一般性问题
问:什么是 Amazon Transfer Family?
Amazon Transfer Family 为通过 SFTP、AS2、FTPS 和 FTP 直接传入和传出 Amazon S3 和 Amazon EFS 的文件传输提供完全托管的支持。通过维护用于身份验证、访问和防火墙的现有客户端配置,您可以无缝迁移、自动执行和监控文件传输工作流程,因此您的客户、合作伙伴、内部团队或其应用程序没有任何变化。
问:什么是 SFTP?
答:SFTP 代表安全外壳 (SSH) 文件传输协议,这是一种用于通过互联网安全传输数据的网络协议。该协议支持 SSH 的全面安全和身份验证功能,可广泛用于在金融服务、医疗保健、媒体和娱乐、零售、广告等各个行业的业务合作伙伴之间交换数据。
问:什么是 FTP?
答:FTP 代表文件传输协议,一种用于传输数据的网络协议。FTP 使用单独的渠道进行控制和数据传输。控制渠道一直处于打开状态,直到终止或不活动超时,数据渠道在传输期间处于活动状态。FTP 使用明文,不支持对流量进行加密。
问:什么是 FTPS?
答:FTPS 代表通过 SSL 的文件传输协议,是 FTP 的扩展。它使用传输层安全性 (TLS) 和安全套接字层 (SSL) 加密协议来加密流量。FTPS 允许同时或独立地对控制和数据渠道连接进行加密。
问:什么是 AS2?
答:AS2 代表 Applicability Statement 2(适用性声明 2),是一种网络协议,通过公共互联网基于 HTTP/HTTPS(或任何 TCP/IP 网络)安全可靠地传输企业对企业数据。
问:什么是连接器?
答:Amazon Transfer Family 连接器用于连接到外部托管的服务器,并将文件直接传输到 Amazon 存储服务或从 Amazon 存储服务传输文件。客户可以使用 SFTP 连接器连接到外部 SFTP 服务器,也可以使用 AS2 连接器连接到外部 AS2 服务器。
问:我为什么应该使用 Amazon Transfer Family?
答:今天,如果您在使用文件传输协议(如 SFTP、AS2、FTPS 或 FTP)与供应商、业务合作伙伴或客户等第三方交换数据,并希望管理这些数据以进行处理、分析和存档,则必须托管和管理您自己的文件传输服务。这要求您在操作和管理基础设施、修补服务器、监控正常运行时间和可用性以及构建一次性机制以预置用户和审核其活动方面进行投资。Amazon Transfer Family 通过为 SFTP、AS2、FTPS 和 FTP 提供完全托管的支持来解决这些难题,这可以减轻您的运营负担,同时为最终用户保留现有的传输工作流程。该服务将传输的数据作为对象存储在 Amazon S3 存储桶中,或作为文件存储在 Amazon EFS 文件系统中,以便您可以在数据湖中、或者为了进行客户关系管理(CRM)或企业资源规划(ERP)工作流程或存档而从中提取价值。
问:Amazon Transfer Family 有哪些好处?
答:Amazon Transfer Family 为您提供了具有自动扩展功能的完全托管、高度可用的文件传输服务,无需管理与文件传输相关的基础设施。您的最终用户的工作流程保持不变,而通过所选协议上传和下载的数据将存储在 Amazon S3 存储桶或 Amazon EFS 文件系统中。借助亚马逊云科技中的数据,您现在可以在一个能够满足合规性要求的环境中,将其与各种亚马逊云科技服务结合使用,以便进行数据处理、内容管理、分析、机器学习和存档。
问:如何使用适用于 SFTP、FTPS 或 FTP 服务器端点的 Amazon Transfer Family?
答:只需 3 个简单的步骤,您就可以获得启用了 SFTP、FTPS 和/或 FTP 的始终在线的服务器端点。首先,选择要使最终用户能够连接到终端节点的协议。接下来,您可以使用服务的内置身份验证(服务托管)或通过集成 Microsoft Active Directory 或 LDAP(“BYO”身份验证)等现有身份提供商来设置用户。最后,您可以选择使用服务器访问 S3 存储桶还是 EFS 文件系统。启用协议、身份提供商和对文件系统的访问后,用户可以继续使用现有的 SFTP、FTPS 或 FTP 客户端和配置,而访问的数据将存储在选定的文件系统中。
问:如何开始使用适用于 AS2 的 Amazon Transfer Family?
