本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 建立啟用 SFTP 的伺服器 Secure Shell (SSH) 檔案傳輸通訊協定 (SFTP) 是一種網路通訊協定,用於透過網際網路安全地傳輸資料。通訊協定支援 SSH 的完整安全性和身分驗證功能。它廣泛用於交換資料,包括金融服務、醫療保健、零售和廣告等各種產業的業務合作夥伴之間的敏感資訊。 **請注意下列事項** + Transfer Family 的 SFTP 伺服器透過連接埠 22 運作。對於 VPC 託管的端點,SFTP Transfer Family 伺服器也可以透過連接埠 2222、2223 或 22000 操作。如需詳細資訊,請參閱[在虛擬私有雲端中建立伺服器](create-server-in-vpc.md)。 + 公有端點無法透過安全群組限制流量。若要搭配 Transfer Family 伺服器使用安全群組,您必須在虛擬私有雲端 (VPC) 內託管伺服器的端點,如中所述[在虛擬私有雲端中建立伺服器](create-server-in-vpc.md)。 **另請參閱** + 我們提供建立 SFTP Transfer Family 伺服器 AWS CDK 的範例。此範例使用 TypeScript,並可在 GitHub [上取得](https://github.com/aws-samples/aws-cdk-examples/tree/master/typescript/aws-transfer-sftp-server)。 + 如需如何在 VPC 內部署 Transfer Family 伺服器的逐步解說,請參閱[使用 IP 允許清單來保護您的 AWS Transfer Family 伺服器](https://aws.amazon.com/blogs//storage/use-ip-allow-list-to-secure-your-aws-transfer-for-sftp-servers/)。 **建立啟用 SFTP 的伺服器** 1. 在 https://[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) 開啟 AWS Transfer Family 主控台,然後從導覽窗格中選取伺服器,然後選擇**建立伺服器**。 **** 1. 在**選擇通訊協定**中,選取 **SFTP**,然後選擇**下一步**。 1. 在**選擇身分提供者**中,選擇您要用來管理使用者存取的身分提供者。您有下列選項: + **服務受管** – 您可以將使用者身分和金鑰存放在其中 AWS Transfer Family。 + **AWS Directory Service for Microsoft Active Directory** – 您提供 Directory Service 目錄來存取端點。如此一來,您就可以使用儲存在 Active Directory 中的登入資料來驗證您的使用者。若要進一步了解如何使用 AWS Managed Microsoft AD 身分提供者,請參閱 [使用 AWS Directory Service for Microsoft Active Directory](directory-services-users.md)。 **注意** 不支援跨帳戶和共用目錄 AWS Managed Microsoft AD。 若要使用 Directory Service 做為您的身分提供者來設定伺服器,您需要新增一些 Directory Service 許可。如需詳細資訊,請參閱[開始使用 之前 AWS Directory Service for Microsoft Active Directory](directory-services-users.md#managed-ad-prereq)。 + **自訂身分提供者** – 選擇下列其中一個選項: + **使用 AWS Lambda 連接您的身分提供者** – 您可以使用 Lambda 函數支援的現有身分提供者。您提供 Lambda 函數的名稱。如需詳細資訊,請參閱[使用 AWS Lambda 整合您的身分提供者](custom-lambda-idp.md)。 + **使用 Amazon API Gateway 連接您的身分提供者** – 您可以建立由 Lambda 函數支援的 API Gateway 方法,以用作身分提供者。您提供 Amazon API Gateway URL 和 調用角色。如需詳細資訊,請參閱[使用 Amazon API Gateway 整合您的身分提供者](authentication-api-gateway.md)。 ![\[選擇已選取自訂身分提供者的身分提供者主控台區段。也會選取預設值,也就是使用者可以使用其密碼或金鑰進行身分驗證。\]](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/custom-lambda-console.png) 1. 選擇**下一步**。 1. 在**選擇端點中**,執行下列動作: 1. 針對**端點類型**,選擇**可公開存取**的端點類型。如需 **VPC 託管**端點,請參閱 [在虛擬私有雲端中建立伺服器](create-server-in-vpc.md)。 1. 對於 **IP 地址類型**,請選擇 **IPv4** (預設) 以獲得回溯相容性,或**選擇雙堆疊**來啟用 IPv4 和 IPv6 與端點的連線。 **注意** 雙堆疊模式可讓您的 Transfer Family 端點與啟用 IPv4 和 IPv6 的用戶端通訊。這可讓您逐步從 IPv4 轉換到 IPv6 型系統,而不需要一次全部切換。 1. (選用) 針對**自訂主機名稱**,選擇**無**。 您可以取得 提供的伺服器主機名稱 AWS Transfer Family。伺服器主機名稱的格式為 `serverId.server.transfer.regionId.amazonaws.com`。 對於自訂主機名稱,您可以為伺服器端點指定自訂別名。若要進一步了解如何使用自訂主機名稱,請參閱 [使用自訂主機名稱](requirements-dns.md)。 1. (選用) 對於**啟用 FIPS**,選取**啟用 FIPS 端點**核取方塊,以確保端點符合聯邦資訊處理標準 (FIPS)。 **注意** 啟用 FIPS 的端點僅適用於北美 AWS 區域。