Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengkonfigurasi titik akhir server SFTP, FTPS, atau FTP
Topik ini memberikan detail untuk membuat dan menggunakan titik akhir AWS Transfer Family server yang menggunakan satu atau lebih protokol SFTP, FTPS, dan FTP.
Topik
Opsi penyedia identitas
AWS Transfer Family menyediakan beberapa metode untuk mengautentikasi dan mengelola pengguna. Tabel berikut membandingkan penyedia identitas yang tersedia yang dapat Anda gunakan dengan Transfer Family.
| Tindakan | AWS Transfer Family layanan dikelola | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda |
|---|---|---|---|---|
| Protokol yang didukung | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP |
|
Otentikasi berbasis kunci |
Ya |
Tidak |
Ya |
Ya |
|
Autentikasi kata sandi |
Tidak |
Ya |
Ya |
Ya |
|
AWS Identity and Access Management (IAM) dan POSIX |
Ya |
Ya |
Ya |
Ya |
|
Direktori home logis |
Ya |
Ya |
Ya |
Ya |
| Akses parameter (berbasis nama pengguna) | Ya | Ya | Ya | Ya |
|
Struktur akses ad hoc |
Ya |
Tidak |
Ya |
Ya |
|
AWS WAF |
Tidak |
Tidak |
Ya |
Tidak |
Catatan:
-
IAM digunakan untuk mengontrol akses untuk penyimpanan dukungan Amazon S3, dan POSIX digunakan untuk Amazon EFS.
-
Ad hoc mengacu pada kemampuan untuk mengirim profil pengguna saat runtime. Misalnya, Anda dapat mendaratkan pengguna di direktori home mereka dengan meneruskan nama pengguna sebagai variabel.
-
Untuk detailnya AWS WAF, lihatTambahkan firewall aplikasi web.
-
Ada posting blog yang menjelaskan penggunaan fungsi Lambda yang terintegrasi dengan Microsoft Entra ID (sebelumnya Azure AD) sebagai penyedia identitas Transfer Family Anda. Untuk detailnya, lihat Mengautentikasi AWS Transfer Family dengan Azure Active Directory
dan. AWS Lambda -
Kami menyediakan beberapa AWS CloudFormation template untuk membantu Anda dengan cepat menyebarkan server Transfer Family yang menggunakan penyedia identitas khusus. Lihat perinciannya di Template fungsi Lambda.
Dalam prosedur berikut, Anda dapat membuat server berkemampuan SFTP, server berkemampuan FTPS, server berkemampuan FTP, atau server yang diaktifkan. AS2
Langkah selanjutnya
AWS Transfer Family matriks tipe titik akhir
Saat membuat server Transfer Family, Anda memilih jenis endpoint yang akan digunakan. Tabel berikut menjelaskan karakteristik untuk setiap jenis titik akhir.
| Karakteristik | Publik | VPC - Internet | VPC - Internal | VPC_Endpoint (tidak digunakan lagi) |
|---|---|---|---|---|
| Protokol yang didukung | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP |
| Akses | Dari internet. Jenis titik akhir ini tidak memerlukan konfigurasi khusus apa pun di VPC Anda. | Melalui internet dan dari dalam lingkungan yang terhubung dengan VPC dan VPC, seperti pusat data lokal di atas atau VPN. AWS Direct Connect | Dari dalam lingkungan yang terhubung dengan VPC dan VPC, seperti pusat data lokal di atas atau VPN. AWS Direct Connect | Dari dalam lingkungan yang terhubung dengan VPC dan VPC, seperti pusat data lokal di atas atau VPN. AWS Direct Connect |
| Alamat IP statis | Anda tidak dapat melampirkan alamat IP statis. AWS menyediakan alamat IP yang dapat berubah. |
Anda dapat melampirkan alamat IP Elastis ke titik akhir. Ini bisa berupa alamat AWS IP milik atau alamat IP Anda sendiri (Bawa alamat IP Anda sendiri). Alamat IP elastis yang dilampirkan ke titik akhir tidak berubah. Alamat IP pribadi yang dilampirkan ke server juga tidak berubah. |
Alamat IP pribadi yang dilampirkan ke titik akhir tidak berubah. | Alamat IP pribadi yang dilampirkan ke titik akhir tidak berubah. |
| Daftar izin IP sumber |
Jenis titik akhir ini tidak mendukung daftar izin berdasarkan alamat IP sumber. Titik akhir dapat diakses publik dan mendengarkan lalu lintas melalui port 22. catatanUntuk endpoint yang dihosting VPC, server SFTP Transfer Family dapat beroperasi melalui port 22 (default), 2222, 2223, atau 22000. |
Untuk mengizinkan akses berdasarkan alamat IP sumber, Anda dapat menggunakan grup keamanan yang dilampirkan ke titik akhir server dan jaringan yang ACLs dilampirkan ke subnet tempat titik akhir berada. |
Untuk mengizinkan akses berdasarkan alamat IP sumber, Anda dapat menggunakan grup keamanan yang dilampirkan ke titik akhir server dan daftar kontrol akses jaringan (jaringan ACLs) yang dilampirkan ke subnet tempat titik akhir berada. |
Untuk mengizinkan akses berdasarkan alamat IP sumber, Anda dapat menggunakan grup keamanan yang dilampirkan ke titik akhir server dan jaringan yang ACLs dilampirkan ke subnet tempat titik akhir berada. |
| Daftar izin firewall klien |
Anda harus mengizinkan nama DNS server. Karena alamat IP dapat berubah, hindari menggunakan alamat IP untuk daftar izin firewall klien Anda. |
Anda dapat mengizinkan nama DNS server atau alamat IP Elastis yang dilampirkan ke server. |
Anda dapat mengizinkan alamat IP pribadi atau nama DNS dari titik akhir. |
Anda dapat mengizinkan alamat IP pribadi atau nama DNS dari titik akhir. |
| Jenis alamat IP | IPv4 (default) atau dual-stack (IPv4 dan) IPv6 | IPv4 hanya (tumpukan ganda tidak didukung) | IPv4 (default) atau dual-stack (IPv4 dan) IPv6 | IPv4 hanya (tumpukan ganda tidak didukung) |
catatan
Jenis VPC_ENDPOINT endpoint sekarang sudah usang dan tidak dapat digunakan untuk membuat server baru. Alih-alih menggunakanEndpointType=VPC_ENDPOINT, gunakan tipe titik akhir VPC (EndpointType=VPC), yang dapat Anda gunakan sebagai Internal atau Internet Facing, seperti yang dijelaskan dalam tabel sebelumnya.
