Políticas de seguridad para servidores AWS Transfer Family

Las políticas de seguridad del servidor AWS Transfer Family le permiten limitar el conjunto de algoritmos criptográficos (códigos de autenticación de mensajes (MACs), intercambios de claves (KEXs), conjuntos de cifrado, cifrados de contenido y algoritmos de hash) asociados a su servidor.

AWS Transfer Family admite políticas de seguridad poscuántica que utilizan algoritmos híbridos de intercambio de claves, que combinan métodos criptográficos tradicionales con algoritmos poscuánticos para proporcionar una mayor seguridad contra las futuras amenazas de la computación cuántica. Los detalles se proporcionan en. Uso del intercambio de claves híbrido poscuántico con AWS Transfer Family

Para consultar una lista de los algoritmos criptográficos admitidos, consulte Algoritmos criptográficos. Para obtener una lista de los algoritmos clave admitidos para su uso con las claves del host del servidor y las claves de usuario administradas por el servicio, consulte Administración de claves SSH y PGP en Transfer Family.

nota

Recomendamos encarecidamente actualizar sus servidores a nuestra política de seguridad más reciente.

TransferSecurityPolicy-2024-01es la política de seguridad predeterminada que se adjunta al servidor al crear un servidor mediante la consola, la API o la CLI.
Si crea un servidor Transfer Family utilizando CloudFormation y acepta la política de seguridad predeterminada, se asigna el servidorTransferSecurityPolicy-2018-11.

Si le preocupa la compatibilidad de los clientes, indique afirmativamente qué política de seguridad desea utilizar al crear o actualizar un servidor en lugar de utilizar la política predeterminada, que está sujeta a cambios. Para cambiar la política de seguridad de un servidor, consulteEditar la política de seguridad.

Para obtener más información sobre la seguridad de Transfer Family, consulta las siguientes entradas del blog:

Temas

Algoritmos criptográficos
TransferSecurityPolicy-2024-01
TransferSecurityPolicy- -2025-02 SshAuditCompliant
TransferSecurityPolicy-2023-05
TransferSecurityPolicy-2022-03
TransferSecurityPolicy-2020-06 y -Restringido- 2020-06 TransferSecurityPolicy
TransferSecurityPolicy-2018-11 TransferSecurityPolicy y -Restricted-2018-11
TransferSecurityPolicyTransferSecurityPolicy-FIPS-2024-01/ -FIPS-2024-05
TransferSecurityPolicy-FIPS-2023-05
TransferSecurityPolicy-FIPS-2020-06
TransferSecurityPolicyAS2- Restringido: 2025-07
Políticas de seguridad poscuánticas

Algoritmos criptográficos

Para las claves de host, admitimos los siguientes algoritmos:

rsa-sha2-256
rsa-sha2-512
ecdsa-sha2-nistp256
ecdsa-sha2-nistp384
ecdsa-sha2-nistp521
ssh-ed25519

Además, las siguientes políticas de seguridad permitenssh-rsa:

TransferSecurityPolicy-2018-11
TransferSecurityPolicy-2020-06
TransferSecurityPolicy-FIPS-2020-06
TransferSecurityPolicy-FIPS-2023-05
TransferSecurityPolicy-FIPS-2024-01
TransferSecurityPolicy-PQ-SSH-FIPS-Experimental-2023-04

nota

Es importante entender la diferencia entre el tipo de clave RSA (que es siempressh-rsa) y el algoritmo de clave host de RSA, que puede ser cualquiera de los algoritmos compatibles.

La siguiente es una lista de los algoritmos criptográficos admitidos con cada política de seguridad.

nota

En la tabla y las políticas siguientes, observe el siguiente uso de los tipos de algoritmos.