答:您可以通过三个简单步骤开始使用 AS2 与您的贸易伙伴交换消息:首先,导入您的证书和私有密钥以及贸易伙伴的证书和证书链。接下来,使用您和合作伙伴的 AS2 ID 创建配置文件。最后,使用用于接收数据的协议和用于发送数据的连接器,将您自己和合作伙伴的配置文件信息配对。此时,您已准备好与贸易伙伴的 AS2 服务器交换消息。
问:如何开始使用 Amazon Transfer Family SFTP 连接器?
答:您可以通过两个简单的步骤开始使用 SFTP 连接器在远程 SFTP 服务器和 Amazon S3 之间复制文件:首先,通过提供连接配置(例如远程服务器的地址和身份验证凭证)创建一个连接器。接下来,通过在调用 StartFileTransfer API 时提供源文件路径和目标文件路径来调用文件传输操作,以使用连接器将文件复制到远程服务器或从远程服务器复制文件。要了解更多信息,请访问 SFTP 连接器文档。
问:SFTP 与 FTPS 之间有何区别? 我应该何时使用哪一个协议?
答:FTPS 和 SFTP 都可以用于安全传输。由于它们是不同的协议,它们使用不同的客户端和技术来提供用于传输命令和数据的安全隧道。SFTP 是一个较新的协议,它对命令和数据使用单一渠道,需要打开的端口少于 FTPS。
问:SFTP、FTPS 和 AS2 协议之间有何区别? 我应该在何时使用 AS2 协议?
答:SFTP、FTPS 和 AS2 都可以用于安全传输。由于它们是不同的协议,它们使用不同的客户端和技术来提供安全数据传输。除了支持加密和签名的消息外,AS2 的内置消息处置通知(MDN)机制会提醒发件人消息已被收件人成功接收和解密。这为发件人提供了证据,证明其消息在传输过程中未被篡改。在零售、电子商务、支付、供应链的运营工作流中,AS2 的应用非常广泛,可用于与贸易合作伙伴进行交互,他们也能够使用 AS2 来处理消息,以便安全地传输和传递该消息。AS2 为您提供各种选项来确保发送者和接收者身份的安全、消息的完整性,以及确认消息是否已成功传送并由接收者解密。
问:我的用户是否能继续使用现有的文件传输客户端和应用程序?
答:能,只要您为所选协议启用了终端节点,任何现有的文件传输客户端应用程序都将继续工作。常用客户端的示例包括 WinSCP、FileZilla、CyberDuck、lftp 和 OpenSSH 客户端。
问:我是否能使用 CloudFormation 自动部署我的服务器、用户以及连接器?
答:能,您可以部署 CloudFormation 模板来自动创建服务器和用户或集成身份提供商,也可以自动创建连接器。有关在 CloudFormation 模板中使用传输资源的信息,请参阅使用指南。
问:我的用户是否能使用 SCP 或 HTTPS 来使用此服务传输文件?
答:不能,您的用户需要使用 SFTP、FTPS、FTP 或 AS2 来传输文件。大多数文件传输客户端都提供这些协议之一来作为需要在身份验证期间选择的选项。请通过支持部门或您的客户团队告诉我们您希望获得支持的任何特定协议。
服务器终端节点选项
问:我是否能使用我的公司域名 (sftp.mycompanyname.com) 访问我的终端节点?
答:是。如果您已经拥有域名,则可以使用 Amazon Route 53 或任何 DNS 服务将用户的流量从注册域路由到其中的服务器端点。请参阅有关 Amazon Transfer Family 如何将 Amazon Route 53 用于自定义域名的文档(仅适用于面向互联网的端点)。
问:如果我没有域名,我是否还能使用该服务?
答:是,如果您没有域名,您的用户可以使用该服务提供的主机名访问您的终端节点。或者,您可以使用 Amazon Route 53 控制台或 API 注册新域,然后将流量从该域路由到服务提供的终端节点主机名。
问:我是否可以使用已经有公共区域的域?
