As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configurando um endpoint de servidor SFTP, FTPS ou FTP
Este tópico fornece detalhes sobre como criar e usar endpoints de AWS Transfer Family servidor que usam um ou mais dos protocolos SFTP, FTPS e FTP.
Tópicos
Opções do provedor de identidade
AWS Transfer Family fornece vários métodos para autenticar e gerenciar usuários. A tabela a seguir compara os provedores de identidade disponíveis que é possível usar com o Transfer Family.
| Ação | AWS Transfer Family serviço gerenciado | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda |
|---|---|---|---|---|
| Protocolos compatíveis | SFTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP | SFTP, FTPS, FTP |
|
Autenticação baseada em chave |
Sim |
Não |
Sim |
Sim |
|
Autenticação com senha |
Não |
Sim |
Sim |
Sim |
|
AWS Identity and Access Management (IAM) e POSIX |
Sim |
Sim |
Sim |
Sim |
|
Diretório inicial lógico |
Sim |
Sim |
Sim |
Sim |
| Acesso parametrizado (baseado em nome de usuário) | Sim | Sim | Sim | Sim |
|
Estrutura de acesso ad hoc |
Sim |
Não |
Sim |
Sim |
|
AWS WAF |
Não |
Não |
Sim |
Não |
Observações:
-
O IAM é usado para controlar o acesso ao armazenamento de apoio do Amazon S3, e o POSIX é usado para o Amazon EFS.
-
Ad hoc se refere à capacidade de enviar o perfil do usuário em runtime. Por exemplo, é possível direcionar os usuários para seus diretórios pessoais ao passar o nome de usuário como uma variável.
-
Para obter detalhes sobre AWS WAF, consulteAdicione um firewall da aplicação web.
-
Há uma postagem no blog que descreve o uso de uma função Lambda integrada ao Microsoft Entra ID (antigo Azure AD) como seu provedor de identidade do Transfer Family. Para obter detalhes, consulte Autenticando AWS Transfer Family com o Azure Active Directory e. AWS Lambda
-
Fornecemos vários CloudFormation modelos para ajudar você a implantar rapidamente um servidor Transfer Family que usa um provedor de identidade personalizado. Para obter detalhes, consulte Modelos de função do Lambda.
Nos procedimentos a seguir, você pode criar um servidor habilitado para SFTP, servidor habilitado para FTP, servidor habilitado para FTP ou servidor habilitado. AS2
Próxima etapa
AWS Transfer Family matriz de tipo de endpoint
Ao criar um servidor Transfer Family, você escolhe o tipo de endpoint a ser usado. A tabela a seguir descreve as características de cada tipo de endpoint.
| Característica | Public | VPC - Internet | VPC - Interna | VPC_Endpoint (obsoleto) |
|---|---|---|---|---|
| Protocolos compatíveis | SFTP | SFTP, FTPS, AS2 | SFTP, FTP, FTPS, AS2 | SFTP |
| Acesso | Da Internet. Esse tipo de endpoint não exige nenhuma configuração especial em seu VPC. | Pela Internet e de dentro da VPC e de ambientes conectados à VPC, como um data center local ou VPN. Direct Connect | De dentro da VPC e de ambientes conectados à VPC, como um data center local ou VPN. Direct Connect | De dentro da VPC e de ambientes conectados à VPC, como um data center local ou VPN. Direct Connect |
| Endereços IP estáticos | Você não pode anexar um endereço IP estático. AWS fornece endereços IP que estão sujeitos a alterações. |
É possível anexar endereços IP elásticos ao endpoint. Eles podem ser endereços IP da AWS ou seus próprios endereços IP (Trazer seus próprios endereços IP). Endereços IP elásticos anexados ao endpoint não mudam. Os endereços IP privados anexados ao servidor também não mudam. |
Os endereços IP privados anexados ao endpoint não mudam. | Os endereços IP privados anexados ao endpoint não mudam. |
| Lista de permissões de IP de origem |
Esse tipo de endpoint não oferece suporte a listas de permissões por endereços IP de origem. O endpoint é acessível ao público e recebe o tráfego pela porta 22. notaPara endpoints hospedados em VPC, os servidores SFTP Transfer Family podem operar na porta 22 (o padrão), 2222, 2223 ou 22000. |
Para permitir o acesso pelo endereço IP de origem, você pode usar grupos de segurança conectados aos endpoints do servidor e ACLs à rede conectada à sub-rede em que o endpoint está. |
Para permitir o acesso pelo endereço IP de origem, você pode usar grupos de segurança conectados aos endpoints do servidor e listas de controle de acesso à rede (rede ACLs) conectadas à sub-rede em que o endpoint está. |
Para permitir o acesso pelo endereço IP de origem, você pode usar grupos de segurança conectados aos endpoints do servidor e ACLs à rede conectada à sub-rede em que o endpoint está. |
| Lista de permissões do firewall do cliente |
Você deve permitir o nome DNS do servidor. Como os endereços IP estão sujeitos a alterações, evite usar endereços IP na lista de permissões do firewall do cliente. |
É possível permitir o nome DNS do servidor ou os endereços IP elásticos anexados ao servidor. |
É possível permitir os endereços IP privados ou o nome DNS dos endpoints. |
É possível permitir os endereços IP privados ou o nome DNS dos endpoints. |
| Tipo de endereço IP | IPv4 (padrão) ou pilha dupla (e) IPv4 IPv6 | IPv4 somente (pilha dupla não suportada) | IPv4 (padrão) ou pilha dupla (e) IPv4 IPv6 | IPv4 somente (pilha dupla não suportada) |
nota
O tipo de endpoint VPC_ENDPOINT agora está obsoleto e não pode ser usado para criar novos servidores. Em vez de usarEndpointType=VPC_ENDPOINT, use o VPC endpoint type (EndpointType=VPC), que você pode usar como interno ou voltado para a Internet, conforme descrito na tabela anterior.