Los servidores SFTP solo utilizan algoritmos en las SshMacssecciones SshCiphersSshKexs, y.
Los servidores FTPS solo utilizan los algoritmos de la TlsCipherssección.
Los servidores FTP, dado que no utilizan cifrado, no utilizan ninguno de estos algoritmos.
AS2 los servidores solo utilizan algoritmos en las HashAlgorithmssecciones ContentEncryptionCiphersy. En estas secciones se definen los algoritmos que se utilizan para cifrar y firmar el contenido de los archivos.
Las políticas de seguridad FIPS-2024-05 y FIPS-2024-01 son idénticas, excepto que FIPS-2024-05 no admite el algoritmo. ssh-rsa
Transfer Family ha introducido nuevas políticas restringidas que son muy paralelas a las políticas existentes:
- Las políticas de seguridad TransferSecurityPolicy -Restricted-2018-11 y TransferSecurityPolicy -2018-11 son idénticas, excepto que la política restringida no admite el cifrado. chacha20-poly1305@openssh.com
- Las políticas de seguridad TransferSecurityPolicy -Restricted-2020-06 y TransferSecurityPolicy -2020-06 son idénticas, con la salvedad de que la política restringida no admite el cifrado. chacha20-poly1305@openssh.com
^* En la siguiente tabla, el cifrado solo se incluye en la política no restringida, chacha20-poly1305@openssh.com

Política de seguridad	2024-01	SshAuditCompliant-2025-02	2023-05	2022-03	2020-06 2020-06 restringido	FIPS-2024-05 FIPS-2024-01	FIPS-2023-05	FIPS-2020-06	2018-11 2018-11 restringido	TransferSecurityPolicy- AS2 Restringido: 2025-07
SshCiphers
aes128-ctr	♦	♦			♦	♦		♦	♦	♦
aes128-gcm@openssh.com	♦	♦	♦	♦	♦	♦	♦	♦	♦	♦
aes192-ctr	♦	♦	♦	♦	♦	♦	♦	♦	♦	♦
aes256-ctr	♦	♦	♦	♦	♦	♦	♦	♦	♦	♦
aes256-gcm@openssh.com	♦	♦	♦	♦	♦	♦	♦	♦	♦	♦
chacha20-poly1305@openssh.com					♦^*				♦^*
SshKexs
mlkem768x25519-sha256										♦
mlkem768nistp256-sha256										♦
mlkem1024nistp384-sha384										♦
curva 25519-sha256	♦	♦	♦	♦					♦	♦
curve25519-sha256@libssh.org	♦	♦	♦	♦					♦	♦
diffie-hellman-group14-sha1									♦
diffie-hellman-group14-sha256					♦			♦	♦
diffie-hellman-group16-sha512	♦	♦	♦	♦	♦	♦	♦	♦	♦	♦
diffie-hellman-group18-sha512	♦	♦	♦	♦	♦	♦	♦	♦	♦	♦
diffie-hellman-group-exchange-sha256	♦	♦	♦	♦	♦		♦	♦	♦	♦
ecdh-sha2-nistp256	♦				♦	♦		♦	♦	♦
ecdh-sha2-nistp384	♦				♦	♦		♦	♦	♦
ecdh-sha2-nistp521	♦				♦	♦		♦	♦	♦
SshMacs
hmac-sha1									♦
hmac-sha1-etm@openssh.com									♦
hmac-sha2-256				♦	♦			♦	♦
hmac-sha2-256-etm@openssh.com	♦	♦	♦	♦	♦	♦	♦	♦	♦	♦
hmac-sha2-512				♦	♦			♦	♦
hmac-sha2-512-etm@openssh.com	♦	♦	♦	♦	♦	♦	♦	♦	♦	♦
umac-128-etm@openssh.com					♦				♦
umac-128@openssh.com					♦				♦
umac-64-etm@openssh.com									♦
umac-64@openssh.com									♦
ContentEncryptionCiphers
aes256-cbc	♦	♦	♦	♦	♦	♦	♦	♦	♦	♦
aes192-cbc	♦	♦	♦	♦	♦	♦	♦	♦	♦	♦
aes128-cbc	♦	♦	♦	♦	♦	♦	♦	♦	♦	♦
3des-cbc	♦	♦	♦	♦	♦	♦	♦	♦	♦
HashAlgorithms
sha256	♦	♦	♦	♦	♦	♦	♦	♦	♦	♦
sha384	♦	♦	♦	♦	♦	♦	♦	♦	♦	♦
sha512	♦	♦	♦	♦	♦	♦	♦	♦	♦	♦
sha1	♦	♦	♦	♦	♦	♦	♦	♦	♦
TlsCiphers
TLS_ECDHE_ECDSA_CON_AES_128_CBC_ SHA256	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS_ECDHE_ECDSA_CON_AES_128_GCM_ SHA256	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS_ECDHE_ECDSA_CON_AES_256_CBC_ SHA384	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS_ECDHE_ECDSA_CON_AES_256_GCM_ SHA384	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS_ECDHE_RSA_CON_AES_128_CBC_ SHA256	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS_ECDHE_RSA_CON_AES_128_GCM_ SHA256	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS_ECDHE_RSA_CON_AES_256_CBC_ SHA384	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS_ECDHE_RSA_CON_AES_256_GCM_ SHA384	♦	♦	♦	♦	♦	♦	♦	♦	♦
TLS_RSA_CON_AES_128_CBC_ SHA256									♦
TLS_RSA_CON_AES_256_CBC_ SHA256									♦

