Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS Transfer Family
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung anwenden können AWS Transfer Family. In den folgenden Themen erfahren Sie, wie Sie die Konfiguration vornehmen AWS Transfer Family , um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Sie bei der Überwachung und Sicherung Ihrer AWS Transfer Family Ressourcen unterstützen.
Wir bieten einen Workshop mit präskriptiven Anleitungen und einem praktischen Lab an, in dem Sie erfahren, wie Sie eine skalierbare und sichere Dateiübertragungsarchitektur aufbauen können, AWS ohne bestehende Anwendungen ändern oder die Serverinfrastruktur verwalten zu müssen. [Die Einzelheiten zu diesem Workshop finden Sie hier.](https://catalog.workshops.aws/basic-security-workshop-transfer-family/en-US)
**Topics**
+ [Sicherheitsvorteile der VPC-Konnektivität](#vpc-connectivity-security)
+ [Sicherheitsrichtlinien für Server AWS Transfer Family](security-policies.md)
+ [AWS Transfer Family Sicherheitsrichtlinien für SFTP-Konnektoren](security-policies-connectors.md)
+ [Verwenden Sie den hybriden Schlüsselaustausch nach dem Quantum-Verfahren mit AWS Transfer Family](post-quantum-security-policies.md)
+ [Datenschutz und Verschlüsselung](encryption-at-rest.md)
+ [Verwaltung von SSH- und PGP-Schlüsseln in Transfer Family](key-management.md)
+ [Identitäts- und Zugriffsmanagement für AWS Transfer Family](security-iam.md)
+ [Konformitätsprüfung für AWS Transfer Family](transfer-compliance.md)
+ [Resilienz in AWS Transfer Family](disaster-recovery-resiliency.md)
+ [Erstellen Sie eine private Verbindung zwischen einer VPC und AWS Transfer Family APIs](vpc-api-endpoints.md)
+ [Sicherheit der Infrastruktur in AWS Transfer Family](infrastructure-security.md)
+ [Fügen Sie eine Firewall für Webanwendungen hinzu](web-application-firewall.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](confused-deputy.md)
+ [AWS verwaltete Richtlinien für AWS Transfer Family](security-iam-awsmanpol.md)
## Sicherheitsvorteile der VPC-Konnektivität
SFTP-Konnektoren mit VPC-Ausgangstyp bieten erweiterte Sicherheitsvorteile durch VPC-übergreifenden Ressourcenzugriff:
+ **Netzwerkisolierung**: Der gesamte Datenverkehr verbleibt in Ihrer VPC-Umgebung, sodass private Endpunktverbindungen vollständig vom öffentlichen Internet isoliert sind.
+ **Quell-IP-Steuerung**: Remote-SFTP-Server sehen nur IP-Adressen aus Ihrem VPC-CIDR-Bereich, sodass Sie die volle Kontrolle über die Quell-IP-Adressen haben, die für Verbindungen verwendet werden.
+ **Privater Endpunktzugriff**: Stellen Sie über private IP-Adressen eine direkte Verbindung zu SFTP-Servern in Ihrer VPC her und vermeiden so die Gefährdung durch das öffentliche Internet.
+ **Hybride Konnektivität**: Greifen Sie über etablierte VPN- oder Direct Connect-Verbindungen sicher auf lokale SFTP-Server zu, ohne dass Sie zusätzlich ins Internet gehen müssen.
+ **VPC-Sicherheitskontrollen**: Nutzen Sie bestehende VPC-Sicherheitsgruppen und Routing-Richtlinien NACLs, um den SFTP-Connector-Traffic zu kontrollieren und zu überwachen.
### VPC Lattice-Sicherheitsmodell
Die VPC-Konnektivität für SFTP-Konnektoren verwendet AWS VPC Lattice mit Servicenetzwerken, um einen sicheren Mehrmandantenzugriff zu ermöglichen:
+ **Vermeidung unberechtigter Stellvertreter**: Authentifizierungs- und Autorisierungsprüfungen stellen sicher, dass Konnektoren nur auf die spezifischen Ressourcen zugreifen können, für die sie konfiguriert sind, und verhindern so unbefugten mandantenübergreifenden Zugriff.
+ **IPv6Servicenetzwerk nur für den Service**: Nutzt IPv6 Adressierung, um potenzielle IP-Adresskonflikte zu vermeiden und die Sicherheitsisolierung zu verbessern.
+ **Forward Access Session (FAS)**: Durch die temporäre Verarbeitung von Anmeldeinformationen entfällt die Notwendigkeit einer langfristigen Speicherung von Anmeldeinformationen oder der manuellen gemeinsamen Nutzung von Ressourcen.
+ **Zugriffskontrolle auf Ressourcenebene**: Jeder Connector ist einer bestimmten Ressourcenkonfiguration zugeordnet, wodurch eine detaillierte Zugriffskontrolle auf einzelne SFTP-Server gewährleistet wird.
### Bewährte Sicherheitsmethoden für VPC-Konnektivität
Beachten Sie bei der Verwendung von VPC-Ausgangsverbindern die folgenden bewährten Sicherheitsmethoden:
+ **Sicherheitsgruppen**: Konfigurieren Sie Sicherheitsgruppen so, dass SFTP-Verkehr (Port 22) nur zwischen den erforderlichen Ressourcen zugelassen wird. Beschränken Sie die Quell- und Ziel-IP-Bereiche auf das erforderliche Minimum.
+ **Platzierung von Resource Gateways**: Stellen Sie Resource Gateways nach Möglichkeit in privaten Subnetzen bereit und stellen Sie sicher, dass sie sich über mindestens zwei Availability Zones erstrecken, um eine hohe Verfügbarkeit zu gewährleisten.
+ **Netzwerküberwachung**: Verwenden Sie VPC Flow Logs und Amazon CloudWatch , um Netzwerkverkehrsmuster zu überwachen und ungewöhnliche Aktivitäten zu erkennen.
+ **Zugriffsprotokollierung**: Aktivieren Sie die Connector-Protokollierung, um Dateiübertragungsaktivitäten nachzuverfolgen und Prüfprotokolle zur Einhaltung von Compliance-Anforderungen zu führen.
+ **Verwaltung der Ressourcenkonfiguration**: Überprüfen und aktualisieren Sie die Ressourcenkonfigurationen regelmäßig, um sicherzustellen, dass sie auf die richtigen SFTP-Server verweisen und die entsprechenden Netzwerkeinstellungen verwenden.
# Sicherheitsrichtlinien für Server AWS Transfer Family
AWS Transfer Family Mithilfe der Serversicherheitsrichtlinien können Sie den Satz an kryptografischen Algorithmen (Nachrichtenauthentifizierungscodes (MACs), Schlüsselaustausch (KEXs), Verschlüsselungssammlungen, Inhaltsverschlüsselungschiffren und Hash-Algorithmen) einschränken, die Ihrem Server zugeordnet sind.
AWS Transfer Family unterstützt Post-Quantum-Sicherheitsrichtlinien, die hybride Schlüsselaustauschalgorithmen verwenden und traditionelle kryptografische Methoden mit Post-Quanten-Algorithmen kombinieren, um eine verbesserte Sicherheit vor future Bedrohungen durch Quantencomputer zu bieten. Einzelheiten finden Sie unter. [Verwenden Sie den hybriden Schlüsselaustausch nach dem Quantum-Verfahren mit AWS Transfer Family](post-quantum-security-policies.md)
Eine Liste der unterstützten kryptografischen Algorithmen finden Sie unter[Kryptografische Algorithmen](#cryptographic-algorithms). Eine Liste der unterstützten Schlüsselalgorithmen für die Verwendung mit Serverhostschlüsseln und vom Dienst verwalteten Benutzerschlüsseln finden Sie unter. [Verwaltung von SSH- und PGP-Schlüsseln in Transfer Family](key-management.md)
**Anmerkung**
Wir empfehlen dringend, Ihre Server auf unsere neuesten Sicherheitsrichtlinien zu aktualisieren.
`TransferSecurityPolicy-2024-01`ist die Standard-Sicherheitsrichtlinie, die Ihrem Server zugewiesen wird, wenn Sie einen Server mithilfe der Konsole, API oder CLI erstellen.
Wenn Sie einen Transfer Family Family-Server mit der Standardsicherheitsrichtlinie erstellen CloudFormation und diese akzeptieren, wird der Server zugewiesen`TransferSecurityPolicy-2018-11`.
Wenn Sie Bedenken hinsichtlich der Client-Kompatibilität haben, geben Sie bitte ausdrücklich an, welche Sicherheitsrichtlinie Sie bei der Erstellung oder Aktualisierung eines Servers verwenden möchten, anstatt die Standardrichtlinie zu verwenden, die sich ändern kann. Informationen zum Ändern der Sicherheitsrichtlinie für einen Server finden Sie unter. [Bearbeiten Sie die Sicherheitsrichtlinie](edit-server-config.md#edit-cryptographic-algorithm)
Weitere Informationen zur Sicherheit in Transfer Family finden Sie in den folgenden Blogbeiträgen:
+ [Sechs Tipps zur Verbesserung der Sicherheit Ihres AWS Transfer Family Servers](https://aws.amazon.com/blogs/security/six-tips-to-improve-the-security-of-your-aws-transfer-family-server/)
+ [Wie Transfer Family Ihnen helfen kann, eine sichere, konforme verwaltete Dateiübertragungslösung zu entwickeln](https://aws.amazon.com/blogs/security/how-transfer-family-can-help-you-build-a-secure-compliant-managed-file-transfer-solution/)
**Topics**
+ [Kryptografische Algorithmen](#cryptographic-algorithms)
+ [TransferSecurityPolicy-2024-01](#security-policy-transfer-2024-01)
+ [TransferSecurityPolicySshAuditCompliant- -2025-02](#security-policy-transferSecurityPolicy-SshAuditCompliant-2025-02)
+ [TransferSecurityPolicy-2023-05](#security-policy-transfer-2023-05)
+ [TransferSecurityPolicy-2022—03](#security-policy-transfer-2022-03)
+ [TransferSecurityPolicy-2020-06 und -Eingeschränkt-2020-06 TransferSecurityPolicy](#security-policy-transfer-2020-06)
+ [TransferSecurityPolicy-2018-11 TransferSecurityPolicy und -Restricted-2018-11](#security-policy-transfer-2018-11)
+ [TransferSecurityPolicyTransferSecurityPolicy-FIPS-2024-01/ -FIPS-2024-05](#security-policy-transfer-fips-2024-01)
+ [TransferSecurityPolicy-FIPS-2023-05](#security-policy-transfer-fips-2023-05)
+ [TransferSecurityPolicy-FIPS-2020-06](#security-policy-transfer-fips-2020-06)
+ [TransferSecurityPolicyAS2- Eingeschränkt-2025-07](#as2-restricted-policy)
+ [Sicherheitsrichtlinien nach Quantum](#pq-policies)
## Kryptografische Algorithmen
Für Hostschlüssel unterstützen wir die folgenden Algorithmen:
+ `rsa-sha2-256`
+ `rsa-sha2-512`
+ `ecdsa-sha2-nistp256`
+ `ecdsa-sha2-nistp384`
+ `ecdsa-sha2-nistp521`
+ `ssh-ed25519`
Darüber hinaus ermöglichen die folgenden Sicherheitsrichtlinien`ssh-rsa`:
+ TransferSecurityPolicy-2018-11
+ TransferSecurityPolicy-2020-06
+ TransferSecurityPolicy-FIPS-2020-06
+ TransferSecurityPolicy-FIPS-2023-05
+ TransferSecurityPolicy-FIPS-2024-01
+ TransferSecurityPolicy-PQ-SSH-FIPS-Experimentell-2023-04
**Anmerkung**
Es ist wichtig, den Unterschied zwischen dem RSA-Schlüsseltyp — der immer gilt — und dem RSA-Host-Schlüsselalgorithmus zu verstehen, bei dem es sich um einen der unterstützten Algorithmen handeln kann. `ssh-rsa`
Im Folgenden finden Sie eine Liste der unterstützten kryptografischen Algorithmen für jede Sicherheitsrichtlinie.
**Anmerkung**
Beachten Sie in der folgenden Tabelle und den Richtlinien die folgende Verwendung von Algorithmustypen.
SFTP-Server verwenden nur Algorithmen in den **SshMacs**Abschnitten **SshCiphers**SshKexs****, und.
FTPS-Server verwenden in diesem Abschnitt nur Algorithmen. **TlsCiphers**
FTP-Server verwenden keinen dieser Algorithmen, da sie keine Verschlüsselung verwenden.
AS2 Server verwenden nur Algorithmen in den **HashAlgorithms**Abschnitten **ContentEncryptionCiphers**und. In diesen Abschnitten werden Algorithmen definiert, die zum Verschlüsseln und Signieren von Dateiinhalten verwendet werden.
Die Sicherheitsrichtlinien FIPS-2024-05 und FIPS-2024-01 sind identisch, mit der Ausnahme, dass FIPS-2024-05 den Algorithmus nicht unterstützt. `ssh-rsa`
Transfer Family hat neue eingeschränkte Richtlinien eingeführt, die eng mit parallel bestehenden Richtlinien übereinstimmen:
Die Sicherheitsrichtlinien TransferSecurityPolicy -Restricted-2018-11 und TransferSecurityPolicy -2018-11 sind identisch, mit der Ausnahme, dass die eingeschränkte Richtlinie die Verschlüsselung nicht unterstützt. `chacha20-poly1305@openssh.com`
Die Sicherheitsrichtlinien TransferSecurityPolicy -Restricted-2020-06 und TransferSecurityPolicy -2020-06 sind identisch, mit der Ausnahme, dass die eingeschränkte Richtlinie die Verschlüsselung nicht unterstützt. `chacha20-poly1305@openssh.com`
\$1 In der folgenden Tabelle ist die Chiffre nur in der Richtlinie ohne Einschränkungen enthalten. `chacha20-poly1305@openssh.com`
| Sicherheitsrichtlinie | 2024-01 | SshAuditCompliant-2025-02 | 2023-05 | 2022 03 | **2020-06** **2020-06 eingeschränkt** | **FIPS-2024-05** **FIPS-2024-01** | FIPS-2023-05 | FIPS-2020-06 | **2018-11** **2018-11 eingeschränkt** | TransferSecurityPolicy- Eingeschränkt-2025-07 AS2 |
| --- |--- |--- |--- |--- |--- |--- |--- |--- |--- |--- |
| **SshCiphers** |
| --- |
| aes128-ctr | ♦ | ♦ | | | ♦ | ♦ | | ♦ | ♦ | ♦ |
| aes128-gcm@openssh.com | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| aes192-ctr | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| aes256-ctr | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| aes256-gcm@openssh.com | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| chacha20-poly1305@openssh.com | | | | | ♦\$1 | | | | ♦\$1 | |
| **SshKexs** |
| --- |
| mlkem768x25519-sha256 | | | | | | | | | | ♦ |
| mlkem768nistp256-SHA256 | | | | | | | | | | ♦ |
| mlkem1024nistp384-sha384 | | | | | | | | | | ♦ |
| Kurve 25519-sha256 | ♦ | ♦ | ♦ | ♦ | | | | | ♦ | ♦ |
| curve25519-sha256@libssh.org | ♦ | ♦ | ♦ | ♦ | | | | | ♦ | ♦ |
| diffie-hellman-group14-sha 1 | | | | | | | | | ♦ | |
| diffie-hellman-group14-sha256 | | | | | ♦ | | | ♦ | ♦ | |
| diffie-hellman-group16-sha512 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| diffie-hellman-group18-sha512 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| diffie-hellman-group-exchange-Sha 256 | ♦ | ♦ | ♦ | ♦ | ♦ | | ♦ | ♦ | ♦ | ♦ |
| ecdh-sha2-nistp256 | ♦ | | | | ♦ | ♦ | | ♦ | ♦ | ♦ |
| ecdh-sha2-nistp384 | ♦ | | | | ♦ | ♦ | | ♦ | ♦ | ♦ |
| ecdh-sha2-nistp521 | ♦ | | | | ♦ | ♦ | | ♦ | ♦ | ♦ |
| **SshMacs** |
| --- |
| hmac-sha1 | | | | | | | | | ♦ | |
| hmac-sha1-etm@openssh.com | | | | | | | | | ♦ | |
| hmac-sha2-256 | | | | ♦ | ♦ | | | ♦ | ♦ | |
| hmac-sha2-256-etm@openssh.com | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| hmac-sha2-512 | | | | ♦ | ♦ | | | ♦ | ♦ | |
| hmac-sha2-512-etm@openssh.com | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| umac-128-etm@openssh.com | | | | | ♦ | | | | ♦ | |
| umac-128@openssh.com | | | | | ♦ | | | | ♦ | |
| umac-64-etm@openssh.com | | | | | | | | | ♦ | |
| umac-64@openssh.com | | | | | | | | | ♦ | |
| **ContentEncryptionCiphers** |
| --- |
| aes256-cbc | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| aes192-cbc | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| aes128-cbc | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| 3des-cbc | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | |
| **HashAlgorithms** |
| --- |
| sha256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| sha384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| sha512 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| sha1 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | |
| **TlsCiphers** |
| --- |
| TLS\$1ECDHE\$1ECDSA\$1MIT\$1AES\$1128\$1CBC\$1 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1ECDHE\$1ECDSA\$1MIT\$1AES\$1128\$1GCM\$1 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1CBC\$1 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1GCM\$1 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1GCM\$1 SHA256 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1 SHA384 | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ | ♦ |
| TLS\$1RSA\$1MIT\$1AES\$1128\$1CBC\$1 SHA256 | | | | | | | | | ♦ | |
| TLS\$1RSA\$1MIT\$1AES\$1256\$1CBC\$1 SHA256 | | | | | | | | | ♦ | |
## TransferSecurityPolicy-2024-01
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -2024-01 dargestellt.
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-2024-01",
"SshCiphers": [
"aes128-gcm@openssh.com",
"aes256-gcm@openssh.com",
"aes128-ctr",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"diffie-hellman-group18-sha512",
"diffie-hellman-group16-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc",
"3des-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512",
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
]
}
}
```
## TransferSecurityPolicySshAuditCompliant- -2025-02
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy - SshAuditCompliant -2025-02 dargestellt.
