配置 SFTP、FTPS 或 FTP 服务器端点 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 SFTP、FTPS 或 FTP 服务器端点

本主题提供有关创建和使用一个或多个 SFTP、FTPS 和 FTP 协议的 Amazon Transfer Family 服务器端点的详细信息。

身份提供商选项

Amazon Transfer Family 提供了几种对用户进行身份验证和管理的方法。下表比较了您可以与 Transfer Family 一起使用的可用身份提供商。

操作 Amazon Transfer Family 服务托管 Amazon Managed Microsoft AD Amazon API Gateway Amazon Lambda
受支持的协议 SFTP SFTP、FTPS、FTP SFTP、FTPS、FTP SFTP、FTPS、FTP

基于密钥的身份验证

密码验证

Amazon Identity and Access Management (IAM) 和 POSIX

逻辑主目录

参数化访问权限(基于用户名)

临时访问结构

Amazon WAF

不支持

注意:

  • IAM 用于控制 Amazon S3 后备存储的访问权限,Amazon EFS 使用 POSIX。

  • Ad hoc 是指在运行时发送用户配置文件的能力。例如,您可以通过将用户名作为变量传递来将用户置于他们的主目录中。

  • 有关的详细信息 Amazon WAF,请参阅 是一个 Web 应用程序防火墙。

  • 有一篇博客文章描述了使用与微软 Azure AD 集成的 Lambda 函数作为您的 Transfer Family 身份提供商。有关详细信息,请参阅使用 Azure 活动目录 Amazon Transfer Family 进行身份验证和。 Amazon Lambda

  • 我们提供了多个 Amazon CloudFormation 模板来帮助您快速部署使用自定义身份提供程序的 Transfer Family 服务器。有关更多信息,请参阅 Lambda 函数模板

在以下步骤中,您可以创建启用 SFTP 的服务器、启用 FTPS 的服务器、启用 FTP 的服务器或启用 AS2 的服务器。

下一步

Amazon Transfer Family 端点类型矩阵

创建 Transfer Family 服务器时,您需要选择要使用的端点类型。下表介绍了每种端点类型的特性。

端点类型矩阵
特征 公开 VPC - 互联网 VPC - 内部 VPC_Endpoint(已弃用)
受支持的协议 SFTP SFTP, FTPS, AS2 SFTP, FTP, FTPS, AS2 SFTP
访问 来自互联网。此端点类型不需要在您的 VPC 中进行任何特殊配置。 通过互联网以及在 VPC 和 VPC 连接的环境中,例如本地数据中心或 VPN。 Amazon Direct Connect 在 VPC 和与 VPC 连接的环境中,例如本地数据中心或 VPN。 Amazon Direct Connect 在 VPC 和与 VPC 连接的环境中,例如本地数据中心或 VPN。 Amazon Direct Connect
静态 IP 地址 您无法附加静态 IP 地址。 Amazon 提供随时可能更改的 IP 地址。

您可以将弹性 IP 地址附加到端点。这些地址可以是 Amazon自有的 IP 地址或您自己的 IP 地址(自带 IP 地址)。附加到端点的弹性 IP 地址不会更改。

附加到服务器的私有 IP 地址也不会更改。

附加到端点的私有 IP 地址不会更改。 附加到端点的私有 IP 地址不会更改。
源 IP 允许列表

此端点类型不支持按源 IP 地址列出的允许列表。

端点可公开访问并侦听端口 22 上的流量。

注意

对于 VPC 托管的端点,SFTP Transfer Family 服务器可以通过端口 22(默认)、端口 2222 或端口 22000 运行。

要允许通过源 IP 地址进行访问,您可以使用附加到服务器端点的安全组以及附加到端点所在子网的网络 ACL。

要允许通过源 IP 地址进行访问,您可以使用附加到服务器端点的安全组以及附加到端点所在子网的网络访问控制列表。

要允许通过源 IP 地址进行访问,您可以使用附加到服务器端点的安全组以及附加到端点所在子网的网络 ACL。

客户端防火墙允许列表

您必须允许服务器的 DNS 名称。

由于 IP 地址可能会发生更改,因此请避免将 IP 地址用于您的客户端防火墙允许列表。

您可以允许服务器的 DNS 名称或附加到服务器的弹性 IP 地址。

您可以允许端点的私有 IP 地址或 DNS 名称。

您可以允许端点的私有 IP 地址或 DNS 名称。

注意

VPC_ENDPOINT端点类型现已弃用,无法用于创建新的服务器。不要使用EndpointType=VPC_ENDPOINT,而是使用新的 VPC 端点类型 (EndpointType=VPC),您可以将其用作内部端点或面向互联网,如上表所述。有关更多信息,请参阅 停止使用 VPC_ENDPOINT

考虑以下选项来提高 Amazon Transfer Family 服务器的安全状况:

  • 使用具有内部访问权限的 VPC 终端节点,这样只有您的 VPC 或 VPC 连接的环境(例如本地数据中心或 VPN)中的客户端才能访问服务器。 Amazon Direct Connect

  • 要允许客户端通过互联网访问端点并保护您的服务器,请使用具有面向互联网访问权限的 VPC 端点。然后,修改 VPC 的安全组,使其仅允许来自托管用户客户端的某些 IP 地址的流量。

  • 如果您需要基于密码的身份验证,并且在服务器上使用自定义身份提供商,则最佳做法是,您的密码策略可以防止用户创建弱密码并限制失败的登录尝试次数。

  • Amazon Transfer Family 是一项托管服务,因此它不提供 shell 访问权限。您无法直接访问底层 SFTP 服务器以在 Transfer Family 服务器上运行 OS 本机命令。

  • 在具有内部访问权限的 VPC 端点前使用网络负载均衡器。将负载均衡器上的侦听器端口从端口 22 更改为其他端口。这可以降低但不能消除端口扫描器和机器人探测服务器的风险,因为端口 22 最常用于扫描。有关详细信息,请参阅博客文章网络负载均衡器现在支持安全组

    注意

    如果您使用 Network Load Balancer,则 Amazon Transfer Family CloudWatch 日志会显示 NLB 的 IP 地址,而不是实际的客户端 IP 地址。