TransferSecurityPolicy-2024-01

A continuación se muestra la política de seguridad TransferSecurityPolicy -2024-01.


{
    "SecurityPolicy": {
        "Fips": false,
        "SecurityPolicyName": "TransferSecurityPolicy-2024-01",
        "SshCiphers": [
            "aes128-gcm@openssh.com",
            "aes256-gcm@openssh.com",
            "aes128-ctr",
            "aes256-ctr",
            "aes192-ctr"
        ],
        "SshKexs": [
            "ecdh-sha2-nistp256",
            "ecdh-sha2-nistp384",
            "ecdh-sha2-nistp521",
            "curve25519-sha256",
            "curve25519-sha256@libssh.org",
            "diffie-hellman-group18-sha512",
            "diffie-hellman-group16-sha512",
            "diffie-hellman-group-exchange-sha256"
        ],
        "SshMacs": [
            "hmac-sha2-256-etm@openssh.com",
            "hmac-sha2-512-etm@openssh.com"
        ],
        "ContentEncryptionCiphers": [
            "aes256-cbc",
            "aes192-cbc",
            "aes128-cbc",
            "3des-cbc"
        ],
        "HashAlgorithms": [
            "sha256",
            "sha384",
            "sha512",
            "sha1"
        ],
        "TlsCiphers": [
            "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
        ]
    }
}

TransferSecurityPolicy- -2025-02 SshAuditCompliant

A continuación se muestra la política de seguridad TransferSecurityPolicy - SshAuditCompliant -2025-02.

nota

Esta política de seguridad está diseñada en función de las recomendaciones proporcionadas por la ssh-audit herramienta y es 100% compatible con esa herramienta.


{
  "SecurityPolicy": {
    "Fips": false,
    "Protocols": [
      "SFTP",
      "FTPS"
    ],
    "SecurityPolicyName": "TransferSecurityPolicy-SshAuditCompliant-2025-02",
    "SshCiphers": [
      "aes128-gcm@openssh.com",
      "aes256-gcm@openssh.com",
      "aes128-ctr",
      "aes256-ctr",
      "aes192-ctr"
    ],
    "SshKexs": [
      "curve25519-sha256",
      "curve25519-sha256@libssh.org",
      "diffie-hellman-group18-sha512",
      "diffie-hellman-group16-sha512",
      "diffie-hellman-group-exchange-sha256"
    ],
    "SshMacs": [
      "hmac-sha2-256-etm@openssh.com",
      "hmac-sha2-512-etm@openssh.com"
    ],
    "ContentEncryptionCiphers": [
      "aes256-cbc",
      "aes192-cbc",
      "aes128-cbc",
      "3des-cbc"
    ],
    "HashAlgorithms": [
      "sha256",
      "sha384",
      "sha512",
      "sha1"
    ],
    "TlsCiphers": [
      "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
      "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
      "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
      "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
      "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
      "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
      "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
      "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
    ],
    "Type": "SERVER"
  }
}

TransferSecurityPolicy-2023-05

A continuación se muestra la política de seguridad de TransferSecurityPolicy -2023-05.


