Options du fournisseur d'identité AWS Transfer Family matrice des types de terminaux Considérations relatives au protocole FTP/FTPS NLB

Configuration d'un point de terminaison de serveur SFTP, FTPS ou FTP

Cette rubrique fournit des informations détaillées sur la création et l'utilisation de points de terminaison de AWS Transfer Family serveur utilisant un ou plusieurs protocoles SFTP, FTPS et FTP.

Rubriques

Options du fournisseur d'identité

AWS Transfer Family propose plusieurs méthodes d'authentification et de gestion des utilisateurs. Le tableau suivant compare les fournisseurs d'identité disponibles que vous pouvez utiliser avec Transfer Family.

Action	AWS Transfer Family service géré	AWS Managed Microsoft AD	Amazon API Gateway	AWS Lambda
Protocoles pris en charge	SFTP	SFTP, FTPS, FTP	SFTP, FTPS, FTP	SFTP, FTPS, FTP
Authentification basée sur des clés	Oui	Non	Oui	Oui
Authentification par mot de passe	Non	Oui	Oui	Oui
AWS Identity and Access Management (IAM) et POSIX	Oui	Oui	Oui	Oui
Répertoire de base logique	Oui	Oui	Oui	Oui
Accès paramétré (basé sur le nom d'utilisateur)	Oui	Oui	Oui	Oui
Structure d'accès ad hoc	Oui	Non	Oui	Oui
AWS WAF	Non	Non	Oui	Non

Remarques :

IAM est utilisé pour contrôler l'accès au stockage de sauvegarde Amazon S3, et POSIX est utilisé pour Amazon EFS.
Ad hoc fait référence à la possibilité d'envoyer le profil utilisateur lors de l'exécution. Par exemple, vous pouvez rediriger les utilisateurs vers leur répertoire personnel en transmettant le nom d'utilisateur sous forme de variable.
Pour plus de détails sur AWS WAF, voirAjouter un pare-feu pour applications Web.
Un article de blog décrit l'utilisation d'une fonction Lambda intégrée à Microsoft Entra ID (anciennement Azure AD) en tant que fournisseur d'identité Transfer Family. Pour plus de détails, consultez Authentification AWS Transfer Family auprès d'Azure Active Directory et AWS Lambda.
Nous proposons plusieurs AWS CloudFormation modèles pour vous aider à déployer rapidement un serveur Transfer Family qui utilise un fournisseur d'identité personnalisé. Pour en savoir plus, consultez Modèles de fonctions Lambda.

Dans les procédures suivantes, vous pouvez créer un serveur compatible SFTP, un serveur compatible FTP, un serveur compatible FTP ou un serveur activé. AS2

Étape suivante

AWS Transfer Family matrice des types de terminaux

Lorsque vous créez un serveur Transfer Family, vous choisissez le type de point de terminaison à utiliser. Le tableau suivant décrit les caractéristiques de chaque type de point de terminaison.

Matrice des types de terminaux
Caractéristiques	Public	VPC - Internet	VPC - Interne	VPC_Endpoint (obsolète)
Protocoles pris en charge	SFTP	SFTP, FTPS, AS2	SFTP, FTP, FTPS, AS2	SFTP
Accès	Depuis Internet. Ce type de point de terminaison ne nécessite aucune configuration particulière dans votre VPC.	Sur Internet et depuis des environnements VPC ou connectés à un VPC, tels qu'un centre de données sur site ou un VPN. AWS Direct Connect	Depuis un VPC ou des environnements connectés à un VPC, tels qu'un centre de données sur site ou un VPN. AWS Direct Connect	Depuis un VPC ou des environnements connectés à un VPC, tels qu'un centre de données sur site ou un VPN. AWS Direct Connect
Adresse IP statique	Vous ne pouvez pas joindre une adresse IP statique. AWS fournit des adresses IP susceptibles d'être modifiées.	Vous pouvez associer des adresses IP élastiques au point de terminaison. Il peut s'agir d'adresses IP que vous AWS possédez ou de vos propres adresses IP (apportez vos propres adresses IP). Les adresses IP élastiques associées au point de terminaison ne changent pas. Les adresses IP privées associées au serveur ne changent pas non plus.	Les adresses IP privées associées au point de terminaison ne changent pas.	Les adresses IP privées associées au point de terminaison ne changent pas.
Liste d'adresses IP autorisées source	Ce type de point de terminaison ne prend pas en charge les listes d'autorisation par adresse IP source. Le point de terminaison est accessible au public et écoute le trafic sur le port 22. Note Pour les terminaux hébergés par VPC, les serveurs SFTP Transfer Family peuvent fonctionner sur le port 22 (par défaut), 2222, 2223 ou 22000.	Pour autoriser l'accès par adresse IP source, vous pouvez utiliser des groupes de sécurité attachés aux points de terminaison du serveur et un réseau ACLs rattaché au sous-réseau dans lequel se trouve le point de terminaison.	Pour autoriser l'accès par adresse IP source, vous pouvez utiliser des groupes de sécurité attachés aux points de terminaison du serveur et des listes de contrôle d'accès réseau (réseau ACLs) attachées au sous-réseau dans lequel se trouve le point de terminaison.	Pour autoriser l'accès par adresse IP source, vous pouvez utiliser des groupes de sécurité attachés aux points de terminaison du serveur et un réseau ACLs rattaché au sous-réseau dans lequel se trouve le point de terminaison.
Liste des autorisations du pare-feu client	Vous devez autoriser le nom DNS du serveur. Les adresses IP étant susceptibles de changer, évitez d'utiliser des adresses IP pour la liste d'autorisation de votre pare-feu client.	Vous pouvez autoriser le nom DNS du serveur ou les adresses IP élastiques associées au serveur.	Vous pouvez autoriser les adresses IP privées ou le nom DNS des points de terminaison.	Vous pouvez autoriser les adresses IP privées ou le nom DNS des points de terminaison.
Type d’adresse IP	IPv4 (par défaut) ou double pile (IPv4 et IPv6)	IPv4 uniquement (la double pile n'est pas prise en charge)	IPv4 (par défaut) ou double pile (IPv4 et IPv6)	IPv4 uniquement (la double pile n'est pas prise en charge)