**Anmerkung**
Diese Sicherheitsrichtlinie basiert auf den Empfehlungen des Tools und entspricht zu 100% dem `ssh-audit` Tool.
```
{
"SecurityPolicy": {
"Fips": false,
"Protocols": [
"SFTP",
"FTPS"
],
"SecurityPolicyName": "TransferSecurityPolicy-SshAuditCompliant-2025-02",
"SshCiphers": [
"aes128-gcm@openssh.com",
"aes256-gcm@openssh.com",
"aes128-ctr",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"diffie-hellman-group18-sha512",
"diffie-hellman-group16-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc",
"3des-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512",
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
],
"Type": "SERVER"
}
}
```
## TransferSecurityPolicy-2023-05
Im Folgenden wird die Sicherheitsrichtlinie -2023-05 dargestellt. TransferSecurityPolicy
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-2023-05",
"SshCiphers": [
"aes256-gcm@openssh.com",
"aes128-gcm@openssh.com",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-512-etm@openssh.com",
"hmac-sha2-256-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc",
"3des-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512",
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
]
}
}
```
## TransferSecurityPolicy-2022—03
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -2022-03 dargestellt.
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-2022-03",
"SshCiphers": [
"aes256-gcm@openssh.com",
"aes128-gcm@openssh.com",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-512-etm@openssh.com",
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512",
"hmac-sha2-256"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc",
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
]
}
}
```
## TransferSecurityPolicy-2020-06 und -Eingeschränkt-2020-06 TransferSecurityPolicy
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -2020-06 dargestellt.
**Anmerkung**
Die Sicherheitsrichtlinien TransferSecurityPolicy -Restricted-2020-06 und TransferSecurityPolicy -2020-06 sind identisch, mit der Ausnahme, dass die eingeschränkte Richtlinie die Verschlüsselung nicht unterstützt. `chacha20-poly1305@openssh.com`
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-2020-06",
"SshCiphers": [
"chacha20-poly1305@openssh.com", //Not included in TransferSecurityPolicy-Restricted-2020-06
"aes128-ctr",
"aes192-ctr",
"aes256-ctr",
"aes128-gcm@openssh.com",
"aes256-gcm@openssh.com"
],
"SshKexs": [
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"diffie-hellman-group-exchange-sha256",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group14-sha256"
],
"SshMacs": [
"umac-128-etm@openssh.com",
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com",
"umac-128@openssh.com",
"hmac-sha2-256",
"hmac-sha2-512"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc",
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
]
}
}
```
## TransferSecurityPolicy-2018-11 TransferSecurityPolicy und -Restricted-2018-11
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -2018-11 dargestellt.
**Anmerkung**
Die Sicherheitsrichtlinien TransferSecurityPolicy -Restricted-2018-11 und TransferSecurityPolicy -2018-11 sind identisch, mit der Ausnahme, dass die eingeschränkte Richtlinie die Verschlüsselung nicht unterstützt. `chacha20-poly1305@openssh.com`
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-2018-11",
"SshCiphers": [
"chacha20-poly1305@openssh.com", //Not included in TransferSecurityPolicy-Restricted-2018-11
"aes128-ctr",
"aes192-ctr",
"aes256-ctr",
"aes128-gcm@openssh.com",
"aes256-gcm@openssh.com"
],
"SshKexs": [
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"diffie-hellman-group-exchange-sha256",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group14-sha256",
"diffie-hellman-group14-sha1"
],
"SshMacs": [
"umac-64-etm@openssh.com",
"umac-128-etm@openssh.com",
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com",
"hmac-sha1-etm@openssh.com",
"umac-64@openssh.com",
"umac-128@openssh.com",
"hmac-sha2-256",
"hmac-sha2-512",
"hmac-sha1"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc",
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512",
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384",
"TLS_RSA_WITH_AES_128_CBC_SHA256",
"TLS_RSA_WITH_AES_256_CBC_SHA256"
]
}
}
```
## TransferSecurityPolicyTransferSecurityPolicy-FIPS-2024-01/ -FIPS-2024-05
Im Folgenden werden die Sicherheitsrichtlinien -FIPS-2024-01 und -FIPS-2024-05 aufgeführt TransferSecurityPolicy. TransferSecurityPolicy
**Anmerkung**
Der FIPS-Dienstendpunkt und die Sicherheitsrichtlinien -FIPS-2024-01 und -FIPS-2024-05 sind nur in einigen Regionen verfügbar. TransferSecurityPolicy TransferSecurityPolicy AWS Weitere Informationen finden Sie unter [AWS Transfer Family -Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) in der *Allgemeine AWS-Referenz*.
Der einzige Unterschied zwischen diesen beiden Sicherheitsrichtlinien besteht darin, dass -FIPS-2024-01 den Algorithmus unterstützt und -FIPS-2024-05 nicht. TransferSecurityPolicy `ssh-rsa` TransferSecurityPolicy
```
{
"SecurityPolicy": {
"Fips": true,
"SecurityPolicyName": "TransferSecurityPolicy-FIPS-2024-01",
"SshCiphers": [
"aes128-gcm@openssh.com",
"aes256-gcm@openssh.com",
"aes128-ctr",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"diffie-hellman-group18-sha512",
"diffie-hellman-group16-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
]
}
}
```
## TransferSecurityPolicy-FIPS-2023-05
Die Einzelheiten zur FIPS-Zertifizierung für finden Sie unter AWS Transfer Family [https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search/all](https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search/all)
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -FIPS-2023-05 beschrieben.
**Anmerkung**
Der FIPS-Dienstendpunkt und die Sicherheitsrichtlinie TransferSecurityPolicy -FIPS-2023-05 sind nur in einigen Regionen verfügbar. AWS Weitere Informationen finden Sie unter [AWS Transfer Family -Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) in der *Allgemeine AWS-Referenz*.
```
{
"SecurityPolicy": {
"Fips": true,
"SecurityPolicyName": "TransferSecurityPolicy-FIPS-2023-05",
"SshCiphers": [
"aes256-gcm@openssh.com",
"aes128-gcm@openssh.com",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
]
}
}
```
## TransferSecurityPolicy-FIPS-2020-06
Die Einzelheiten zur FIPS-Zertifizierung für finden Sie unter AWS Transfer Family [https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search/all](https://csrc.nist.gov/projects/cryptographic-module-validation-program/validated-modules/search/all)
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -FIPS-2020-06 dargestellt.
**Anmerkung**
Der FIPS-Dienstendpunkt und die Sicherheitsrichtlinie TransferSecurityPolicy -FIPS-2020-06 sind nur in einigen Regionen verfügbar. AWS Weitere Informationen finden Sie unter [AWS Transfer Family -Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/transfer-service.html) in der *Allgemeine AWS-Referenz*.
```
{
"SecurityPolicy": {
"Fips": true,
"SecurityPolicyName": "TransferSecurityPolicy-FIPS-2020-06",
"SshCiphers": [
"aes128-ctr",
"aes192-ctr",
"aes256-ctr",
"aes128-gcm@openssh.com",
"aes256-gcm@openssh.com"
],
"SshKexs": [
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"diffie-hellman-group-exchange-sha256",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group14-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com",
"hmac-sha2-256",
"hmac-sha2-512"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc",
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
"sha1",
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
]
}
}
```
## TransferSecurityPolicyAS2- Eingeschränkt-2025-07
Diese Sicherheitsrichtlinie wurde für AS2 Dateiübertragungen entwickelt, die eine erhöhte Sicherheit erfordern, indem ältere kryptografische Algorithmen ausgeschlossen werden. Sie unterstützt moderne AES-Verschlüsselung und SHA-2-Hash-Algorithmen und entfernt gleichzeitig die Unterstützung für schwächere Algorithmen wie 3DES und SHA-1.
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-AS2Restricted-2025-07",
"SshCiphers": [
"aes256-gcm@openssh.com",
"aes128-gcm@openssh.com",
"aes128-ctr",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"mlkem768x25519-sha256",
"mlkem768nistp256-sha256",
"mlkem1024nistp384-sha384",
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
],
"Type": "SERVER",
"Protocols": [
"AS2"
]
}
}
```
## Sicherheitsrichtlinien nach Quantum
In dieser Tabelle sind die Algorithmen für die Post-Quantum-Sicherheitsrichtlinien der Transfer Family aufgeführt. Diese Richtlinien werden unter ausführlich [Verwenden Sie den hybriden Schlüsselaustausch nach dem Quantum-Verfahren mit AWS Transfer Family](post-quantum-security-policies.md) beschrieben.
Die Richtlinienlisten folgen der Tabelle.
**Anmerkung**
**Die früheren Beiträge zu Quantenrichtlinien (**TransferSecurityPolicy-pq-SSH-Experimental-2023-04 und -pq-SSH-FIPS-Experimental-2023-04) sind veraltet**. TransferSecurityPolicy** Wir empfehlen, stattdessen die neuen Richtlinien zu verwenden.
| Sicherheitsrichtlinie | TransferSecurityPolicy-2025-03 | TransferSecurityPolicy-FIPS-2025-03 |
| --- |--- |--- |
| **SSH ciphers** |
| --- |
| aes128-ctr | ♦ | ♦ |
| aes128-gcm@openssh.com | ♦ | ♦ |
| aes192-ctr | ♦ | ♦ |
| aes256-ctr | ♦ | ♦ |
| aes256-gcm@openssh.com | ♦ | ♦ |
| **KEXs** |
| --- |
| mlkem768x25519-sha256 | ♦ | ♦ |
| mlkem768nistp256-SHA256 | ♦ | ♦ |
| mlkem1024nistp384-sha384 | ♦ | ♦ |
| diffie-hellman-group14-sha256 | ♦ | ♦ |
| diffie-hellman-group16-sha512 | ♦ | ♦ |
| diffie-hellman-group18-sha512 | ♦ | ♦ |
| ecdh-Sha2-Nistp384 | ♦ | ♦ |
| ecdh-sha2-nistp521 | ♦ | ♦ |
| ecdh-sha2-nistp256 | ♦ | ♦ |
| diffie-hellman-group-exchange-sha256 | ♦ | ♦ |
| curve25519-sha256@libssh.org | ♦ | |
| Kurve 25519-sha256 | ♦ | |
| **MACs** |
| --- |
| hmac-sha2-256-etm@openssh.com | ♦ | ♦ |
| hmac-sha2-512-etm@openssh.com | ♦ | ♦ |
| **ContentEncryptionCiphers** |
| --- |
| aes256-cbc | ♦ | ♦ |
| aes192-cbc | ♦ | ♦ |
| aes128-cbc | ♦ | ♦ |
| 3des-cbc | ♦ | ♦ |
| **HashAlgorithms** |
| --- |
| sha256 | ♦ | ♦ |
| sha384 | ♦ | ♦ |
| sha512 | ♦ | ♦ |
| sha1 | ♦ | ♦ |
| **TLS ciphers** |
| --- |
| TLS\$1ECDHE\$1ECDSA\$1MIT\$1AES\$1128\$1CBC\$1 SHA256 | ♦ | ♦ |
| TLS\$1ECDHE\$1ECDSA\$1MIT\$1AES\$1128\$1GCM\$1 SHA256 | ♦ | ♦ |
| TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1CBC\$1 SHA384 | ♦ | ♦ |
| TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1GCM\$1 SHA384 | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1CBC\$1 SHA256 | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1128\$1GCM\$1 SHA256 | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1CBC\$1 SHA384 | ♦ | ♦ |
| TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1 SHA384 | ♦ | ♦ |
### TransferSecurityPolicy-2025-03
Im Folgenden wird die Sicherheitsrichtlinie TransferSecurityPolicy -2025-03 dargestellt.
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-2025-03",
"SshCiphers": [
"aes256-gcm@openssh.com",
"aes128-gcm@openssh.com",
"aes128-ctr",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"mlkem768x25519-sha256",
"mlkem768nistp256-sha256",
"mlkem1024nistp384-sha384",
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
],
"Type": "SERVER",
"Protocols": [
"SFTP",
"FTPS"
]
}
}
```
### TransferSecurityPolicy-FIPS-2025-03
Im Folgenden wird die Sicherheitsrichtlinie -FIPS-2025-03 dargestellt. TransferSecurityPolicy
```
{
"SecurityPolicy": {
"Fips": true,
"SecurityPolicyName": "TransferSecurityPolicy-FIPS-2025-03",
"SshCiphers": [
"aes256-gcm@openssh.com",
"aes128-gcm@openssh.com",
"aes256-ctr",
"aes192-ctr",
"aes128-ctr"
],
"SshKexs": [
"mlkem768x25519-sha256",
"mlkem768nistp256-sha256",
"mlkem1024nistp384-sha384",
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"diffie-hellman-group-exchange-sha256",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512"
],
"SshMacs": [
"hmac-sha2-512-etm@openssh.com",
"hmac-sha2-256-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
"3des-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
"sha1"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
],
"Type": "SERVER",
"Protocols": [
"SFTP",
"FTPS"
]
}
}
```
### TransferSecurityPolicy- AS2 Eingeschränkt - 2025-07
Im Folgenden wird die Sicherheitsrichtlinie - Restricted-2025-07 dargestellt. TransferSecurityPolicy AS2
**Anmerkung**
Diese Sicherheitsrichtlinie ist identisch mit TransferSecurityPolicy -2025-03, außer dass sie 3DES (in) nicht unterstützt und (in) nicht unterstützt. ContentEncryptionCiphers SHA1 HashAlgorithms Sie umfasst alle Algorithmen ab 2025-03, einschließlich kryptografischer Post-Quantum-Algorithmen (mlkem\$1). KEXs
```
{
"SecurityPolicy": {
"Fips": false,
"SecurityPolicyName": "TransferSecurityPolicy-AS2Restricted-2025-07",
"SshCiphers": [
"aes256-gcm@openssh.com",
"aes128-gcm@openssh.com",
"aes128-ctr",
"aes256-ctr",
"aes192-ctr"
],
"SshKexs": [
"mlkem768x25519-sha256",
"mlkem768nistp256-sha256",
"mlkem1024nistp384-sha384",
"ecdh-sha2-nistp256",
"ecdh-sha2-nistp384",
"ecdh-sha2-nistp521",
"curve25519-sha256",
"curve25519-sha256@libssh.org",
"diffie-hellman-group16-sha512",
"diffie-hellman-group18-sha512",
"diffie-hellman-group-exchange-sha256"
],
"SshMacs": [
"hmac-sha2-256-etm@openssh.com",
"hmac-sha2-512-etm@openssh.com"
],
"ContentEncryptionCiphers": [
"aes256-cbc",
"aes192-cbc",
"aes128-cbc"
],
"HashAlgorithms": [
"sha256",
"sha384",
"sha512"
],
"TlsCiphers": [
"TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
"TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
"TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384",
"TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384"
],
"Type": "SERVER",
"Protocols": [
"SFTP",
"FTPS"
]
}
}
```
# AWS Transfer Family Sicherheitsrichtlinien für SFTP-Konnektoren
Mit den Sicherheitsrichtlinien für den SFTP-Connector AWS Transfer Family können Sie die Anzahl der kryptografischen Algorithmen (Nachrichtenauthentifizierungscodes (MACs), Schlüsselaustausch () und VerschlüsselungssammlungenKEXs) einschränken, die Ihrem SFTP-Connector zugeordnet sind. Im Folgenden finden Sie eine Liste der unterstützten kryptografischen Algorithmen für jede Sicherheitsrichtlinie für den SFTP-Connector.
**Anmerkung**
`TransferSFTPConnectorSecurityPolicy-2024-03`ist die Standardsicherheitsrichtlinie, die auf SFTP-Konnektoren angewendet wird.
Sie können die Sicherheitsrichtlinie für Ihren Connector ändern. Wählen Sie im linken Navigationsbereich der Transfer Family die Option **Connectors** und wählen Sie Ihren Connector aus. Wählen Sie dann im Abschnitt **SFTP-Konfiguration** die Option **Bearbeiten** aus. Wählen Sie im Abschnitt **Optionen für kryptografische Algorithmen** eine beliebige verfügbare Sicherheitsrichtlinie aus der Dropdownliste im Feld **Sicherheitsrichtlinie** aus.
