amazon Transfer Family服务器以向最终用户显示自定义消息,例如组织政策或条款和条件。您还可以向成功通过身份验证的用户显示自定义的每日消息 (MOTD)。
对于 “显示横幅”,在 “预身份验证显示横幅” 文本框中,输入要在用户进行身份验证之前向其显示的文本消息,然后在 “身份验证后显示横幅” 文本框中,输入要向用户显示的文本在他们成功进行身份验证之后。
-
(可选)您可以配置以下其他选项。
-
SetStat 选项:启用此选项可忽略当客户端尝试对您正在上传到 Amazon S3 桶的文件使用
SETSTAT
时生成的错误。有关更多详细信息,请参阅ProtocolDetails主题中的SetStatOption
文档。 -
TLS 会话恢复:提供一种机制来恢复或共享 FTPS 会话的控制和数据连接之间协商的密钥。有关更多详细信息,请参阅ProtocolDetails主题中的
TlsSessionResumptionMode
文档。 -
被动 IP:指示 FTP 和 FTPS 协议的被动模式。输入一个 IPv4 地址,例如防火墙、路由器或负载均衡器的公有 IP 地址。有关更多详细信息,请参阅ProtocolDetails主题中的
PassiveIp
文档。
-
-
-
在 Rev iew create(审核和重建)中审核
-
如果要编辑其中的任何一个,请选择步骤旁边的编辑。
注意 在选择编辑的步骤之后,您必须查看每个步骤。
-
如果没有任何更改,请选择 “创建服务器” 来创建服务器。您将转至如下所示的 Servers (服务器) 页面,其中列出了您的新服务器。
-
可能需要几分钟才能将新服务器的状态更改为 “联机”。到时候,您的服务器可以执行用户的文件操作。

后续步骤:下一步,与自定义身份提供者合作继续设置用户。