Note

Le type de VPC_ENDPOINT point de terminaison est désormais obsolète et ne peut pas être utilisé pour créer de nouveaux serveurs. Au lieu de l'utiliserEndpointType=VPC_ENDPOINT, utilisez le type de point de terminaison VPC (EndpointType=VPC), que vous pouvez utiliser comme point de terminaison interne ou connecté à Internet, comme décrit dans le tableau précédent.

Pour plus de détails sur cette dépréciation, consultez. Arrêt de l'utilisation de VPC_ENDPOINT
Pour plus d'informations sur la gestion des autorisations des points de terminaison VPC, consultez. Limiter l'accès aux points de terminaison VPC pour les serveurs Transfer Family

Envisagez les options suivantes pour améliorer le niveau de sécurité de votre AWS Transfer Family serveur :

Utilisez un point de terminaison VPC doté d'un accès interne, afin que le serveur ne soit accessible qu'aux clients de votre VPC ou d'environnements connectés au VPC, tels qu'un centre de données sur site ou un VPN. AWS Direct Connect
Pour permettre aux clients d'accéder au point de terminaison via Internet et de protéger votre serveur, utilisez un point de terminaison VPC avec accès Internet. Modifiez ensuite les groupes de sécurité du VPC pour autoriser uniquement le trafic provenant de certaines adresses IP hébergeant les clients de vos utilisateurs.
Si vous avez besoin d'une authentification par mot de passe et que vous utilisez un fournisseur d'identité personnalisé pour votre serveur, il est recommandé que votre politique en matière de mots de passe empêche les utilisateurs de créer des mots de passe faibles et limite le nombre de tentatives de connexion infructueuses.
AWS Transfer Family est un service géré et ne fournit donc pas d'accès au shell. Vous ne pouvez pas accéder directement au serveur SFTP sous-jacent pour exécuter des commandes natives du système d'exploitation sur les serveurs Transfer Family Family.
Utilisez un Network Load Balancer devant un point de terminaison VPC doté d'un accès interne. Changez le port d'écoute de l'équilibreur de charge du port 22 à un port différent. Cela peut réduire, mais pas éliminer, le risque que des scanners de ports et des robots explorent votre serveur, car le port 22 est le plus souvent utilisé pour le scan. Pour plus de détails, consultez le billet de blog Les Network Load Balancers supportent désormais les groupes de sécurité.

Note
Si vous utilisez un Network Load Balancer, les AWS Transfer Family CloudWatch journaux indiquent l'adresse IP du NLB, plutôt que l'adresse IP réelle du client.

Considérations relatives aux Network Load Balancer FTP et FTPS

Bien que nous vous recommandions d'éviter les équilibreurs de charge réseau placés devant AWS Transfer Family les serveurs, si votre implémentation FTP ou FTPS nécessite un NLB ou un NAT dans la route de communication en provenance du client, suivez les recommandations suivantes :

Pour un NLB, utilisez le port 21 pour les contrôles de santé, au lieu des ports 8192-8200.
Pour le AWS Transfer Family serveur, activez la reprise de session TLS en TlsSessionResumptionMode = ENFORCED configurant.
Note
Il s'agit du mode recommandé, car il offre une sécurité renforcée :
- Exige que les clients utilisent la reprise de session TLS pour les connexions suivantes.
- Fournit des garanties de sécurité renforcées en garantissant des paramètres de chiffrement cohérents.
- Aide à prévenir les attaques de rétrogradation potentielles.
- Maintient la conformité aux normes de sécurité tout en optimisant les performances.
Si possible, évitez d'utiliser un NLB pour tirer pleinement parti des limites de AWS Transfer Family performances et de connexion.

Pour obtenir des conseils supplémentaires sur les alternatives NLB, contactez l'équipe de gestion des AWS Transfer Family produits via le AWS Support. Pour plus d'informations sur l'amélioration de votre niveau de sécurité, consultez le billet de blog Six conseils pour améliorer la sécurité de votre AWS Transfer Family serveur.

Les consignes de sécurité pour NLBs sont fournies dansÉvitez de placer NLBs les AWS Transfer Family serveurs et NATs de les placer devant eux.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configurer une application Web avec un accès sélectif à plusieurs compartiments

Configuration d'un point de terminaison du serveur Transfer Family