Création d'un serveur compatible FTP - AWS Transfer Family

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un serveur compatible FTP

Le protocole de transfert de fichiers via SSL (FTPS) est une extension du protocole FTP. Il utilise les protocoles cryptographiques Transport Layer Security (TLS) et Secure Sockets Layer (SSL) pour chiffrer le trafic. Le protocole FTPS permet le chiffrement des connexions au canal de commande et au canal de données, simultanément ou indépendamment.

Note

Pour des considérations importantes concernant les équilibreurs de charge réseau, voirÉvitez de placer NLBs les AWS Transfer Family serveurs et NATs de les placer devant eux.

Pour créer un serveur compatible FTP

  1. Ouvrez la AWS Transfer Family console sur https://console.aws.amazon.com/transfer/et sélectionnez Servers dans le volet de navigation, puis choisissez Create server.

  2. Dans Choisir les protocoles, sélectionnez FTPS.

    Pour le certificat de serveur, choisissez un certificat stocké dans AWS Certificate Manager (ACM) qui sera utilisé pour identifier votre serveur lorsque les clients s'y connecteront via FTPS, puis choisissez Next.

    Pour demander un nouveau certificat public, consultez la section Demander un certificat public dans le guide de AWS Certificate Manager l'utilisateur.

    Pour importer un certificat existant dans ACM, consultez la section Importation de certificats dans ACM dans le guide de l'AWS Certificate Manager utilisateur.

    Pour demander un certificat privé afin d'utiliser le protocole FTPS via des adresses IP privées, consultez la section Demande d'un certificat privé dans le guide de l'AWS Certificate Manager utilisateur.

    Les certificats avec les algorithmes de chiffrement et les tailles de clés suivants sont pris en charge :

    • RSA 2048 octets (RSA_2048)

    • RSA 4 096 octets (RSA_4096)

    • Elliptic Prime Curve 256 octets (EC_prime256v1)

    • Elliptic Prime Curve 384 octets (EC_secp384r1)

    • Elliptic Prime Curve 521 octets (EC_secp521r1)

    Note

    Le certificat doit être un certificat SSL/TLS X.509 version 3 valide avec le nom de domaine complet ou l'adresse IP spécifiée et contenir des informations sur l'émetteur.

  3. Dans Choisir un fournisseur d'identité, choisissez le fournisseur d'identité que vous souhaitez utiliser pour gérer l'accès des utilisateurs. Vous avez les options suivantes :

    • AWS Directory Service for Microsoft Active Directory— Vous fournissez un AWS Directory Service répertoire pour accéder au point de terminaison. Ce faisant, vous pouvez utiliser les informations d'identification stockées dans votre Active Directory pour authentifier vos utilisateurs. Pour en savoir plus sur la collaboration avec les fournisseurs AWS Managed Microsoft AD d'identité, consultezUtilisation de AWS Directory Service pour Microsoft Active Directory.

      Note

    • Fournisseur d'identité personnalisé : choisissez l'une des options suivantes :

      • AWS Lambda À utiliser pour connecter votre fournisseur d'identité : vous pouvez utiliser un fournisseur d'identité existant, soutenu par une fonction Lambda. Vous indiquez le nom de la fonction Lambda. Pour de plus amples informations, veuillez consulter Utilisation AWS Lambda pour intégrer votre fournisseur d'identité.

      • Utilisez Amazon API Gateway pour connecter votre fournisseur d'identité : vous pouvez créer une méthode API Gateway basée sur une fonction Lambda à utiliser en tant que fournisseur d'identité. Vous fournissez une URL Amazon API Gateway et un rôle d'invocation. Pour de plus amples informations, veuillez consulter Utilisation d'Amazon API Gateway pour intégrer votre fournisseur d'identité.

      La section de console Choisissez un fournisseur d'identité avec le fournisseur d'identité personnalisé sélectionné.

  4. Choisissez Suivant.

  5. Dans Choisir un point de terminaison, procédez comme suit :

    Note

    Les serveurs FTPS pour Transfer Family fonctionnent sur le port 21 (canal de contrôle) et sur la plage de ports 8192 à 8200 (canal de données).

    1. Pour le type de point de terminaison, choisissez le type de point de terminaison hébergé par VPC pour héberger le point de terminaison de votre serveur. Pour plus d'informations sur la configuration de votre point de terminaison hébergé par VPC, consultez. Création d'un serveur dans un cloud privé virtuel

      Note

      Les points de terminaison accessibles au public ne sont pas pris en charge.

    2. (Facultatif) Pour FIPS Enabled, cochez la case FIPS Enabled endpoint pour vous assurer que le endpoint est conforme aux Federal Information Processing Standards (FIPS).

      Note

      Les terminaux compatibles FIPS ne sont disponibles que dans les régions d'Amérique du Nord. AWS Pour les régions disponibles, consultez les AWS Transfer Family points de terminaison et les quotas dans le Références générales AWS. Pour plus d'informations sur la norme FIPS, consultez la norme fédérale de traitement de l'information (FIPS) 140-2.

    3. Choisissez Suivant.

    La section Choisissez une console de point de terminaison avec un VPC hébergé est sélectionnée.

  6. Sur la page Choisir un domaine, choisissez le service de AWS stockage que vous souhaitez utiliser pour stocker et accéder à vos données via le protocole sélectionné :

    • Choisissez Amazon S3 pour stocker et accéder à vos fichiers sous forme d'objets via le protocole sélectionné.

