本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 SFTP、FTPS 或 FTP 伺服器端點
本主題提供使用一或多個 SFTP、FTPS 和 FTP 通訊協定建立和使用 AWS Transfer Family 伺服器端點的詳細資訊。
主題
身分提供者選項
AWS Transfer Family 提供多種方法來驗證和管理使用者。下表比較您可以與 Transfer Family 搭配使用的可用身分提供者。
| 動作 | AWS Transfer Family 服務受管 | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda |
|---|---|---|---|---|
| 支援的通訊協定 | SFTP | SFTP、FTPS、FTP | SFTP、FTPS、FTP | SFTP、FTPS、FTP |
|
金鑰型身分驗證 |
是 |
否 |
是 |
是 |
|
密碼身分驗證 |
否 |
是 |
是 |
是 |
|
AWS Identity and Access Management (IAM) 和 POSIX |
是 |
是 |
是 |
是 |
|
邏輯主目錄 |
是 |
是 |
是 |
是 |
| 參數化存取 (以使用者名稱為基礎) | 是 | 是 | 是 | 是 |
|
臨機操作存取結構 |
是 |
否 |
是 |
是 |
|
AWS WAF |
否 |
否 |
是 |
否 |
備註:
-
IAM 用於控制 Amazon S3 備份儲存體的存取,POSIX 用於 Amazon EFS。
-
臨機操作是指在執行時間傳送使用者設定檔的能力。例如,您可以透過將使用者名稱做為變數傳遞,將使用者登陸其主目錄中。
-
如需 的詳細資訊 AWS WAF,請參閱 新增 Web 應用程式防火牆。
-
有一篇部落格文章說明使用與 Microsoft Entra ID (先前稱為 Azure AD) 整合的 Lambda 函數做為 Transfer Family 身分提供者。如需詳細資訊,請參閱AWS Transfer Family 使用 Azure Active Directory 向 驗證 和 AWS Lambda
。 -
我們提供數種 AWS CloudFormation 範本,協助您快速部署使用自訂身分提供者的 Transfer Family 伺服器。如需詳細資訊,請參閱Lambda 函數範本。
在下列程序中,您可以建立啟用 SFTP 的伺服器、啟用 FTPS 的伺服器、啟用 FTP 的伺服器或AS2-enabled伺服器。
下一步驟
AWS Transfer Family 端點類型矩陣
當您建立 Transfer Family 伺服器時,您可以選擇要使用的端點類型。下表說明每種端點類型的特性。
| 特性 | 公有 | VPC - 網際網路 | VPC - 內部 | VPC_Endpoint (已棄用) |
|---|---|---|---|---|
| 支援的通訊協定 | SFTP | SFTP、FTPS、AS2 | SFTP、FTP、FTPS、AS2 | SFTP |
| 存取 | 透過網際網路從 。此端點類型不需要 VPC 中的任何特殊組態。 | 透過網際網路以及 VPC 和 VPC 連線環境內的 ,例如透過 AWS Direct Connect 或 VPN 的現場部署資料中心。 | 從 VPC 和 VPC 連線環境內,例如透過 AWS Direct Connect 或 VPN 的內部部署資料中心。 | 從 VPC 和 VPC 連線環境內,例如透過 AWS Direct Connect 或 VPN 的內部部署資料中心。 |
| 靜態 IP 地址 | 您無法連接靜態 IP 地址。 AWS 提供可能變更的 IP 地址。 |
您可以將彈性 IP 地址連接至端點。這些可以是 擁有 AWS的 IP 地址或您自己的 IP 地址 (使用您自己的 IP 地址)。連接到端點的彈性 IP 地址不會變更。 連接到伺服器的私有 IP 地址也不會變更。 |
連接至端點的私有 IP 地址不會變更。 | 連接至端點的私有 IP 地址不會變更。 |
| 來源 IP 允許清單 |
此端點類型不支援依來源 IP 地址的允許清單。 端點可公開存取,並接聽透過連接埠 22 的流量。 注意對於 VPC 託管的端點,SFTP Transfer Family 伺服器可以透過連接埠 22 (預設值)、2222、2223 或 22000 操作。 |