答:是,您需要将域记录到服务提供的端点主机名。
问:我是否能将服务器设置为只允许 VPC 内的资源访问?
答:是。当您创建服务器或更新现有服务器时,您可以选择指定是希望端点可通过公共互联网访问还是托管在 VPC 内。通过为服务器使用 VPC 托管端点,您可以将其限制为仅可供同一 VPC 内的客户端、您指定的其他 VPC 中的客户端或在使用可扩展 VPC 的网络技术(如 Direct Connect、VPN 或 VPC 对等连接)的本地环境中的客户端访问该端点。您可以使用子网网络访问控制列表(NACL)或安全组进一步限制对 VPC 内特定子网中的资源的访问。有关详细信息,请参阅有关使用 PrivateLink 在 VPC 内创建服务器端点的文档。
问:我是否能将 FTP 与面向互联网的终端节点一起使用?
否,启用 FTP 后,您将只能使用 VPC 托管终端节点的内部访问选项。如果流量需要通过公共网络,则应使用 SFTP 或 FTPS 等安全协议。
问:如果我需要使用 FTP 在公共互联网上进行传输,该怎么办?
该服务不允许您在公共网络上使用 FTP,因为当您创建启用了 FTP 的服务器时,只有 VPC 中的资源才能访问服务器端点。如果您需要使用 FTP 在公共互联网上交换数据,则可以使用面向互联网的网络负载均衡器(NLB)将服务器的 VPC 端点置于前端。
问:我是否能在没有 VPC 的情况下使用 FTP?
不能。需要 VPC 来托管 FTP 服务器终端节点。请参阅 CloudFormation 模板的文档,以便在服务器创建期间自动创建 VPC 资源来托管端点。
问:最终用户是否可以使用固定 IP 地址来允许列表在其防火墙中访问我的服务器端点?
答:是。您可以通过为服务器选择 VPC 托管终端节点和选择面向互联网的选项,为服务器终端节点启用固定 IP。这将允许您将弹性 IP(包括 BYO IP)直接附加到终端节点,该 IP 将被分配为终端节点的 IP 地址。请参阅文档中有关创建面向互联网的端点的部分:在 VPC 内创建服务器端点。
问:我是否能按最终用户的源 IP 地址限制传入流量?
答:是。您可以将安全组附加到服务器的 VPC 端点,该端点将控制到服务器的入站流量。 如果您使用 API Gateway 集成身份管理系统,则还可以使用 WAF 按最终用户的源 IP 地址允许、阻止或对访问进行速率限制。
问:我是否能在共享 VPC 环境中托管服务器的端点?
答:是。您可以使用诸如登陆区之类的工具通过分割环境时通常使用的共享 VPC 环境部署您的服务器端点,以实现安全性、成本监控和可扩展性。
问:当最终用户客户端连接到我的服务器端点时,我是否能够选择可以使用哪种加密算法?
答:是。根据您的安全和合规性要求,您可以选择我们其中一种可用的服务托管安全策略,来控制服务器端点将公布的加密算法。当最终用户的文件传输功能客户端尝试连接到服务器时,只有策略中指定的算法可以用于协商连接。请参阅有关预定义安全策略的文档。
问:Amazon Transfer Family 是否支持量子安全密钥交换?
答:是。Amazon Transfer Family 支持适用于 SFTP 文件传输功能的量子安全公钥交换。您可以将其中一种预定义混合 PQ 安全策略与 SFTP 服务器相关联,从而与支持量子安全加密的客户端进行量子安全密钥交换。
问:我的最终用户是否可以使用固定 IP 地址来访问端点类型为 PUBLIC 的服务器?
答:否。PUBLIC 终端节点类型目前不支持通常用于列出防火墙白名单的固定 IP 地址。 使用 VPC 托管端点为端点分配静态 IP 地址。
问:最终用户需要哪些 IP 范围才能允许列表访问我的端点类型为 PUBLIC 的 SFTP 服务器端点?
答:如果您使用的是 PUBLIC 终端节点类型,则用户将需要允许列表访问以下 IP 地址范围。有关保持最新 IP 地址范围的详细信息,请参阅文档。
问:在创建服务器之后,我的 Amazon Transfer for SFTP 服务器的主机密钥是否会更改?
