Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsrichtlinien für AWS Transfer Family Server
AWS Transfer Family Mithilfe der Serversicherheitsrichtlinien können Sie den Satz an kryptografischen Algorithmen (Nachrichtenauthentifizierungscodes (MACs), Schlüsselaustausch (KEXs), Verschlüsselungssammlungen, Inhaltsverschlüsselungschiffren und Hash-Algorithmen) einschränken, die Ihrem Server zugeordnet sind.
AWS Transfer Family unterstützt Post-Quantum-Sicherheitsrichtlinien, die hybride Schlüsselaustauschalgorithmen verwenden und traditionelle kryptografische Methoden mit Post-Quanten-Algorithmen kombinieren, um mehr Sicherheit vor future Bedrohungen durch Quantencomputer zu bieten. Einzelheiten finden Sie unter. Verwenden Sie den hybriden Schlüsselaustausch nach dem Quantum-Verfahren mit AWS Transfer Family
Eine Liste der unterstützten kryptografischen Algorithmen finden Sie unterKryptografische Algorithmen. Eine Liste der unterstützten Schlüsselalgorithmen für die Verwendung mit Serverhostschlüsseln und vom Dienst verwalteten Benutzerschlüsseln finden Sie unter. Verwaltung von SSH- und PGP-Schlüsseln in Transfer Family
Anmerkung
Wir empfehlen dringend, Ihre Server auf unsere neuesten Sicherheitsrichtlinien zu aktualisieren.
-
TransferSecurityPolicy-2024-01ist die Standard-Sicherheitsrichtlinie, die Ihrem Server zugewiesen wird, wenn Sie einen Server mithilfe der Konsole, API oder CLI erstellen. -
Wenn Sie einen Transfer Family Family-Server mit der Standardsicherheitsrichtlinie erstellen CloudFormation und diese akzeptieren, wird der Server zugewiesen
TransferSecurityPolicy-2018-11.
Wenn Sie Bedenken hinsichtlich der Client-Kompatibilität haben, geben Sie bitte ausdrücklich an, welche Sicherheitsrichtlinie Sie bei der Erstellung oder Aktualisierung eines Servers verwenden möchten, anstatt die Standardrichtlinie zu verwenden, die sich ändern kann. Informationen zum Ändern der Sicherheitsrichtlinie für einen Server finden Sie unter. Bearbeiten Sie die Sicherheitsrichtlinie
Weitere Informationen zur Sicherheit in Transfer Family finden Sie in den folgenden Blogbeiträgen:
Themen
Kryptografische Algorithmen
Für Hostschlüssel unterstützen wir die folgenden Algorithmen:
-
rsa-sha2-256 -
rsa-sha2-512 -
ecdsa-sha2-nistp256 -
ecdsa-sha2-nistp384 -
ecdsa-sha2-nistp521 -
ssh-ed25519
Darüber hinaus ermöglichen die folgenden Sicherheitsrichtlinienssh-rsa:
-
TransferSecurityPolicy-2018-11
-
TransferSecurityPolicy-2020-06
-
TransferSecurityPolicy-FIPS-2020-06
-
TransferSecurityPolicy-FIPS-2023-05
-
TransferSecurityPolicy-FIPS-2024-01
-
TransferSecurityPolicy-PQ-SSH-FIPS-Experimentell-2023-04
Anmerkung
Es ist wichtig, den Unterschied zwischen dem RSA-Schlüsseltyp — der immer gilt — und dem RSA-Host-Schlüsselalgorithmus zu verstehen, bei dem es sich um einen der unterstützten Algorithmen handeln kann. ssh-rsa
Im Folgenden finden Sie eine Liste der unterstützten kryptografischen Algorithmen für jede Sicherheitsrichtlinie.
Anmerkung
Beachten Sie in der folgenden Tabelle und den Richtlinien die folgende Verwendung von Algorithmustypen.
-
SFTP-Server verwenden nur Algorithmen in den SshMacsAbschnitten SshCiphersSshKexs, und.
