编辑服务器详情 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

编辑服务器详情

创建Amazon Transfer Family服务器后,可以编辑服务器配置。

编辑服务器的配置
  1. 通过 https://console.aws.amazon.com/transfer/ 打开Amazon Transfer Family主机。

  2. 在左侧导航窗格中,选择服务器

  3. 在 “服务器 ID” 列中选择标识符以查看服务器详细信息页面,如下所示。

    您可以通过选择 “编辑” 来更改此页面上服务器的属性:

    
                        服务器的服务器详细信息控制台页面。
                    
                        服务器的服务器详细信息控制台页面。
                    
                        服务器的服务器详细信息控制台页面。
                    
                        服务器的服务器详细信息控制台页面。
                    
                        服务器的服务器详细信息控制台页面。
    注意

    服务器主机密钥描述导入日期值是自 2022 年 9 月起新增的。引入这些值是为了支持多主机密钥功能。此功能需要迁移在引入多个主机密钥之前使用的任何单个主机密钥。

    已迁移服务器主机密钥的导入日期值设置为服务器的上次修改日期。也就是说,您看到的迁移主机密钥的日期对应于您在服务器主机密钥迁移之前上次以任何方式修改服务器的日期。

    唯一迁移的密钥是您最旧的或唯一的服务器主机密钥。任何其他密钥的实际日期均为自您导入时起的实际日期。此外,迁移后的密钥具有描述,便于将其识别为已迁移。

    迁移发生在9月2日至9月13日之间。此范围内的实际迁移日期取决于您的服务器区域。

    
                       服务器的服务器详细信息控制台页面的继续。
                    
                       服务器的服务器详细信息控制台页面的继续。
                    
                       服务器的服务器详细信息控制台页面的继续。

编辑文件传输协议

在Amazon Transfer Family控制台上,您可以编辑文件传输协议。文件传输协议将客户端连接到服务器的终端节点。

编辑协议
  1. 服务器详细信息页面上,选择协议旁边的编辑

  2. 编辑协议页面上,选中或清除协议复选框以添加或删除以下文件传输协议:

    注意

    如果现有服务器仅启用 SFTP,并且想要添加 FTPS 和 FTP,则必须确保拥有与 FTPS 和 FTP 兼容的正确身份提供商和端点类型设置。

    
                            编辑协议控制台页面。

    如果选择 FTPS,则必须选择存储在Amazon Certificate Manager(ACM)中的证书,该证书将用于在客户端通过 FTPS 连接到服务器时标识服务器。

    要请求新的公有证书,请参阅《Amazon Certificate Manager用户指南》中的请求公有证书

    要将现有证书导入到 ACM,请参阅《Amazon Certificate Manager用户指南》中的将证书导入到 ACM

    要请求私有证书以通过私有 IP 地址使用 FTPS,请参阅《Amazon Certificate Manager用户指南》中的请求私有证书

    支持具有以下加密算法和密钥大小的证书:

    • 2048 位 RSA (RSA_2048)

    • 4096 位 RSA (RSA_4096)

    • Elliptic Prime Curve 256 位 (EC_prime256v1)

    • Elliptic Prime Curve 384 位 (EC_secp384r1)

    • Elliptic Prime Curve 521 位 (EC_secp521r1)

    注意

    证书必须是指定了 FQDN 或 IP 地址且具有有关颁发者的信息的有效 SSL/TLS X.509 版本 3 证书。

    
                            选择 F TPS 的 “选择协议” 控制台页面。
  3. 选择 Save(保存)。您将返回到服务器详细信息页面。

编辑服务器端点

在Amazon Transfer Family控制台上,您可以修改服务器端点类型和自定义主机名。

编辑服务器端点详细信息
  1. 服务器详细信息页面上,选择端点详细信息旁边的编辑

  2. “编辑端点配置” 页面上,对于 “端点类型”,选择以下选项之一:

    • 公共-此选项使您的服务器可通过互联网访问。

    • VPC — 此选项使服务器可用 Virtual Private Cloud (VPC)。有关 VPC 的信息,请参阅在虚拟私有云中创建服务器

  3. 对于自定义主机名,请选择以下选项之一:

    • — 如果您不想使用自定义域,请选择

      您将获得由提供的服务器主机名Amazon Transfer Family。服务器主机名使用格式 serverId.server.transfer.regionId.amazonaws.com

    • 亚马逊 Route 53 DNS 别名 — 要使用在 Route 53 中为您自动创建的 DNS 别名,请选择此选项。

    • 其他 DNS — 要使用您在外部 DNS 服务中已经拥有的主机名,请选择 “其他 DNS”。

    选择 Amazon Route 53 DNS 别名或其他 DNS 可指定与服务器终端节点关联的名称解析方法。

    例如,您的自定义域可能是 sftp.inbox.example.com。自定义主机名使用由您提供并且 DNS 服务可以解析的 DNS 名称。您可以使用 Rute 53 作为您的 DNS 解析器,也可以使用自己的 DNS 服务提供商。要了解如何Amazon Transfer Family使用 Route 53 将流量从您的自定义域路由到服务器终端节点,请参阅使用自定义主机名