答:不会。创建服务器时分配的服务器主机密钥保持不变,除非您添加了新的主机密钥并手动删除原始的主机密钥。
问:支持哪些类型的 SFTP 服务器主机密钥?
答:SFTP 服务器主机密钥支持 RSA、ED25519 和 ECDSA 密钥类型。
问:我是否可以从当前的 SFTP 服务器导入密钥,以便我的用户不必重新验证服务器的真实性?
答:是。您可以在创建服务器时导入主机密钥,或者在更新服务器时导入多个主机密钥。请参阅有关管理启用 SFTP 的服务器的主机密钥的文档。
问:我可以将多少个主机密钥与一个 SFTP 服务器关联?
答:每台 SFTP 服务器最多可以关联 10 个主机密钥。但是,最终用户的客户端只能使用每种密钥类型的一个主机密钥,在单个会话中验证您的 SFTP 服务器的真实性。
问:如何识别我的多个主机密钥?
答:可以使用描述和标签识别多个主机密钥,可以在创建或更新主机密钥时添加或编辑这些描述和标签。每个主机密钥还有一个唯一的主机密钥 ID 以及一个可用于识别和跟踪主机密钥的 Amazon 资源名称(ARN)。
问:能否使用多个主机密钥来验证我的 SFTP 服务器的真实性?
答:是。每种密钥类型中最早的主机密钥可用于验证 SFTP 服务器的真实性。通过添加 RSA、ED25519 和 ECDSA 主机密钥,可以使用 3 个单独的主机密钥来识别您的 SFTP 服务器。
问:哪些主机密钥用于验证我的 SFTP 服务器的真实性?
答:每种密钥类型中最早的主机密钥用于验证 SFTP 服务器的真实性。
问:我能否轮换 SFTP 服务器主机密钥以确保安全连接?
答:是。您可以随时通过添加和移除主机密钥来轮换 SFTP 服务器主机密钥。请参阅有关管理启用 SFTP 的服务器的主机密钥的文档。
问:我的最终用户的 FTPS 客户端如何验证我的 FTPS 服务器的身份?
答:启用 FTPS 访问时,您需要提供 Amazon Certificate Manager (ACM) 颁发的证书。最终用户客户端使用此证书来验证 FTPS 服务器的身份。请参阅有关请求新证书或将现有证书导入 ACM 的 ACM 文档。
问:您是否支持 FTPS 和 FTP 的主动和被动模式?
答:我们只支持被动模式,该模式允许最终用户的客户端启动与服务器的连接。被动模式需要打开较少的客户端端口,从而使您的服务器终端节点与受保护的防火墙后面的最终用户更加兼容。
问:您是否支持显式和隐式 FTPS 模式?
答:我们只支持显式 FTPS 模式。
SFTP 连接器
问:支持采用哪些身份验证方法来建立与远程 SFTP 服务器的连接?
答:可以使用 SSH 密钥对、密码或两者兼用,对与远程服务器的连接进行身份验证,具体取决于远程服务器的要求。在 Amazon Secrets Manager 账户中存储用于登录远程服务器的用户名和 SSH 私钥和/或密码。要了解有关存储和管理连接器的身份验证凭证的更多信息,请访问文档。
问:SSH 主机密钥对支持哪些 SSH 密钥算法?
答:我们支持密钥大小为 2048 和 4096 位的 RSA 和 ECDSA。请通过亚马逊云科技支持告知我们您希望获得支持的任何特定密钥算法。
问:支持哪些 SSH 密钥对格式?
答:可以使用以 .pem 文件扩展名结尾且没有密码的 OpenSSH 密钥对。如果您有 PuTTY 格式(.ppk)的 SSH 密钥对,请先将其转换为 PEM 格式。如果您的密钥对采用 OpenSSH 专有格式,则应先将其转换为传统 PEM 格式,然后再与 SFTP 连接器一起使用。有关转换密钥格式的步骤,请参阅文档。
问:使用 SFTP 连接器传输文件时支持哪些存储服务?