## Kryptografische Algorithmen
Für Hostschlüssel unterstützen SFTP-Konnektoren alle Algorithmen, die für Transfer Family Family-Server unterstützt werden, mit Ausnahme von ed25519:
+ `rsa-sha2-256`
+ `rsa-sha2-512`
+ `ecdsa-sha2-nistp256`
+ `ecdsa-sha2-nistp384`
+ `ecdsa-sha2-nistp521`
Darüber hinaus unterstützen wir Hostschlüssel`ssh-rsa`, aber nur für. `TransferSFTPConnectorSecurityPolicy-2023-07`
Für die Authentifizierung unterstützen SFTP-Konnektoren die folgenden Schlüsseltypen:
+ `ssh-rsa`
+ `ecdsa`
## Einzelheiten zur Sicherheitsrichtlinie für den SFTP-Connector
Die folgende Tabelle zeigt die spezifischen kryptografischen Algorithmen, die von den einzelnen Sicherheitsrichtlinien für den SFTP-Connector unterstützt werden.
| Sicherheitsrichtlinie | Übertragung -FIPS-2024-10 SFTPConnector SecurityPolicy | Übertragung SFTPConnector SecurityPolicy -2024-03 | Übertragung SFTPConnector SecurityPolicy -2023-07 |
| --- |--- |--- |--- |
| **Ciphers** |
| --- |
| aes128-ctr | | | ♦ |
| aes128-gcm@openssh.com | ♦ | ♦ | ♦ |
| aes192-ctr | | ♦ | ♦ |
| aes256-ctr | | ♦ | ♦ |
| aes256-gcm@openssh.com | ♦ | ♦ | ♦ |
| **Kexs** |
| --- |
| Kurve 25519-sha256 | | ♦ | ♦ |
| curve25519-sha256@libssh.org | | ♦ | ♦ |
| diffie-hellman-group14-sha 1 | | | ♦ |
| diffie-hellman-group16-sha512 | | ♦ | ♦ |
| diffie-hellman-group18-sha512 | | ♦ | ♦ |
| diffie-hellman-group-exchange-Sha 256 | | ♦ | ♦ |
| ecdh-sha2-nistp256 | ♦ | | |
| ecdh-sha2-nistp384 | ♦ | | |
| ecdh-sha2-nistp521 | ♦ | | |
| **Macs** |
| --- |
| hmac-sha2-512-etm@openssh.com | | ♦ | ♦ |
| hmac-sha2-256-etm@openssh.com | | ♦ | ♦ |
| hmac-sha2-512 | ♦ | ♦ | ♦ |
| hmac-sha2-256 | ♦ | ♦ | ♦ |
| hmac-sha1 | | | ♦ |
| hmac-sha-196 | | | ♦ |
| **Host Key Algorithms** |
| --- |
| rsa-sha2-256 | ♦ | ♦ | ♦ |
| rsa-sha2-512 | ♦ | ♦ | ♦ |
| ecdsa-sha2-nistp256 | ♦ | ♦ | ♦ |
| ecdsa-sha2-nistp384 | | ♦ | ♦ |
| ecdsa-sha2-nistp521 | | ♦ | ♦ |
| ssh-rsa | | | ♦ |
# Verwenden Sie den hybriden Schlüsselaustausch nach dem Quantum-Verfahren mit AWS Transfer Family
Transfer Family unterstützt eine hybride Post-Quantum-Schlüsseleinrichtungsoption für das Secure Shell (SSH) -Protokoll. Die Einrichtung von Quantenschlüsseln ist erforderlich, da es bereits möglich ist, den Netzwerkverkehr aufzuzeichnen und für die future Entschlüsselung durch einen Quantencomputer zu speichern, was als Angriff bezeichnet wird. *store-now-harvest-later*
Sie können diese Option verwenden, wenn Sie eine Verbindung zu Transfer Family herstellen, um sichere Dateiübertragungen in und aus dem Amazon Simple Storage Service (Amazon S3) -Speicher oder Amazon Elastic File System (Amazon EFS) durchzuführen. Die Einrichtung von hybriden Schlüsseln nach dem Quantenprozess in SSH führt Mechanismen zur Einrichtung von Schlüsseln ein, die nach dem Quantenverfahren eingerichtet wurden. Diese werden in Verbindung mit klassischen Schlüsselaustauschalgorithmen verwendet. SSH-Schlüssel, die mit klassischen Chiffrier-Suites erstellt wurden, sind mit der aktuellen Technologie vor Brute-Force-Angriffen geschützt. Es wird jedoch nicht erwartet, dass die klassische Verschlüsselung nach dem Aufkommen von Quantencomputern in future sicher bleibt.
Wenn Ihr Unternehmen auf die langfristige Vertraulichkeit von Daten angewiesen ist, die über eine Transfer Family Family-Verbindung übertragen werden, sollten Sie einen Plan zur Umstellung auf Post-Quanten-Kryptografie in Betracht ziehen, bevor große Quantencomputer für den Einsatz verfügbar sind.
Um heute verschlüsselte Daten vor möglichen future Angriffen zu schützen, beteiligt AWS sich die Kryptografie-Community an der Entwicklung quantenresistenter oder Post-Quanten-Algorithmen. Wir haben in Transfer Family hybride Verschlüsselungssuiten für den Schlüsselaustausch nach dem Quantenaustausch implementiert, die klassische Elemente und Post-Quanten-Elemente kombinieren.
Diese hybriden Verschlüsselungssammlungen sind in den meisten Regionen für den Einsatz auf Ihren Produktions-Workloads verfügbar. AWS Da sich die Leistungsmerkmale und Bandbreitenanforderungen von Hybrid-Cipher Suites jedoch von denen klassischer Schlüsselaustauschmechanismen unterscheiden, empfehlen wir, sie auf Ihren Transfer Family Family-Verbindungen zu testen.
Weitere Informationen zur Post-Quanten-Kryptografie finden Sie im Sicherheits-Blogbeitrag [Post-Quantum](https://aws.amazon.com/security/post-quantum-cryptography/) Cryptography.
**Contents**
+ [Informationen zum hybriden Schlüsselaustausch in SSH nach der Quantenzeit](#pq-about-key-exchange)
+ [So funktioniert die Etablierung hybrider Schlüssel nach der Quantenentwicklung in Transfer Family](#pqtls-details)
+ [Warum ML-KEM?](#why-mlkem)
+ [Hybrider SSH-Schlüsselaustausch und kryptografische Anforderungen (FIPS 140)](#pq-alignment)
+ [Testen des hybriden Schlüsselaustauschs nach dem Quantenprozess in der Transfer Family](#pq-policy-testing)
+ [Aktivieren Sie den hybriden Schlüsselaustausch nach dem Quantum-Verfahren auf Ihrem SFTP-Endpunkt](#pq-enable-policy)
+ [Richten Sie einen SFTP-Client ein, der den hybriden Schlüsselaustausch nach dem Quantum-Verfahren unterstützt](#pq-client-openssh)
+ [Bestätigen Sie den Hybrid-Schlüsselaustausch nach der Quantum-Implementierung in SFTP](#pq-verify-exchange)
## Informationen zum hybriden Schlüsselaustausch in SSH nach der Quantenzeit
Transfer Family unterstützt Post-Quantum-Hybrid-Schlüsselaustausch-Verschlüsselungssuiten, die sowohl den klassischen [Elliptic Curve Diffie-Hellman (ECDH](https://csrc.nist.gov/publications/detail/sp/800-56a/rev-3/final)) -Schlüsselaustauschalgorithmus als auch ML-KEM verwenden. ML-KEM ist ein Public-Key-Verschlüsselungs- und Schlüsseletablierungsalgorithmus, den das [National Institute for Standards](https://csrc.nist.gov/projects/post-quantum-cryptography) and Technology (NIST) als seinen ersten Standardalgorithmus nach der Quantenschlüsselvereinbarung bezeichnet hat.
Der Client und der Server führen weiterhin einen ECDH-Schlüsselaustausch durch. Darüber hinaus kapselt der Server einen gemeinsamen geheimen Schlüssel für die Zeit nach dem Quantum in den öffentlichen KEM-Schlüssel des Clients ein, der in der SSH-Schlüsselaustauschnachricht des Clients angekündigt wird. Diese Strategie kombiniert die hohe Sicherheit eines klassischen Schlüsselaustauschs mit der Sicherheit des geplanten Schlüsselaustauschs nach dem Quantenaustausch, um sicherzustellen, dass die Handshakes geschützt sind, solange das ECDH oder das gemeinsame geheime Post-Quantum-Geheimnis nicht geknackt werden können.
## So funktioniert die Etablierung hybrider Schlüssel nach der Quantenentwicklung in Transfer Family
AWS hat kürzlich die Unterstützung für den Austausch von Schlüsseln nach dem Quantenzugriff bei SFTP-Dateiübertragungen in angekündigt. AWS Transfer Family Transfer Family skaliert business-to-business Dateiübertragungen an AWS Speicherdienste mithilfe von SFTP und anderen Protokollen sicher. SFTP ist eine sicherere Version des File Transfer Protocol (FTP), das über SSH läuft. Die Unterstützung von Transfer Family nach dem Quanten-Schlüsselaustausch legt die Sicherheitslatte für Datenübertragungen über SFTP höher.
Die SFTP-Unterstützung für den Post-Quanten-Hybrid-Schlüsselaustausch in der Transfer Family umfasst die Kombination der Post-Quanten-Algorithmen ML-KEM-768 und ML-KEM-1024 mit ECDH über P256-, P384- oder Curve25519-Kurven. [Die folgenden entsprechenden Methoden für den SSH-Schlüsselaustausch sind im Entwurf für den hybriden SSH-Schlüsselaustausch nach dem Quantenverfahren spezifiziert.](https://datatracker.ietf.org/doc/draft-kampanakis-curdle-ssh-pq-ke/)
+ `mlkem768nistp256-sha256`
+ `mlkem1024nistp384-sha384`
+ `mlkem768x25519-sha256`
### Warum ML-KEM?
AWS engagiert sich für die Unterstützung standardisierter, interoperabler Algorithmen. ML-KEM ist der einzige Algorithmus für den Schlüsselaustausch nach dem Quantenaustausch, der vom [NIST](https://csrc.nist.gov/projects/post-quantum-cryptography) Post-Quantum Cryptography Project standardisiert und genehmigt wurde. Normungsgremien integrieren ML-KEM bereits in Protokolle. AWS unterstützt ML-KEM in TLS bereits auf einigen AWS API-Endpunkten.
Im Rahmen dieser Verpflichtung AWS hat das Unternehmen der IETF einen Vorschlagsentwurf für Post-Quanten-Kryptografie vorgelegt, der ML-KEM mit NIST-zugelassenen Kurven wie P256 für SSH kombiniert. Um die Sicherheit für unsere Kunden zu verbessern, folgt die AWS Implementierung des Post-Quantum-Schlüsselaustauschs in SFTP und SSH diesem Entwurf. Wir planen, future Aktualisierungen zu unterstützen, bis unser Vorschlag von der IETF angenommen wird und ein Standard wird.
Die neuen Schlüsselaustauschmethoden (im Abschnitt aufgeführt[So funktioniert die Etablierung hybrider Schlüssel nach der Quantenentwicklung in Transfer Family](#pqtls-details)) könnten sich ändern, wenn sich der Entwurf in Richtung Standardisierung weiterentwickelt.
**Anmerkung**
Unterstützung für Post-Quantum-Algorithmen ist derzeit für den Austausch von Hybrid-Schlüsseln in TLS für AWS KMS (siehe [Hybrid-Post-Quantum-TLS verwenden mit AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/pqtls.html)) und API-Endpunkten verfügbar.AWS Certificate Manager AWS Secrets Manager
### Hybrider SSH-Schlüsselaustausch und kryptografische Anforderungen (FIPS 140)
Für Kunden, die FIPS-Konformität benötigen, bietet Transfer Family FIPS-zertifizierte Kryptografie in SSH mithilfe der AWS FIPS 140-zertifizierten Open-Source-Kryptografiebibliothek -LC. AWS Die in der Transfer Family TransferSecurityPolicy -FIPS-2025-03 unterstützten Methoden für den hybriden Schlüsselaustausch nach dem Quantenprinzip sind gemäß SP 800-56Cr2 von [NIST](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-56Cr2.pdf) (Abschnitt 2) FIPS-zugelassen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik ([BSI](https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Quantentechnologien-und-Post-Quanten-Kryptografie/quantentechnologien-und-post-quanten-kryptografie_node.html)) und die Frankreich Agence nationale de la sécurité des systèmes d'information ([ANSSI](https://www.ssi.gouv.fr/en/publication/anssi-views-on-the-post-quantum-cryptography-transition/)) empfehlen ebenfalls solche Methoden für den hybriden Schlüsselaustausch nach dem Quantenverfahren.
## Testen des hybriden Schlüsselaustauschs nach dem Quantenprozess in der Transfer Family
In diesem Abschnitt werden die Schritte beschrieben, die Sie unternehmen, um den hybriden Schlüsselaustausch nach dem Quantenverfahren zu testen.
1. [Aktivieren Sie den hybriden Schlüsselaustausch nach dem Quantum-Verfahren auf Ihrem SFTP-Endpunkt](#pq-enable-policy).
1. Verwenden Sie einen SFTP-Client (z. B.[Richten Sie einen SFTP-Client ein, der den hybriden Schlüsselaustausch nach dem Quantum-Verfahren unterstützt](#pq-client-openssh)), der den hybriden Schlüsselaustausch nach dem Quantenverfahren unterstützt, und folgen Sie dabei den Anweisungen im oben genannten Spezifikationsentwurf.
1. Übertragen Sie eine Datei mit einem Transfer Family Family-Server.
1. [Bestätigen Sie den Hybrid-Schlüsselaustausch nach der Quantum-Implementierung in SFTP](#pq-verify-exchange).
### Aktivieren Sie den hybriden Schlüsselaustausch nach dem Quantum-Verfahren auf Ihrem SFTP-Endpunkt
Sie können die SSH-Richtlinie auswählen, wenn Sie einen neuen SFTP-Serverendpunkt in Transfer Family erstellen, oder indem Sie die Optionen für den kryptografischen Algorithmus in einem vorhandenen SFTP-Endpunkt bearbeiten. Der folgende Snapshot zeigt ein Beispiel dafür, AWS-Managementkonsole wo Sie die SSH-Richtlinie aktualisieren.
![\[Zeigt die Post-Quantum-Richtlinie an, die für die Optionen für den kryptografischen Algorithmus ausgewählt wurde.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/post-quantum-policy-choose.png)
****Die SSH-Richtliniennamen, die den Schlüsselaustausch nach dem Quantum unterstützen, lauten -2025-03 und -FIPS-2025-03TransferSecurityPolicy. TransferSecurityPolicy**** Weitere Informationen zu den Richtlinien von Transfer Family finden Sie unter[Sicherheitsrichtlinien für Server AWS Transfer Family](security-policies.md).
### Richten Sie einen SFTP-Client ein, der den hybriden Schlüsselaustausch nach dem Quantum-Verfahren unterstützt
Nachdem Sie die richtige Post-Quantum-SSH-Richtlinie in Ihrem SFTP Transfer Family-Endpunkt ausgewählt haben, können Sie in Transfer Family mit Post-Quantum-SFTP experimentieren. Installieren Sie zum Testen den neuesten OpenSSH-Client (z. B. Version 9.9) auf Ihrem lokalen System.
**Anmerkung**
Stellen Sie sicher, dass Ihr Client einen oder mehrere der zuvor aufgeführten ML-KEM-Algorithmen unterstützt. Sie können die unterstützten Algorithmen für Ihre Version von OpenSSH anzeigen, indem Sie diesen Befehl ausführen:. `ssh -Q kex`
Sie können den Beispiel-SFTP-Client ausführen, um eine Verbindung zu Ihrem SFTP-Endpunkt herzustellen (z. B.`s-1111aaaa2222bbbb3.server.transfer.us-west-2.amazonaws.com`), indem Sie die Post-Quantum-Methoden für den hybriden Schlüsselaustausch verwenden, wie im folgenden Befehl gezeigt.
```
sftp -v -o \
KexAlgorithms=mlkem768x25519-sha256 \
-i username_private_key_PEM_file \
username@server-id.server.transfer.region-id.amazonaws.com
```
Ersetzen Sie im vorherigen Befehl die folgenden Elemente durch Ihre eigenen Informationen:
+ Ersetzen Sie es durch die PEM-codierte Datei *username\$1private\$1key\$1PEM\$1file* mit dem privaten Schlüssel des SFTP-Benutzers
+ Durch den *username* SFTP-Benutzernamen ersetzen
+ *server-id*Durch die Transfer Family Family-Server-ID ersetzen
+ *region-id*Ersetzen Sie durch die tatsächliche Region, in der sich Ihr Transfer Family Family-Server befindet
### Bestätigen Sie den Hybrid-Schlüsselaustausch nach der Quantum-Implementierung in SFTP
Überprüfen Sie die Client-Ausgabe, um zu überprüfen, ob der hybride Schlüsselaustausch nach dem Quantenverfahren während einer SSH-Verbindung für SFTP zu Transfer Family verwendet wurde. Optional können Sie ein Programm zur Paketerfassung verwenden. Wenn Sie den OpenSSH 9.9-Client verwenden, sollte die Ausgabe etwa wie folgt aussehen (wobei der Kürze halber irrelevante Informationen weggelassen werden):
```
% sftp -o KexAlgorithms=mlkem768x25519-sha256 -v -o IdentitiesOnly=yes -i username_private_key_PEM_file username@s-1111aaaa2222bbbb3.server.transfer.us-west-2.amazonaws.com
OpenSSH_9.9p2, OpenSSL 3.4.1 11 Feb 2025
debug1: Reading configuration data /Users/username/.ssh/config
debug1: /Users/username/.ssh/config line 146: Applying options for *
debug1: Reading configuration data /Users/username/.ssh/bastions-config
debug1: Reading configuration data /opt/homebrew/etc/ssh/ssh_config
debug1: Connecting to s-1111aaaa2222bbbb3.server.transfer.us-west-2.amazonaws.com [xxx.yyy.zzz.nnn] port 22.
debug1: Connection established.
[...]
debug1: Local version string SSH-2.0-OpenSSH_9.9
debug1: Remote protocol version 2.0, remote software version AWS_SFTP_1.1
debug1: compat_banner: no match: AWS_SFTP_1.1
debug1: Authenticating to s-1111aaaa2222bbbb3.server.transfer.us-west-2.amazonaws.com:22 as 'username'
debug1: load_hostkeys: fopen /Users/username/.ssh/known_hosts2: No such file or directory
[...]
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: kex: algorithm: mlkem768x25519-sha256
debug1: kex: host key algorithm: ssh-ed25519
debug1: kex: server->client cipher: aes128-ctr MAC: hmac-sha2-256-etm@openssh.com compression: none
debug1: kex: client->server cipher: aes128-ctr MAC: hmac-sha2-256-etm@openssh.com compression: none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: SSH2_MSG_KEX_ECDH_REPLY received
debug1: Server host key: ssh-ed25519 SHA256:Ic1Ti0cdDmFdStj06rfU0cmmNccwAha/ASH2unr6zX0
[...]
debug1: rekey out after 4294967296 blocks
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug1: SSH2_MSG_NEWKEYS received
debug1: rekey in after 4294967296 blocks
[...]
Authenticated to s-1111aaaa2222bbbb3.server.transfer.us-west-2.amazonaws.com ([xxx.yyy.zzz.nnn]:22) using "publickey".
debug1: channel 0: new session [client-session] (inactive timeout: 0)
[...]
Connected to s-1111aaaa2222bbbb3.server.transfer.us-west-2.amazonaws.com.
sftp>
```
Die Ausgabe zeigt, dass die Kundenverhandlung mithilfe der `mlkem768x25519-sha256` Post-Quantum-Hybridmethode stattgefunden hat und erfolgreich eine SFTP-Sitzung eingerichtet wurde.
