创建FTPS启用了该功能的服务器 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建FTPS启用了该功能的服务器

文件传输协议 ov SSL er (FTPS) 是的扩展FTP。它使用传输层安全 (TLS) 和安全套接字层 (SSL) 加密协议来加密流量。FTPS允许同时或独立对控制和数据通道连接进行加密。

创建FTPS启用了-的服务器
  1. 打开 Amazon Transfer Family 控制台,从导航窗格中选择 “服务器”,然后选择 “创建服务器”。https://console.aws.amazon.com/transfer/

  2. 选择协议中,选择FTPS

    对于服务器证书,请选择存储在 Amazon Certificate Manager (ACM) 中的证书,该证书将在客户端连接到服务器时用于识别您的服务器,FTPS然后选择下一步

    要请求新的公有证书,请参阅 Amazon Certificate Manager 用户指南中的请求公有证书

    要将现有证书导入ACM,请参阅《Amazon Certificate Manager 用户指南》ACM中的将证书导入

    要FTPS通过私有 IP 地址请求使用私有证书,请参阅Amazon Certificate Manager 用户指南中的申请私有证书

    支持具有以下加密算法和密钥大小的证书:

    • 2048 位 (_2048RSA) RSA

    • 4096 位 (_4096RSA) RSA

    • Elliptic Prime Curve 256 位 (EC_prime256v1)

    • Elliptic Prime Curve 384 位 (EC_secp384r1)

    • Elliptic Prime Curve 521 位 (EC_secp521r1)

    注意

    该证书必须是有效的SSL/TLSX.509 版本 3 证书,其中指定了FQDN或 IP 地址以及有关颁发者的信息。

    选择协议控制台部分FTPS已选中。
  3. 选择身份提供商中,选择要用于管理用户访问权限的身份提供商。您有以下选项:

    • Amazon Directory Service for Microsoft Active Directory— 您提供用于访问端点的 Amazon Directory Service 目录。这样,您就可以使用存储在 Activity Directory 中的凭证对用户进行身份验证。要了解有关与 Amazon Managed Microsoft AD 身份提供商合作的更多信息,请参阅使用 Di Amazon rectory Service 身份提供商

      注意
      在选择身份提供商控制台部分,已选择 Amazon Directory Service。
    • 自定义身份提供商 — 请选择以下任一选项:

      • Amazon Lambda 用于连接您的身份提供商-您可以使用由 Lambda 函数支持的现有身份提供商。您提供 Lambda 函数名称。有关更多信息,请参阅 Amazon Lambda 用于集成您的身份提供商

      • 使用 Amazon API Gateway 连接您的身份提供商 — 您可以创建由 Lambda 函数支持的API网关方法以用作身份提供商。您提供一个 Amazon API Gateway URL 和一个调用角色。有关更多信息,请参阅 使用 Amazon API Gateway 整合您的身份提供商

      在选择身份提供商控制台部分,已选择自定义身份提供商。
  4. 选择下一步

  5. 选择端点中,执行以下操作:

    注意

    FTPSTransfer Family 的服务器通过端口 21(控制通道)和端口范围 8192—8200(数据通道)运行。

    1. 对于端点类型,选择VPC托管终端节点类型来托管服务器的终端节点。有关设置VPC托管终端节点的信息,请参阅在虚拟私有云中创建服务器

      注意

      不支持可公共访问的端点。

    2. (可选)在 “FIPS已启用” 中,选中 “FIPS已启用端点” 复选框以确保端点符合联邦信息处理标准(FIPS)。

      注意

      FIPS启用了的终端节点仅在北美 Amazon 地区可用。有关可用区域,请参阅 Amazon Web Services 一般参考 中的 Amazon Transfer Family 端点和限额。有关的更多信息FIPS,请参阅《联邦信息处理标准》(FIPS) 140-2

    3. 选择下一步

    选择终端节点控制台部分,并选中VPC托管。
  6. “选择域” 页面上,选择要用于通过所选协议 Amazon 存储和访问数据的存储服务:

    • 选择 Amazon S3,通过所选协议将您的文件作为对象存储和访问。

    • 选择 Amazon EFS,通过所选协议在您的亚马逊EFS文件系统中存储和访问您的文件。

    选择下一步

  7. 配置其他详细信息中,执行以下操作:

    1. 对于日志记录,指定现有日志组或创建新日志组(默认选项)。

      在创建服务器向导中配置其他详细信息的日志记录窗格。已选择创建新的日志组。

      如果您选择现有日志组,则必须选择与您的日志组关联的日志组 Amazon Web Services 账户。

      在创建服务器向导中配置其他详细信息的日志记录窗格。选择“选择现有日志组”。

      如果选择 “创建日志组”,则 CloudWatch 控制台 (https://console.aws.amazon.com/cloudwatch/) 将打开 “创建日志组” 页面。有关详细信息,请参阅在日志中创建 CloudWatch 日志组

    2. (可选)对于托管工作流程,选择 Tr IDs ansfer Family 在执行工作流程时应担任的工作流程(和相应的角色)。您可以选择一个工作流程在完成上传后执行,选择另一个工作流程在部分上传时执行。要了解有关使用托管工作流程处理文件的更多信息,请参阅 Amazon Transfer Family 托管工作流程

      托管工作流程控制台部分。
    3. 对于加密算法选项,请选择包含允许服务器使用的加密算法的安全策略。

      注意

      默认情况下:

      • 如果未选择 FIPS“启用端点”,则TransferSecurityPolicy-2020-06安全策略将附加到您的服务器。

      • 如果选择FIPS了 “启用端点”,则TransferSecurityPolicy-FIPS-2020-06安全策略将附加到您的服务器。

      有关安全策略的更多信息,请参阅 的安全策略 Amazon Transfer Family

      在加密算法选项控制台部分,已选择安全策略。
    4. 对于服务器主机密钥,请将其留空。

      注意

      服务器主机密钥部分仅用于从SFTP已启用该功能的现有服务器迁移用户。

      服务器主机密钥控制台部分。
    5. (可选)对于标签,在密钥中,输入一个或多个标签作为键值对,然后选择添加标签

    6. 您可以优化 Amazon S3 目录的性能。例如,假设您进入主目录,并且有 10,000 个子目录。换句话说,您的 S3 存储桶有 10,000 个文件夹。在这种情况下,如果您运行 ls (list) 命令,则列表操作需要六到八分钟。但是,如果您优化目录,则此操作只需要几秒钟。

      优化的目录控制台部分。
    7. 选择下一步

      标签控制台部分。
    8. (可选)您可以将 Amazon Transfer Family 服务器配置为向最终用户显示自定义消息,例如组织政策或条款和条件。您还可以向成功通过身份验证的用户显示自定义的每日消息 (MOTD)。

      对于显示横幅,在预身份验证显示横幅文本框中,输入要在用户进行身份验证之前向他们显示的短信,然后在后身份验证显示横幅文本框中,输入要在用户成功进行身份验证后向他们显示的文本。

      显示横幅控制台部分。
    9. (可选)您可以配置以下其他选项。

      • SetStat 选项:启用此选项可忽略客户端尝试对您上传到 Amazon S3 存储桶的文件使用SETSTAT时生成的错误。有关其他详细信息,请参阅ProtocolDetails主题中的SetStatOption文档。

      • TLS会话恢复:提供一种机制,用于在会FTPS话的控制和数据连接之间恢复或共享经过协商的密钥。有关其他详细信息,请参阅ProtocolDetails主题中的TlsSessionResumptionMode文档。

      • 被动 IP:表示被动模式,适用于FTP和FTPS协议。输入单个IPv4地址,例如防火墙、路由器或负载均衡器的公有 IP 地址。有关其他详细信息,请参阅ProtocolDetails主题中的PassiveIp文档。

  8. 审核和创建页面上,审核您的选择。

    • 如果要编辑其中任何一个,请选择该步骤旁边的编辑

      注意

      在选择编辑的步骤之后,您必须审核每个步骤。

    • 如果没有任何更改,请选择创建服务器来创建您的服务器。您将转至如下所示的服务器页面,其中列出了您的新服务器。

您的新服务器状态更改为在线可能需要几分钟时间。到时候,您的服务器可以执行用户的文件操作。

服务器控制台页面,其中包含新的服务器 ID,状态为正在启动。

后续步骤:对于下一步,请继续前往 使用自定义身份提供程序 设置用户。