创建 SFTP 的服务器 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 SFTP 的服务器

Secure Shell (SSH) 文件传输协议 (SFTP) 是用于通过 Internet 安全传输数据的网络协议。该协议支持 SSH 的完整安全性和身份验证功能。它被广泛用于数据交换,包括金融服务、医疗保健、零售和广告等多个行业的业务合作伙伴之间的敏感信息。

注意

用于 Transfer Family 的 SFTP 服务器通过端口 22 运行。

创建启用 SFTP 的服务器

  1. 打开Amazon Transfer Family控制台位于https://console.aws.amazon.com/transfer/,然后选择创建服务器.

  2. In选择协议,选择SFTP,然后选择下一步.

    
                        显示选择 SFTP 的 “选择协议” 对话框的控制台屏幕截图。
  3. In选择身份提供商中,选择要用于管理用户访问的身份提供商:您有以下选项:

    • 选择Managed Servate将用户身份和密钥存储在Amazon Transfer Family.

    • 对于Amazon Directory Service for Microsoft Active Directory身份提供程序,您可以提供Amazon Directory Service目录来访问终端节点。执行此操作后,您可以使用存储在 Active Directory 中的凭据对用户进行身份验证。要了解有关使用Amazon Managed Microsoft AD身份提供商,请参阅使用 Amazon Directory Service for Microsoft Active Directory.

      注意

      跨账户和共享目录不支持Amazon Managed Microsoft AD.

    • 对于Custom (自定义)身份提供商,您可以提供 API Gateway 终端节点和Amazon Identity and Access Management(IAM) 角色以访问终端节点。执行此操作后,您可以集成目录服务,用于对用户进行身份验证和授权。要了解有关使用自定义身份提供商的更多信息,请参阅使用自定义身份提供商

    
                        控制台屏幕截图显示选择 “选择身份提供程序” 对话框,其中选择了
  4. 选择 Next (下一步)

  5. In选择终端节点中,执行以下操作:

    1. 适用于终端节点类型中,选择公开访问终端节点类型。对于托管的 VPC终端节点,请参阅在 Virtual Private Cloud 中创建服务器.

    2. (可选)用于自定义主机名中,选择.

      你会得到一个服务器主机名Amazon Transfer Family. 服务器主机名使用格式 serverId.server.transfer.regionId.amazonaws.com

      对于自定义主机名,您可以为服务器终端节点指定自定义别名。要了解有关使用自定义主机名的更多信息,请参阅使用自定义主机名.

    3. (可选)用于FIPS 已启用,选择FIPS 启用终端节点复选框,以确保终端节点符合联邦信息处理标准 (FIPS)。

      注意

      启用 FIPS 的端点仅在北美提供Amazon区域。有关可用区域,请参阅Amazon Transfer Family终端节点和配额中的Amazon一般参考. 有关可用 FIPS 终端节点的更多信息,请参阅美国联邦信息处理标准 (FIPS) 140-2.

    4. 选择 Next (下一步)

    
                        控制台屏幕截图显示选择 “可公开访问” 对话框。
  6. 在存储库的选择域页面上,选择Amazon存储服务,用于通过选定协议存储和访问数据:

    • 选择Amazon S3通过选定协议将文件作为对象存储和访问。

    • 选择Amazon EFS通过选定的协议在 Amazon EFS 文件系统中存储和访问您的文件。

    选择 Next (下一步)

  7. In配置其他详细信息中,执行以下操作:

    1. 适用于CloudWatch 日志记录,请选择以下选项之一,以启用 Amazon CloudWatch 对您的用户活动进行日志记录:

      • 创建新角色,以允许 Transfer Family 自动创建 IAM 角色,只要您拥有创建新角色的正确权限。创建的 IAM 角色称为AWSTransferLoggingAccess.

      • 选择现有角色以从您的账户中选择现有 IAM 角色。UNDER日志记录角色,选择角色。此 IAM 角色应包括信任策略,该策略包括服务设置为transfer.amazonaws.com.

        有关 CloudWatch 日志记录的更多信息,请参阅使用 CloudWatch 视记录活动.

      注意
      • 如果未指定日志记录角色,则无法在 CloudWatch 中查看最终用户活动。

      • 如果您不想设置 CloudWatch 日志记录角色,请选择选择现有角色,但不要选择日志记录角色。

      
                                控制台屏幕截图显示了 CloudWatch 日志记录部分,并选择了创建新角色
    2. 适用于加密算法选项中,选择包含服务器启用的加密算法的安全策略。

      注意

      默认情况下:

      • 如果FIPS 启用终端节点未选中,则TransferSecurityPolicy-2020-06安全策略附加到您的服务器。

      • 如果FIPS 启用终端节点,则TransferSecurityPolicy-FIPS-2020-06安全策略附加到您的服务器。

      有关安全策略的更多信息,请参阅使用安全策略

      
                                控制台屏幕截图显示了选定安全策略的加密算法选项部分。
    3. (可选)用于服务器主机密钥中,请输入 RSA 私有密钥,该密钥将用于在客户端通过 SFTP 连接到服务器时标识服务器。

      注意

      本节仅用于从已启用 SFTP 的现有服务器迁移用户。

      
                                显示服务器主机密钥部分的控制台屏幕截图。
    4. (可选)用于标签, 用于密钥,以键/值对格式输入一个或多个标签,然后选择添加标签.

    5. 选择 Next (下一步)

      
                                显示标记部分的控制台屏幕截图。
  8. In审核和创建,审核您的选择。

    • 如果要编辑其中任何一个,请选择编辑旁边的步骤。

      注意

      您需要在选择编辑的步骤之后查看每个步骤。

    • 如果您没有更改,请选择创建服务器以创建服务器。您将转至如下所示的 Servers (服务器) 页面,其中列出了您的新服务器。

您的新服务器状态更改为在线. 到时候,您的服务器可以执行用户的文件操作。


                控制台屏幕截图显示服务器部分,其中包含服务器 ID 和启动状态。