# Datenschutz und Verschlüsselung
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der mit gilt für den Datenschutz in AWS Transfer Family (Transfer Family). Wie in diesem Modell beschrieben, AWS ist es für den Schutz der globalen Infrastruktur verantwortlich, auf der die gesamte AWS Cloud betrieben wird. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Dieser Inhalt umfasst die Sicherheitskonfiguration und die Verwaltungsaufgaben für die AWS Dienste, die Sie verwenden. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq). Informationen zum Datenschutz in Europa finden Sie im *AWS Sicherheitsblog im [Modell der AWS gemeinsamen Verantwortung und im DSGVO-Blogbeitrag](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)*.
Aus Datenschutzgründen empfehlen wir Ihnen, Ihre AWS Kontoanmeldeinformationen zu schützen und individuelle Benutzerkonten mit einzurichten AWS IAM Identity Center. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem sollten Sie die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir unterstützen TLS 1.2.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen Standardsicherheitskontrollen innerhalb der AWS Dienste.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu sichern.
+ Wenn Sie für den Zugriff auf AWS über eine Befehlszeilenschnittstelle oder über eine API FIPS 140-2-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern wie z. B. im Feld **Name** keine sensiblen, identifizierenden Informationen wie Kontonummern von Kunden einzugeben. Dies gilt auch, wenn Sie mit Transfer Family oder anderen AWS Diensten über die Konsole AWS CLI, API oder arbeiten AWS SDKs. Alle Konfigurationsdaten, die Sie in die Transfer Family Family-Dienstkonfiguration oder in die Konfigurationen anderer Dienste eingeben, werden möglicherweise zur Aufnahme in Diagnoseprotokolle aufgenommen. Wenn Sie eine URL für einen externen Server bereitstellen, schließen Sie keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL ein.
Im Gegensatz dazu werden Daten aus Upload- und Download-Vorgängen zu und von Transfer Family Family-Servern als vollständig privat behandelt und existieren nie außerhalb verschlüsselter Kanäle, wie z. B. einer SFTP- oder FTPS-Verbindung. Diese Daten sind immer nur autorisierten Personen zugänglich.
## Datenverschlüsselung in Transfer Family
AWS Transfer Family verwendet die Standardverschlüsselungsoptionen, die Sie für Ihren Amazon S3 S3-Bucket festgelegt haben, um Ihre Daten zu verschlüsseln. Wenn Sie die Standardverschlüsselung für einen Bucket aktivieren, werden alle Objekte verschlüsselt, wenn sie im Bucket gespeichert werden. Die Objekte werden mithilfe serverseitiger Verschlüsselung entweder mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) oder () verwalteten Schlüsseln AWS Key Management Service (SSE-KMS AWS KMS) verschlüsselt. Informationen zur serverseitigen Verschlüsselung finden Sie unter [Schützen von Daten mithilfe serverseitiger Verschlüsselung](https://docs.aws.amazon.com/AmazonS3/latest/dev/serv-side-encryption.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
Die folgenden Schritte zeigen Ihnen, wie Sie Daten in verschlüsseln. AWS Transfer Family
**Um die Verschlüsselung in zuzulassen AWS Transfer Family**
1. Aktivieren Sie die Standardverschlüsselung für Ihren Amazon S3 S3-Bucket. Anweisungen finden Sie unter [Amazon S3 S3-Standardverschlüsselung für S3-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.
1. Aktualisieren Sie die AWS Identity and Access Management (IAM) -Rollenrichtlinie, die dem Benutzer zugewiesen ist, um die erforderlichen AWS Key Management Service (AWS KMS) Berechtigungen zu gewähren.
1. Wenn Sie eine Sitzungsrichtlinie für den Benutzer verwenden, muss die Sitzungsrichtlinie die erforderlichen AWS KMS Berechtigungen gewähren.
Das folgende Beispiel zeigt eine IAM-Richtlinie, die die Mindestberechtigungen gewährt, die bei der Verwendung AWS Transfer Family mit einem Amazon S3 S3-Bucket erforderlich sind, der für die AWS KMS Verschlüsselung aktiviert ist. Nehmen Sie diese Beispielrichtlinie sowohl in die Benutzer-IAM-Rollenrichtlinie als auch in die Sitzungsrichtlinie auf, falls Sie eine verwenden.
```
{
"Sid": "Stmt1544140969635",
"Action": [
"kms:Decrypt",
"kms:Encrypt",
"kms:GenerateDataKey",
"kms:GetPublicKey",
"kms:ListKeyPolicies"
],
"Effect": "Allow",
"Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
```
**Anmerkung**
Die KMS-Schlüssel-ID, die Sie in dieser Richtlinie angeben, muss mit der in Schritt 1 für die Standardverschlüsselung angegebenen identisch sein.
Root oder die IAM-Rolle, die für den Benutzer verwendet wird, muss in der AWS KMS Schlüsselrichtlinie zulässig sein. Informationen zur AWS KMS Schlüsselrichtlinie finden Sie unter [Verwenden von Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *AWS Key Management Service Entwicklerhandbuch*.
## AWS Transfer Family Verschlüsselung im Ruhezustand
Da AWS Transfer Family es sich um einen Dateiübertragungsdienst handelt, werden Ihre Speicherdaten im Ruhezustand nicht verwaltet. Die Speicherdienste und -systeme, die AWS Transfer Family unterstützt werden, sind für den Schutz der Daten in diesem Zustand verantwortlich. Es gibt jedoch einige dienstbezogene Daten, die im Ruhezustand AWS Transfer Family verwaltet werden.
### Was ist verschlüsselt?
Die einzigen Daten, die im Ruhezustand AWS Transfer Family verarbeitet werden, beziehen sich auf die Details, die für den Betrieb Ihrer Dateiübertragungsserver und die Verarbeitung von Übertragungen erforderlich sind. AWS Transfer Family speichert die folgenden Daten mit vollständiger Verschlüsselung im Ruhezustand in Amazon DynamoDB:
+ Serverkonfigurationen (z. B. Servereinstellungen, Protokollkonfigurationen und Endpunktdetails).
+ Benutzerauthentifizierungsdaten, einschließlich öffentlicher SSH-Schlüssel und Benutzermetadaten.
+ Einzelheiten zur Workflow-Ausführung und Schrittkonfigurationen.
+ Konnektorkonfigurationen und Authentifizierungsdaten für Systeme von Drittanbietern. Diese Anmeldeinformationen werden mit AWS Transfer Family verwalteten Verschlüsselungsschlüsseln verschlüsselt.
#### Schlüsselverwaltung
Sie können die Verschlüsselungsschlüssel nicht verwalten, die zum Speichern von Informationen in DynamoDB AWS Transfer Family verwendet werden, die sich auf den Betrieb Ihrer Server und die Verarbeitung von Übertragungen beziehen. Zu diesen Informationen gehören Ihre Serverkonfigurationen, Benutzerauthentifizierungsdaten, Workflow-Details und Connector-Anmeldeinformationen.
### Was ist nicht verschlüsselt?
AWS Transfer Family Es hat zwar keine Kontrolle darüber, wie Ihre Speicherdaten im Ruhezustand verschlüsselt werden, wir empfehlen jedoch, Ihre Speicherorte mit der höchsten Sicherheitsstufe zu konfigurieren, die sie unterstützen. Sie können Objekte beispielsweise mit von Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3) oder Schlüsseln (SSE-KMS) AWS KMS verschlüsseln.
Erfahren Sie mehr darüber, wie AWS Speicherdienste Daten im Ruhezustand verschlüsseln:
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)
+ [Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html)
# Verwaltung von SSH- und PGP-Schlüsseln in Transfer Family
In diesem Abschnitt finden Sie Informationen zu SSH-Schlüsseln, einschließlich deren Generierung und Rotation. Einzelheiten zur Verwendung von Transfer Family with AWS Lambda zur Schlüsselverwaltung finden Sie im Blogbeitrag [Aktivieren der Self-Service-Schlüsselverwaltung für Benutzer mit AWS Transfer Family und AWS Lambda](https://aws.amazon.com/blogs/storage/enabling-user-self-service-key-management-with-aws-transfer-family-and-aws-lambda/). Informationen zur automatisierten Bereitstellung und Verwaltung von Benutzern mit mehreren SSH-Schlüsseln finden Sie unter. [Terraform-Module der Transfer Family](terraform.md)
**Anmerkung**
AWS Transfer Family akzeptiert RSA, ECDSA und ED25519 Schlüssel für die SSH-Authentifizierung.
In diesem Abschnitt wird auch beschrieben, wie Sie Pretty Good Privacy (PGP) -Schlüssel generieren und verwalten.
Einen umfassenden Überblick über alle unterstützten Verschlüsselungs- und Schlüsselalgorithmen, einschließlich Empfehlungen für verschiedene Anwendungsfälle, finden Sie unter[Überblick über Verschlüsselung und Schlüsselalgorithmen](#encryption-algorithms-overview).
## Überblick über Verschlüsselung und Schlüsselalgorithmen
AWS Transfer Family unterstützt verschiedene Arten von Algorithmen für unterschiedliche Zwecke. Wenn Sie wissen, welche Algorithmen für Ihren speziellen Anwendungsfall verwendet werden sollten, können Sie sichere und kompatible Dateiübertragungen gewährleisten.
**Kurzreferenz zum Algorithmus**
| Anwendungsfall | Empfohlener Algorithmus | FIPS-konform | Hinweise |
| --- | --- | --- | --- |
| SSH/SFTP-Authentifizierung | RSA (rsa-sha2-256/512), ECDSA oder ED25519 | RSA: Ja, ECSA: Ja,: Nein ED25519 | Kompatibel mit allen SSH-Clients und -Servern |
| Generierung von PGP-Schlüsseln | RSA oder ECC (NIST) | Ja | Für die Workflow-Entschlüsselung |
| PGP-Dateiverschlüsselung | AES-256 | Ja | Ermittelt durch die PGP-Software |
## SSH-Authentifizierungsalgorithmen
Diese Algorithmen werden für die SSH/SFTP Authentifizierung zwischen Clients und AWS Transfer Family Servern verwendet. Wählen Sie eines davon aus, wenn Sie SSH-Schlüsselpaare für die Benutzerauthentifizierung oder Server-Hostschlüssel generieren.
RSA (empfohlen)
**Kompatibel mit allen SSH-Clients und -Servern und FIPS-konform.** Zur Erhöhung der Sicherheit zusammen mit SHA-2-Hashing verwenden:
+ `rsa-sha2-256`- Für die meisten Anwendungsfälle empfohlen
+ `rsa-sha2-512`- Höhere Sicherheitsoption
ED25519
**Modern und effizient.** Kleinere Schlüsselgrößen mit hoher Sicherheit:
+ `ssh-ed25519`- Schnell und sicher, aber nicht FIPS-konform
ECDSA
**Option mit elliptischer Kurve.** Gute Balance zwischen Sicherheit und Leistung:
+ `ecdsa-sha2-nistp256`- Standardkurve
+ `ecdsa-sha2-nistp384`- Höhere Sicherheitskurve
+ `ecdsa-sha2-nistp521`- Höchste Sicherheitskurve
**Anmerkung**
Wir unterstützen `ssh-rsa` SHA1 für ältere Sicherheitsrichtlinien. Details hierzu finden Sie unter [Kryptografische Algorithmen](security-policies.md#cryptographic-algorithms).
**Den richtigen SSH-Algorithmus auswählen**
+ **Für die meisten Benutzer:** Verwenden Sie RSA mit oder `rsa-sha2-256` `rsa-sha2-512`
+ **Für FIPS-Konformität:** Verwenden Sie RSA- oder ECDSA-Algorithmen
+ **Für moderne Umgebungen:** ED25519 bietet hervorragende Sicherheit und Leistung
## PGP-Verschlüsselungs- und Entschlüsselungsalgorithmen
PGP (Pretty Good Privacy) verwendet zwei Arten von Algorithmen, die zusammenarbeiten, um Dateien in Workflows zu verschlüsseln und zu entschlüsseln:
1. **Schlüsselpaar-Algorithmen — Werden** verwendet, um die public/private Schlüsselpaare für Verschlüsselung und digitale Signaturen zu generieren
1. **Symmetrische Algorithmen** — Wird verwendet, um die eigentlichen Dateidaten zu verschlüsseln (die Schlüsselpaar-Algorithmen verschlüsseln den symmetrischen Schlüssel)
### PGP-Schlüsselpaar-Algorithmen
Wählen Sie einen der folgenden Algorithmen, wenn Sie PGP-Schlüsselpaare für die Workflow-Entschlüsselung generieren:
RSA (empfohlen)
**Für die meisten Benutzer empfohlen.** Weitgehend unterstützt, gut etabliert und FIPS-konform. Bietet ein ausgewogenes Verhältnis zwischen Sicherheit und Kompatibilität.
ECC (Elliptische Kurven-Kryptografie)
**Effizienter als RSA** mit kleineren Schlüsselgrößen bei gleichzeitig hoher Sicherheit:
+ **NIST-Kurven — Standardkurven** werden weithin unterstützt und sind FIPS-konform
+ **BrainPool Kurven** — Alternative Kurven für spezifische Konformitätsanforderungen
+ **Curve25519** — Moderne Hochleistungskurve mit hoher Sicherheit bei effizienter Berechnung
ElGamal
**Legacy-Algorithmus.** Wird aus Gründen der Kompatibilität mit älteren Systemen unterstützt. Verwenden Sie RSA oder ECC für neue Implementierungen.
Ausführliche Anweisungen zur Generierung von PGP-Schlüsseln finden Sie unter. [Generieren Sie PGP-Schlüssel](generate-pgp-keys.md)
### Symmetrische PGP-Verschlüsselungsalgorithmen
Diese Algorithmen verschlüsseln Ihre eigentlichen Dateidaten. Der verwendete Algorithmus hängt davon ab, wie die PGP-Datei von Ihrer PGP-Software erstellt wurde:
**FIPS-konforme Algorithmen (empfohlen für regulierte Umgebungen)**
+ **AES-128, AES-192, AES-256 — Erweiterter Verschlüsselungsstandard (empfohlen**)
+ **3DES** — Triple Data Encryption Standard (veraltet, verwenden Sie AES, wenn möglich)
**Andere unterstützte Algorithmen**
+ IDEA, Blowfish CAST5, DES, KAMELIE-128, TwoFish KAMELIE-192, KAMELIE-256
**Anmerkung**
Sie wählen den symmetrischen Algorithmus nicht direkt, wenn Sie AWS Transfer Family Workflows verwenden — er wird durch die PGP-Software bestimmt, die zur Erstellung der verschlüsselten Datei verwendet wird. Sie können Ihre PGP-Software jedoch so konfigurieren, dass sie FIPS-konforme Algorithmen wie AES-256 bevorzugt.
Weitere Informationen zu unterstützten symmetrischen Algorithmen finden Sie unter. [Unterstützte symmetrische Verschlüsselungsalgorithmen](nominal-steps-workflow.md#symmetric-algorithms)
# Generieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer
Sie können Ihren Server so einrichten, dass Benutzer mithilfe der vom Service verwalteten Authentifizierungsmethode authentifiziert werden, bei der Benutzernamen und SSH-Schlüssel innerhalb des Dienstes gespeichert werden. Der öffentliche SSH-Schlüssel des Benutzers wird als Eigentum des Benutzers auf den Server hochgeladen. Dieser Schlüssel wird vom Server als Teil eines standardmäßigen schlüsselbasierten Authentifizierungsprozesses verwendet. Jeder Benutzer kann mehrere öffentliche SSH-Schlüssel bei einem einzelnen Server registrieren. Informationen zur Begrenzung der Anzahl der Schlüssel, die pro Benutzer gespeichert werden können, finden Sie unter [AWS Transfer Family Endpunkte und Kontingente](https://docs.aws.amazon.com//general/latest/gr/transfer-service.html) in der. *Allgemeine Amazon Web Services-Referenz*
Als Alternative zur vom Dienst verwalteten Authentifizierungsmethode können Sie Benutzer mithilfe eines benutzerdefinierten Identitätsanbieters authentifizieren, oder. AWS Directory Service for Microsoft Active Directory Für weitere Informationen siehe [Mit Anbietern benutzerdefinierter Identitäten arbeiten](custom-idp-intro.md) oder [Verwenden des AWS Directory Service für Microsoft Active Directory](directory-services-users.md).
Ein Server kann Benutzer nur mit einer Methode authentifizieren (vom Dienst verwaltet, Verzeichnisdienst oder benutzerdefinierter Identitätsanbieter), und diese Methode kann nicht geändert werden, nachdem der Server erstellt wurde.
**Topics**
+ [SSH-Schlüssel auf macOS, Linux oder Unix erstellen](macOS-linux-unix-ssh.md)
+ [SSH-Schlüssel unter Microsoft Windows erstellen](windows-ssh.md)
+ [Einen Schlüssel in das SSH2 SSH-Format für öffentliche Schlüssel konvertieren](convert-ssh2-public-key.md)
# SSH-Schlüssel auf macOS, Linux oder Unix erstellen
Auf den Betriebssystemen macOS, Linux oder Unix verwenden Sie den `ssh-keygen` Befehl, um einen öffentlichen SSH-Schlüssel und einen privaten SSH-Schlüssel zu erstellen, die auch als key pair bezeichnet werden.
**Anmerkung**
In den folgenden Beispielen geben wir keine Passphrase an: In diesem Fall fordert das Tool Sie auf, Ihre Passphrase einzugeben und sie dann zur Überprüfung zu wiederholen. Die Erstellung einer Passphrase bietet einen besseren Schutz für Ihren privaten Schlüssel und kann auch die allgemeine Systemsicherheit verbessern. Sie können Ihre Passphrase nicht wiederherstellen: Wenn Sie sie vergessen, müssen Sie einen neuen Schlüssel erstellen.
Wenn Sie jedoch einen Server-Hostschlüssel generieren, *müssen* Sie eine leere Passphrase angeben, indem Sie die `-N ""` Option im Befehl angeben (oder indem Sie **Enter** zweimal drücken, wenn Sie dazu aufgefordert werden), da Transfer Family Family-Server beim Start kein Passwort anfordern können.
**Um SSH-Schlüssel auf einem macOS-, Linux- oder Unix-Betriebssystem zu erstellen**
1. Öffnen Sie auf macOS-, Linux- oder Unix-Betriebssystemen ein Befehlsterminal.
