Criar um servidor habilitado para SFTP - AWS Transfer Family

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar um servidor habilitado para SFTP

O File Transfer Protocol (SFTP) do Secure Shell (SSH) é um protocolo de rede usado para transferência segura de dados pela internet. O protocolo suporta toda a funcionalidade de segurança e autenticação do SSH. É amplamente usado para trocar dados, incluindo informações confidenciais entre parceiros de negócios em diversos setores, como serviços financeiros, saúde, varejo e publicidade.

Observe o seguinte

  • Os servidores SFTP do Transfer Family operam na porta 22. Para endpoints hospedados em VPC, os servidores SFTP Transfer Family também podem operar nas portas 2222, 2223 ou 22000. Para obter detalhes, consulte Crie um servidor em uma VPC (virtual private cloud)..

  • Os endpoints públicos não podem restringir o tráfego por meio de grupos de segurança. Para usar grupos de segurança com seu servidor Transfer Family, você deve hospedar o endpoint do seu servidor em uma nuvem privada virtual (VPC), conforme descrito em. Crie um servidor em uma VPC (virtual private cloud).

Consulte também

  • Fornecemos um AWS CDK exemplo para criar um servidor SFTP Transfer Family. O exemplo usa TypeScript e está disponível GitHub aqui.

  • Para ver um passo a passo de como implantar um servidor Transfer Family dentro de uma VPC, consulte Use a lista de permissões de IP para proteger seus servidores. AWS Transfer Family

Para criar um servidor habilitado para SFTP

  1. Abra o AWS Transfer Family console em https://console.aws.amazon.com/transfer/e selecione Servidores no painel de navegação e escolha Criar servidor.

  2. Em Escolher protocolos, selecione SFTP e escolha Avançar.

  3. Em Escolher um provedor de identidade, escolha o provedor de identidade que você deseja usar para gerenciar o acesso do usuário. Você tem as seguintes opções:

    • Serviço gerenciado — Você armazena identidades e chaves de usuário em AWS Transfer Family.

    • AWS Directory Service for Microsoft Active Directory — Você fornece um diretório Directory Service para acessar o endpoint. Ao fazer isso, será possível usar credenciais armazenadas no Active Directory para autenticar seus usuários. Para saber mais sobre como trabalhar com provedores de AWS Managed Microsoft AD identidade, consulteUsando o AWS Directory Service para o Microsoft Active Directory.

      nota

    • Provedor de identidade personalizado — Escolha uma das seguintes opções:

      • Use AWS Lambda para conectar seu provedor de identidade — Você pode usar um provedor de identidade existente, apoiado por uma função Lambda. Você fornece o nome da função do Lambda. Para obter mais informações, consulte Usando AWS Lambda para integrar seu provedor de identidade.

      • Usar o Amazon API Gateway para conectar seu provedor de identidade — É possível criar um método de API Gateway apoiado por uma função do Lambda para uso como provedor de identidade. Você fornece um URL do Amazon API Gateway e um perfil de invocação. Para obter mais informações, consulte Usando para integrar seu provedor de identidade.

      A seção do console Escolher um provedor de identidade com Provedor de identidade personalizada selecionado. Também tem o valor padrão selecionado, que é que os usuários podem se autenticar usando sua senha ou chave.

  4. Escolha Próximo.

  5. Em Escolha um endpoint, faça o seguinte:

    1. Em Tipo de endpoint, escolha o tipo de endpoint Acessível publicamente. Para um endpoint hospedado no VPC, consulte Crie um servidor em uma VPC (virtual private cloud)..

    2. Para o tipo de endereço IP, escolha IPv4(padrão) para compatibilidade com versões anteriores ou Dual-Stack para habilitar ambas IPv4 e IPv6 conexões com seu endpoint.

      nota

      O modo Dual-Stack permite que seu endpoint Transfer Family se comunique com clientes habilitados e com ambos IPv4 . IPv6 Isso permite que você faça a transição gradual de sistemas IPv6 baseados IPv4 para sistemas baseados sem precisar alternar tudo de uma vez.

    3. (Opcional) Em Nome de host personalizado, escolha Nenhum.

      Você recebe um nome de host do servidor fornecido por AWS Transfer Family. O nome do host do servidor tem a forma de serverId.server.transfer.regionId.amazonaws.com.

      Para um nome de host personalizado, você especifica um alias personalizado para o endpoint do seu servidor. Para saber mais sobre como trabalhar com nomes de host personalizados, consulte Trabalhar com nomes de host personalizados.

    4. (Opcional) Para FIPS ativado, marque a caixa de seleção Endpoint habilitado para FIPS para garantir que o endpoint esteja em conformidade com os Padrões Federais de Processamento de Informações (FIPS).

      nota

      Os endpoints habilitados para FIPS só estão disponíveis nas regiões AWS da América do Norte. Para saber as regiões disponíveis, consulte Endpoints e cotas do AWS Transfer Family em Referência geral da AWS. Para obter mais informações, consulte FIPS – Padrão federal de processamento de informações 140-2.