    • Choisissez Amazon EFS pour stocker et accéder à vos fichiers dans votre système de fichiers Amazon EFS via le protocole sélectionné.

    Choisissez Suivant.

  7. Dans Configurer les détails supplémentaires, procédez comme suit :

    1. Pour la journalisation, spécifiez un groupe de journaux existant ou créez-en un nouveau (option par défaut).

      Volet de journalisation pour configurer des détails supplémentaires dans l'assistant de création de serveur. Choisir un groupe de journaux existant est sélectionné.

      Si vous choisissez Créer un groupe de journaux, la CloudWatch console (https://console.aws.amazon.com/cloudwatch/) s'ouvre sur la page Créer un groupe de journaux. Pour plus de détails, voir Création d'un groupe de CloudWatch journaux dans Logs.

    2. (Facultatif) Pour les flux de travail gérés, choisissez le flux de travail IDs (et le rôle correspondant) que Transfer Family doit assumer lors de l'exécution du flux de travail. Vous pouvez choisir un flux de travail à exécuter lors d'un téléchargement complet et un autre à exécuter lors d'un téléchargement partiel. Pour en savoir plus sur le traitement de vos fichiers à l'aide de flux de travail gérés, consultezAWS Transfer Family flux de travail gérés.

      La section Console des flux de travail gérés.

    3. Pour les options d'algorithme cryptographique, choisissez une politique de sécurité contenant les algorithmes cryptographiques activés pour être utilisés par votre serveur. Notre dernière politique de sécurité est celle par défaut : pour plus de détails, voirPolitiques de sécurité pour les AWS Transfer Family serveurs.

    4. Pour la clé d'hôte du serveur, laissez-la vide.

    5. (Facultatif) Pour les balises, pour la clé et la valeur, entrez une ou plusieurs balises sous forme de paires clé-valeur, puis choisissez Ajouter une balise.

    6. Vous pouvez optimiser les performances de vos annuaires Amazon S3. Supposons, par exemple, que vous vous rendiez dans votre répertoire personnel et que vous disposiez de 10 000 sous-répertoires. En d'autres termes, votre compartiment Amazon S3 contient 10 000 dossiers. Dans ce scénario, si vous exécutez la commande ls (list), l'opération de liste prend entre six et huit minutes. Toutefois, si vous optimisez vos répertoires, cette opération ne prend que quelques secondes.

      Lorsque vous créez votre serveur à l'aide de la console, les répertoires optimisés sont activés par défaut. Si vous créez votre serveur à l'aide de l'API, ce comportement n'est pas activé par défaut.

      La section console des annuaires optimisés.

    7. Choisissez Suivant.

    8. (Facultatif) Vous pouvez configurer AWS Transfer Family les serveurs pour afficher des messages personnalisés tels que les politiques organisationnelles ou les conditions générales à l'intention de vos utilisateurs finaux. Vous pouvez également afficher un message du jour (MOTD) personnalisé aux utilisateurs qui se sont authentifiés avec succès.

      Pour Afficher la bannière, dans la zone de texte de la bannière d'affichage préalable à l'authentification, entrez le message texte que vous souhaitez afficher à vos utilisateurs avant qu'ils ne s'authentifient, et dans la zone de texte de la bannière d'affichage après l'authentification, entrez le texte que vous souhaitez afficher à vos utilisateurs une fois qu'ils se sont authentifiés avec succès.

    9. (Facultatif) Vous pouvez configurer les options supplémentaires suivantes.

      • SetStat option : activez cette option pour ignorer l'erreur générée lorsqu'un client tente de l'utiliser SETSTAT sur un fichier que vous téléchargez dans un compartiment Amazon S3. Pour plus de détails, consultez la SetStatOption documentation dans cette ProtocolDetailsrubrique.

      • Reprise de session TLS : fournit un mécanisme permettant de reprendre ou de partager une clé secrète négociée entre le contrôle et la connexion de données pour une session FTPS. Pour plus de détails, consultez la TlsSessionResumptionMode documentation dans cette ProtocolDetailsrubrique.

      • IP passive : indique le mode passif, pour les protocoles FTP et FTPS. Entrez une IPv4 adresse unique, telle que l'adresse IP publique d'un pare-feu, d'un routeur ou d'un équilibreur de charge. Pour plus de détails, consultez la PassiveIp documentation dans cette ProtocolDetailsrubrique.

      L'écran de configuration supplémentaire affiche SetStat les paramètres de reprise de session TLS et IP passive.

  8. Dans Réviser et créer, passez en revue vos choix.

    • Si vous souhaitez modifier l'un d'entre eux, choisissez Modifier à côté de l'étape.

      Note

      Vous devez passer en revue chaque étape après celle que vous avez choisi de modifier.

    • Si aucune modification n'est apportée, choisissez Create server pour créer votre serveur. Vous êtes dirigé vers la page Servers (Serveurs), représentée ci-dessous, dans laquelle figure votre nouveau serveur.

Quelques minutes peuvent s'écouler avant que le statut de votre nouveau serveur passe à En ligne. À ce stade, votre serveur peut effectuer des opérations sur fichiers pour vos utilisateurs.

Prochaines étapes : Pour l'étape suivante, passez Travailler avec des fournisseurs d'identité personnalisés à la section Configuration des utilisateurs.