1. AWS Transfer Family akzeptiert Schlüssel im RSA-, ECDSA- und ED25519 -Format. Wählen Sie den entsprechenden Befehl basierend auf dem Typ des Schlüsselpaars, das Sie generieren.
**Tipp**: `key_name` Ersetzen Sie es durch den tatsächlichen Namen Ihrer SSH-Schlüsselpaardatei.
+ Um ein RSA 4096-Bit-Schlüsselpaar zu generieren:
```
ssh-keygen -t rsa -b 4096 -f key_name
```
+ Um ein 521-Bit-ECDSA-Schlüsselpaar zu generieren (ECDSA hat Bitgrößen von 256, 384 und 521):
```
ssh-keygen -t ecdsa -b 521 -f key_name
```
+ Um ein ED25519 key pair zu generieren:
```
ssh-keygen -t ed25519 -f key_name
```
Im Folgenden wird ein Beispiel für die `ssh-keygen` Ausgabe gezeigt.
```
ssh-keygen -t rsa -b 4096 -f key_name
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in key_name.
Your public key has been saved in key_name.pub.
The key fingerprint is:
SHA256:8tDDwPmanTFcEzjTwPGETVWOGW1nVz+gtCCE8hL7PrQ bob.amazon.com
The key's randomart image is:
+---[RSA 4096]----+
| . ....E |
| . = ... |
|. . . = ..o |
| . o + oo = |
| + = .S.= * |
| . o o ..B + o |
| .o.+.* . |
| =o*+*. |
| ..*o*+. |
+----[SHA256]-----+
```
**Tipp**: Wenn Sie den `ssh-keygen` Befehl wie oben gezeigt ausführen, erstellt er die öffentlichen und privaten Schlüssel als Dateien im aktuellen Verzeichnis.
Ihr SSH-Schlüsselpaar ist jetzt einsatzbereit. Folgen Sie den Schritten 3 und 4, um den öffentlichen SSH-Schlüssel für Ihre vom Service verwalteten Benutzer zu speichern. Diese Benutzer verwenden die Schlüssel, wenn sie Dateien auf Transfer Family Family-Serverendpunkten übertragen.
1. Navigieren Sie zu der `key_name.pub` Datei und öffnen Sie sie.
1. Kopieren Sie den Text und fügen Sie ihn in den **öffentlichen SSH-Schlüssel** für den vom Service verwalteten Benutzer ein.
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)und wählen Sie dann im Navigationsbereich **Server** aus.
1. Wählen Sie auf der Seite **Server** die **Server-ID** für den Server aus, auf dem sich der Benutzer befindet, den Sie aktualisieren möchten.
1. Wählen Sie den Benutzer aus, für den Sie einen öffentlichen Schlüssel hinzufügen möchten.
1. Wählen Sie im Bereich **Öffentliche SSH-Schlüssel** die Option **Öffentlichen SSH-Schlüssel hinzufügen** aus.
![\[Die AWS Transfer Family Konsole, die die Benutzerdetails für einen ausgewählten Benutzer anzeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/edit-user-add-key-01.png)
1. Fügen Sie den Text des öffentlichen Schlüssels, den Sie generiert haben, in das Textfeld für den öffentlichen SSH-Schlüssel ein und wählen Sie dann **Schlüssel hinzufügen** aus.
![\[Die AWS Transfer Family Konsole, auf der die Seite „Schlüssel hinzufügen“ zum Hinzufügen eines öffentlichen Schlüssels angezeigt wird.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/edit-user-add-key-02.png)
Der neue Schlüssel ist im Bereich mit öffentlichen SSH-Schlüsseln aufgeführt.
![\[Die AWS Transfer Family Konsole, die den neu hinzugefügten öffentlichen Schlüssel im Bereich Öffentliche SSH-Schlüssel anzeigt.\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/edit-user-add-key-03.png)
# SSH-Schlüssel unter Microsoft Windows erstellen
Windows enthält OpenSSH als integrierte Funktion, mit der Sie SSH-Schlüssel im gleichen Format wie unter Linux oder macOS generieren können. Alternativ können Sie Tools von Drittanbietern wie den Schlüsselgenerator (Pu) von PuTTY verwenden. TTYgen
## Verwenden des in Windows integrierten OpenSSH
Neuere Versionen von Windows enthalten standardmäßig OpenSSH. Sie können dieselben `ssh-keygen` Befehle verwenden wie im Abschnitt MacOS/Linux beschrieben:
1. Öffnen Sie Windows PowerShell oder die Befehlszeile.
1. Führen Sie je nach Schlüsseltyp, den Sie generieren möchten, einen der folgenden Befehle aus:
+ Um ein RSA 4096-Bit-Schlüsselpaar zu generieren:
```
ssh-keygen -t rsa -b 4096 -f key_name
```
+ Um ein ECDSA 521-Bit-Schlüsselpaar zu generieren:
```
ssh-keygen -t ecdsa -b 521 -f key_name
```
+ Um ein ED25519 key pair zu generieren:
```
ssh-keygen -t ed25519 -f key_name
```
1. Folgen Sie den gleichen Schritten wie im macOS/Linux Abschnitt, in den Sie Ihren öffentlichen Schlüssel hochladen möchten AWS Transfer Family.
## Verwenden von Pu TTYgen (Drittanbieter-Tool)
Einige SSH-Clients von Drittanbietern für Windows, wie PuTTY, verwenden unterschiedliche Schlüsselformate. PuTTY verwendet das `PPK` Format für private Schlüssel. Wenn Sie PuTTY oder verwandte Tools wie WinSCP verwenden, können Sie Pu verwenden, um Schlüssel in TTYgen diesem Format zu erstellen.
**Anmerkung**
Wenn Sie WinSCP eine private Schlüsseldatei präsentieren, die nicht im `.ppk` Format ist, bietet dieser Client an, den Schlüssel für Sie in ein `.ppk` Format zu konvertieren.
[Ein Tutorial zum Erstellen von SSH-Schlüsseln mithilfe von Pu TTYgen finden Sie auf der Website SSH.com.](https://www.ssh.com/ssh/putty/windows/puttygen)
# Einen Schlüssel in das SSH2 SSH-Format für öffentliche Schlüssel konvertieren
AWS Transfer Family akzeptiert nur öffentliche Schlüssel im SSH-Format. Wenn Sie einen SSH2 öffentlichen Schlüssel haben, müssen Sie ihn konvertieren. Ein SSH2 öffentlicher Schlüssel hat das folgende Format:
```
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "rsa-key-20160402"
AAAAB3NzaC1yc2EAAAABJQAAAgEAiL0jjDdFqK/kYThqKt7THrjABTPWvXmB3URI
:
:
---- END SSH2 PUBLIC KEY ----
```
Ein öffentlicher SSH-Schlüssel hat das folgende Format:
```
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAA...
```
Führen Sie den folgenden Befehl aus, um einen öffentlichen Schlüssel im SSH2 Format -in einen öffentlichen Schlüssel im SSH-Format zu konvertieren. *ssh2-key*Ersetzen Sie ihn durch den Namen Ihres SSH2 Schlüssels und *ssh-key* durch den Namen Ihres SSH-Schlüssels.
```
ssh-keygen -i -f ssh2-key.pub > ssh-key.pub
```
# Drehen Sie die SSH-Schlüssel
Aus Sicherheitsgründen empfehlen wir die bewährte Methode, Ihre SSH-Schlüssel zu rotieren. In der Regel wird diese Rotation als Teil einer Sicherheitsrichtlinie festgelegt und automatisiert implementiert. Je nach Sicherheitsstufe kann ein SSH-Schlüsselpaar für eine hochsensible Kommunikation nur einmal verwendet werden. Dadurch werden Risiken vermieden, die aus dem Speichern von Schlüsseln erwachsen. Es ist jedoch viel üblicher, SSH-Anmeldeinformationen für einen bestimmten Zeitraum zu speichern und ein Intervall festzulegen, das die Benutzer nicht übermäßig belastet. Dieser Zeitraum hat typischerweise eine Länge von drei Monaten.
**Anmerkung**
Informationen zur automatisierten SSH-Schlüsselrotation unter Verwendung von Infrastruktur als Code finden Sie unter. [Terraform-Module der Transfer Family](terraform.md)
Es gibt zwei Methoden zum Durchführen der SSH-Schlüsselrotation:
+ Auf der Konsole können Sie einen neuen öffentlichen SSH-Schlüssel hochladen und einen vorhandenen öffentlichen SSH-Schlüssel löschen.
+ Mithilfe der API können Sie bestehende Benutzer aktualisieren, indem Sie die [DeleteSshPublicKey](https://docs.aws.amazon.com//transfer/latest/APIReference/API_DeleteSshPublicKey.html)API verwenden, um den öffentlichen Secure Shell (SSH) -Schlüssel eines Benutzers zu löschen, und die [ImportSshPublicKey](https://docs.aws.amazon.com/transfer/latest/APIReference/API_ImportSshPublicKey.html)API, um dem Konto des Benutzers einen neuen öffentlichen Secure Shell (SSH) -Schlüssel hinzuzufügen.
------
#### [ Console ]
**Um eine Schlüsselrotation in der Konsole durchzuführen**
1. Öffnen Sie die AWS Transfer Family Konsole unter [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).
1. Navigieren Sie zur Seite **Server**.
1. Wählen Sie den Bezeichner in der Spalte **Server-ID** aus, um die Seite mit den **Serverdetails** aufzurufen.
1. Wählen Sie unter **Benutzer** das Kontrollkästchen des Benutzers aus, dessen öffentlichen SSH-Schlüssel Sie rotieren möchten. Wählen Sie dann **Aktionen** und anschließend **Schlüssel hinzufügen aus, um die Seite Schlüssel** **hinzufügen aufzurufen**.
oder
Wählen Sie den Benutzernamen aus, um die Seite mit den **Benutzerdetails** aufzurufen, und wählen Sie dann **Öffentlichen SSH-Schlüssel hinzufügen** aus, um die Seite **Schlüssel hinzufügen aufzurufen**.
1. Geben Sie den neuen öffentlichen SSH-Schlüssel ein und wählen Sie Schlüssel **hinzufügen**.
**Wichtig**
Das Format des öffentlichen SSH-Schlüssels hängt von der Art des von Ihnen generierten Schlüssels ab.
Für RSA-Schlüssel lautet das Format. `ssh-rsa string`
Für ED25519 Schlüssel ist `ssh-ed25519 string` das Format.
Bei ECDSA-Schlüsseln beginnt der Schlüssel mit`ecdsa-sha2-nistp256`, oder `ecdsa-sha2-nistp384``ecdsa-sha2-nistp521`, abhängig von der Größe des von Ihnen generierten Schlüssels. Auf die Anfangszeichenfolge folgt dann`string`, ähnlich wie bei den anderen Schlüsseltypen.
Sie kehren zur Seite mit den **Benutzerdetails** zurück, und der neue öffentliche SSH-Schlüssel, den Sie gerade eingegeben haben, wird im Abschnitt **Öffentliche SSH-Schlüssel** angezeigt.
1. **Aktivieren Sie das Kontrollkästchen des alten YOU-Schlüssels, den Sie löschen möchten, und wählen Sie dann Löschen.**
1. Bestätigen Sie den Löschvorgang, indem Sie das Wort eingeben`delete`, und wählen Sie dann **Löschen**.
------
#### [ API ]
**Um eine Schlüsselrotation mithilfe der API durchzuführen**
1. Öffnen Sie auf macOS-, Linux- oder Unix-Betriebssystemen ein Befehlsterminal.
1. Rufen Sie den SSH-Schlüssel ab, den Sie löschen möchten, indem Sie den folgenden Befehl eingeben. Um diesen Befehl zu verwenden, `serverID` ersetzen Sie ihn durch die Server-ID für Ihren Transfer Family Family-Server und `username` durch Ihren Benutzernamen.
```
aws transfer describe-user --server-id='serverID' --user-name='username'
```
Der Befehl gibt Details über den Benutzer zurück. Kopieren Sie den Inhalt des `"SshPublicKeyId":` Felds. Sie müssen diesen Wert später in diesem Verfahren eingeben.
```
"SshPublicKeys": [ { "SshPublicKeyBody": "public-key", "SshPublicKeyId": "keyID",
"DateImported": 1621969331.072 } ],
```
1. Importieren Sie als Nächstes einen neuen SSH-Schlüssel für Ihren Benutzer. Geben Sie an der -Eingabeaufforderung folgenden Befehl ein. Um diesen Befehl zu verwenden, `serverID` ersetzen Sie ihn durch die Server-ID für Ihren Transfer Family Family-Server, `username` ersetzen Sie ihn durch Ihren Benutzernamen und `public-key` ersetzen Sie ihn durch den Fingerabdruck Ihres neuen öffentlichen Schlüssels.
```
aws transfer import-ssh-public-key --server-id='serverID' --user-name='username'
--ssh-public-key-body='public-key'
```
``Wenn der Befehl erfolgreich ist, wird keine Ausgabe zurückgegeben.
1. Löschen Sie abschließend den alten Schlüssel, indem Sie den folgenden Befehl ausführen. Um diesen Befehl zu verwenden, `serverID` ersetzen Sie ihn durch die Server-ID für Ihren Transfer Family Family-Server, `username` ersetzen Sie ihn durch Ihren Benutzernamen und `keyID-from-step-2` ersetzen Sie ihn durch den Schlüssel-ID-Wert, den Sie in Schritt 2 dieses Verfahrens kopiert haben.
```
aws transfer delete-ssh-public-key --server-id='serverID' --user-name='username'
--ssh-public-key-id='keyID-from-step-2'
```
1. (Optional) Um zu bestätigen, dass der alte Schlüssel nicht mehr existiert, wiederholen Sie Schritt 2.
------
# Generieren Sie PGP-Schlüssel
Sie können die PGP-Entschlüsselung (Pretty Good Privacy) für die Dateien verwenden, die Transfer Family mit Workflows verarbeitet. Um die Entschlüsselung in einem Workflow-Schritt zu verwenden, geben Sie einen PGP-Schlüssel an. Ausführliche Informationen zu PGP-Schlüsselalgorithmen, einschließlich Empfehlungen und FIPS-Konformität, finden Sie unter. [PGP-Schlüsselpaar-Algorithmen](key-management.md#pgp-key-algorithms)
Der AWS Speicher-Blog enthält einen Beitrag, in dem beschrieben wird, wie Dateien mithilfe von Transfer Family Managed Workflows, Verschlüsseln und [Entschlüsseln von Dateien mit PGP und einfach entschlüsselt werden können, ohne Code zu](https://aws.amazon.com/blogs/storage/encrypt-and-decrypt-files-with-pgp-and-aws-transfer-family/) schreiben, beschrieben werden. AWS Transfer Family
Welchen Operator Sie zum Generieren Ihrer PGP-Schlüssel verwenden, hängt von Ihrem Betriebssystem und der Version der Software zur Schlüsselgenerierung ab, die Sie verwenden.
Wenn Sie Linux oder Unix verwenden, verwenden Sie zur Installation Ihr Paketinstallationsprogramm. `gpg` Abhängig von Ihrer Linux-Distribution sollte einer der folgenden Befehle für Sie funktionieren.
```
sudo yum install gnupg
```
```
sudo apt-get install gnupg
```
Für Windows oder macOS können Sie alles, was Sie benötigen, von [https://gnupg.org/download/](https://gnupg.org/download/) herunterladen.
Nachdem Sie Ihre PGP-Schlüsselgenerator-Software installiert haben, führen Sie den `gpg --gen-key` Befehl `gpg --full-gen-key` or aus, um ein key pair zu generieren.
**Anmerkung**
Wenn Sie `GnuPG` Version 2.3.0 oder neuer verwenden, müssen Sie ausführen. `gpg --full-gen-key` Wenn Sie nach dem Typ des zu erstellenden Schlüssels gefragt werden, wählen Sie RSA oder ECC. Wenn Sie **ECC** wählen, können Sie zwischen BrainPool und Curve25519 für die NIST elliptische Kurve wählen.
**Nützliche Unterbefehle `gpg`**
Im Folgenden finden Sie einige nützliche Unterbefehle für: `gpg`
+ `gpg --help`— Dieser Befehl listet die verfügbaren Optionen auf und kann einige Beispiele enthalten.
+ `gpg --list-keys`— Dieser Befehl listet die Details für alle Schlüsselpaare auf, die Sie erstellt haben.
+ `gpg --fingerprint`— Dieser Befehl listet die Details für alle Ihre Schlüsselpaare auf, einschließlich des Fingerabdrucks der einzelnen Schlüssel.
+ `gpg --export -a user-name`— Dieser Befehl exportiert den öffentlichen Schlüsselteil des Schlüssels für den`user-name`, der bei der Generierung des Schlüssels verwendet wurde.
# PGP-Schlüssel verwalten
Um Ihre PGP-Schlüssel zu verwalten, verwenden Sie. AWS Secrets Manager
**Anmerkung**
Ihr geheimer Name beinhaltet Ihre Transfer Family Family-Server-ID. Das bedeutet, dass Sie bereits einen Server identifiziert oder erstellt haben sollten, *bevor* Sie Ihre PGP-Schlüsselinformationen darin AWS Secrets Manager speichern können.
Wenn Sie einen Schlüssel und eine Passphrase für alle Ihre Benutzer verwenden möchten, können Sie die PGP-Schlüsselblockinformationen unter dem geheimen Namen speichern`aws/transfer/server-id/@pgp-default`, wo sich die ID für Ihren Transfer Family Family-Server `server-id` befindet. Transfer Family verwendet diesen Standardschlüssel, wenn es keinen Schlüssel gibt, der dem Benutzer `user-name` entspricht, der den Workflow ausführt.
Sie können einen Schlüssel für einen bestimmten Benutzer erstellen. In diesem Fall lautet das Format für den geheimen Namen`aws/transfer/server-id/user-name`, wobei dem Benutzer `user-name` entspricht, der den Workflow für einen Transfer Family Family-Server ausführt.
**Anmerkung**
Sie können maximal 3 private PGP-Schlüssel pro Transfer Family Family-Server pro Benutzer speichern.
