创建启用 SFTP 的服务器 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建启用 SFTP 的服务器

Secure Shell (SSH) 文件传输协议 (SFTP) 是一种用于通过互联网安全传输数据的网络协议。该协议支持 SSH 的全部安全和身份验证功能。它广泛用于交换数据,包括金融服务、医疗保健、零售和广告等各个行业的业务合作伙伴之间的敏感信息。

注意

Transfer Family 的 SFTP 服务器通过端口 22 运行。

创建启用 SFTP 的服务器
  1. https://console.aws.amazon.com/transfer/ 打开Amazon Transfer Family控制台,从导航窗格中选择 “服务器”,然后选择 “创建服务器”。

  2. “选择协议” 中,选择 SFTP,然后选择 “下一步”。

    
                        选择 S FTP 的 “选择协议控制台” 部分。
  3. 在 C etails det ails (选择身份提供商中) 中,选择要用于管理用户访问权限的身份提供商。您有以下选项:

    • 服务管理-您可以将用户身份和密钥存储在中Amazon Transfer Family。

      
                                选择 “服务管理” 的 “选择身份提供商控制台” 部分。
    • Amazon Directory Service for Microsoft Active Directory— 您提供访问终端节点的Amazon Directory Service目录。这样,您就可以使用存储在 Active Direcory 中的凭据对用户进行身份验证。要了解有关与Amazon Managed Microsoft AD身份提供商合作的更多信息,请参阅使用Amazon Directory Service 身份提供商

      注意
      
                            “选择身份提供商控制台” 部分Amazon Directory Service已选中。
    • 自定义身份提供商 —请选择以下任一选项:

      • Amazon Lambda用于连接您的身份提供商-您可以使用由 Lambda 函数支持的现有身份提供商。您提供 Lambda 函数的名称。有关更多信息,请参阅Amazon Lambda用于集成您的身份提供商

      • 使用 Amazon API Gateway 连接您的身份提供商 — 您可以创建由 Lambda 函数支持的 API Gateway 方法,用作身份提供商。您提供Amazon API Gateway URL 和调用角色。有关更多信息,请参阅使用Amazon API Gateway 集成您的身份提供商

      
                            选择身份提供商控制台部分,选择了自定义身份提供商。
  4. 选择 Next(下一步)

  5. 选择端点中,执行以下操作:

    1. 对于端点类型,选择可公开访问的端点类型。有关 VPC 托管终端节点,请参阅在虚拟私有云中创建服务器

    2. (可选)对于自定义主机名,选择

      您将获得由提供的服务器主机名Amazon Transfer Family。服务器主机名使用格式 serverId.server.transfer.regionId.amazonaws.com

      对于自定义主机名,您可以为服务器终端节点指定自定义别名。要了解有关使用自定义主机名的更多信息,请参阅使用自定义主机名

    3. (可选)对于 FIPS 已启用,请选中 FIPS 启用的端点复选框以确保该端点符合联邦信息处理标准 (FIPS)。

      注意

      启用 FIPS 的终端节点仅在北美Amazon地区可用。有关可用区域,请参阅《Amazon一般参考》中的Amazon Transfer Family终端节点和配额。有关可用的 FIPS 终端节点的更多信息,请参阅美国联邦信息处理标准 (FIPS) 第 140-2 版

    4. 选择 Next(下一步)

    
                        “选择端点控制台” 部分,选中 “可公开访问”。
  6. “选择域” 页面上,选择要用于通过所选协议Amazon存储和访问数据的存储服务:

    • 选择 Amazon S3,通过所选协议将文件作为对象存储和访问。

    • 选择 Amazon EFS,通过所选协议在 Amazon EFS 文件系统中存储和访问您的文件。

    选择 Next(下一步)

  7. Configure Addetails (配置其他详细信息) 中

    1. 要进行CloudWatch 登录,请选择以下选项之一以启用 Amazon CloudWatch 记录您的用户活动:

      • 创建一个新角色以允许 Transfer Family 自动创建 IAM 角色,前提是您拥有创建新角色的权限。创建的 IAM 角色被称为AWSTransferLoggingAccess

      • 请选择一个现有角色以从账户中选择一个现有 IAM 角色。在 “记录角色” 下,选择角色。此 IAM 角色应包含将服务设置为的信任策略transfer.amazonaws.com

        有关 CloudWatch 日志记录的更多信息,请参阅使用 CloudWatch

      注意
      • CloudWatch 如果您未指定日志角色,则无法在中查看最终用户的活动。

      • 如果您不想设置 CloudWatch 日志角色,请选择选择现有角色,但不要选择日志角色。

      
                                选中 “创建新角色” 的 “CloudWatch 日志控制台” 部分。
    2. 对于加密算法选项,请选择包含允许服务器使用的加密算法的安全策略。

      注意

      默认情况下:

      • 如果未选择启用 FIPS 的端点,则TransferSecurityPolicy-2020-06安全策略将附加到您的服务器。

      • 如果选择了启用 FIPS 的端点,则TransferSecurityPolicy-FIPS-2020-06安全策略将附加到您的服务器。

      有关安全策略的更多信息,请参阅使用安全策略

      
                                选择了安全策略的加密算法选项控制台部分。
    3. (可选)对于 S erver Host 密钥,输入 RSA、ED25519 或 ECDSA 私钥,该密钥将用于在客户端通过 SFTP 连接到服务器时标识服务器。您还可以添加描述以区分多个主机密钥。

      创建服务器后,可以添加其他主机密钥。如果您想轮换密钥或者想要使用不同类型的密钥,例如 RSA 密钥和 ECDSA 密钥,则拥有多个主机密钥很有用。

      注意

      服务器主机密钥部分仅用于从启用 SFTP 的现有服务器迁移用户。

      
                                服务器主机密钥控制台部分。
    4. (可选)对于标签,在中,输入一个或多个标签作为键值对,然后选择添加标签

    5. 选择 Next(下一步)

      
                                标签控制台部分。
    6. (可选)对于托管工作流,选择 Transfer Family 在执行工作流时应担任的工作流 ID(和相应的角色)。您可以选择一个工作流程在完成上载后执行,选择另一个工作流程在部分上传时执行。要了解有关使用托管工作流程处理文件的更多信息,请参阅Amazon Transfer Family托管工作流程

      
                                托管工作流控制台部分。
    7. (可选)您可以配置Amazon Transfer Family服务器以向最终用户显示自定义消息,例如组织政策或条款和条件。对于 “显示标语”,在 “预身份验证显示横幅” 文本框中,输入要在用户进行身份验证之前向其显示的文本消息。

      
                                显示横幅控制台部分。
    8. (可选)您可以配置以下其他选项。

      • SetStat 选项:启用此选项可忽略当客户端尝试对您正在上传到 Amazon S3 桶的文件使用SETSTAT时生成的错误。有关其他详细信息,请参阅中的SetStatOption文档ProtocolDetails

      • TLS 会话恢复:仅当您已启用 FTPS 作为此服务器的协议之一时,此选项才可用。

      • 被动 IP:仅当您已启用 FTPS 或 FTP 作为此服务器的协议之一时,此选项才可用。

  8. 在 Rev iew create(审核和重建)中审核

    • 如果要编辑其中的任何一个,请选择步骤旁边的编辑

      注意

      在选择编辑的步骤之后,您必须查看每个步骤。

    • 如果没有任何更改,请选择 “创建服务器” 来创建服务器。您将转至如下所示的 Servers (服务器) 页面,其中列出了您的新服务器。

可能需要几分钟才能将新服务器的状态更改为 “机”。到时候,您的服务器可以执行用户的文件操作。


                带有新服务器 ID 且状态为 “正在启动” 的 “服务器” 控制台页面。