-
FTPS-Server verwenden in diesem Abschnitt nur Algorithmen. TlsCiphers
-
FTP-Server verwenden keinen dieser Algorithmen, da sie keine Verschlüsselung verwenden.
-
AS2 Server verwenden nur Algorithmen in den HashAlgorithmsAbschnitten ContentEncryptionCiphersund. In diesen Abschnitten werden Algorithmen definiert, die zum Verschlüsseln und Signieren von Dateiinhalten verwendet werden.
-
Die Sicherheitsrichtlinien FIPS-2024-05 und FIPS-2024-01 sind identisch, mit der Ausnahme, dass FIPS-2024-05 den Algorithmus nicht unterstützt.
ssh-rsa -
Transfer Family hat neue eingeschränkte Policen eingeführt, die eng mit den parallel Policen übereinstimmen:
-
Die Sicherheitsrichtlinien TransferSecurityPolicy -Restricted-2018-11 und TransferSecurityPolicy -2018-11 sind identisch, mit der Ausnahme, dass die eingeschränkte Richtlinie die Verschlüsselung nicht unterstützt.
chacha20-poly1305@openssh.com -
Die Sicherheitsrichtlinien TransferSecurityPolicy -Restricted-2020-06 und TransferSecurityPolicy -2020-06 sind identisch, mit der Ausnahme, dass die eingeschränkte Richtlinie die Verschlüsselung nicht unterstützt.
chacha20-poly1305@openssh.com
* In der folgenden Tabelle ist die Chiffre nur in der Richtlinie ohne Einschränkungen enthalten.
chacha20-poly1305@openssh.com -
| Sicherheitsrichtlinie | 2024-01 | SshAuditCompliant-2025-02 | 2023-05 | 2022 03 |
2020-06 2020-06 eingeschränkt |
FIPS-2024-05 FIPS-2024-01 |
FIPS-2023-05 | FIPS-2020-06 |
2018-11 2018-11 eingeschränkt |
TransferSecurityPolicy- Eingeschränkt-2025-07 AS2 |
|---|---|---|---|---|---|---|---|---|---|---|
|
SshCiphers |
||||||||||
|
aes128-ctr |
♦ |
♦ |
|
♦ |
♦ |
♦ |
♦ |
♦ |
||
|
aes128-gcm@openssh.com |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
aes192-ctr |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
aes256-ctr |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
aes256-gcm@openssh.com |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
chacha20-poly1305@openssh.com |
|
♦* |
♦* |
|||||||
|
SshKexs |
||||||||||
|
mlkem768x25519-sha256 |
♦ |
|||||||||
|
mlkem768nistp256-SHA256 |
♦ |
|||||||||
|
mlkem1024nistp384-sha384 |
♦ |
|||||||||
|
Kurve 25519-sha256 |
♦ |
♦ |
♦ |
♦ |
|
|
♦ |
♦ |
||
|
curve25519-sha256@libssh.org |
♦ |
♦ |
♦ |
♦ |
|
|
♦ |
♦ |
||
|
diffie-hellman-group14-sha1 |
|
|
|
♦ |
||||||
|
diffie-hellman-group14-sha256 |
|
♦ |
♦ |
♦ |
||||||
| diffie-hellman-group16-sha512 | ♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
| diffie-hellman-group18-sha512 | ♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
diffie-hellman-group-exchange-Sha 256 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
|
ecdh-sha2-nistp256 |
♦ |
|
♦ |
♦ |
♦ |
♦ |
♦ |
|||
|
ecdh-sha2-nistp384 |
♦ |
|
♦ |
♦ |
♦ |
♦ |
♦ |
|||
|
ecdh-sha2-nistp521 |
♦ |
|
♦ |
♦ |
♦ |
♦ |
♦ |
|||
|
SshMacs |
||||||||||
|
hmac-sha1 |
|
|
|
♦ |
||||||
|
hmac-sha1-etm@openssh.com |
|
|
|
♦ |
||||||
|
hmac-sha2-256 |
♦ |
♦ |
♦ |
♦ |
||||||
|
hmac-sha2-256-etm@openssh.com |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
hmac-sha2-512 |
♦ |
♦ |
♦ |
♦ |
||||||
|
hmac-sha2-512-etm@openssh.com |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
umac-128-etm@openssh.com |
|
♦ |
|
♦ |
||||||
|
umac-128@openssh.com |
|
♦ |
|
♦ |
||||||
|
umac-64-etm@openssh.com |
|
|
|
♦ |
||||||
|
umac-64@openssh.com |
|
|
|
♦ |
||||||
|
ContentEncryptionCiphers |
||||||||||
|
aes256-cbc |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