**Um PGP-Schlüssel für die Verwendung bei der Entschlüsselung zu konfigurieren**
1. Abhängig von der GPG-Version, die Sie verwenden, führen Sie einen der folgenden Befehle aus, um ein PGP-Schlüsselpaar zu generieren.
+ Wenn Sie **GnuPG** Version 2.3.0 oder neuer verwenden, führen Sie den folgenden Befehl aus:
```
gpg --full-gen-key
```
Sie können wählen**RSA**, oder, falls Sie möchten**ECC**, können Sie entweder **NIST** **BrainPool** oder **Curve25519** für die elliptische Kurve wählen. Wenn Sie `gpg --gen-key` stattdessen ausführen, erstellen Sie ein key pair, das den ECC Curve 25519-Verschlüsselungsalgorithmus verwendet.
+ Für Versionen **GnuPG** vor 2.3.0 können Sie den folgenden Befehl verwenden, da RSA der Standardverschlüsselungstyp ist.
```
gpg --gen-key
```
**Wichtig**
Während der Schlüsselgenerierung müssen Sie eine Passphrase und eine E-Mail-Adresse angeben. Achten Sie darauf, diese Werte zu notieren. Sie müssen die Passphrase angeben, wenn Sie die Schlüsseldetails AWS Secrets Manager später in diesem Verfahren eingeben. Und Sie müssen dieselbe E-Mail-Adresse angeben, um den privaten Schlüssel im nächsten Schritt zu exportieren.
1. Führen Sie den folgenden Befehl aus, um den privaten Schlüssel zu exportieren. Um diesen Befehl zu verwenden, `private.pgp` ersetzen Sie ihn durch den Namen der Datei, in der der private Schlüsselblock gespeichert werden soll, und `marymajor@example.com` durch die E-Mail-Adresse, die Sie bei der Generierung des key pair verwendet haben.
```
gpg --output private.pgp --armor --export-secret-key marymajor@example.com
```
1. Dient AWS Secrets Manager zum Speichern Ihres PGP-Schlüssels.
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS Secrets Manager Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie im linken Navigationsbereich **Secrets** aus.
1. Wählen Sie auf der Seite **Secrets** die Option **Neues Geheimnis speichern** aus.
1. **Wählen Sie auf der Seite Geheimtyp** auswählen für **Geheimtyp** die Option **Anderer Geheimtyp aus**.
1. Wählen Sie im Abschnitt **Schlüssel/Wert-Paare** die Registerkarte **Schlüssel/Wert** aus.
+ **Schlüssel — Geben Sie ein.** **PGPPrivateKey**
**Anmerkung**
Sie müssen die **PGPPrivateKey** Zeichenfolge exakt eingeben: Fügen Sie vor oder zwischen den Zeichen keine Leerzeichen hinzu.
+ **Wert** — Fügen Sie den Text Ihres privaten Schlüssels in das Wertfeld ein. Sie finden den Text Ihres privaten Schlüssels in der Datei (z. B.`private.pgp`), die Sie beim Exportieren Ihres Schlüssels zu Beginn dieses Verfahrens angegeben haben. Der Schlüssel beginnt mit `-----BEGIN PGP PRIVATE KEY BLOCK-----` und endet mit`-----END PGP PRIVATE KEY BLOCK-----`.
**Anmerkung**
Stellen Sie sicher, dass der Textblock nur den privaten Schlüssel und nicht auch den öffentlichen Schlüssel enthält.
1. Wählen Sie **Zeile hinzufügen** und wählen Sie im Abschnitt **Schlüssel/Wert-Paare** die Registerkarte **Schlüssel/Wert-Paare** aus.
+ **Schlüssel — Geben Sie ein.** **PGPPassphrase**
**Anmerkung**
Sie müssen die **PGPPassphrase** Zeichenfolge exakt eingeben: Fügen Sie vor oder zwischen den Zeichen keine Leerzeichen hinzu.
+ **Wert** — Geben Sie die Passphrase ein, die Sie bei der Generierung Ihres PGP-Schlüsselpaars verwendet haben.
![\[\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/pgp-secrets-01.png)
**Anmerkung**
Sie können bis zu 3 Sätze von Schlüsseln und Passphrasen hinzufügen. Um einen zweiten Satz hinzuzufügen, fügen Sie zwei neue Zeilen hinzu, geben Sie und **PGPPassphrase2** für die Schlüssel ein **PGPPrivateKey2** und fügen Sie einen weiteren privaten Schlüssel und eine Passphrase ein. Um einen dritten Satz hinzuzufügen, müssen die Schlüsselwerte und sein. **PGPPrivateKey3** **PGPPassphrase3**
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Geheim konfigurieren** einen Namen und eine Beschreibung für Ihr Geheimnis ein.
+ Wenn Sie einen Standardschlüssel erstellen, d. h. einen Schlüssel, der von jedem Transfer Family Family-Benutzer verwendet werden kann, geben Sie ein**aws/transfer/*server-id*/@pgp-default**. `server-id`Ersetzen Sie ihn durch die ID des Servers, der den Workflow enthält, der einen Entschlüsselungsschritt enthält.
+ Wenn Sie einen Schlüssel erstellen, der von einem bestimmten Transfer Family Family-Benutzer verwendet werden soll, geben Sie ein**aws/transfer/*server-id*/*user-name***. `server-id`Ersetzen Sie ihn durch die ID des Servers, der den Workflow enthält, der einen Entschlüsselungsschritt enthält, und `user-name` ersetzen Sie ihn durch den Namen des Benutzers, der den Workflow ausführt. Das `user-name` wird in dem Identitätsanbieter gespeichert, den der Transfer Family Family-Server verwendet.
1. Wählen Sie **Weiter** und akzeptieren Sie die Standardeinstellungen auf der Seite „**Rotation konfigurieren**“. Klicken Sie anschließend auf **Weiter**.
1. Wählen Sie auf der Seite **„Überprüfen**“ die Option **Speichern** aus, um das Geheimnis zu erstellen und zu speichern.
Der folgende Screenshot zeigt die Details für den Benutzer **marymajor** für einen bestimmten Transfer Family Family-Server. Dieses Beispiel zeigt drei Schlüssel und die entsprechenden Passphrasen.
![\[\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/pgp-secrets-02.png)
# Unterstützte PGP-Clients
Die folgenden Clients wurden mit Transfer Family getestet und können zum Generieren von PGP-Schlüsseln und zum Verschlüsseln von Dateien verwendet werden, die Sie mit einem Workflow entschlüsseln möchten.
+ **Gpg4win \$1 Kleopatra**.
**Anmerkung**
Wenn Sie **Dateien signieren/verschlüsseln** auswählen, stellen Sie sicher, dass Sie die Auswahl für **Signieren als deaktivieren: Derzeit unterstützen wir das Signieren** von verschlüsselten Dateien nicht.
![\[\]](http://docs.aws.amazon.com/de_de/transfer/latest/userguide/images/workflows-step-decrypt-kleopatra.png)
Wenn Sie die verschlüsselte Datei signieren und versuchen, sie mit einem Entschlüsselungsworkflow auf einen Transfer Family Family-Server hochzuladen, wird die folgende Fehlermeldung angezeigt:
```
Encrypted file with signed message unsupported
```
+ Hauptversionen von **GnuPG**: 2.4, 2.3, 2.2, 2.0 und 1.4.
Beachten Sie, dass andere PGP-Clients möglicherweise auch funktionieren, aber nur die hier genannten Clients wurden mit Transfer Family getestet.
# Identitäts- und Zugriffsmanagement für AWS Transfer Family
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. AWS Transfer Family IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie AWS Transfer Family funktioniert mit IAM](security_iam_service-with-iam.md)
+ [AWS Transfer Family Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)
+ [AWS Transfer Family Beispiele für Tag-basierte Richtlinien](security_iam_tag-based-policy-examples.md)
+ [Problembehandlung bei AWS Transfer Family Identität und Zugriff](security_iam_troubleshoot.md)
+ [IAM-Bedingungsschlüssel für die Unternehmensführung](transfer-condition-keys.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Problembehandlung bei AWS Transfer Family Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS Transfer Family funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [AWS Transfer Family Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### Root-Benutzer des AWS-Kontos
Wenn Sie eine erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem so genannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle Ressourcen hat. AWS-Services Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Zugriffskontrolllisten () ACLs
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die sich daraus ergebenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Wie AWS Transfer Family funktioniert mit IAM
Bevor Sie AWS Identity and Access Management (IAM) zur Verwaltung des Zugriffs auf verwenden AWS Transfer Family, sollten Sie sich darüber im Klaren sein, mit welchen IAM-Funktionen Sie arbeiten können. AWS Transfer Family*Einen allgemeinen Überblick darüber, wie AWS Transfer Family und andere AWS Dienste mit IAM funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [AWS Transfer Family identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies)
+ [AWS Transfer Family ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisierung auf der Grundlage von Tags AWS Transfer Family](#security_iam_service-with-iam-tags)
+ [AWS Transfer Family IAM-Rollen](#security_iam_service-with-iam-roles)
## AWS Transfer Family identitätsbasierte Richtlinien
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen erteilt oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. AWS Transfer Family unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. *Weitere Informationen zu allen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [Referenz zu den IAM-JSON-Richtlinienelementen im AWS Identity and Access Management Benutzerhandbuch.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)*
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix AWS Transfer Family verwendet:`transfer:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, einen Server mit dem Transfer Family `CreateServer` API-Vorgang zu erstellen, nehmen Sie die `transfer:CreateServer` Aktion in seine Richtlinie auf. Richtlinienanweisungen müssen ein `Action`- oder `NotAction`-Element enthalten. AWS Transfer Family definiert seinen eigenen Satz an Aktionen, die Aufgaben beschreiben, die Sie mit diesem Service durchführen können.
Um mehrere -Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie folgendermaßen durch Kommas.
```
"Action": [
"transfer:action1",
"transfer:action2"
```
Sie können auch Platzhalter (\$1) verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:
```
"Action": "transfer:Describe*"
```
Eine Liste der AWS Transfer Family Aktionen finden Sie unter [Aktionen definiert von AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-actions-as-permissions) in der *Service Authorization Reference*.
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Die Transfer Family Family-Serverressource hat den folgenden ARN.
```
arn:aws:transfer:${Region}:${Account}:server/${ServerId}
```
Um beispielsweise den `s-01234567890abcdef` Transfer Family Family-Server in Ihrer Anweisung anzugeben, verwenden Sie den folgenden ARN.
```
"Resource": "arn:aws:transfer:us-east-1:123456789012:server/s-01234567890abcdef"
```
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) in der *Service Authorization Reference* oder [IAM ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) im *IAM-Benutzerhandbuch*.
Um alle Instances anzugeben, die zu einem bestimmten Konto gehören, verwenden Sie den Platzhalter (\$1).
```
"Resource": "arn:aws:transfer:us-east-1:123456789012:server/*"
```
Einige AWS Transfer Family Aktionen werden für mehrere Ressourcen ausgeführt, z. B. für Ressourcen, die in IAM-Richtlinien verwendet werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "arn:aws:transfer:*:123456789012:server/*"
```
In einigen Fällen müssen Sie mehr als einen Ressourcentyp angeben, z. B. wenn Sie eine Richtlinie erstellen, die den Zugriff auf Server und Benutzer von Transfer Family ermöglicht. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
```
"Resource": [
"resource1",
"resource2"
]
```
Eine Liste der AWS Transfer Family Ressourcen finden Sie unter [Ressourcentypen definiert von AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-resources-for-iam-policies) in der *Service Authorization Reference.*
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
AWS Transfer Family definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Liste der AWS Transfer Family Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für AWS Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html#awstransferfamily-policy-keys) in der *Service Authorization Reference*.
### Beispiele
Beispiele für AWS Transfer Family identitätsbasierte Richtlinien finden Sie unter. [AWS Transfer Family Beispiele für identitätsbasierte Richtlinien](security_iam_id-based-policy-examples.md) Informationen zu VPC-endpunktspezifischen IAM-Richtlinien finden Sie unter. [Beschränkung des VPC-Endpunktzugriffs für Transfer Family Family-Server](create-server-in-vpc.md#limit-vpc-endpoint-access)
## AWS Transfer Family ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die angeben, welche Aktionen ein bestimmter Prinzipal auf der AWS Transfer Family Ressource ausführen kann und unter welchen Bedingungen. Amazon S3 unterstützt ressourcenbasierte Berechtigungsrichtlinien für Amazon S3. *buckets* Ressourcenbasierte Richtlinien ermöglichen die Erteilung von Nutzungsberechtigungen für andere -Konten pro Ressource. Sie können auch eine ressourcenbasierte Richtlinie verwenden, um einem AWS Service den Zugriff auf Ihr Amazon S3 zu ermöglichen. *buckets*
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als [Prinzipal in einer ressourcenbasierten Richtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) angeben. Durch das Hinzufügen eines kontoübergreifenden Auftraggebers zu einer ressourcenbasierten Richtlinie ist nur die halbe Vertrauensbeziehung eingerichtet. Wenn sich der Principal und die Ressource in unterschiedlichen AWS Konten befinden, müssen Sie der Prinzipaleinheit auch die Erlaubnis erteilen, auf die Ressource zuzugreifen. Sie erteilen Berechtigungen, indem Sie der Entität eine identitätsbasierte Richtlinie anfügen. Wenn jedoch eine ressourcenbasierte Richtlinie Zugriff auf einen Prinzipal in demselben Konto gewährt, ist keine zusätzliche identitätsbasierte Richtlinie erforderlich. *Weitere Informationen finden Sie im Benutzerhandbuch [unter Unterschiede zwischen IAM-Rollen und ressourcenbasierten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html).AWS Identity and Access Management *
*Der Amazon S3 S3-Service unterstützt nur eine Art von ressourcenbasierter Richtlinie, die als Richtlinie bezeichnet wird und an eine *bucket* angehängt ist.* *bucket* Diese Richtlinie definiert, welche Hauptentitäten (Konten, Benutzer, Rollen und Verbundbenutzer) Aktionen für das Objekt ausführen können.
### Beispiele
Beispiele für AWS Transfer Family ressourcenbasierte Richtlinien finden Sie unter. [AWS Transfer Family Beispiele für Tag-basierte Richtlinien](security_iam_tag-based-policy-examples.md)
## Autorisierung auf der Grundlage von Tags AWS Transfer Family
Sie können Tags an AWS Transfer Family Ressourcen anhängen oder Tags in einer Anfrage an übergeben AWS Transfer Family. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `transfer:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden. Informationen zur Verwendung von Tags zur Steuerung des Zugriffs auf AWS Transfer Family Ressourcen finden Sie unter[AWS Transfer Family Beispiele für Tag-basierte Richtlinien](security_iam_tag-based-policy-examples.md).
## AWS Transfer Family IAM-Rollen
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.
### Verwenden temporärer Anmeldeinformationen mit AWS Transfer Family
Sie können temporäre Anmeldeinformationen verwenden, um sich über einen Verbund anzumelden, eine IAM-Rolle anzunehmen oder eine kontenübergreifende Rolle anzunehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)oder aufrufen [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
AWS Transfer Family unterstützt die Verwendung temporärer Anmeldeinformationen.
# AWS Transfer Family Beispiele für identitätsbasierte Richtlinien
IAM-Benutzer besitzen keine Berechtigungen zum Erstellen oder Ändern von AWS Transfer Family -Ressourcen. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
*Informationen zum Erstellen einer identitätsbasierten IAM-Richtlinie mithilfe dieser Beispieldokumente zu JSON-Richtlinien finden Sie im Benutzerhandbuch unter [Erstellen von Richtlinien auf der Registerkarte JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor).AWS Identity and Access Management *
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Konsole AWS Transfer Family](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen AWS Transfer Family kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Konsole AWS Transfer Family
Um auf die AWS Transfer Family Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Informationen zu den AWS Transfer Family Ressourcen in Ihrem AWS Konto aufzulisten und einzusehen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (IAM-Benutzer oder -Rollen) mit dieser Richtlinie. Weitere Informationen finden Sie im [Benutzerhandbuch unter Hinzufügen von Berechtigungen für einen AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) *Benutzer*.
Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die den API-Operation entsprechen, die Sie ausführen möchten.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS Transfer Family Beispiele für Tag-basierte Richtlinien
Im Folgenden finden Sie Beispiele dafür, wie Sie den Zugriff auf AWS Transfer Family Ressourcen anhand von Tags steuern können.
## Verwendung von Tags zur Steuerung des Zugriffs auf AWS Transfer Family Ressourcen
Bedingungen in IAM-Richtlinien sind Teil der Syntax, mit der Sie Berechtigungen für AWS Transfer Family Ressourcen angeben. Sie können den Zugriff auf AWS Transfer Family Ressourcen (wie Benutzer, Server, Rollen und andere Entitäten) anhand von Tags auf diesen Ressourcen steuern. Tags sind Schlüssel-Wert-Paare, Weitere Informationen zum Markieren von Ressourcen finden Sie unter [Taggen von AWS Ressourcen](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) in der. *Allgemeine AWS-Referenz*
In AWS Transfer Family können Ressourcen Tags haben, und einige Aktionen können Tags enthalten. Wenn Sie eine IAM-Richtlinie erstellen, können Sie Markierungs-Bedingungsschlüssel verwenden, um Folgendes zu kontrollieren:
+ Welche Benutzer Aktionen an einer AWS Transfer Family Ressource ausführen können, basierend auf den Tags, die die Ressource besitzt.
+ Welche Tags in der Anforderung einer Aktion übergeben werden können.
+ Ob bestimmte Tag-Schlüssel in einer Anforderung verwendet werden können.
Durch die Verwendung der tagbasierten Zugriffskontrolle können Sie eine genauere Kontrolle als auf API-Ebene anwenden. Sie können auch eine dynamischere Steuerung anwenden als mit einer ressourcenbasierten Zugriffskontrolle. Sie können IAM-Richtlinien erstellen, die einen Vorgang auf der Grundlage der in der Anfrage angegebenen Tags (Anforderungs-Tags) zulassen oder verweigern. Sie können IAM-Richtlinien auch auf der Grundlage von Tags auf der Ressource erstellen, auf der gearbeitet wird (Ressourcen-Tags). Im Allgemeinen sind Ressourcen-Tags für Tags vorgesehen, die sich bereits auf Ressourcen befinden. Anforderungs-Tags sind für das Hinzufügen oder Entfernen von Tags zu einer Ressource vorgesehen.