    
                            编辑端点配置控制台页面。
  4. 选择 Save(保存)。您将返回到服务器详细信息页面。

编辑亚马逊 CloudWatch 日志

在Amazon Transfer Family控制台上,您可以使用亚马逊启用 Amazon S3 事件记录 CloudWatch。

注意

如果 Transfer Family 在创建服务器时为您创建了 CloudWatch 日志 IAM 角色,则会调用该 IAM 角色AWSTransferLoggingAccess。您可以将其用于所有服务器。

编辑日 CloudWatch 志 IAM 角色
  1. 服务器详细信息页面上,选择其他详细信息旁边的编辑

  2. CloudWatch 日志部分中,执行下列操作之一:

    • 如果 Transfer Family 在创建服务器时为您创建了 CloudWatch 日志 IAM 角色,则会调用该 IAM 角色AWSTransferLoggingAccess。从 “记录角色” 列表中选择它。

    • 如果您在创建此服务器时选择了现有 CloudWatch 的日志 IAM 角色或者根本没有选择 CloudWatch 日志 IAM 角色,请从 Lo CloudWatch gging 角色列表中选择或修改 Lo gging IAM 角色

    有关 CloudWatch 日志记录的更多信息,请参阅使用 CloudWatch

    注意

    CloudWatch 如果您不指定日志角色,则无法在中查看最终用户的活动。

    
                            编辑其他详细信息控制台页面,显示了指定了CloudWatch 日志角色的日志记录部分。
  3. 选择 Save(保存)。您将返回到服务器详细信息页面。

编辑安全策略

在Amazon Transfer Family控制台上,您可以修改附加到服务器的安全策略。

编辑安全策略
  1. 服务器详细信息页面上,选择其他详细信息旁边的编辑

  2. 加密算法选项部分中,选择一个包含允许服务器使用的加密算法的安全策略。

    注意

    如果您的终端节点启用了 FIPS,则无法更改 FIPS 安全策略。

    有关安全策略的更多信息,请参阅使用安全策略

    
                            选择了安全策略的加密算法选项控制台部分。
  3. 选择 Save(保存)。您将返回到服务器详细信息页面。

管理启用 SFTP 的服务器的主机密钥

重要

如果您不打算将现有用户从支持 SFTP 的现有服务器迁移到启用 SFTP 的新服务器,请忽略此部分。意外更改服务器的主机密钥会导致中断。

默认情况下,Amazon Transfer Family为启用 SFTP 的服务器提供主机密钥。您可以使用来自其他服务器的主机密钥替换默认主机密钥。只有在计划将现有用户从支持 SFTP 的现有服务器转移到启用 SFTP 的新服务器时才这样做。

为防止提示用户再次验证已启用 SFTP 的服务器的真实性,请将本地服务器的主机密钥导入启用 SFTP 的服务器。这样做还可以防止您的用户收到有关潜在 man-in-the-middle 攻击的警告。

作为额外的安全措施,您还可以定期轮换主机密钥。

注意

尽管 Transfer Family 控制台允许您为所有服务器指定和添加服务器主机密钥,但这些密钥仅对使用 SFTP 协议的服务器有用。

添加额外的服务器主机密钥

在Amazon Transfer Family控制台上,您可以添加额外的服务器主机密钥。

添加额外的服务器主机密钥
  1. 通过 https://console.aws.amazon.com/transfer/ 打开Amazon Transfer Family主机。

  2. 在左侧导航窗格中,选择 Servers(服务器),然后选择使用 SFTP 协议的服务器。

  3. 在服务器详细信息页面上,向下滚动到服务器主机密钥部分。

    
                               服务器主机密钥控制台部分。
  4. 选择添加主机密钥

    将显示 “添加服务器主机密钥” 页面。

  5. 在 “服务器主机密钥” 部分中,输入 RSA、ECDSA 或 ED25519 私钥,当客户端通过支持 SFTP 的服务器连接到您的服务器时,该私钥用于识别您的服务器。

    
                                服务器主机密钥控制台部分。
  6. (可选)添加说明以区分多个服务器密钥。您还可以为密钥添加标签。

  7. 选择 Add key (添加密钥)。您将返回到服务器详细信息页面。

要使用Amazon Command Line Interface (Amazon CLI) 添加主机密钥,请使用ImportHostKey API 操作并提供新的主机密钥。如果您创建启用了 SFTP 的新服务器,则需要在CreateServer API 操作中提供主机密钥作为参数。您也可以Amazon CLI使用更新现有主机密钥的描述。

以下示例import-host-keyAmazon CLI命令为已启用 SFTP 的指定服务器导入主机密钥。

aws transfer import-host-key --description key-description --server-id your-server-id --host-key-body file://my-host-key