aes192-cbc |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
aes128-cbc |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
3des-cbc |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
|
HashAlgorithms |
||||||||||
|
sha256 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
sha384 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
sha512 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
sha1 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
|
TlsCiphers |
||||||||||
|
TLS_ECDHE_ECDSA_MIT_AES_128_CBC_ SHA256 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_ SHA256 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
|
TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
|
TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384 |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
♦ |
|
|
TLS_RSA_MIT_AES_128_CBC_ SHA256 |
|
|
|
|
|
♦ |
||||
|
TLS_RSA_MIT_AES_256_CBC_ SHA256 |
|
|
|
|
|
♦ |
||||
TransferSecurityPolicy-2024-01
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -2024-01 dargestellt.
{ "SecurityPolicy": { "Fips": false, "SecurityPolicyName": "TransferSecurityPolicy-2024-01", "SshCiphers": [ "aes128-gcm@openssh.com", "aes256-gcm@openssh.com", "aes128-ctr", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "curve25519-sha256", "curve25519-sha256@libssh.org", "diffie-hellman-group18-sha512", "diffie-hellman-group16-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com" ], "ContentEncryptionCiphers": [ "aes256-cbc", "aes192-cbc", "aes128-cbc", "3des-cbc" ], "HashAlgorithms": [ "sha256", "sha384", "sha512", "sha1" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
TransferSecurityPolicySshAuditCompliant- -2025-02
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy - SshAuditCompliant -2025-02 dargestellt.
Anmerkung
Diese Sicherheitsrichtlinie basiert auf den Empfehlungen des Tools und entspricht zu 100% dem ssh-audit Tool.
{ "SecurityPolicy": { "Fips": false, "Protocols": [ "SFTP", "FTPS" ], "SecurityPolicyName": "TransferSecurityPolicy-SshAuditCompliant-2025-02", "SshCiphers": [ "aes128-gcm@openssh.com", "aes256-gcm@openssh.com", "aes128-ctr", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "curve25519-sha256", "curve25519-sha256@libssh.org", "diffie-hellman-group18-sha512", "diffie-hellman-group16-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com" ], "ContentEncryptionCiphers": [ "aes256-cbc", "aes192-cbc", "aes128-cbc", "3des-cbc" ], "HashAlgorithms": [ "sha256", "sha384", "sha512", "sha1" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ], "Type": "SERVER" } }
TransferSecurityPolicy-2023-05
Im Folgenden wird die Sicherheitsrichtlinie -2023-05 dargestellt. TransferSecurityPolicy
{ "SecurityPolicy": { "Fips": false, "SecurityPolicyName": "TransferSecurityPolicy-2023-05", "SshCiphers": [ "aes256-gcm@openssh.com", "aes128-gcm@openssh.com", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "curve25519-sha256", "curve25519-sha256@libssh.org", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-512-etm@openssh.com", "hmac-sha2-256-etm@openssh.com" ], "ContentEncryptionCiphers": [ "aes256-cbc", "aes192-cbc", "aes128-cbc", "3des-cbc" ], "HashAlgorithms": [ "sha256", "sha384", "sha512", "sha1" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
TransferSecurityPolicy-2022—03
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -2022-03 dargestellt.