Die vollständige Syntax und Semantik von Tag-Bedingungsschlüsseln finden Sie im *IAM-Benutzerhandbuch* unter [Steuern des Zugriffs auf AWS Ressourcen mithilfe von Ressourcen-Tags](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html). Einzelheiten zur Angabe von IAM-Richtlinien mit API Gateway finden Sie unter [Steuern des Zugriffs auf eine API mit IAM-Berechtigungen](https://docs.aws.amazon.com/apigateway/latest/developerguide/permissions.html) im *API Gateway Developer Guide*.
### Beispiel 1: Verweigern Sie Aktionen, die auf Ressourcen-Tags basieren
Sie können die Ausführung einer Aktion an einer Ressource auf der Grundlage von Tags verweigern. Die folgende Beispielrichtlinie verweigert`TagResource`,,, `UntagResource``StartServer`, und `DescribeUser` Operationen `StopServer``DescribeServer`, wenn die Benutzer- oder Serverressource mit dem Schlüssel `stage` und dem Wert `prod` gekennzeichnet ist.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"transfer:TagResource",
"transfer:UntagResource",
"transfer:StartServer",
"transfer:StopServer",
"transfer:DescribeServer",
"transfer:DescribeUser"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "prod"
}
}
}
]
}
```
### Beispiel 2: Aktionen auf der Grundlage von Ressourcen-Tags zulassen
Sie können zulassen, dass eine Aktion für eine Ressource ausgeführt wird, die auf Tags basiert. Die folgende Beispielrichtlinie ermöglicht`TagResource`,`UntagResource`,, `StartServer``StopServer`, und `DescribeUser` Operationen`DescribeServer`, wenn die Benutzer- oder Serverressource mit dem Schlüssel `stage` und dem Wert gekennzeichnet ist`prod`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"transfer:TagResource",
"transfer:UntagResource",
"transfer:StartServer",
"transfer:StopServer",
"transfer:DescribeServer",
"transfer:DescribeUser"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": "prod"
}
}
}
]
}
```
### Beispiel 3: Verweigern Sie die Erstellung eines Benutzers oder Servers auf der Grundlage von Anforderungs-Tags
Die folgende Beispielrichtlinie enthält zwei Anweisungen. Die erste Anweisung verweigert den `CreateServer` Vorgang für alle Ressourcen, wenn der Kostenstellenschlüssel für das Tag keinen Wert hat.
Die zweite Anweisung lehnt den `CreateServer` Vorgang ab, wenn der Kostenstellenschlüssel für das Tag einen anderen Wert als 1, 2 oder 3 enthält.
**Anmerkung**
Diese Richtlinie ermöglicht das Erstellen oder Löschen einer Ressource, die einen Schlüssel namens `costcenter` und den Wert `1``2`, oder `3` enthält.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"transfer:CreateServer"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:RequestTag/costcenter": "true"
}
}
},
{
"Effect": "Deny",
"Action": "transfer:CreateServer",
"Resource": [
"*"
],
"Condition": {
"ForAnyValue:StringNotEquals": {
"aws:RequestTag/costcenter": [
"1",
"2",
"3"
]
}
}
}
]
}
```
# Problembehandlung bei AWS Transfer Family Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS Transfer Family IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS Transfer Family](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine AWS Transfer Family Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS Transfer Family
Wenn Ihnen AWS-Managementkonsole mitgeteilt wird, dass Sie nicht berechtigt sind, eine Aktion durchzuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, die Konsole zum Anzeigen von Details zu einem *widget* zu verwenden, jedoch nicht über `transfer:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: transfer:GetWidget on resource: my-example-widget
```
In diesem Fall bittet Mateo seinen Administrator um die Aktualisierung seiner Richtlinien, um unter Verwendung der Aktion `my-example-widget` auf die Ressource `transfer;:GetWidget` zugreifen zu können.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an AWS Transfer Familyübergeben zu können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in AWS Transfer Family auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
Die folgende Beispielrichtlinie enthält die Erlaubnis, eine Rolle an zu übergeben AWS Transfer Family. **123456789012**Ersetzen Sie es durch Ihre AWS-Konto-ID und **MyTransferRole** durch Ihren tatsächlichen IAM-Rollennamen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{ "Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/MyTransferRole",
"Effect": "Allow"
}
]
}
```
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine AWS Transfer Family Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob diese Funktionen AWS Transfer Family unterstützt werden, finden Sie unter. [Wie AWS Transfer Family funktioniert mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# IAM-Bedingungsschlüssel für die Unternehmensführung
AWS Transfer Family stellt IAM-Bedingungsschlüssel bereit, mit denen Sie Ressourcenkonfigurationen in jeder IAM-Richtlinie einschränken können. Diese Bedingungsschlüssel können in identitätsbasierten Richtlinien verwendet werden, die Benutzern oder Rollen zugewiesen sind, oder in Service Control-Richtlinien (SCPs) für die organisatorische Steuerung.
Service Control-Richtlinien sind IAM-Richtlinien, die für das gesamte AWS Unternehmen gelten und präventive Schutzmaßnahmen für mehrere Konten bieten. Wenn diese Bedingungsschlüssel verwendet werden SCPs, helfen sie dabei, Sicherheits- und Compliance-Anforderungen unternehmensweit durchzusetzen.
**Informationen finden Sie auch unter:**
+ [Aktionen, Ressourcen und Bedingungsschlüssel für Transfer Family](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstransferfamily.html)
+ [Richtlinien zur Servicesteuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ Video, in dem beschrieben wird, wie präventive Schutzmaßnahmen mithilfe von Richtlinien zur Servicekontrolle durchgesetzt werden können
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/mEO05mmbSms)
## Verfügbare Zustandsschlüssel
AWS Transfer Family unterstützt die folgenden Bedingungsschlüssel zur Verwendung in IAM-Richtlinien:
`transfer:RequestServerEndpointType`
Schränkt die Servererstellung und Updates basierend auf dem Endpunkttyp (PUBLIC, VPC, VPC\$1ENDPOINT) ein. Wird häufig verwendet, um öffentlich zugängliche Endgeräte zu verhindern.
`transfer:RequestServerProtocols`
Schränkt die Erstellung und Aktualisierung von Servern auf der Grundlage unterstützter Protokolle (SFTP, FTPS, FTP,) ein. AS2
`transfer:RequestServerDomain`
Schränkt die Servererstellung basierend auf dem Domaintyp (S3, EFS) ein.
`transfer:RequestConnectorProtocol`
Schränkt die Erstellung von Konnektoren auf der Grundlage des Protokolls (AS2, SFTP) ein.
## Unterstützte Aktionen
Die Bedingungsschlüssel können auf die folgenden AWS Transfer Family Aktionen angewendet werden:
+ `CreateServer`: Unterstützt die Tasten `RequestServerEndpointType``RequestServerProtocols`, und `RequestServerDomain` Bedingungstasten
+ `UpdateServer`: Unterstützt Tasten `RequestServerEndpointType` und `RequestServerProtocols` Bedingungstasten
+ `CreateConnector`: Unterstützt `RequestConnectorProtocol` Bedingungsschlüssel
## Beispiel für eine SCP-Richtlinie
Das folgende Beispiel für ein SCP verhindert die Einrichtung von öffentlichen AWS Transfer Family Servern in Ihrer Organisation:
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "DenyPublicTransferServers",
"Effect": "Deny",
"Action": ["transfer:CreateServer", "transfer:UpdateServer"],
"Resource": "*",
"Condition": {
"StringEquals": {
"transfer:RequestServerEndpointType": "PUBLIC"
}
}
}]
}
```
# Konformitätsprüfung für AWS Transfer Family
Externe Prüfer bewerten die Sicherheit und Einhaltung von Vorschriften im AWS Transfer Family Rahmen mehrerer Compliance-Programme. AWS Zu diesen Programmen gehören SOC, PCI, HIPAA und andere. Die vollständige Liste finden Sie unter [AWS Services in Scope nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope).
Eine Liste der AWS Dienstleistungen im Rahmen bestimmter Compliance-Programme finden Sie unter [AWS Dienstleistungen im Umfang der einzelnen Compliance-Programme](https://aws.amazon.com/compliance/services-in-scope/). Allgemeine Informationen finden Sie unter [AWS -Compliance-Programme](https://aws.amazon.com/compliance/programs/).
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS Transfer Family hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. AWS stellt die folgenden Ressourcen zur Verfügung, die Sie bei der Einhaltung der Vorschriften unterstützen:
+ [Schnellstartanleitungen zu Sicherheit und Compliance](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) — In diesen Bereitstellungsleitfäden werden architektonische Überlegungen erörtert und Schritte für die Implementierung von Umgebungen beschrieben, auf denen auf Sicherheit und Compliance ausgerichtete Basisumgebungen eingerichtet werden. AWS
+ Whitepaper „[Architecting for HIPAA“ zu Sicherheit und Compliance — In diesem Whitepaper](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/introduction.html) wird beschrieben, wie Unternehmen HIPAA-konforme Anwendungen entwickeln können. AWS
+ [AWS -Compliance-Ressourcen](https://aws.amazon.com/compliance/resources/) – Diese Arbeitsbücher und Leitfäden könnten für Ihre Branche und Ihren Standort interessant sein.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Dieser AWS Service bewertet, wie gut Ihre Ressourcenkonfigurationen den internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Dieser AWS Service bietet einen umfassenden Überblick über Ihren Sicherheitsstatus und hilft Ihnen AWS , die Einhaltung der Sicherheitsstandards und bewährten Verfahren der Sicherheitsbranche zu überprüfen.
# Resilienz in AWS Transfer Family
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
AWS Transfer Family unterstützt bis zu 3 Availability Zones und wird durch eine automatisch skalierbare, redundante Flotte für Ihre Verbindungs- und Übertragungsanfragen unterstützt.
Für alle Transfer Family Family-Endpunkte:
+ Redundanz auf Verfügbarkeitszonenebene ist in den Service integriert.
+ Für jede AZ gibt es redundante Flotten.
+ Diese Redundanz wird automatisch bereitgestellt.
**Anmerkung**
Für Endgeräte in einer Virtual Private Cloud (VPC) ist es möglich, ein einzelnes Subnetz bereitzustellen. Wir empfehlen jedoch, Endpoints in mehreren Availability Zones innerhalb Ihrer VPC zu erstellen, um das Risiko von Serviceunterbrechungen bei Ausfällen der Availability Zone zu verringern.
**Informationen finden Sie auch unter:**
+ Einzelheiten zum Erstellen von Transfer Family Family-Servern in einer VPC finden Sie unter[Erstellen Sie einen Server in einer virtuellen privaten Cloud](create-server-in-vpc.md).
+ Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale Infrastruktur](https://aws.amazon.com/about-aws/global-infrastructure/).
+ Ein Beispiel dafür, wie Sie mithilfe von latenzbasiertem Routing eine höhere Redundanz erreichen und die Netzwerklatenz minimieren können, finden Sie im Blogbeitrag [Minimiere die Netzwerklatenz](https://aws.amazon.com/blogs/storage/minimize-network-latency-with-your-aws-transfer-for-sftp-servers/) mit Ihren Servern. AWS Transfer Family
# Erstellen Sie eine private Verbindung zwischen einer VPC und AWS Transfer Family APIs
Sie können eine private Verbindung zwischen Ihrer VPC herstellen und einen *VPC-Schnittstellen-Endpunkt* erstellen, der AWS Transfer Family APIs von betrieben wird. [AWS PrivateLink](https://aws.amazon.com/privatelink/) Sie können darauf zugreifen, AWS Transfer Family APIs als ob es in Ihrer VPC wäre, ohne ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine AWS Direct Connect-Verbindung zu verwenden. Die Instances in Ihrer VPC benötigen für die Kommunikation mit AWS Transfer Family APIs keine öffentlichen IP-Adressen.
Wir erstellen eine Endpunkt-Netzwerkschnittstelle in jedem Subnetz, das Sie für den Schnittstellen-Endpunkt aktivieren. Weitere Informationen finden Sie unter [Access AWS services through AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) im *AWS PrivateLink Handbuch*. Bevor Sie einen VPC-Schnittstellen-Endpunkt für einrichten AWS Transfer Family APIs, lesen Sie die [Überlegungen](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) im *AWS PrivateLink Handbuch*.
## Steuern des Zugriffs mithilfe von VPC-Endpunktrichtlinien
Standardmäßig AWS Transfer Family APIs ist der vollständige Zugriff auf über den Endpunkt zulässig. Sie können den Zugriff auf den Schnittstellenendpunkt mithilfe von VPC-Endpunktrichtlinien steuern. Sie können eine Endpunktrichtlinie an Ihren VPC-Endpunkt anhängen, der den Zugriff auf AWS Transfer Family APIs steuert. Die Richtlinie gibt die folgenden Informationen an:
+ Der **Principal**, der Aktionen ausführen kann.
+ Die **Aktionen**, die ausgeführt werden können.
+ Die **Ressourcen**, auf denen Aktionen ausgeführt werden können.
Weitere Informationen finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *Amazon-VPC-Benutzerhandbuch*.
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für AWS Transfer Family APIs. Wenn diese Richtlinie an einen Endpunkt angehängt ist, gewährt sie Zugriff auf alle AWS Transfer Family APIs Aktionen auf allen Ressourcen, mit Ausnahme derjenigen, die mit Schlüssel `Environment` und Wert gekennzeichnet sind`Test`.
```
{
"Statement": [{
"Effect": "Deny",
"Action": "transfer:StartFileTransfer",
"Principal": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "Test"
}
}
}, {
"Effect": "Allow",
"Action": "transfer:*",
"Principal": "*",
"Resource": "*"
}]
}
```
## Erstellen Sie einen Schnittstellen-VPC-Endpunkt für AWS Transfer Family APIs
Sie können einen VPC-Endpunkt für die AWS Transfer Family APIs Verwendung der Amazon VPC-Konsole oder der AWS Befehlszeilenschnittstelle ()AWS CLI erstellen. Weitere Informationen finden Sie unter [Erstellen eines VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) im *AWS PrivateLink-Leitfaden*.
Erstellen Sie einen VPC-Endpunkt für die AWS Transfer Family APIs Verwendung eines der folgenden Dienstnamen:
+ `com.amazonaws.region.transfer`
+ `com.amazonaws.region.transfer-fips`— Um einen VPC-Schnittstellen-Endpunkt zu erstellen, der dem US-Regierungsstandard Federal Information Processing Standard (FIPS) Publication 140-3 entspricht.
Wenn Sie einen privaten DNS für den Endpunkt aktivieren, können Sie mittels seines standardmäßigen DNS-Namen für die Region, beispielsweise `transfer.us-east-1.amazonaws.com`, API-Anforderungen an AWS Transfer Family APIs senden.
# Sicherheit der Infrastruktur in AWS Transfer Family
AWS Transfer Family Ist als verwalteter Dienst durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe für den Zugriff AWS Transfer Family über das Netzwerk. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
## Vermeiden Sie es, AWS Transfer Family Server zu platzieren NLBs und NATs vor ihnen zu platzieren
**Anmerkung**
Server, die mit FTP- und FTPS-Protokollen konfiguriert sind, ermöglichen nur eine Konfiguration mit einer VPC: Für FTP/FTPS ist kein öffentlicher Endpunkt verfügbar.
Viele Kunden konfigurieren einen Network Load Balancer (NLB), um den Datenverkehr an ihren AWS Transfer Family Server weiterzuleiten. In der Regel tun sie dies entweder, weil sie ihren Server erstellt haben, bevor ihnen die Möglichkeit AWS geboten wurde, sowohl innerhalb ihrer VPC als auch über das Internet darauf zuzugreifen, oder weil sie FTP im Internet unterstützen. Diese Konfiguration erhöht nicht nur die Kosten für Kunden, sondern kann auch andere Probleme verursachen, die wir in diesem Abschnitt beschreiben.
NAT-Gateways sind eine obligatorische Komponente, wenn Clients über ein privates Kundennetzwerk hinter einer Unternehmensfirewall eine Verbindung herstellen. Sie sollten sich jedoch bewusst sein, dass, wenn sich viele Clients hinter demselben NAT-Gateway befinden, dies Auswirkungen auf die Leistung und die Verbindungslimits haben kann. Wenn der Kommunikationspfad vom Client zum FTP- oder FTPS-Server ein NLB oder NAT enthält, kann der Server die IP-Adresse des Clients nicht genau erkennen, da AWS Transfer Family nur die IP-Adresse des NLB oder NAT angezeigt wird.
Wenn Sie die Konfiguration eines Transfer Family Family-Servers hinter einem NLB verwenden, empfehlen wir Ihnen, zu einem VPC-Endpunkt zu wechseln und statt einer NLB eine Elastic IP-Adresse zu verwenden. Beachten Sie bei der Verwendung von NAT-Gateways die unten beschriebenen Verbindungsbeschränkungen.
Wenn Sie das FTPS-Protokoll verwenden, schränkt diese Konfiguration nicht nur Ihre Fähigkeit ein, zu überprüfen, wer auf Ihren Server zugreift, sondern kann sich auch auf die Leistung auswirken. AWS Transfer Family verwendet die Quell-IP-Adresse, um Ihre Verbindungen auf unserer Datenebene gemeinsam zu nutzen. Für FTPS bedeutet dies, dass Transfer Family Family-Server mit NLB- oder NAT-Gateways auf der Kommunikationsroute nicht über 10.000 gleichzeitige Verbindungen verfügen, sondern auf nur 300 gleichzeitige Verbindungen beschränkt sind.
Wir empfehlen zwar, Network Load Balancer vor den AWS Transfer Family Servern zu vermeiden, aber wenn Ihre FTP- oder FTPS-Implementierung eine NLB- oder NAT-Verbindung in der Kommunikationsroute vom Client erfordert, sollten Sie die folgenden Empfehlungen beachten:
+ Verwenden Sie für einen NLB Port 21 für Integritätsprüfungen anstelle der Ports 8192-8200.
