本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 SFTP、FTPS 或 FTP 伺服器端點
本主題提供使用一或多個 SFTP、FTPS 和 FTP 通訊協定建立和使用 AWS Transfer Family 伺服器端點的詳細資訊。
**Topics**
+ [身分提供者選項](#identity-provider-details)
+ [AWS Transfer Family 端點類型矩陣](#endpoint-matrix)
+ [設定 SFTP、FTPS 或 FTP 伺服器端點](tf-server-endpoint.md)
+ [FTP 和 FTPS Network Load Balancer 考量事項](#ftp-ftps-nlb-considerations)
+ [使用用戶端透過伺服器端點傳輸檔案](transfer-file.md)
+ [管理伺服器端點的使用者](create-user.md)
+ [使用邏輯目錄來簡化 Transfer Family 目錄結構](logical-dir-mappings.md)
+ [使用 Transfer 系列存取 FSx for NetApp ONTAP 檔案系統](fsx-s3-access-points.md)
## 身分提供者選項
AWS Transfer Family 提供多種方法來驗證和管理使用者。下表比較您可以與 Transfer Family 搭配使用的可用身分提供者。
| Action | AWS Transfer Family 服務受管 | AWS Managed Microsoft AD | Amazon API Gateway | AWS Lambda |
| --- | --- | --- | --- | --- |
| 支援的通訊協定 | SFTP | SFTP、FTPS、FTP | SFTP、FTPS、FTP | SFTP、FTPS、FTP |
| 金鑰型身分驗證 | 是 | 否 | 是 | 是 |
| 密碼身分驗證 | 否 | 是 | 是 | 是 |
| AWS Identity and Access Management (IAM) 和 POSIX | 是 | 是 | 是 | 是 |
| 邏輯主目錄 | 是 | 是 | 是 | 是 |
| 參數化存取 (以使用者名稱為基礎) | 是 | 是 | 是 | 是 |
| 臨機操作存取結構 | 是 | 否 | 是 | 是 |
| AWS WAF | 否 | 否 | 是 | 否 |
備註:
+ IAM 用於控制 Amazon S3 後端儲存的存取,POSIX 用於 Amazon EFS。
+ *臨機操作*是指在執行時間傳送使用者設定檔的能力。例如,您可以透過將使用者名稱做為變數傳遞,將使用者登陸其主目錄中。
+ 如需 的詳細資訊 AWS WAF,請參閱 [新增 Web 應用程式防火牆](web-application-firewall.md)。
+ 有一篇部落格文章說明使用與 Microsoft Entra ID (先前稱為 Azure AD) 整合的 Lambda 函數做為 Transfer Family 身分提供者。如需詳細資訊,請參閱[AWS Transfer Family 使用 Azure Active Directory 向 驗證 和 AWS Lambda](https://aws.amazon.com/blogs/storage/authenticating-to-aws-transfer-family-with-azure-active-directory-and-aws-lambda/)。
+ 我們提供數種 CloudFormation 範本,協助您快速部署使用自訂身分提供者的 Transfer Family 伺服器。如需詳細資訊,請參閱[Lambda 函數範本](custom-lambda-idp.md#lambda-idp-templates)。
在下列程序中,您可以建立啟用 SFTP 的伺服器、啟用 FTPS 的伺服器、啟用 FTP 的伺服器或AS2-enabled伺服器。
**下一步驟**
+ [建立啟用 SFTP 的伺服器](create-server-sftp.md)
+ [建立啟用 FTPS 的伺服器](create-server-ftps.md)
+ [建立啟用 FTP 的伺服器](create-server-ftp.md)
+ [設定 AS2](create-b2b-server.md)
## AWS Transfer Family 端點類型矩陣
當您建立 Transfer Family 伺服器時,您可以選擇要使用的端點類型。下表說明每種端點類型的特性。
**端點類型矩陣**
| 特性 | 公有 | VPC - 網際網路 | VPC - 內部 | VPC\_Endpoint (已棄用) |
| --- | --- | --- | --- | --- |
| 支援的通訊協定 | SFTP | SFTP、FTPS、AS2 | SFTP、FTP、FTPS、AS2 | SFTP |
| 存取 | 透過網際網路從 。此端點類型不需要 VPC 中的任何特殊組態。 | 透過網際網路以及 VPC 和 VPC 連線環境內的 ,例如透過 Direct Connect 或 VPN 的現場部署資料中心。 | 從 VPC 和 VPC 連線環境內,例如透過 Direct Connect 或 VPN 的現場部署資料中心。 | 從 VPC 和 VPC 連線環境內,例如透過 Direct Connect 或 VPN 的現場部署資料中心。 |
| 靜態 IP 地址 | 您無法連接靜態 IP 地址。 AWS 提供可能變更的 IP 地址。 | 您可以將彈性 IP 地址連接至端點。這些可以是 擁有 AWS的 IP 地址或您自己的 IP 地址 ([使用您自己的 IP 地址](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-byoip.html))。連接到端點的彈性 IP 地址不會變更。
連接到伺服器的私有 IP 地址也不會變更。 | 連接至端點的私有 IP 地址不會變更。 | 連接至端點的私有 IP 地址不會變更。 |