{ "SecurityPolicy": { "Fips": false, "SecurityPolicyName": "TransferSecurityPolicy-2022-03", "SshCiphers": [ "aes256-gcm@openssh.com", "aes128-gcm@openssh.com", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "curve25519-sha256", "curve25519-sha256@libssh.org", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-512-etm@openssh.com", "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512", "hmac-sha2-256" ], "ContentEncryptionCiphers": [ "aes256-cbc", "aes192-cbc", "aes128-cbc" "3des-cbc", ], "HashAlgorithms": [ "sha256", "sha384", "sha512" "sha1" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
TransferSecurityPolicy-2020-06 und -Eingeschränkt-2020-06 TransferSecurityPolicy
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -2020-06 dargestellt.
Anmerkung
Die Sicherheitsrichtlinien TransferSecurityPolicy -Restricted-2020-06 und TransferSecurityPolicy -2020-06 sind identisch, mit der Ausnahme, dass die eingeschränkte Richtlinie die Verschlüsselung nicht unterstützt. chacha20-poly1305@openssh.com
{ "SecurityPolicy": { "Fips": false, "SecurityPolicyName": "TransferSecurityPolicy-2020-06", "SshCiphers": [ "chacha20-poly1305@openssh.com", //Not included in TransferSecurityPolicy-Restricted-2020-06 "aes128-ctr", "aes192-ctr", "aes256-ctr", "aes128-gcm@openssh.com", "aes256-gcm@openssh.com" ], "SshKexs": [ "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "diffie-hellman-group-exchange-sha256", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group14-sha256" ], "SshMacs": [ "umac-128-etm@openssh.com", "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com", "umac-128@openssh.com", "hmac-sha2-256", "hmac-sha2-512" ], "ContentEncryptionCiphers": [ "aes256-cbc", "aes192-cbc", "aes128-cbc" "3des-cbc", ], "HashAlgorithms": [ "sha256", "sha384", "sha512" "sha1" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
TransferSecurityPolicy-2018-11 TransferSecurityPolicy und -Restricted-2018-11
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -2018-11 dargestellt.
Anmerkung
Die Sicherheitsrichtlinien TransferSecurityPolicy -Restricted-2018-11 und TransferSecurityPolicy -2018-11 sind identisch, mit der Ausnahme, dass die eingeschränkte Richtlinie die Verschlüsselung nicht unterstützt. chacha20-poly1305@openssh.com
{ "SecurityPolicy": { "Fips": false, "SecurityPolicyName": "TransferSecurityPolicy-2018-11", "SshCiphers": [ "chacha20-poly1305@openssh.com", //Not included in TransferSecurityPolicy-Restricted-2018-11 "aes128-ctr", "aes192-ctr", "aes256-ctr", "aes128-gcm@openssh.com", "aes256-gcm@openssh.com" ], "SshKexs": [ "curve25519-sha256", "curve25519-sha256@libssh.org", "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "diffie-hellman-group-exchange-sha256", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group14-sha256", "diffie-hellman-group14-sha1" ], "SshMacs": [ "umac-64-etm@openssh.com", "umac-128-etm@openssh.com", "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com", "hmac-sha1-etm@openssh.com", "umac-64@openssh.com", "umac-128@openssh.com", "hmac-sha2-256", "hmac-sha2-512", "hmac-sha1" ], "ContentEncryptionCiphers": [ "aes256-cbc", "aes192-cbc", "aes128-cbc" "3des-cbc", ], "HashAlgorithms": [ "sha256", "sha384", "sha512", "sha1" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384", "TLS_RSA_WITH_AES_128_CBC_SHA256", "TLS_RSA_WITH_AES_256_CBC_SHA256" ] } }
TransferSecurityPolicyTransferSecurityPolicy-FIPS-2024-01/ -FIPS-2024-05
Im Folgenden werden die Sicherheitsrichtlinien -FIPS-2024-01 und -FIPS-2024-05 aufgeführt TransferSecurityPolicy. TransferSecurityPolicy
Anmerkung
Der FIPS-Dienstendpunkt und die Sicherheitsrichtlinien -FIPS-2024-01 und -FIPS-2024-05 sind nur in einigen Regionen verfügbar. TransferSecurityPolicy TransferSecurityPolicy AWS Weitere Informationen finden Sie unter AWS Transfer Family -Endpunkte und -Kontingente in der Allgemeine AWS-Referenz.