-
Para obter detalhes sobre a suspensão de uso, consulte. Interromper o uso do VPC_ENDPOINT
-
Para obter informações sobre o gerenciamento de permissões de VPC endpoint, consulte. Limitando o acesso ao VPC endpoint para servidores Transfer Family
Considere as seguintes opções para aumentar a postura de segurança do seu servidor AWS Transfer Family :
-
Use um VPC endpoint com acesso interno, para que o servidor possa ser acessado somente por clientes em sua VPC ou em ambientes conectados à VPC, como um data center local ou VPN. Direct Connect
-
Para permitir que os clientes acessem o endpoint pela Internet e protejam seu servidor, use um endpoint da VPC com acesso voltado para a Internet. Em seguida, modifique os grupos de segurança da VPC para permitir o tráfego somente de determinados endereços IP que hospedam os clientes dos seus usuários.
-
Se você precisar de autenticação baseada em senha e usar um provedor de identidade personalizado com seu servidor, recomenda-se que sua política de senhas evite que os usuários criem senhas fracas e limite o número de tentativas de login malsucedidas.
AWS Transfer Family é um serviço gerenciado e, portanto, não fornece acesso ao shell. Você não pode acessar diretamente o servidor SFTP subjacente para executar comandos nativos do sistema operacional nos servidores do Transfer Family.
-
Use um Network Load Balancer na frente de um endpoint da VPC com acesso interno. Altere a porta do receptor no balanceador de carga da porta 22 para uma porta diferente. Isso pode reduzir, mas não eliminar, o risco de scanners de portas e bots sondarem seu servidor, porque a porta 22 é mais comumente usada para escaneamento. Para obter detalhes, consulte a postagem do blog Os balanceadores de carga de rede agora oferecem suporte a grupos de segurança
. nota
Se você usa um Network Load Balancer, AWS Transfer Family CloudWatch os registros mostram o endereço IP do NLB, em vez do endereço IP real do cliente.
Considerações sobre o Network Load Balancer de FTP e FTPS
Embora seja recomendável evitar balanceadores de carga de rede na frente dos AWS Transfer Family servidores, se sua implementação de FTP ou FTPS exigir um NLB ou NAT na rota de comunicação do cliente, siga estas recomendações:
-
Para um NLB, use a porta 21 para verificações de integridade, em vez das portas 8192-8200.
-
Para o AWS Transfer Family servidor, habilite a retomada da sessão TLS configurando.
TlsSessionResumptionMode = ENFORCEDnota
Esse é o modo recomendado, pois fornece segurança aprimorada:
-
Exige que os clientes usem a retomada da sessão TLS para conexões subsequentes.
-
Fornece garantias de segurança mais fortes, garantindo parâmetros de criptografia consistentes.
-
Ajuda a evitar possíveis ataques de downgrade.
-
Mantém a conformidade com os padrões de segurança enquanto otimiza o desempenho.
-
-
Se possível, deixe de usar um NLB para aproveitar ao máximo os limites de AWS Transfer Family desempenho e conexão.
Para obter orientação adicional sobre alternativas de NLB, entre em contato com a equipe de gerenciamento de AWS Transfer Family produtos por meio do Support AWS . Para obter mais informações sobre como melhorar sua postura de segurança, consulte a postagem do blog Seis dicas para melhorar a segurança do seu AWS Transfer Family servidor
A orientação de segurança para NLBs é fornecida emEvite colocar NLBs e NATs na frente dos AWS Transfer Family servidores.