+ Aktivieren Sie für den AWS Transfer Family Server die Wiederaufnahme der TLS-Sitzung, indem Sie die Einstellung festlegen. `TlsSessionResumptionMode = ENFORCED`
**Anmerkung**
Dies ist der empfohlene Modus, da er erhöhte Sicherheit bietet:
Erfordert, dass Clients die TLS-Sitzungswiederaufnahme für nachfolgende Verbindungen verwenden.
Bietet stärkere Sicherheitsgarantien, indem konsistente Verschlüsselungsparameter gewährleistet werden.
Hilft, potenzielle Downgrade-Angriffe zu verhindern.
Sorgt für die Einhaltung der Sicherheitsstandards und optimiert gleichzeitig die Leistung.
+ Wenn möglich, sollten Sie auf die Verwendung eines NLB verzichten, um die AWS Transfer Family Leistungs- und Verbindungslimits voll auszunutzen.
Wenn Sie weitere Informationen zu NLB-Alternativen benötigen, wenden Sie sich über den AWS Support an das AWS Transfer Family Produktmanagement-Team. Weitere Informationen zur Verbesserung Ihres Sicherheitsstatus finden Sie im Blogbeitrag [Sechs Tipps zur Verbesserung der Sicherheit Ihres AWS Transfer Family Servers](https://aws.amazon.com/blogs/security/six-tips-to-improve-the-security-of-your-aws-transfer-family-server/).
## Sicherheit der VPC-Konnektivität und der Infrastruktur
SFTP-Konnektoren mit VPC-Ausgangstyp bieten verbesserte Infrastruktursicherheit durch Netzwerkisolierung und private Konnektivität:
### Vorteile der Netzwerkisolierung
+ **Privater Netzwerkverkehr: Der** gesamte Connector-Traffic zu privaten SFTP-Servern verbleibt innerhalb Ihrer VPC und durchquert niemals das öffentliche Internet.
+ **Kontrollierter Ausgang**: Bei öffentlichen Endpunkten, auf die über VPC zugegriffen wird, wird der Datenverkehr über Ihre NAT-Gateways geleitet, sodass Sie die Kontrolle über ausgehende IP-Adressen und Netzwerkrichtlinien haben.
+ **VPC-Sicherheitskontrollen**: Nutzen Sie bestehende VPC-Sicherheitsgruppen, Netzwerk- und Routingtabellen ACLs, um den Netzwerkzugriff der Connectoren zu kontrollieren.
+ **Hybride Konnektivität**: Greifen Sie über etablierte VPN- oder Direct Connect-Verbindungen ohne zusätzliche Internetverbindung auf lokale SFTP-Server zu.
### Überlegungen zur Sicherheit von Resource Gateway
Resource Gateways bieten sichere Eingangspunkte für den VPC-übergreifenden Ressourcenzugriff:
+ **Multi-AZ-Bereitstellung**: Resource Gateways benötigen Subnetze in mindestens zwei Availability Zones, um hohe Verfügbarkeit und Fehlertoleranz zu gewährleisten.
+ **Kontrollen für Sicherheitsgruppen**: Konfigurieren Sie Sicherheitsgruppen so, dass der Zugriff auf SFTP-Ports (normalerweise Port 22) nur von autorisierten Quellen aus eingeschränkt wird.
+ **Platzierung privater Subnetze**: Stellen Sie Resource Gateways in privaten Subnetzen bereit, wenn Sie eine Verbindung zu privaten SFTP-Servern herstellen, um die Netzwerkisolierung aufrechtzuerhalten.
+ **Verbindungslimits**: Jedes Resource Gateway unterstützt bis zu 350 gleichzeitige Verbindungen mit einem Leerlaufzeitlimit von 350 Sekunden für TCP-Verbindungen.
# Fügen Sie eine Firewall für Webanwendungen hinzu
AWS WAF ist eine Firewall für Webanwendungen, die zum Schutz von Webanwendungen und APIs vor Angriffen beiträgt. Sie können damit eine Reihe von Regeln konfigurieren, die als *Web Access Control List (Web* ACL) bezeichnet werden und Webanfragen auf der Grundlage von anpassbaren Websicherheitsregeln und -bedingungen, die Sie definieren, zulassen, blockieren oder zählen. Weitere Informationen finden Sie unter [Verwenden AWS WAF zum Schutz Ihres APIs](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html).
**Um hinzuzufügen AWS WAF**
1. Öffnen Sie die API Gateway Gateway-Konsole unter [https://console.aws.amazon.com/apigateway/](https://console.aws.amazon.com/apigateway/).
1. Wählen Sie im **APIs**Navigationsbereich Ihre benutzerdefinierte Identitätsanbieter-Vorlage aus.
1. Wählen Sie **Stages**.
1. Wählen Sie im Bereich **Stages** den Namen der Stufe aus.
1. Wählen Sie im Bereich **Stage Editor** die Registerkarte **Settings**.
1. Führen Sie eine der folgenden Aktionen aus:
+ Wählen Sie unter **Web Application Firewall (WAF)** für **Web ACL** die Web-ACL aus, die Sie dieser Phase zuordnen möchten.
+ Wenn die von Ihnen benötigte Web-ACL nicht existiert, müssen Sie eine erstellen, indem Sie wie folgt vorgehen:
1. Wählen Sie **Web-ACL erstellen**.
1. Wählen Sie auf der Startseite des AWS WAF-Service die Option **Web-ACL erstellen** aus.
1. Geben Sie **unter Web-ACL-Details** für **Name** den Namen der Web-ACL ein.
1. Wählen Sie unter **Regeln** die Option **Regeln hinzufügen** und anschließend **Meine eigenen Regeln und Regelgruppen hinzufügen** aus.
1. Wählen Sie unter **Regeltyp** die Option IP-Set aus, um eine bestimmte Liste von IP-Adressen zu identifizieren.
1. Geben Sie unter **Regel** den Namen der Regel ein.
1. Wählen Sie für **IP-Set** einen vorhandenen IP-Satz aus. Informationen zum Erstellen eines IP-Sets finden Sie unter [Einen IP-Satz erstellen](https://docs.aws.amazon.com/waf/latest/developerguide/waf-ip-set-creating.html).
1. Wenn Sie die **IP-Adresse als ursprüngliche Adresse verwenden möchten**, wählen Sie **im Header die Option IP-Adresse** aus.
1. Geben Sie als **Namen des Header-Felds** ein`SourceIP`.
1. Wählen Sie für **Position im Header** die Option **Erste IP-Adresse** aus.
1. Wählen Sie **für Fallback bei fehlender IP-Adresse** die Option **Match** oder **No Match**, je nachdem, wie Sie mit einer ungültigen (oder fehlenden) IP-Adresse im Header umgehen möchten.
1. Wählen Sie unter **Aktion** die Aktion des IP-Sets aus.
1. Wählen Sie für **Standard-Web-ACL-Aktion für Anfragen, die keiner Regel entsprechen**, die Option **Zulassen** oder **Blockieren** aus und klicken Sie dann auf **Weiter**.
1. Wählen Sie für die Schritte 4 und 5 **Weiter** aus.
1. **Überprüfen Sie unter Überprüfen und erstellen** Ihre Auswahl und wählen Sie dann **Web-ACL erstellen** aus.
1. Wählen Sie **Save Changes**.
1. Wählen Sie **Resources** aus.
1. Wählen Sie für **Aktionen** die Option **Deploy API** aus.
Informationen zur Sicherheit von Transfer Family mit AWS Web Application Firewall finden Sie unter [Securing Transfer Family with AWS Application Firewall und Amazon API Gateway](https://aws.amazon.com/blogs/storage/securing-aws-transfer-family-with-aws-web-application-firewall-and-amazon-api-gateway/) im AWS Speicher-Blog.
# Serviceübergreifende Confused-Deputy-Prävention
Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. Bei AWS dienststellenübergreifendem Identitätswechsel kann es zu einem Problem mit verwirrtem Stellvertreter kommen. Ein serviceübergreifender Identitätswechsel kann auftreten, wenn ein Service (der *Anruf-Service*) einen anderen Service anruft (den *aufgerufenen Service*). Der anrufende Service kann so manipuliert werden, dass er seine Berechtigungen nutzt, um auf die Ressourcen eines anderen Kunden in einer Weise zu reagieren, für die er sonst keine Zugriffsberechtigung hätte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben. Eine ausführliche Beschreibung dieses Problems finden Sie im *IAM-Benutzerhandbuch* unter [The Confused Deputy Problem](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die AWS Transfer Family für die Ressource hat. Wenn Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in derselben Richtlinienanweisung verwendet werden.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des exakten Amazon-Ressourcennamens (ARN) der Ressource, die Sie zulassen möchten. Wenn Sie mehrere Ressourcen angeben, verwenden Sie den `aws:SourceArn` globalen Kontextbedingungsschlüssel mit Platzhalterzeichen (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:transfer::region::account-id:server/*`.
AWS Transfer Family verwendet die folgenden Rollentypen:
+ **Benutzerrolle** — Ermöglicht dienstverwalteten Benutzern den Zugriff auf die erforderlichen Transfer Family Family-Ressourcen. AWS Transfer Family übernimmt diese Rolle im Kontext eines Transfer Family Family-Benutzer-ARN.
+ **Zugriffsrolle** — Ermöglicht den Zugriff nur auf die Amazon S3 S3-Dateien, die übertragen werden. Für eingehende AS2 Übertragungen verwendet die Zugriffsrolle den Amazon-Ressourcennamen (ARN) für die Vereinbarung. Für ausgehende AS2 Übertragungen verwendet die Zugriffsrolle den ARN für den Connector.
+ **Aufrufrolle** — Zur Verwendung mit Amazon API Gateway als benutzerdefiniertem Identitätsanbieter des Servers. Transfer Family übernimmt diese Rolle im Kontext eines Transfer Family Family-Servers ARN.
+ **Rolle „Protokollierung**“ — Wird verwendet, um Einträge bei Amazon zu protokollieren CloudWatch. Transfer Family verwendet diese Rolle, um Erfolgs- und Fehlschlagsdetails sowie Informationen zu Dateiübertragungen zu protokollieren. Transfer Family übernimmt diese Rolle im Kontext eines Transfer Family Family-Servers ARN. Für ausgehende AS2 Übertragungen verwendet die Protokollierungsrolle den Connector-ARN.
+ **Ausführungsrolle** — Ermöglicht einem Transfer Family Family-Benutzer das Aufrufen und Starten von Workflows. Transfer Family übernimmt diese Rolle im Zusammenhang mit einem Transfer Family Family-Workflow-ARN.
Weitere Informationen finden Sie unter [Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *-IAM-Benutzerhandbuch*.
**Anmerkung**
Ersetzen Sie in den folgenden Beispielen jedes Beispiel *user input placeholder* durch Ihre eigenen Informationen.
**Anmerkung**
In unseren Beispielen verwenden wir `ArnLike` sowohl als auch`ArnEquals`. Sie sind funktionell identisch, weshalb Sie beide verwenden können, wenn Sie Ihre Richtlinien erstellen. Die Dokumentation Transfer Family verwendet`ArnLike`, wenn die Bedingung ein Platzhalterzeichen enthält, und `ArnEquals` um eine exakte Übereinstimmungsbedingung anzugeben.
## AWS Transfer Family Benutzerrolle dienstübergreifend verwirrter Stellvertreter Prävention
Die folgende Beispielrichtlinie ermöglicht es jedem Benutzer eines beliebigen Servers im Konto, die Rolle zu übernehmen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:us-east-1:123456789012:user/*"
}
}
}
]
}
```
Die folgende Beispielrichtlinie ermöglicht es jedem Benutzer eines bestimmten Servers, die Rolle zu übernehmen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:transfer:us-east-1:123456789012:user/server-id/*"
}
}
}
]
}
```
Die folgende Beispielrichtlinie ermöglicht es einem bestimmten Benutzer eines bestimmten Servers, die Rolle zu übernehmen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:us-east-1:123456789012:user/server-id/user-name"
}
}
}
]
}
```
## AWS Transfer Family Arbeitsablauf Rolle dienstübergreifend verwirrt stellvertretend Prävention
Mit der folgenden Beispielrichtlinie kann jeder Workflow im Konto diese Rolle übernehmen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:us-west-2:111122223333:workflow/*"
}
}
}
]
}
```
Die folgende Beispielrichtlinie ermöglicht es einem bestimmten Workflow, die Rolle zu übernehmen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:us-west-2:111122223333:workflow/workflow-id"
}
}
}
]
}
```
## AWS Transfer Family Konnektor Rolle dienstübergreifend verwirrt stellvertretend Prävention
Die folgende Beispielrichtlinie ermöglicht es jedem Connector im Konto, diese Rolle zu übernehmen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:us-east-1:123456789012:connector/*"
}
}
}
]
}
```
Die folgende Beispielrichtlinie ermöglicht es einem bestimmten Connector, die Rolle zu übernehmen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:transfer:us-east-1:123456789012:connector/connector-id"
}
}
}
]
}
```
## AWS Transfer Family Familienprotokollierung und Anrufrolle dienstübergreifend verwirrte Stellvertreterprävention
**Anmerkung**
Die folgenden Beispiele können sowohl für Protokollierungs- als auch für Aufrufrollen verwendet werden.
In diesen Beispielen können Sie die ARN-Details für einen Workflow entfernen, wenn an Ihren Server keine Workflows angehängt sind.
Die folgende logging/invocation Beispielrichtlinie ermöglicht es jedem Server (und Workflow) im Konto, die Rolle zu übernehmen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllServersWithWorkflowAttached",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:transfer:us-west-2:111122223333:server/*",
"arn:aws:transfer:us-west-2:111122223333:workflow/*"
]
}
}
}
]
}
```
Die folgende logging/invocation Beispielrichtlinie ermöglicht es einem bestimmten Server (und Workflow), die Rolle zu übernehmen.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSpecificServerWithWorkflowAttached",
"Effect": "Allow",
"Principal": {
"Service": "transfer.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:transfer:us-west-2:111122223333:server/server-id",
"arn:aws:transfer:us-west-2:111122223333:workflow/workflow-id"
]
}
}
}
]
}
```
# AWS verwaltete Richtlinien für AWS Transfer Family
Um Benutzern, Gruppen und Rollen Berechtigungen hinzuzufügen, ist es einfacher, AWS verwaltete Richtlinien zu verwenden, als Richtlinien selbst zu schreiben. Es erfordert Zeit und Fachwissen, [kundenverwaltete AWS Identity and Access Management (IAM) Richtlinien zu erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html), die Ihrem Team nur die Berechtigungen gewähren, die es benötigt. Um schnell loszulegen, können Sie unsere AWS verwalteten Richtlinien verwenden. Diese Richtlinien decken allgemeine Anwendungsfälle ab und sind in Ihrem AWS-Konto verfügbar. Weitere Informationen zu verwalteten AWS -Richtlinien finden Sie unter [Verwaltete AWS -Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Leitfaden*. Eine detaillierte Liste aller AWS verwalteten Richtlinien finden Sie im [Referenzhandbuch für AWS verwaltete Richtlinien](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Services fügen einer von AWS verwalteten Richtlinien gelegentlich zusätzliche Berechtigungen hinzu, um neue Features zu unterstützen. Diese Art von Update betrifft alle Identitäten (Benutzer, Gruppen und Rollen), an welche die Richtlinie angehängt ist. Services aktualisieren eine von AWS verwaltete Richtlinie am ehesten, ein neues Feature gestartet wird oder neue Vorgänge verfügbar werden. Dienste entfernen keine Berechtigungen aus einer AWS verwalteten Richtlinie, sodass durch Richtlinienaktualisierungen Ihre bestehenden Berechtigungen nicht beeinträchtigt werden.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die `ReadOnlyAccess` AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in [Verwaltete AWS -Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Leitfaden*.
## AWS verwaltete Richtlinie: AWSTransfer ConsoleFullAccess
Die `AWSTransferConsoleFullAccess` Richtlinie bietet vollen Zugriff auf Transfer Family über die AWS Management Console. Weitere Informationen finden Sie unter [Dienstbezogene Rolle für AWS Transfer Family](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSTransferConsoleFullAccess.html).
## AWS verwaltete Richtlinie: AWSTransfer FullAccess
Die `AWSTransferFullAccess` Richtlinie bietet vollen Zugriff auf die Dienste von Transfer Family. Weitere Informationen finden Sie unter [Dienstbezogene Rolle für AWS Transfer Family](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSTransferFullAccess.html).
## AWS verwaltete Richtlinie: AWSTransfer LoggingAccess
Die `AWSTransferLoggingAccess` Richtlinie gewährt AWS Transfer Family vollen Zugriff, um Protokollstreams und Gruppen zu erstellen und Protokollereignisse in Ihrem Konto zu speichern. Weitere Informationen finden Sie unter [Dienstbezogene Rolle für AWS Transfer Family](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSTransferLoggingAccess.html).
## AWS verwaltete Richtlinie: AWSTransfer ReadOnlyAccess
Die `AWSTransferReadOnlyAccess` Richtlinie bietet Lesezugriff auf die Transfer Family Family-Dienste. Weitere Informationen finden Sie unter [Dienstbezogene Rolle für AWS Transfer Family](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSTransferReadOnlyAccess.html).
## AWS Familienupdates auf AWS verwaltete Richtlinien übertragen
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für AWS Transfer Family an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Um automatische Warnungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der [Dokumentenverlauf für AWS Transfer Family](doc-history.md)-Seite.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| Aktualisierung der Dokumentation | Es wurden Abschnitte für jede der von Transfer Family verwalteten Richtlinien hinzugefügt. | 27. Januar 2022 |
| [AWSTransferReadOnlyAccess](#security-iam-awsmanpol-transferreadonlyaccess) – Aktualisierung auf eine bestehende Richtlinie | AWS Transfer Family hat neue Berechtigungen hinzugefügt, damit die Richtlinie gelesen werden kann AWS Managed Microsoft AD. | 30. September 2021 |
| AWS Transfer Family hat begonnen, Änderungen zu verfolgen | AWS Transfer Family begann, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 15. Juni 2021 |