Der einzige Unterschied zwischen diesen beiden Sicherheitsrichtlinien besteht darin, dass -FIPS-2024-01 den Algorithmus unterstützt und -FIPS-2024-05 nicht. TransferSecurityPolicy ssh-rsa TransferSecurityPolicy
{ "SecurityPolicy": { "Fips": true, "SecurityPolicyName": "TransferSecurityPolicy-FIPS-2024-01", "SshCiphers": [ "aes128-gcm@openssh.com", "aes256-gcm@openssh.com", "aes128-ctr", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "diffie-hellman-group18-sha512", "diffie-hellman-group16-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com" ], "ContentEncryptionCiphers": [ "aes256-cbc", "aes192-cbc", "aes128-cbc" "3des-cbc" ], "HashAlgorithms": [ "sha256", "sha384", "sha512" "sha1" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
TransferSecurityPolicy-FIPS-2023-05
Die Einzelheiten zur FIPS-Zertifizierung für finden Sie unter AWS Transfer Family https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search/all
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -FIPS-2023-05 beschrieben.
Anmerkung
Der FIPS-Dienstendpunkt und die Sicherheitsrichtlinie TransferSecurityPolicy -FIPS-2023-05 sind nur in einigen Regionen verfügbar. AWS Weitere Informationen finden Sie unter AWS Transfer Family -Endpunkte und -Kontingente in der Allgemeine AWS-Referenz.
{ "SecurityPolicy": { "Fips": true, "SecurityPolicyName": "TransferSecurityPolicy-FIPS-2023-05", "SshCiphers": [ "aes256-gcm@openssh.com", "aes128-gcm@openssh.com", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com" ], "ContentEncryptionCiphers": [ "aes256-cbc", "aes192-cbc", "aes128-cbc" "3des-cbc" ], "HashAlgorithms": [ "sha256", "sha384", "sha512" "sha1" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
TransferSecurityPolicy-FIPS-2020-06
Die Einzelheiten zur FIPS-Zertifizierung für finden Sie unter AWS Transfer Family https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search/all
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -FIPS-2020-06 dargestellt.
Anmerkung
Der FIPS-Dienstendpunkt und die Sicherheitsrichtlinie TransferSecurityPolicy -FIPS-2020-06 sind nur in einigen Regionen verfügbar. AWS Weitere Informationen finden Sie unter AWS Transfer Family -Endpunkte und -Kontingente in der Allgemeine AWS-Referenz.
{ "SecurityPolicy": { "Fips": true, "SecurityPolicyName": "TransferSecurityPolicy-FIPS-2020-06", "SshCiphers": [ "aes128-ctr", "aes192-ctr", "aes256-ctr", "aes128-gcm@openssh.com", "aes256-gcm@openssh.com" ], "SshKexs": [ "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "diffie-hellman-group-exchange-sha256", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group14-sha256" ], "SshMacs": [ "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com", "hmac-sha2-256", "hmac-sha2-512" ], "ContentEncryptionCiphers": [ "aes256-cbc", "aes192-cbc", "aes128-cbc" "3des-cbc", ], "HashAlgorithms": [ "sha256", "sha384", "sha512" "sha1", ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ] } }
TransferSecurityPolicyAS2- Eingeschränkt-2025-07
Diese Sicherheitsrichtlinie wurde für AS2 Dateiübertragungen entwickelt, die eine erhöhte Sicherheit erfordern, indem ältere kryptografische Algorithmen ausgeschlossen werden. Sie unterstützt moderne AES-Verschlüsselung und SHA-2-Hash-Algorithmen und entfernt gleichzeitig die Unterstützung für schwächere Algorithmen wie 3DES und SHA-1.