{
    "SecurityPolicy": {
        "Fips": false,
        "SecurityPolicyName": "TransferSecurityPolicy-2023-05",
        "SshCiphers": [
            "aes256-gcm@openssh.com",
            "aes128-gcm@openssh.com",
            "aes256-ctr",
            "aes192-ctr"
        ],
        "SshKexs": [
            "curve25519-sha256",
            "curve25519-sha256@libssh.org",
            "diffie-hellman-group16-sha512",
            "diffie-hellman-group18-sha512",
            "diffie-hellman-group-exchange-sha256"
        ],
        "SshMacs": [
            "hmac-sha2-512-etm@openssh.com",
            "hmac-sha2-256-etm@openssh.com"
        ],
        "ContentEncryptionCiphers": [
            "aes256-cbc",
            "aes192-cbc",
            "aes128-cbc",
            "3des-cbc"
        ],
        "HashAlgorithms": [
            "sha256",
            "sha384",
            "sha512",
            "sha1"
        ],
        "TlsCiphers": [
            "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
        ]
    }
}

TransferSecurityPolicy-2022-03

A continuación se muestra la política de seguridad del TransferSecurityPolicy -2022-03.


{
  "SecurityPolicy": {
    "Fips": false,
    "SecurityPolicyName": "TransferSecurityPolicy-2022-03",
    "SshCiphers": [
      "aes256-gcm@openssh.com",
      "aes128-gcm@openssh.com",
      "aes256-ctr",
      "aes192-ctr"
    ],
    "SshKexs": [
      "curve25519-sha256",
      "curve25519-sha256@libssh.org",
      "diffie-hellman-group16-sha512",
      "diffie-hellman-group18-sha512",
      "diffie-hellman-group-exchange-sha256"
    ],
    "SshMacs": [
      "hmac-sha2-512-etm@openssh.com",
      "hmac-sha2-256-etm@openssh.com",
      "hmac-sha2-512",
      "hmac-sha2-256"
    ],
    "ContentEncryptionCiphers": [
      "aes256-cbc",
      "aes192-cbc",
      "aes128-cbc"
      "3des-cbc",
    ],
    "HashAlgorithms": [
      "sha256",
      "sha384",
      "sha512"
      "sha1"
    ],
    "TlsCiphers": [
      "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", 
      "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", 
      "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
      "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", 
      "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", 
      "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", 
      "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", 
      "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
    ]
  }
}

TransferSecurityPolicy-2020-06 y -Restringido- 2020-06 TransferSecurityPolicy

A continuación se muestra la política de seguridad de la versión TransferSecurityPolicy -2020-06.

nota

Las políticas de seguridad TransferSecurityPolicy -Restricted-2020-06 y TransferSecurityPolicy -2020-06 son idénticas, excepto que la política restringida no admite el cifrado. chacha20-poly1305@openssh.com


{
  "SecurityPolicy": {
    "Fips": false,
    "SecurityPolicyName": "TransferSecurityPolicy-2020-06",
    "SshCiphers": [
      "chacha20-poly1305@openssh.com", //Not included in TransferSecurityPolicy-Restricted-2020-06
      "aes128-ctr",
      "aes192-ctr",
      "aes256-ctr",
      "aes128-gcm@openssh.com",
      "aes256-gcm@openssh.com"
    ],
    "SshKexs": [
      "ecdh-sha2-nistp256",
      "ecdh-sha2-nistp384",
      "ecdh-sha2-nistp521",
      "diffie-hellman-group-exchange-sha256",
      "diffie-hellman-group16-sha512",
      "diffie-hellman-group18-sha512",
      "diffie-hellman-group14-sha256"
    ],
    "SshMacs": [
      "umac-128-etm@openssh.com",
      "hmac-sha2-256-etm@openssh.com",
      "hmac-sha2-512-etm@openssh.com",
      "umac-128@openssh.com",
      "hmac-sha2-256",
      "hmac-sha2-512"
    ],
    "ContentEncryptionCiphers": [
      "aes256-cbc",
      "aes192-cbc",
      "aes128-cbc"
            "3des-cbc",
    ],
    "HashAlgorithms": [
      "sha256",
      "sha384",
      "sha512"
      "sha1"
    ],
    "TlsCiphers": [
      "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
      "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
      "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
      "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
      "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
      "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
      "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
      "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
    ]
  }
}

TransferSecurityPolicy-2018-11 TransferSecurityPolicy y -Restricted-2018-11

A continuación se muestra la política de seguridad del modelo TransferSecurityPolicy -2018-11.

nota

Las políticas de seguridad TransferSecurityPolicy -Restricted-2018-11 y TransferSecurityPolicy -2018-11 son idénticas, excepto que la política restringida no admite el cifrado. chacha20-poly1305@openssh.com


