建立啟用 FTPS 的伺服器 - AWS Transfer Family

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立啟用 FTPS 的伺服器

透過 SSL 的檔案傳輸通訊協定 (FTPS) 是 FTP 的延伸。它使用 Transport Layer Security (TLS) 和 Secure Sockets Layer (SSL) 密碼編譯通訊協定來加密流量。FTPS 允許同時或獨立加密控制和資料通道連線。

注意

如需 Network Load Balancer 的重要考量,請參閱 避免將 NLBs和 NATs放在伺服器前面 AWS Transfer Family

建立啟用 FTPS 的伺服器

  1. 在 https://https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台,然後從導覽窗格中選取伺服器,然後選擇建立伺服器

  2. 選擇通訊協定中,選取 FTPS

    針對伺服器憑證,選擇存放在 AWS Certificate Manager (ACM) 中的憑證,當用戶端透過 FTPS 連線到伺服器時,該憑證將用於識別您的伺服器,然後選擇下一步

    若要請求新的公有憑證,請參閱AWS Certificate Manager 《 使用者指南》中的請求公有憑證

    若要將現有憑證匯入 ACM,請參閱AWS Certificate Manager 《 使用者指南》中的將憑證匯入 ACM

    若要透過私有 IP 地址請求私有憑證以使用 FTPS,請參閱AWS Certificate Manager 《 使用者指南》中的請求私有憑證

    支援具有下列密碼編譯演算法和金鑰大小的憑證:

    • 2048 位元 RSA (RSA_2048)

    • 4096 位元 RSA (RSA_4096)

    • 橢圓定焦曲線 256 位元 (EC_prime256v1)

    • 橢圓定焦曲線 384 位元 (EC_secp384r1)

    • 橢圓定焦曲線 521 位元 (EC_secp521r1)

    注意

    憑證必須是指定 FQDN 或 IP 地址的有效 SSL/TLS X.509 第 3 版憑證,並包含發行者的相關資訊。

  3. 選擇身分提供者中,選擇您要用來管理使用者存取的身分提供者。您有下列選項:

    • AWS Directory Service for Microsoft Active Directory – 您提供一個 AWS Directory Service 目錄來存取端點。如此一來,您就可以使用儲存在 Active Directory 中的登入資料來驗證您的使用者。若要進一步了解如何使用 AWS Managed Microsoft AD 身分提供者,請參閱 使用 AWS Directory Service for Microsoft Active Directory

      注意

    • 自訂身分提供者 – 選擇下列其中一個選項:

      • 使用 AWS Lambda 連接您的身分提供者 – 您可以使用 Lambda 函數支援的現有身分提供者。您提供 Lambda 函數的名稱。如需詳細資訊,請參閱使用 AWS Lambda 整合您的身分提供者

      • 使用 Amazon API Gateway 連接您的身分提供者 – 您可以建立由 Lambda 函數支援的 API Gateway 方法,以用作身分提供者。您提供 Amazon API Gateway URL 和 調用角色。如需詳細資訊,請參閱使用 Amazon API Gateway 整合您的身分提供者

      選擇已選取自訂身分提供者的身分提供者主控台區段。

  4. 選擇下一步

  5. 選擇端點中,執行下列動作:

    注意

    Transfer Family 的 FTPS 伺服器會透過連接埠 21 (控制頻道) 和連接埠範圍 8192–8200 (資料頻道) 運作。

    1. 針對端點類型,選擇 VPC 託管端點類型以託管伺服器的端點。如需設定 VPC 託管端點的資訊,請參閱 在虛擬私有雲端中建立伺服器

      注意

      不支援公開存取的端點。

    2. (選用) 對於啟用 FIPS,選取啟用 FIPS 端點核取方塊,以確保端點符合聯邦資訊處理標準 (FIPS)。

      注意

      啟用 FIPS 的端點僅適用於北美 AWS 區域。如需可用的區域,請參閱《》中的AWS Transfer Family 端點和配額AWS 一般參考。如需 FIPS 的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2。

    3. 選擇下一步

    選擇託管 VPC 的端點主控台區段。

  6. 選擇網域頁面上,選擇您要用來透過所選通訊協定存放和存取資料的 AWS 儲存服務:

    • 選擇 Amazon S3 以儲存和存取檔案,做為所選通訊協定的物件。

    • 選擇 Amazon EFS,透過選取的通訊協定在 Amazon EFS 檔案系統中存放和存取您的檔案。

    選擇下一步

  7. 設定其他詳細資訊中,執行下列動作:

    1. 針對記錄,請指定現有的日誌群組或建立新的日誌群組 (預設選項)。

      在建立伺服器精靈中設定其他詳細資訊的記錄窗格。選擇已選取的現有日誌群組。

      如果您選擇建立日誌群組,CloudWatch 主控台 (https://console.aws.amazon.com/cloudwatch/://) 會開啟建立日誌群組頁面。如需詳細資訊,請參閱在 CloudWatch Logs 中建立日誌群組

    2. (選用) 針對受管工作流程,選擇 Transfer Family 在執行工作流程時應擔任的工作流程 IDs (和對應的角色)。您可以選擇一個工作流程在完整上傳時執行,另一個工作流程在部分上傳時執行。若要進一步了解如何使用受管工作流程處理檔案,請參閱 AWS Transfer Family 受管工作流程

      受管工作流程主控台區段。

    3. 針對密碼編譯演算法選項,選擇安全政策,其中包含啟用供伺服器使用的密碼編譯演算法。我們最新的安全政策是預設值:如需詳細資訊,請參閱 AWS Transfer Family 伺服器的安全政策

    4. 對於伺服器主機金鑰,請保留空白。

    5. (選用) 對於標籤,對於索引鍵,輸入一或多個標籤做為索引鍵/值對,然後選擇新增標籤

    6. 您可以最佳化 Amazon S3 目錄的效能。例如,假設您進入主目錄,而且您有 10,000 個子目錄。換句話說,Amazon S3 儲存貯體有 10,000 個資料夾。在此案例中,如果您執行 ls(清單) 命令,則清單操作需要 6 到 8 分鐘。不過,如果您最佳化目錄,此操作只需要幾秒鐘的時間。

      當您使用 主控台建立伺服器時,預設會啟用最佳化目錄。如果您使用 API 建立伺服器,則預設不會啟用此行為。

      Optimized Directoryies 主控台區段。

    7. 選擇下一步

    8. (選用) 您可以設定 AWS Transfer Family 伺服器,向最終使用者顯示自訂訊息,例如組織政策或條款與條件。您也可以向已成功驗證的使用者顯示自訂的當日訊息 (MOTD)。

      對於顯示橫幅,在驗證前顯示橫幅文字方塊中,輸入您要在使用者驗證前顯示給使用者的文字訊息,然後在驗證後顯示橫幅文字方塊中輸入您希望使用者成功驗證後顯示的文字。

    9. (選用) 您可以設定下列其他選項。

      • SetStat 選項:啟用此選項可忽略用戶端嘗試在您上傳至 Amazon S3 儲存貯體的檔案SETSTAT上使用 時所產生的錯誤。如需其他詳細資訊,請參閱 ProtocolDetails 主題中的 SetStatOption 文件。

      • TLS 工作階段恢復:提供一種機制,在 FTPS 工作階段的控制和資料連線之間繼續或共用交涉的私密金鑰。如需其他詳細資訊,請參閱 ProtocolDetails 主題中的 TlsSessionResumptionMode 文件。

      • 被動 IP:表示 FTP 和 FTPS 通訊協定的被動模式。輸入單一 IPv4 地址,例如防火牆、路由器或負載平衡器的公有 IP 地址。如需其他詳細資訊,請參閱 ProtocolDetails 主題中的 PassiveIp 文件。

      顯示 SetStat、TLS 工作階段恢復和被動 IP 參數的其他組態畫面。

  8. 檢閱和建立中,檢閱您的選擇。

    • 如果您想要編輯其中任何項目,請選擇步驟旁的編輯

      注意

      您必須在選擇編輯的步驟之後檢閱每個步驟。

    • 如果您沒有變更,請選擇建立伺服器以建立伺服器。您會前往顯示下列內容的 Servers (伺服器) 頁面,這裡會列出您的新伺服器。

可能需要幾分鐘的時間,新伺服器的狀態才會變更為線上。此時,您的伺服器會執行您使用者的檔案操作。

後續步驟:在下一個步驟中,繼續前往 使用自訂身分提供者 以設定使用者。