{ "SecurityPolicy": { "Fips": false, "SecurityPolicyName": "TransferSecurityPolicy-AS2Restricted-2025-07", "SshCiphers": [ "aes256-gcm@openssh.com", "aes128-gcm@openssh.com", "aes128-ctr", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "mlkem768x25519-sha256", "mlkem768nistp256-sha256", "mlkem1024nistp384-sha384", "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "curve25519-sha256", "curve25519-sha256@libssh.org", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com" ], "ContentEncryptionCiphers": [ "aes256-cbc", "aes192-cbc", "aes128-cbc" ], "HashAlgorithms": [ "sha256", "sha384", "sha512" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ], "Type": "SERVER", "Protocols": [ "AS2" ] } }
Sicherheitsrichtlinien nach Quantum
In dieser Tabelle sind die Algorithmen für die Post-Quantum-Sicherheitsrichtlinien der Transfer Family aufgeführt. Diese Richtlinien werden unter ausführlich Verwenden Sie den hybriden Schlüsselaustausch nach dem Quantum-Verfahren mit AWS Transfer Family beschrieben.
Die Richtlinienlisten folgen der Tabelle.
Anmerkung
Die früheren Beiträge zu Quantenrichtlinien (TransferSecurityPolicy-pq-SSH-Experimental-2023-04 und -pq-SSH-FIPS-Experimental-2023-04) sind veraltet. TransferSecurityPolicy Wir empfehlen, stattdessen die neuen Richtlinien zu verwenden.
| Sicherheitsrichtlinie | TransferSecurityPolicy-2025-03 | TransferSecurityPolicy-FIPS-2025-03 |
|---|---|---|
| SSH ciphers |
||
|
aes128-ctr |
♦ |
♦ |
|
aes128-gcm@openssh.com |
♦ |
♦ |
|
aes192-ctr |
♦ |
♦ |
|
aes256-ctr |
♦ |
♦ |
|
aes256-gcm@openssh.com |
♦ |
♦ |
|
KEXs |
||
| mlkem768x25519-sha256 |
♦ |
♦ |
| mlkem768nistp256-SHA256 |
♦ |
♦ |
| mlkem1024nistp384-sha384 |
♦ |
♦ |
|
diffie-hellman-group14-sha256 |
♦ | ♦ |
|
diffie-hellman-group16-sha512 |
♦ |
♦ |
|
diffie-hellman-group18-sha512 |
♦ |
♦ |
|
ecdh-Sha2-Nistp384 |
♦ |
♦ |
|
ecdh-sha2-nistp521 |
♦ |
♦ |
|
ecdh-sha2-nistp256 |
♦ |
♦ |
|
diffie-hellman-group-exchange-sha256 |
♦ |
♦ |
|
curve25519-sha256@libssh.org |
♦ |
|
|
Kurve 25519-sha256 |
♦ |
|
|
MACs |
||
|
hmac-sha2-256-etm@openssh.com |
♦ |
♦ |
|
hmac-sha2-512-etm@openssh.com |
♦ |
♦ |
|
ContentEncryptionCiphers |
||
|
aes256-cbc |
♦ |
♦ |
|
aes192-cbc |
♦ |
♦ |
|
aes128-cbc |
♦ |
♦ |
|
3des-cbc |
♦ |
♦ |
|
HashAlgorithms |
||
|
sha256 |
♦ |
♦ |
|
sha384 |
♦ |
♦ |
|
sha512 |
♦ |
♦ |
|
sha1 |
♦ |
♦ |
| TLS ciphers |
||
|
TLS_ECDHE_ECDSA_MIT_AES_128_CBC_ SHA256 |
♦ |
♦ |
| TLS_ECDHE_ECDSA_WITH_AES_128_GCM_ SHA256 |
♦ |
♦ |
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_ SHA384 |
♦ |
♦ |
|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 |
♦ |
♦ |
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 |
♦ |
♦ |
|
TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 |
♦ |
♦ |
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 |
♦ |
♦ |
|
TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384 |
♦ |
♦ |
TransferSecurityPolicy-2025-03
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -2025-03 dargestellt.