删除服务器密钥

在Amazon Transfer Family控制台上,您可以删除服务器主机密钥。

要删除服务器密钥
  1. 通过 https://console.aws.amazon.com/transfer/ 打开Amazon Transfer Family主机。

  2. 在左侧导航窗格中,选择 Servers(服务器),然后选择使用 SFTP 协议的服务器。

  3. 在服务器详细信息页面上,向下滚动到服务器主机密钥部分。

    
                               服务器主机密钥控制台部分。
  4. 在 “服务器主机密钥” 部分中,选择一个密钥,然后在 “操作” 下选择 “删除”。

  5. 在出现的确认对话框中,输入单词delete,然后选择 Delete(删除)以确认您要删除主机密钥。

主机密钥已从 “服务器” 页面中删除。

要使用删除主机密钥Amazon CLI,请使用DeleteHostKey API 操作并提供服务器 ID 和主机密钥 ID。

以下示例delete-host-keyAmazon CLI命令删除指定启用 SFTP 的服务器的主机密钥。

aws transfer delete-host-key --server-id your-server-id --host-key-id your-host-key-id

轮换服务器主机密钥

您可以定期轮换服务器主机密钥。

注意

Transfer Family 使用为每种算法添加的第一个密钥作为主动主机密钥。每台 SFTP 服务器最多可以关联 10 个主机密钥,但在任何特定时间,每种算法只有一个密钥处于活动状态。

例如,假设您已将以下服务器主机密钥集集添加到服务器。

服务器主机密钥
主机密钥类型 添加到服务器的日期 活跃吗?
RSA 2020 年 4 月 1 日
ECDSA 2020年2月1日
ED25519 2019 年 12 月 1 日
RSA 2019 年 10 月 1 日
ECDSA 2019 年 6 月
ED25519 2019 年 3 月 1 日

每种算法的最旧密钥处于活动状态。如果您移除在 2019 年 10 月 1 日添加的 RSA 密钥,则您在 2020 年 4 月 1 日添加的 RSA 密钥将处于活动状态。

轮换服务器主机密钥
  1. 添加新的服务器主机密钥。有关此过程的说明,请参见添加额外的服务器主机密钥

  2. 删除与之前添加的相同类型的一个或多个主机密钥。有关此过程的说明,请参见删除服务器密钥

  3. 确保剩下的最早相同类型的密钥是您想要激活的密钥。

其他服务器主机密钥信息

您可以选择主机密钥来显示该密钥的详细信息。


                        主机密钥详细信息控制台屏幕。

您可以从 “服务器详细信息” 屏幕上的 “操作” 菜单中删除主机密钥或编辑其描述。选择主机密钥,然后从菜单中选择相应的操作。


                        服务器主机密钥操作菜单。

更改服务器的托管工作流程

在Amazon Transfer Family控制台上,您可以更改与服务器关联的托管工作流程。

更改托管工作流程
  1. 服务器详细信息页面上,选择其他详细信息旁边的编辑

  2. 编辑其他详细信息页面的托管工作流部分中,选择要在所有上传时运行的工作流程。

    注意

    如果您没有工作流,请选择 Create a ne w(创建一个工作流)来创建一个。

    1. 选择要使用的工作流程 ID。

    2. 选择执行角色。这是 Transfer Family 在执行工作流程步骤时所扮演的角色。有关更多信息,请参阅工作工作流程 IAM 策略。选择 Save(保存)。

    
                            托管工作流控制台部分。
  3. 选择 Save(保存)。您将返回到服务器详细信息页面。

更改服务器的显示横幅

在Amazon Transfer Family控制台上,您可以更改与服务器相关的显示横幅。

更改显示横幅
  1. 服务器详细信息页面上,选择其他详细信息旁边的编辑

  2. “编辑其他详情” 页面的 “显示横幅” 部分,为可用的展示横幅输入文本。

  3. 选择 Save(保存)。您将返回到服务器详细信息页面。

将服务器置于在线或离线

在Amazon Transfer Family控制台上,您可以使服务器联机或使其脱机。

使您的服务器联机
  1. 通过 https://console.aws.amazon.com/transfer/ 打开Amazon Transfer Family主机。

  2. 在导航窗格中,选择 Servers (服务器)

  3. 选中处于脱机状态的服务器的复选框。

  4. 对于 Actions (操作),选择 Start (开始)

服务器从离线切换到联机可能需要几分钟。

注意

当您停止服务器使其脱机时,您仍在为该服务器累积服务费用。要消除基于服务器的额外费用,请删除该服务器。

使您的服务器离线
  1. 通过 https://console.aws.amazon.com/transfer/ 打开Amazon Transfer Family主机。

  2. 在导航窗格中,选择 Servers (服务器)

  3. 选中联机服务器的复选框。

  4. 对于 Actions (操作),选择 Stop (停止)

在服务器启动或关闭时,服务器无法进行文件操作。控制台不显示正在启动和正在停止状态。

如果您发现错误情况START_FAILEDSTOP_FAILED,请联系Amazon Web Services Support以帮助解决问题。