{
  "SecurityPolicy": {
    "Fips": false,
    "SecurityPolicyName": "TransferSecurityPolicy-2018-11",
    "SshCiphers": [
      "chacha20-poly1305@openssh.com", //Not included in TransferSecurityPolicy-Restricted-2018-11
      "aes128-ctr",
      "aes192-ctr",
      "aes256-ctr",
      "aes128-gcm@openssh.com",
      "aes256-gcm@openssh.com"
    ],
    "SshKexs": [
      "curve25519-sha256",
      "curve25519-sha256@libssh.org",
      "ecdh-sha2-nistp256",
      "ecdh-sha2-nistp384",
      "ecdh-sha2-nistp521",
      "diffie-hellman-group-exchange-sha256",
      "diffie-hellman-group16-sha512",
      "diffie-hellman-group18-sha512",
      "diffie-hellman-group14-sha256",
      "diffie-hellman-group14-sha1"
    ],
    "SshMacs": [
      "umac-64-etm@openssh.com",
      "umac-128-etm@openssh.com",
      "hmac-sha2-256-etm@openssh.com",
      "hmac-sha2-512-etm@openssh.com",
      "hmac-sha1-etm@openssh.com",
      "umac-64@openssh.com",
      "umac-128@openssh.com",
      "hmac-sha2-256",
      "hmac-sha2-512",
      "hmac-sha1"
    ],
    "ContentEncryptionCiphers": [
      "aes256-cbc",
      "aes192-cbc",
      "aes128-cbc"
            "3des-cbc",
    ],
    "HashAlgorithms": [
      "sha256",
      "sha384",
      "sha512",
      "sha1"
    ],
    "TlsCiphers": [
      "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
      "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
      "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
      "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
      "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
      "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
      "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
      "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384",
      "TLS_RSA_WITH_AES_128_CBC_SHA256",
      "TLS_RSA_WITH_AES_256_CBC_SHA256"
    ]
  }
}

TransferSecurityPolicyTransferSecurityPolicy-FIPS-2024-01/ -FIPS-2024-05

A continuación se muestran las políticas de seguridad -FIPS-2024-01 y TransferSecurityPolicy -FIPS-2024-05. TransferSecurityPolicy

nota

El punto final del servicio FIPS y las políticas de seguridad -FIPS-2024-01 y -FIPS-2024-05 solo están disponibles en algunas regiones. TransferSecurityPolicy TransferSecurityPolicy AWS Para obtener más información, consulte Puntos de conexión y cuotas de AWS Transfer Family en la Referencia general de AWS.

La única diferencia entre estas dos políticas de seguridad es que -FIPS-2024-01 es compatible con el algoritmo y -FIPS-2024-05 no. TransferSecurityPolicy ssh-rsa TransferSecurityPolicy


{
    "SecurityPolicy": {
        "Fips": true,
        "SecurityPolicyName": "TransferSecurityPolicy-FIPS-2024-01",
        "SshCiphers": [
            "aes128-gcm@openssh.com",
            "aes256-gcm@openssh.com",
            "aes128-ctr",
            "aes256-ctr",
            "aes192-ctr"
        ],
        "SshKexs": [
            "ecdh-sha2-nistp256",
            "ecdh-sha2-nistp384",
            "ecdh-sha2-nistp521",
            "diffie-hellman-group18-sha512",
            "diffie-hellman-group16-sha512",
            "diffie-hellman-group-exchange-sha256"
        ],
        "SshMacs": [
            "hmac-sha2-256-etm@openssh.com",
            "hmac-sha2-512-etm@openssh.com"
        ],
        "ContentEncryptionCiphers": [
            "aes256-cbc",
            "aes192-cbc",
            "aes128-cbc"
            "3des-cbc"
        ],
        "HashAlgorithms": [
            "sha256",
            "sha384",
            "sha512"
            "sha1"
        ],
        "TlsCiphers": [
            "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
        ]
    }
}

TransferSecurityPolicy-FIPS-2023-05

Los detalles de la certificación FIPS se encuentran en AWS Transfer Family https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search/all

A continuación se muestra la política de seguridad TransferSecurityPolicy -FIPS-2023-05.

nota

El punto final del servicio FIPS y la política de seguridad TransferSecurityPolicy -FIPS-2023-05 solo están disponibles en algunas regiones. AWS Para obtener más información, consulte Puntos de conexión y cuotas de AWS Transfer Family en la Referencia general de AWS.