若要允許依來源 IP 地址存取,您可以使用連接至伺服器端點的安全群組,以及連接至端點所在子網路的網路 ACLs。 |
若要依來源 IP 地址允許存取,您可以使用連接至伺服器端點的安全群組,以及連接至端點所在子網路的網路存取控制清單 (網路 ACLs)。 |
若要允許依來源 IP 地址存取,您可以使用連接至伺服器端點的安全群組,以及連接至端點所在子網路的網路 ACLs。 |
| 用戶端防火牆允許清單 |
您必須允許伺服器的 DNS 名稱。 由於 IP 地址可能會有所變更,請避免將 IP 地址用於用戶端防火牆允許清單。 |
您可以允許伺服器的 DNS 名稱或連接到伺服器的彈性 IP 地址。 |
您可以允許私有 IP 地址或端點的 DNS 名稱。 |
您可以允許私有 IP 地址或端點的 DNS 名稱。 |
| IP 地址類型 | IPv4 (預設) 或雙堆疊 (IPv4 和 IPv6) | 僅限 IPv4 (不支援雙堆疊) | IPv4 (預設) 或雙堆疊 (IPv4 和 IPv6) | 僅限 IPv4 (不支援雙堆疊) |
注意
VPC_ENDPOINT 端點類型現在已棄用,無法用來建立新的伺服器。不使用 EndpointType=VPC_ENDPOINT,請使用 VPC 端點類型 (EndpointType=VPC),您可以將其用作內部或網際網路面向,如上表所述。
-
如需棄用的詳細資訊,請參閱 停止使用 VPC_ENDPOINT。
-
如需管理 VPC 端點許可的資訊,請參閱 限制 Transfer Family 伺服器的 VPC 端點存取。
請考慮下列選項,以提高伺服器 AWS Transfer Family 的安全狀態:
-
使用具有內部存取權的 VPC 端點,以便只有 VPC 或 VPC 連線環境中的用戶端才能存取伺服器,例如透過 AWS Direct Connect 或 VPN 的現場部署資料中心。
-
若要允許用戶端透過網際網路存取端點並保護您的伺服器,請使用具有面向網際網路存取的 VPC 端點。然後,修改 VPC 的安全群組,僅允許來自託管使用者用戶端之特定 IP 地址的流量。
-
如果您需要密碼型身分驗證,並搭配伺服器使用自訂身分提供者,則最佳實務是密碼政策可防止使用者建立較弱的密碼,並限制失敗的登入嘗試次數。
AWS Transfer Family 是受管服務,因此不提供 shell 存取。您無法直接存取基礎 SFTP 伺服器,以在 Transfer Family 伺服器上執行作業系統原生命令。
-
在具有內部存取權的 VPC 端點前使用 Network Load Balancer。將負載平衡器上的接聽程式連接埠從連接埠 22 變更為不同的連接埠。這可以降低但不能消除連接埠掃描器和機器人探測伺服器的風險,因為連接埠 22 最常用於掃描。如需詳細資訊,請參閱部落格文章 Network Load Balancer 現在支援安全群組
。 注意
如果您使用 Network Load Balancer, AWS Transfer Family CloudWatch 日誌會顯示 NLB 的 IP 地址,而不是實際的用戶端 IP 地址。
FTP 和 FTPS Network Load Balancer 考量事項
雖然我們建議避免在 AWS Transfer Family 伺服器前面使用 Network Load Balancer,但如果您的 FTP 或 FTPS 實作需要用戶端通訊路由中的 NLB 或 NAT,請遵循下列建議:
-
對於 NLB,請使用連接埠 21 進行運作狀態檢查,而不是連接埠 8192-8200。
-
對於 AWS Transfer Family 伺服器,請設定 來啟用 TLS 工作階段恢復
TlsSessionResumptionMode = ENFORCED。注意
這是建議模式,因為它提供增強的安全性:
-
要求用戶端對後續連線使用 TLS 工作階段恢復。
-
透過確保一致的加密參數,提供更強大的安全性保證。
-
有助於防止潛在的降級攻擊。
-
保持符合安全標準,同時最佳化效能。
-
-
如果可能,請遷移至不使用 NLB,以充分利用 AWS Transfer Family 效能和連線限制。
如需 NLB 替代方案的其他指引,請透過 AWS Support 聯絡 AWS Transfer Family 產品管理團隊。如需改善安全狀態的詳細資訊,請參閱部落格文章 六個改善 AWS Transfer Family 伺服器安全性的秘訣
中提供了 NLBs的安全指引避免將 NLBs和 NATs放在伺服器前面 AWS Transfer Family。