    5. Escolha Próximo.

  6. Na página Escolher domínio, escolha o serviço AWS de armazenamento que você deseja usar para armazenar e acessar seus dados pelo protocolo selecionado:

    • Escolha o Amazon S3 para armazenar e acessar seus arquivos como objetos no protocolo selecionado.

    • Escolha o Amazon EFS para armazenar e acessar seus arquivos em seu sistema de arquivos Amazon EFS usando o protocolo selecionado.

    Escolha Próximo.

  7. Em Configuração de detalhes adicionais, faça o seguinte:

    1. Para registro em log, especifique um grupo de logs existente ou crie um novo (a opção padrão). Se você escolher um grupo de registros existente, deverá selecionar um que esteja associado ao seu Conta da AWS.

      Painel de registro em log para configurar detalhes adicionais no assistente de criação de servidor. Escolha um grupo de logs existente está selecionado.

      Se você escolher Criar grupo de registros, o CloudWatch console (https://console.aws.amazon.com/cloudwatch/) abrirá a página Criar grupo de registros. Para obter detalhes, consulte Criar um grupo de CloudWatch registros em Registros.

    2. (Opcional) Para fluxos de trabalho gerenciados, escolha o fluxo de trabalho IDs (e uma função correspondente) que o Transfer Family deve assumir ao executar o fluxo de trabalho. É possível escolher um fluxo de trabalho para executar em um upload completo e outro para executar em um upload parcial. Para saber mais sobre como processar seus arquivos usando fluxos de trabalho gerenciados, consulte AWS Transfer Family fluxos de trabalho gerenciados.

      A seção do console Fluxos de trabalho gerenciados.

    3. Para Opções de algoritmo criptográfico, escolha uma política de segurança que contenha os algoritmos criptográficos habilitados para uso pelo seu servidor. Nossa política de segurança mais recente é a padrão: para obter detalhes, consultePolíticas de segurança para AWS Transfer Family servidores.

    4. (Opcional) Em Chave de host do servidor, insira uma chave privada RSA ou ECDSA que será usada para identificar seu servidor quando os clientes se conectarem a ele por SFTP. ED25519 Você também pode adicionar uma descrição para diferenciar entre várias chaves de host.

      Depois de criar seu servidor, é possível adicionar mais chaves de host. Ter várias chaves de host é útil se você quiser rotar chaves ou se quiser ter diferentes tipos de chaves, como uma chave RSA e também uma chave ECDSA.

      nota

      A seção Chave do host do servidor é usada somente para migrar usuários de um servidor habilitado para SFTP existente.

    5. (Opcional) Em Tags, para Chave e Valor, insira uma ou mais tags como pares de valor-chave e escolha Adicionar tag.

    6. Escolha Próximo.

    7. Você pode otimizar o desempenho dos seus diretórios do Amazon S3. Por exemplo, suponha que você acesse seu diretório inicial e tenha 10.000 subdiretórios. Em outras palavras, seu bucket do Amazon S3 tem 10.000 pastas. Nesse cenário, se você executar o comando ls (list), a operação de lista levará entre seis e oito minutos. No entanto, se você otimizar seus diretórios, essa operação levará apenas alguns segundos.

      Quando você cria seu servidor usando o console, os diretórios otimizados são habilitados por padrão. Se você criar seu servidor usando a API, esse comportamento não será ativado por padrão.

      A seção do console de diretórios otimizados.

    8. (Opcional) Configure AWS Transfer Family servidores para exibir mensagens personalizadas, como políticas organizacionais ou termos e condições, para seus usuários finais. Em Banner de exibição, na caixa de texto do Banner de exibição de pré-autenticação, insira a mensagem de texto que você deseja exibir para seus usuários antes que eles se autentiquem.

    9. (Opcional) É possível configurar as seguintes opções adicionais.

      • SetStat opção: habilite essa opção para ignorar o erro gerado quando um cliente tenta usar SETSTAT em um arquivo que você está carregando em um bucket do Amazon S3. Para obter detalhes adicionais, consulte a SetStatOption documentação no ProtocolDetails.

      • Retomada da sessão TLS: essa opção só estará disponível se você tiver habilitado o FTPS como um dos protocolos desse servidor.

      • IP passivo: essa opção só estará disponível se você tiver habilitado o FTPS ou o FTP como um dos protocolos desse servidor.

      Tela de opções adicionais para a página de detalhes do servidor.

  8. Em Revisar e criar, revise as suas escolhas.

    • Se você quiser editar algum deles, escolha Editar ao lado da etapa.

      nota

      Você deve revisar cada etapa após a etapa que você escolheu editar.

    • Se você não tiver alterações, escolha Criar servidor para criar seu servidor. Você será direcionado à página Servidores, exibida a seguir, onde seu novo servidor estará listado.

Pode levar alguns minutos até que o status de seu novo servidor mude para Online. Nesse ponto, seu servidor pode realizar operações com arquivos, mas primeiro você precisa criar um usuário. Para obter detalhes sobre a criação de usuários, consulteGerenciando usuários para endpoints de servidor.