{
    "SecurityPolicy": {
        "Fips": true,
        "SecurityPolicyName": "TransferSecurityPolicy-FIPS-2023-05",
        "SshCiphers": [
            "aes256-gcm@openssh.com",
            "aes128-gcm@openssh.com",
            "aes256-ctr",
            "aes192-ctr"
        ],
        "SshKexs": [
            "diffie-hellman-group16-sha512",
            "diffie-hellman-group18-sha512",
            "diffie-hellman-group-exchange-sha256"
        ],
        "SshMacs": [
            "hmac-sha2-256-etm@openssh.com",
            "hmac-sha2-512-etm@openssh.com"
        ],
        "ContentEncryptionCiphers": [
            "aes256-cbc",
            "aes192-cbc",
            "aes128-cbc"
            "3des-cbc"
        ],
        "HashAlgorithms": [
            "sha256",
            "sha384",
            "sha512"
            "sha1"
        ],
        "TlsCiphers": [
            "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
        ]
    }
}

TransferSecurityPolicy-FIPS-2020-06

Los detalles de la certificación FIPS se encuentran en AWS Transfer Family https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search/all

A continuación se muestra la política de seguridad TransferSecurityPolicy -FIPS-2020-06.

nota

El punto final del servicio FIPS y la política de seguridad TransferSecurityPolicy -FIPS-2020-06 solo están disponibles en algunas regiones. AWS Para obtener más información, consulte Puntos de conexión y cuotas de AWS Transfer Family en la Referencia general de AWS.


{
  "SecurityPolicy": {
    "Fips": true,
    "SecurityPolicyName": "TransferSecurityPolicy-FIPS-2020-06",
    "SshCiphers": [
      "aes128-ctr",
      "aes192-ctr",
      "aes256-ctr",
      "aes128-gcm@openssh.com",
      "aes256-gcm@openssh.com"
    ],
    "SshKexs": [
      "ecdh-sha2-nistp256",
      "ecdh-sha2-nistp384",
      "ecdh-sha2-nistp521",
      "diffie-hellman-group-exchange-sha256",
      "diffie-hellman-group16-sha512",
      "diffie-hellman-group18-sha512",
      "diffie-hellman-group14-sha256"
    ],
    "SshMacs": [
      "hmac-sha2-256-etm@openssh.com",
      "hmac-sha2-512-etm@openssh.com",
      "hmac-sha2-256",
      "hmac-sha2-512"
    ],
    "ContentEncryptionCiphers": [
      "aes256-cbc",
      "aes192-cbc",
      "aes128-cbc"
            "3des-cbc",
    ],
    "HashAlgorithms": [
      "sha256",
      "sha384",
      "sha512"
            "sha1",
    ],
    "TlsCiphers": [
      "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
      "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
      "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
      "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
      "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
      "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
      "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
      "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
    ]
  }
}

TransferSecurityPolicyAS2- Restringido: 2025-07

Esta política de seguridad está diseñada para las transferencias de AS2 archivos que requieren una seguridad mejorada al excluir los algoritmos criptográficos heredados. Es compatible con el cifrado AES moderno y los algoritmos de hash SHA-2, al tiempo que elimina la compatibilidad con algoritmos más débiles, como el 3DES y el SHA-1.


{
    "SecurityPolicy": {
        "Fips": false,
        "SecurityPolicyName": "TransferSecurityPolicy-AS2Restricted-2025-07",
        "SshCiphers": [
            "aes256-gcm@openssh.com",
            "aes128-gcm@openssh.com",
            "aes128-ctr",
            "aes256-ctr",
            "aes192-ctr"
        ],
        "SshKexs": [
            "mlkem768x25519-sha256",
            "mlkem768nistp256-sha256",
            "mlkem1024nistp384-sha384",
            "ecdh-sha2-nistp256",
            "ecdh-sha2-nistp384",
            "ecdh-sha2-nistp521",
            "curve25519-sha256",
            "curve25519-sha256@libssh.org",
            "diffie-hellman-group16-sha512",
            "diffie-hellman-group18-sha512",
            "diffie-hellman-group-exchange-sha256"
        ],
        "SshMacs": [
            "hmac-sha2-256-etm@openssh.com",
            "hmac-sha2-512-etm@openssh.com"
        ],
        "ContentEncryptionCiphers": [
            "aes256-cbc",
            "aes192-cbc",
            "aes128-cbc"
        ],
        "HashAlgorithms": [
            "sha256",
            "sha384",
            "sha512"
        ],
        "TlsCiphers": [
            "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
        ],
        "Type": "SERVER",
        "Protocols": [
            "AS2"
        ]
    }
}