-
Untuk detail tentang penghentian, lihat. Menghentikan penggunaan VPC_ENDPOINT
-
Untuk informasi tentang mengelola izin titik akhir VPC, lihat. Membatasi akses endpoint VPC untuk server Transfer Family
Pertimbangkan opsi berikut untuk meningkatkan postur keamanan AWS Transfer Family server Anda:
-
Gunakan titik akhir VPC dengan akses internal, sehingga server hanya dapat diakses oleh klien dalam lingkungan yang terhubung dengan VPC atau VPC Anda seperti pusat data lokal di atas atau VPN. AWS Direct Connect
-
Untuk memungkinkan klien mengakses titik akhir melalui internet dan melindungi server Anda, gunakan titik akhir VPC dengan akses yang menghadap ke internet. Kemudian, ubah grup keamanan VPC untuk mengizinkan lalu lintas hanya dari alamat IP tertentu yang meng-host klien pengguna Anda.
-
Jika Anda memerlukan otentikasi berbasis kata sandi dan Anda menggunakan penyedia identitas khusus dengan server Anda, itu adalah praktik terbaik bahwa kebijakan kata sandi Anda mencegah pengguna membuat kata sandi yang lemah dan membatasi jumlah upaya login yang gagal.
AWS Transfer Family adalah layanan terkelola, sehingga tidak menyediakan akses shell. Anda tidak dapat langsung mengakses server SFTP yang mendasarinya untuk menjalankan perintah asli OS di server Transfer Family.
-
Gunakan Network Load Balancer di depan titik akhir VPC dengan akses internal. Ubah port listener pada penyeimbang beban dari port 22 ke port yang berbeda. Ini dapat mengurangi, tetapi tidak menghilangkan, risiko pemindai port dan bot yang menyelidiki server Anda, karena port 22 paling sering digunakan untuk pemindaian. Untuk detailnya, lihat posting blog Network Load Balancers sekarang mendukung grup Keamanan
. catatan
Jika Anda menggunakan Network Load Balancer, AWS Transfer Family CloudWatch log menampilkan alamat IP untuk NLB, bukan alamat IP klien yang sebenarnya.
Pertimbangan Load Balancer Jaringan FTP dan FTPS
Meskipun kami menyarankan untuk menghindari Network Load Balancer di depan AWS Transfer Family server, jika implementasi FTP atau FTPS Anda memerlukan NLB atau NAT dalam rute komunikasi dari klien, ikuti rekomendasi ini:
-
Untuk NLB, gunakan port 21 untuk pemeriksaan kesehatan, bukan port 8192-8200.
-
Untuk AWS Transfer Family server, aktifkan dimulainya kembali sesi TLS dengan pengaturan.
TlsSessionResumptionMode = ENFORCEDcatatan
Ini adalah mode yang disarankan, karena memberikan keamanan yang ditingkatkan:
-
Membutuhkan klien untuk menggunakan dimulainya kembali sesi TLS untuk koneksi berikutnya.
-
Memberikan jaminan keamanan yang lebih kuat dengan memastikan parameter enkripsi yang konsisten.
-
Membantu mencegah potensi serangan downgrade.
-
Menjaga kepatuhan terhadap standar keamanan sambil mengoptimalkan kinerja.
-
-
Jika memungkinkan, bermigrasi dari menggunakan NLB untuk memanfaatkan batas AWS Transfer Family kinerja dan koneksi sepenuhnya.
Untuk panduan tambahan tentang alternatif NLB, hubungi tim Manajemen AWS Transfer Family Produk melalui Support AWS . Untuk informasi lebih lanjut tentang meningkatkan postur keamanan Anda, lihat posting blog Enam tips untuk meningkatkan keamanan AWS Transfer Family server Anda
Panduan keamanan untuk NLBs disediakan diHindari menempatkan NLBs dan NATs di depan AWS Transfer Family server.
