创建服务器 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建服务器

您可以使用该Amazon Transfer Family服务创建文件传输服务器。可供使用协议如下:

您可以创建具有多个协议的服务器。

注意

如果您为同一个服务器端点启用了多个协议,并且想要通过使用相同的用户名通过多个协议提供访问权限,则只要在身份提供商中设置了特定于该协议的凭据,您就可以这样做。对于 FTP,我们建议保留与 SFTP 和 FTPS 不同的凭证。这是因为,与 SFTP 和 FTPS 不同,FTP 以明文传输凭据。通过将 FTP 凭据与 SFTP 或 FTPS 隔离,如果共享或泄露 FTP 凭据,则使用 SFTP 或 FTPS 的工作负载将保持安全。

创建服务器时,您可以选择特定服务器Amazon Web Services 区域来执行分配给该服务器的用户的文件操作请求。除了为服务器分配一个或多个协议外,您还可以分配以下身份提供商类型之一:

  • 使用 SSH 密钥管理的服务。有关详细信息,请参阅与服务管理用户合作

  • Amazon Directory Service for Microsoft Active Directory(Amazon Managed Microsoft AD)。 此方法允许你整合 Microsoft Active Directory 群组,以提供对Transfer Family 服务器的访问权限。有关详细信息,请参阅使用Amazon Directory Service 身份提供商

  • 一种自定义方法。自定义身份提供商方法使用Amazon Lambda或 Amazon API Gateway,使您能够集成目录服务以对用户进行身份验证和授权。服务自动分配一个标识符,唯一标识您的服务器。有关详细信息,请参阅与自定义身份提供者合作

您还可以使用默认服务器终端节点为服务器分配终端节点类型(可公开访问或 VPC 托管)和主机名,或者使用 Amazon Route 53 服务或使用您选择的域名系统 (DNS) 服务为服务器分配自定义主机名。服务器主机名在创建时必须是Amazon Web Services 区域唯一的。

此外,您可以分配一个 Amazon CloudWatch CloudWatch 日志角色来将事件推送到您的日志,选择包含可供服务器使用的加密算法的安全策略,并以键值对的标签的形式向服务器添加元数据。

重要

您需要承担实例化服务器和数据传输的费用。有关定价的信息以及用于估算使用Amazon Pricing Calculator Transfer Family 的成本,请参阅Amazon Transfer Family定价

身份提供商选项

Amazon Transfer Family提供了多种用于对用户进行身份验证和管理的方法。下表比较了可以与 Transfer Family 一起使用的可用身份提供商。

操作 Amazon Transfer Family服务托管 Amazon Managed Microsoft AD Amazon API Gateway Amazon Lambda
支持的协议 SFTP SFTP、FTPS、FTP SFTP、FTPS、FTP SFTP、FTPS、FTP

基于密钥的身份验证

密码验证

Amazon Identity and Access Management(IAM) 和 POSIX

逻辑主目录

参数化访问权限(基于用户名)

临时访问结构

Amazon WAF

备注:

在以下过程中,您可以创建启用 SFTP 的服务器、启用 FTPS 的服务器、启用 FTP 的服务器或启用 AS2 的服务器。

下一步

Amazon Transfer Family端点类型矩阵

创建 TransTransfer Family s 服务器时,您需要选择要使用的终端节点类型。下表描述了每种终端节点的特征。

端点类型矩阵
特征 Public VPC-互联网 VPC-内部 vpc_Endopails(已弃用)
支持的协议 SFTP SFTP、FTPS、AS2 SFTP、FTP、FTPS、AS2 SFTP
访问 来自互联网。此终端节点类型不需要在您的 VPC 中进行任何特殊配置。 通过互联网以及在 VPC 和 vPC 连接的环境中,例如本地数据中心Amazon Direct Connect或 VPN。 在 VPC 和 vPC 连接的环境中,例如本地数据中心Amazon Direct Connect或 VPN。 在 VPC 和 vPC 连接的环境中,例如本地数据中心Amazon Direct Connect或 VPN。
静态 IP 地址 您无法附加静态 IP 地址。 Amazon提供的 IP 地址可能会更改。

您可以将弹性 IP 地址附加到终端节点。这些地址可以是你自己Amazon的 IP 地址,也可以是你自己的 IP 地址(带上你自己的 IP 地址)。连接到终端节点的弹性 IP 地址不会改变。

连接到服务器的私有 IP 地址也不会改变。

连接到端点的私有 IP 地址不会改变。 连接到端点的私有 IP 地址不会改变。
来源 IP 允许列表

此端点类型不支持按源 IP 地址列出的允许列表。

该端点可公开访问并监听端口 22 上的流量。

要允许通过源 IP 地址进行访问,您可以使用连接到服务器端点的安全组和连接到端点所在子网的网络 ACL。

要允许通过源 IP 地址进行访问,您可以使用连接到服务器端点的安全组和连接到端点所在子网的网络访问控制列表(网络 ACL)。

要允许通过源 IP 地址进行访问,您可以使用连接到服务器端点的安全组和连接到端点所在子网的网络 ACL。

客户端防火墙允许列表

必须允许服务器的 DNS 名称。

由于 IP 地址可能会发生变化,因此请避免在客户端防火墙允许列表中使用 IP 地址。

您可以允许服务器的 DNS 名称或连接到服务器的弹性 IP 地址。

您可以允许端点的私有 IP 地址或 DNS 名称。

您可以允许端点的私有 IP 地址或 DNS 名称。

注意

VPC_ENDPOINT端点类型现已过时,不能用于创建新服务器。不要使用EndpointType=VPC_ENDPOINT,而是使用新的 VPC 终端节点类型 (EndpointType=VPC),您可以将其用作内部面向 Internet,如上表所述。有关详细信息,请参阅停止使用 VPC_ENDPOINT

考虑以下选项来提高Amazon Transfer Family服务器的安全状况:

  • 使用具有内部访问权限的 VPC 终端节点,这样,只有您的 VPC 或 vPC 连接的环境(例如本地数据中心Amazon Direct Connect或 VPN)中的客户端才能访问服务器。

  • 要允许客户端通过互联网访问终端节点并保护您的服务器,请使用具有面向互联网访问权限的 VPC 终端节点。然后,修改 VPC 的安全组,使其仅允许来自托管用户客户端的某些 IP 地址的流量。

  • 在具有内部访问权限的 VPC 终端节点前使用Network Load Balancer。将负载均衡器上的侦听器端口从端口 22 更改为其他端口。这可以降低但不能消除端口扫描器和机器人探测服务器的风险,因为端口 22 最常用于扫描。但是,如果您使用Network Load Balancer,则不能使用安全组来允许来自源 IP 地址的访问。

  • 如果您需要基于密码的身份验证并在服务器上使用自定义身份提供商,则最佳做法是您的密码策略防止用户创建弱密码并限制登录尝试失败的次数。