Políticas de seguridad poscuánticas

En esta tabla, se enumeran los algoritmos de las políticas de seguridad poscuántica de Transfer Family. Estas políticas se describen en detalle en Uso del intercambio de claves híbrido poscuántico con AWS Transfer Family.

La lista de políticas sigue la tabla.

nota

Las políticas postcuánticas anteriores (-PQ-SSH-Experimental-2023-04 y TransferSecurityPolicy-PQ-SSH-FIPS-Experimental-2023-04) están en desuso. TransferSecurityPolicy Le recomendamos que utilice las nuevas políticas en su lugar.

Política de seguridad	TransferSecurityPolicy-2025-03	TransferSecurityPolicy-FIPS-2025-03
SSH ciphers
aes128-ctr	♦	♦
aes128-gcm@openssh.com	♦	♦
aes192-ctr	♦	♦
aes256-ctr	♦	♦
aes256-gcm@openssh.com	♦	♦
KEXs
mlkem768x25519-sha256	♦	♦
mlkem768nistp256-sha256	♦	♦
mlkem1024nistp384-sha384	♦	♦
diffie-hellman-group14-sha256	♦	♦
diffie-hellman-group16-sha512	♦	♦
diffie-hellman-group18-sha512	♦	♦
ecdh-sha2-nistp384	♦	♦
ecdh-sha2-nistp521	♦	♦
ecdh-sha2-nistp256	♦	♦
diffie-hellman-group-exchange-sha256	♦	♦
curve25519-sha256@libssh.org	♦
curva 25519-sha256	♦
MACs
hmac-sha2-256-etm@openssh.com	♦	♦
hmac-sha2-512-etm@openssh.com	♦	♦
ContentEncryptionCiphers
aes256-cbc	♦	♦
aes192-cbc	♦	♦
aes128-cbc	♦	♦
3des-cbc	♦	♦
HashAlgorithms
sha256	♦	♦
sha384	♦	♦
sha512	♦	♦
sha1	♦	♦
TLS ciphers
TLS_ECDHE_ECDSA_CON_AES_128_CBC_ SHA256	♦	♦
TLS_ECDHE_ECDSA_CON_AES_128_GCM_ SHA256	♦	♦
TLS_ECDHE_ECDSA_CON_AES_256_CBC_ SHA384	♦	♦
TLS_ECDHE_ECDSA_CON_AES_256_GCM_ SHA384	♦	♦
TLS_ECDHE_RSA_CON_AES_128_CBC_ SHA256	♦	♦
TLS_ECDHE_RSA_CON_AES_128_GCM_ SHA256	♦	♦
TLS_ECDHE_RSA_CON_AES_256_CBC_ SHA384	♦	♦
TLS_ECDHE_RSA_CON_AES_256_GCM_ SHA384	♦	♦

TransferSecurityPolicy-2025-03

A continuación se muestra la política de seguridad de TransferSecurityPolicy -2025-03.


{
    "SecurityPolicy": {
        "Fips": false,
        "SecurityPolicyName": "TransferSecurityPolicy-2025-03",
        "SshCiphers": [
            "aes256-gcm@openssh.com",
            "aes128-gcm@openssh.com",
            "aes128-ctr",
            "aes256-ctr",
            "aes192-ctr"
        ],
        "SshKexs": [
            "mlkem768x25519-sha256",
            "mlkem768nistp256-sha256",
            "mlkem1024nistp384-sha384",
            "ecdh-sha2-nistp256",
            "ecdh-sha2-nistp384",
            "ecdh-sha2-nistp521",
            "curve25519-sha256",
            "curve25519-sha256@libssh.org",
            "diffie-hellman-group16-sha512",
            "diffie-hellman-group18-sha512",
            "diffie-hellman-group-exchange-sha256"
        ],
        "SshMacs": [
            "hmac-sha2-256-etm@openssh.com",
            "hmac-sha2-512-etm@openssh.com"
        ],
        "ContentEncryptionCiphers": [
            "aes256-cbc",
            "aes192-cbc",
            "aes128-cbc"
            "3des-cbc"
        ],
        "HashAlgorithms": [
            "sha256",
            "sha384",
            "sha512"
            "sha1"
        ],
        "TlsCiphers": [
            "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
        ],
        "Type": "SERVER",
        "Protocols": [
           "SFTP",
           "FTPS"
        ]
    }
}