{ "SecurityPolicy": { "Fips": false, "SecurityPolicyName": "TransferSecurityPolicy-2025-03", "SshCiphers": [ "aes256-gcm@openssh.com", "aes128-gcm@openssh.com", "aes128-ctr", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "mlkem768x25519-sha256", "mlkem768nistp256-sha256", "mlkem1024nistp384-sha384", "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "curve25519-sha256", "curve25519-sha256@libssh.org", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com" ], "ContentEncryptionCiphers": [ "aes256-cbc", "aes192-cbc", "aes128-cbc" "3des-cbc" ], "HashAlgorithms": [ "sha256", "sha384", "sha512" "sha1" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ], "Type": "SERVER", "Protocols": [ "SFTP", "FTPS" ] } }
TransferSecurityPolicy-FIPS-2025-03
Im Folgenden wird die Sicherheitsrichtlinie -FIPS-2025-03 dargestellt. TransferSecurityPolicy
{ "SecurityPolicy": { "Fips": true, "SecurityPolicyName": "TransferSecurityPolicy-FIPS-2025-03", "SshCiphers": [ "aes256-gcm@openssh.com", "aes128-gcm@openssh.com", "aes256-ctr", "aes192-ctr", "aes128-ctr" ], "SshKexs": [ "mlkem768x25519-sha256", "mlkem768nistp256-sha256", "mlkem1024nistp384-sha384", "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "diffie-hellman-group-exchange-sha256", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512" ], "SshMacs": [ "hmac-sha2-512-etm@openssh.com", "hmac-sha2-256-etm@openssh.com" ], "ContentEncryptionCiphers": [ "aes256-cbc", "aes192-cbc", "aes128-cbc" "3des-cbc" ], "HashAlgorithms": [ "sha256", "sha384", "sha512" "sha1" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ], "Type": "SERVER", "Protocols": [ "SFTP", "FTPS" ] } }
TransferSecurityPolicy- AS2 Eingeschränkt - 2025-07
Im Folgenden wird die Sicherheitsrichtlinie - Restricted-2025-07 dargestellt. TransferSecurityPolicy AS2
Anmerkung
Diese Sicherheitsrichtlinie ist identisch mit TransferSecurityPolicy -2025-03, außer dass sie 3DES (in) nicht unterstützt und (in) nicht unterstützt. ContentEncryptionCiphers SHA1 HashAlgorithms Sie umfasst alle Algorithmen ab 2025-03, einschließlich kryptografischer Post-Quantum-Algorithmen (mlkem*). KEXs
{ "SecurityPolicy": { "Fips": false, "SecurityPolicyName": "TransferSecurityPolicy-AS2Restricted-2025-07", "SshCiphers": [ "aes256-gcm@openssh.com", "aes128-gcm@openssh.com", "aes128-ctr", "aes256-ctr", "aes192-ctr" ], "SshKexs": [ "mlkem768x25519-sha256", "mlkem768nistp256-sha256", "mlkem1024nistp384-sha384", "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "curve25519-sha256", "curve25519-sha256@libssh.org", "diffie-hellman-group16-sha512", "diffie-hellman-group18-sha512", "diffie-hellman-group-exchange-sha256" ], "SshMacs": [ "hmac-sha2-256-etm@openssh.com", "hmac-sha2-512-etm@openssh.com" ], "ContentEncryptionCiphers": [ "aes256-cbc", "aes192-cbc", "aes128-cbc" ], "HashAlgorithms": [ "sha256", "sha384", "sha512" ], "TlsCiphers": [ "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384" ], "Type": "SERVER", "Protocols": [ "SFTP", "FTPS" ] } }