| 來源 IP 允許清單 | 此端點類型不支援依來源 IP 地址的允許清單。
端點可公開存取,並接聽透過連接埠 22 的流量。 對於 VPC 託管的端點,SFTP Transfer Family 伺服器可以透過連接埠 22 (預設值)、2222、2223 或 22000 操作。 | 若要允許依來源 IP 地址存取,您可以使用連接至伺服器端點的安全群組,以及連接至端點所在子網路的網路 ACLs。 | 若要依來源 IP 地址允許存取,您可以使用連接至伺服器端點的安全群組,以及連接至端點所在子網路的網路存取控制清單 (網路 ACLs)。 | 若要允許依來源 IP 地址存取,您可以使用連接至伺服器端點的安全群組,以及連接至端點所在子網路的網路 ACLs。 |
| 用戶端防火牆允許清單 | 您必須允許伺服器的 DNS 名稱。
由於 IP 地址可能會有所變更,請避免將 IP 地址用於用戶端防火牆允許清單。 | 您可以允許伺服器的 DNS 名稱或連接到伺服器的彈性 IP 地址。 | 您可以允許私有 IP 地址或端點的 DNS 名稱。 | 您可以允許私有 IP 地址或端點的 DNS 名稱。 |
| IP 地址類型 | IPv4 (預設) 或雙堆疊 (IPv4 和 IPv6) | 僅限 IPv4 (不支援雙堆疊) | IPv4 (預設) 或雙堆疊 (IPv4 和 IPv6) | 僅限 IPv4 (不支援雙堆疊) |
**注意**
`VPC_ENDPOINT` 端點類型現在已棄用,無法用於建立新伺服器。不使用 `EndpointType=VPC_ENDPOINT`,請使用 VPC 端點類型 (`EndpointType=VPC`),您可以將其用作**內部**或**網際網路面向**,如上表所述。
如需棄用的詳細資訊,請參閱 [停止使用 VPC\_ENDPOINT您可以使用 Transfer Family 主控台、API AWS CLI、 SDKs或 變更伺服器的端點類型 CloudFormation。若要變更伺服器的端點類型,請參閱 [將 AWS Transfer Family 伺服器端點類型從 VPC\_ENDPOINT 更新為 VPC](update-endpoint-type-vpc.md)。](create-server-in-vpc.md#deprecate-vpc-endpoint)。
如需管理 VPC 端點許可的資訊,請參閱 [限制 Transfer Family 伺服器的 VPC 端點存取](create-server-in-vpc.md#limit-vpc-endpoint-access)。
請考慮下列選項,以提高伺服器 AWS Transfer Family 的安全狀態:
+ 使用具有內部存取權的 VPC 端點,以便只有 VPC 或 VPC 連線環境中的用戶端才能存取伺服器,例如透過 Direct Connect 或 VPN 的現場部署資料中心。
+ 若要允許用戶端透過網際網路存取端點並保護您的伺服器,請使用具有面向網際網路存取的 VPC 端點。然後,修改 VPC 的安全群組,僅允許來自託管使用者用戶端之特定 IP 地址的流量。
+ 如果您需要密碼型身分驗證,並搭配伺服器使用自訂身分提供者,則最佳實務是密碼政策可防止使用者建立較弱的密碼,並限制失敗的登入嘗試次數。
+ AWS Transfer Family 是受管服務,因此不提供 shell 存取。您無法直接存取基礎 SFTP 伺服器,以在 Transfer Family 伺服器上執行作業系統原生命令。
+ 在具有內部存取權的 VPC 端點前使用 Network Load Balancer。將負載平衡器上的接聽程式連接埠從連接埠 22 變更為不同的連接埠。這可以降低但不能消除連接埠掃描器和機器人探測伺服器的風險,因為連接埠 22 最常用於掃描。如需詳細資訊,請參閱部落格文章 [Network Load Balancer 現在支援安全群組](https://aws.amazon.com/blogs/containers/network-load-balancers-now-support-security-groups/)。
**注意**
如果您使用 Network Load Balancer, AWS Transfer Family CloudWatch 日誌會顯示 NLB 的 IP 地址,而不是實際的用戶端 IP 地址。
## FTP 和 FTPS Network Load Balancer 考量事項
雖然我們建議避免在 AWS Transfer Family 伺服器前面使用 Network Load Balancer,但如果您的 FTP 或 FTPS 實作需要用戶端通訊路由中的 NLB 或 NAT,請遵循下列建議:
+ 對於 NLB,請使用連接埠 21 進行運作狀態檢查,而不是連接埠 8192-8200。
+ 對於 AWS Transfer Family 伺服器,請設定 來啟用 TLS 工作階段恢復`TlsSessionResumptionMode = ENFORCED`。
**注意**
這是建議的模式,因為它提供增強的安全性:
要求用戶端對後續連線使用 TLS 工作階段恢復。
透過確保一致的加密參數,提供更強大的安全性保證。
有助於防止潛在的降級攻擊。
保持符合安全標準,同時最佳化效能。
+ 如果可能,請遷移至不使用 NLB,以充分利用 AWS Transfer Family 效能和連線限制。
如需 NLB 替代方案的其他指引,請透過 AWS Support 聯絡 AWS Transfer Family 產品管理團隊。如需改善安全狀態的詳細資訊,請參閱部落格文章 [六個改善 AWS Transfer Family 伺服器安全性的秘訣](https://aws.amazon.com/blogs/security/six-tips-to-improve-the-security-of-your-aws-transfer-family-server/)。
中提供了 NLBs的安全指引[避免將 NLBs和 NATs放在 AWS Transfer Family 伺服器前面](infrastructure-security.md#nlb-considerations)。