TransferSecurityPolicy-FIPS-2025-03

A continuación se muestra la política de seguridad -FIPS-2025-03. TransferSecurityPolicy


{
    "SecurityPolicy": {
        "Fips": true,
        "SecurityPolicyName": "TransferSecurityPolicy-FIPS-2025-03",
        "SshCiphers": [
            "aes256-gcm@openssh.com",
            "aes128-gcm@openssh.com",
            "aes256-ctr",
            "aes192-ctr",
            "aes128-ctr"
        ],
        "SshKexs": [
            "mlkem768x25519-sha256",
            "mlkem768nistp256-sha256",
            "mlkem1024nistp384-sha384",
            "ecdh-sha2-nistp256",
            "ecdh-sha2-nistp384",
            "ecdh-sha2-nistp521",
            "diffie-hellman-group-exchange-sha256",
            "diffie-hellman-group16-sha512",
            "diffie-hellman-group18-sha512"
        ],
        "SshMacs": [
            "hmac-sha2-512-etm@openssh.com",
            "hmac-sha2-256-etm@openssh.com"            
        ],
        "ContentEncryptionCiphers": [
            "aes256-cbc",
            "aes192-cbc",
            "aes128-cbc"
            "3des-cbc"
        ],
        "HashAlgorithms": [
            "sha256",
            "sha384",
            "sha512"
            "sha1"
        ],
        "TlsCiphers": [
            "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
        ],
        "Type": "SERVER",
        "Protocols": [
           "SFTP",
           "FTPS"
        ]
    }
}

TransferSecurityPolicy- AS2 Restringido: 2025-07

A continuación se muestra la política de seguridad: Restricted-2025-07. TransferSecurityPolicy AS2

nota

Esta política de seguridad es idéntica a la TransferSecurityPolicy -2025-03, con la salvedad de que no admite 3DES (de entrada) ni de entrada. ContentEncryptionCiphers SHA1 HashAlgorithms Incluye todos los algoritmos de 2025-03, incluidos los algoritmos criptográficos poscuánticos (mlkem*). KEXs


{
    "SecurityPolicy": {
        "Fips": false,
        "SecurityPolicyName": "TransferSecurityPolicy-AS2Restricted-2025-07",
        "SshCiphers": [
            "aes256-gcm@openssh.com",
            "aes128-gcm@openssh.com",
            "aes128-ctr",
            "aes256-ctr",
            "aes192-ctr"
        ],
        "SshKexs": [
            "mlkem768x25519-sha256",
            "mlkem768nistp256-sha256",
            "mlkem1024nistp384-sha384",
            "ecdh-sha2-nistp256",
            "ecdh-sha2-nistp384",
            "ecdh-sha2-nistp521",
            "curve25519-sha256",
            "curve25519-sha256@libssh.org",
            "diffie-hellman-group16-sha512",
            "diffie-hellman-group18-sha512",
            "diffie-hellman-group-exchange-sha256"
        ],
        "SshMacs": [
            "hmac-sha2-256-etm@openssh.com",
            "hmac-sha2-512-etm@openssh.com"
        ],
        "ContentEncryptionCiphers": [
            "aes256-cbc",
            "aes192-cbc",
            "aes128-cbc"
        ],
        "HashAlgorithms": [
            "sha256",
            "sha384",
            "sha512"
        ],
        "TlsCiphers": [
            "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
            "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
            "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
            "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
        ],
        "Type": "SERVER",
        "Protocols": [
           "SFTP",
           "FTPS"
        ]
    }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Seguridad

Políticas de seguridad para conectores SFTP