本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置SFTPFTPS、或FTP服务器端点
本主题详细介绍了如何创建和使用使用一个或多个SFTPFTPS、和FTP协议的 Amazon Transfer Family 服务器端点。
主题
身份提供商选项
Amazon Transfer Family 提供了几种对用户进行身份验证和管理的方法。下表比较了您可以与 Transfer Family 一起使用的可用身份提供商。
操作 | Amazon Transfer Family 服务托管 | Amazon Managed Microsoft AD | 亚马逊API网关 | Amazon Lambda |
---|---|---|---|---|
受支持的协议 | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP |
基于密钥的身份验证 |
是 |
否 |
是 |
是 |
密码验证 |
否 |
是 |
是 |
是 |
Amazon Identity and Access Management (IAM) 和 POSIX |
是 |
是 |
是 |
是 |
逻辑主目录 |
是 |
是 |
是 |
是 |
参数化访问权限(基于用户名) | 是 | 是 | 是 | 是 |
临时访问结构 |
是 |
否 |
是 |
是 |
Amazon WAF |
否 |
否 |
是 |
否 |
注意:
IAM用于控制 Amazon S3 后备存储的访问权限,POSIX也用于亚马逊EFS。
-
Ad hoc 是指在运行时发送用户配置文件的能力。例如,您可以通过将用户名作为变量传递来将用户置于他们的主目录中。
-
有关的详细信息 Amazon WAF,请参阅添加 Web 应用程序防火墙。
-
有一篇博客文章描述了使用与微软 Azure AD 集成的 Lambda 函数作为您的 Transfer Family 身份提供商。有关详细信息,请参阅使用 Azure 活动目录 Amazon Transfer Family 进行身份验证和。 Amazon Lambda
-
我们提供了多个 Amazon CloudFormation 模板来帮助您快速部署使用自定义身份提供程序的 Transfer Family 服务器。有关详细信息,请参阅Lambda 函数模板。
在以下过程中,您可以创建启用了的服务器、SFTP启用了的服务器、FTPS启用了-的服务器或FTPAS2启用了-的服务器。
下一步
Amazon Transfer Family 端点类型矩阵
创建 Transfer Family 服务器时,您需要选择要使用的端点类型。下表介绍了每种端点类型的特性。
特征 | 公开 | VPC-互联网 | VPC-内部 | VPC_端点(已弃用) |
---|---|---|---|---|
受支持的协议 | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP |
访问 | 来自互联网。此端点类型不需要在您的中进行任何特殊配置VPC。 | 通过互联网以及内部VPC和VPC连接的环境,例如通过 Amazon Direct Connect 或VPN的本地数据中心。 | 来自内部VPC和VPC连接的环境,例如 Amazon Direct Connect 或VPN之上的本地数据中心。 | 来自内部VPC和VPC连接的环境,例如 Amazon Direct Connect 或VPN之上的本地数据中心。 |
静态 IP 地址 | 您无法附加静态 IP 地址。 Amazon 提供随时可能更改的 IP 地址。 |
您可以将弹性 IP 地址附加到端点。这些地址可以是 Amazon自有的 IP 地址或您自己的 IP 地址(自带 IP 地址)。附加到端点的弹性 IP 地址不会更改。 附加到服务器的私有 IP 地址也不会更改。 |
附加到端点的私有 IP 地址不会更改。 | 附加到端点的私有 IP 地址不会更改。 |
源 IP 允许列表 |
此端点类型不支持按源 IP 地址列出的允许列表。 端点可公开访问并侦听端口 22 上的流量。 注意对于VPC托管的端点,Tr SFTP ansfer Family 服务器可以通过端口 22(默认)或端口 2222 运行。 |
要允许通过源 IP 地址进行访问,您可以使用连接到服务器端点的安全组以及ACLs连接到终端节点所在子网的网络。 |
要允许通过源 IP 地址进行访问,您可以使用连接到服务器端点的安全组以及连接到端点所在子网的网络访问控制列表(网络ACLs)。 |
要允许通过源 IP 地址进行访问,您可以使用连接到服务器端点的安全组以及ACLs连接到终端节点所在子网的网络。 |
客户端防火墙允许列表 |
必须允许输入服务器的DNS名称。 由于 IP 地址可能会发生更改,因此请避免将 IP 地址用于您的客户端防火墙允许列表。 |
您可以允许服务器的DNS名称或连接到服务器的弹性 IP 地址。 |
您可以允许使用私有 IP 地址或端点DNS名称。 |
您可以允许使用私有 IP 地址或端点DNS名称。 |
注意
VPC_ENDPOINT
端点类型现已弃用,无法用于创建新的服务器。不要使用EndpointType=VPC_ENDPOINT
,而是使用新的VPC终端节点类型 (EndpointType=VPC
),您可以将其用作内部终端节点或面向互联网的终端节点,如上表所述。有关详细信息,请参阅停止使用 _ VPC ENDPOINT。
考虑以下选项来提高 Amazon Transfer Family 服务器的安全状况:
-
使用具有内部访问权限的VPC终端节点,这样只有您VPC或VPC连接的环境(例如通过或的本地数据中心)中的客户端才能访问服务器。 Amazon Direct Connect VPN
-
要允许客户端通过 Internet 访问终端节点并保护您的服务器,请使用具有面向 Internet 访问权限的VPC终端节点。然后,修改的安全组,使其仅允许来自托管用户客户端的某些 IP 地址的流量。VPC
-
如果您需要基于密码的身份验证,并且在服务器上使用自定义身份提供商,则最佳做法是,您的密码策略可以防止用户创建弱密码并限制失败的登录尝试次数。
Amazon Transfer Family 是一项托管服务,因此它不提供 shell 访问权限。您无法直接访问底层SFTP服务器以在 Transfer Family 服务器上运行操作系统原生命令。
-
在具有内部访问权限的VPC端点前使用 Network Load Balancer。将负载均衡器上的侦听器端口从端口 22 更改为其他端口。这可以降低但不能消除端口扫描器和机器人探测服务器的风险,因为端口 22 最常用于扫描。有关详细信息,请参阅博客文章网络负载均衡器现在支持安全组
。 注意
如果您使用 Network Load Balancer,则 Amazon Transfer Family CloudWatch 日志会显示的 IP 地址NLB,而不是实际的客户端 IP 地址。