如需可用的區域,請參閱《》中的[AWS Transfer Family 端點和配額](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html)*AWS 一般參考*。如需 FIPS 的詳細資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-2。 ](https://aws.amazon.com/compliance/fips/) 1. 選擇**下一步**。 1. 在**選擇網域**頁面上,選擇您要用來透過所選通訊協定存放和存取資料的 AWS 儲存服務: + 選擇 **Amazon S3**,將檔案儲存和存取為所選通訊協定的物件。 + 選擇 **Amazon EFS**,透過選取的通訊協定在 Amazon EFS 檔案系統中存放和存取您的檔案。 選擇**下一步**。 1. 在**設定其他詳細資訊**中,執行下列動作: 1. 針對記錄,請指定現有的日誌群組或建立新的日誌群組 (預設選項)。如果您選擇現有的日誌群組,則必須選取與您的 相關聯的日誌群組 AWS 帳戶。 ![\[在建立伺服器精靈中設定其他詳細資訊的記錄窗格。選擇已選取的現有日誌群組。\]](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/logging-server-choose-existing-group.png) 如果您選擇**建立日誌群組**,CloudWatch 主控台 ([https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)://) 會開啟**建立日誌群組**頁面。如需詳細資訊,請參閱在 [ CloudWatch Logs 中建立日誌群組](https://docs.aws.amazon.com//AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#Create-Log-Group)。 1. (選用) 針對**受管工作流程**,選擇 Transfer Family 在執行工作流程時應擔任的工作流程 IDs (和對應的角色)。您可以選擇一個工作流程在完整上傳時執行,另一個工作流程在部分上傳時執行。若要進一步了解如何使用受管工作流程處理檔案,請參閱 [AWS Transfer Family 受管工作流程](transfer-workflows.md)。 ![\[受管工作流程主控台區段。\]](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/workflows-addtoserver.png) 1. 針對**密碼編譯演算法選項**,選擇安全政策,其中包含啟用供伺服器使用的密碼編譯演算法。我們最新的安全政策是預設值:如需詳細資訊,請參閱 [AWS Transfer Family 伺服器的安全政策](security-policies.md)。 1. (選用) 對於**伺服器主機金鑰**,輸入 RSA、ED25519 或 ECDSA 私有金鑰,用於在用戶端透過 SFTP 連線到伺服器時識別伺服器。您也可以新增描述,以區分多個主機金鑰。 建立伺服器之後,您可以新增其他主機金鑰。如果您想要輪換金鑰,或想要擁有不同類型的金鑰,例如 RSA 金鑰和 ECDSA 金鑰,則擁有多個主機金鑰非常有用。 **注意** **伺服器主機金鑰**區段僅用於從已啟用 SFTP 的現有伺服器遷移使用者。 1. (選用) 對於**標籤**,對於**索引鍵**和**值**,輸入一或多個標籤做為索引鍵/值對,然後選擇**新增標籤**。 1. 選擇**下一步**。 1. 您可以最佳化 Amazon S3 目錄的效能。例如,假設您進入主目錄,而且您有 10,000 個子目錄。換句話說,Amazon S3 儲存貯體有 10,000 個資料夾。在此案例中,如果您執行 `ls`(清單) 命令,則清單操作需要 6 到 8 分鐘。不過,如果您最佳化目錄,此操作只需要幾秒鐘的時間。 當您使用 主控台建立伺服器時,預設會啟用最佳化目錄。如果您使用 API 建立伺服器,則預設不會啟用此行為。 ![\[Optimized Directoryies 主控台區段。\]](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/optimized-directories.png) 1. (選用) 設定 AWS Transfer Family 伺服器,向最終使用者顯示自訂訊息,例如組織政策或條款與條件。對於**顯示橫幅**,在**驗證前顯示橫幅**文字方塊中,輸入您要在使用者驗證之前向他們顯示的文字訊息。 1. (選用) 您可以設定下列其他選項。 + **SetStat 選項**:啟用此選項可忽略用戶端嘗試在您上傳至 Amazon S3 儲存貯體的檔案`SETSTAT`上使用 時所產生的錯誤。如需其他詳細資訊,請參閱 [ProtocolDetails](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ProtocolDetails.html) 中的 `SetStatOption` 文件。 + **TLS 工作階段恢復**:只有在您已啟用 FTPS 做為此伺服器的其中一個通訊協定時,才能使用此選項。 + **被動 IP**:只有在您已啟用 FTPS 或 FTP 做為此伺服器的其中一個通訊協定時,才能使用此選項。 ![\[伺服器詳細資訊頁面的其他選項畫面。\]](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/create-server-configure-additional-items-sftp.png) 1. 在**檢閱和建立**中,檢閱您的選擇。 + 如果您想要編輯其中任何項目,請選擇步驟旁的**編輯**。 **注意** 您必須在選擇編輯的步驟之後檢閱每個步驟。 + 如果您沒有變更,請選擇**建立伺服器**來建立伺服器。您會前往顯示下列內容的 **Servers (伺服器)** 頁面,這裡會列出您的新伺服器。 可能需要幾分鐘的時間,新伺服器的狀態才會變更為**線上**。此時,您的伺服器可以執行檔案操作,但您必須先建立使用者。如需建立使用者的詳細資訊,請參閱 [管理伺服器端點的使用者](create-user.md)。