答:可以使用 SFTP 连接器将文件传输到 Amazon S3 或从 Amazon S3 传输到远程 SFTP 服务器。
问:能否在单独的亚马逊云科技账户中配置后端存储服务和 SFTP 连接器?
答:能。可以在不同的亚马逊云科技账户中预置 SFTP 连接器资源和存储服务。
问:必须使用哪些选项来验证远程 SFTP 服务器的身份?
答:可以使用远程服务器的 SSH 密钥指纹来验证远程服务器的身份。将远程服务器的 SSH 密钥指纹上传到 SFTP 连接器的配置中,每次连接器与远程服务器建立连接时,都将使用指纹来验证远程服务器的身份。如果远程服务器提供的指纹与上传到 SFTP 连接器配置的指纹不匹配,则连接将失败,错误详细信息将记录在 CloudWatch 中。要重新建立连接,可以手动编辑连接器配置以指定服务器更新后的 SSH 指纹。
问:能否为 SFTP 连接器分配静态 IP,这样业务合作伙伴就可以允许在防火墙中列出该连接器的 IP 地址?
答:不能,目前无法使用静态 IP 地址创建连接器。如果您的应用场景依赖于具有静态 IP 地址的 SFTP 连接器,请通过亚马逊云科技支持或您的账户团队告知我们。
问:如何知道与远程服务器的连接是否成功?
答:在启动文件传输之前,可以使用亚马逊云科技管理控制台或 TestConnection CLI 命令来检查是否成功创建了与远程服务器的连接。要了解更多信息,请访问 SFTP 连接器文档。
问:SFTP 连接器支持哪些文件传输操作?
答:可以使用 SFTP 连接器将文件从 Amazon S3 发送到远程 SFTP 服务器上的目录,或者将文件从远程 SFTP 服务器上的目录检索到 Amazon S3。可以通过执行 StartFileTransfer API 按需启动文件传输。请访问 SFTP 连接器文档以了解更多信息,如果您希望使用 SFTP 连接器支持更多操作,请通过亚马逊云科技支持告知我们。
问:如何追踪我的文件传输状态?
答:SFTP 连接器会为每次文件传输生成日志,您可以通过 Amazon CloudWatch 访问这些日志。您可以跟踪文件传输是已完成还是失败。SFTP 连接器还会发出其他详细信息,例如操作(发送或检索)、时间戳、文件的来源和远程路径、传输状态和错误描述(如果有),以帮助您维护数据沿袭。
问:我是否能为 SFTP 连接器使用静态 IP,这样业务合作伙伴就可以允许在防火墙中列出该连接器的 IP 地址?
答:是。默认情况下,静态 IP 地址与您的连接器关联,可用于将连接列入业务合作伙伴防火墙上的允许列表。您可以通过导航到 Amazon Transfer Family 控制台中的连接器详细信息页面,或使用 DescribeConnector API/CLI/CDK 命令,来识别与您的连接器关联的静态 IP 地址。
问:我的账户中所有 SFTP 连接器的静态 IP 是否都一样?
答:是。账户区域中的所有 SFTP 连接器都将共享一组静态 IP 地址,而账户区域中的所有 AS2 连接器都将共享一组静态 IP 地址。在给定类型的连接器之间共享静态 IP 地址可减少允许列表文档的数量,以及与外部合作伙伴所需的加入沟通。
问:如何知道与远程服务器的连接是否成功?
答:在启动文件传输之前,可以使用亚马逊云科技管理控制台或 TestConnection CLI 命令来检查是否成功创建了与远程服务器的连接。如果需要,请确保在远程服务器的防火墙上将与您的连接器关联的静态 IP 地址列入允许列表。要了解更多信息,请访问 SFTP 连接器文档。
问:我是否能使用 SFTP 连接器计划文件传输?
答:是。您可以使用 Amazon EventBridge 调度器计划文件传输。使用 EventBridge 的调度器创建可满足您业务需求的计划,并将 Amazon Transfer Family 的 StartFileTransfer API 指定为您的计划的通用目标。
问:我是否能在 Amazon Step Function 中使用 SFTP 连接器从状态机调用文件传输?
答:是。Amazon Step Functions 与各种 Amazon Web Service 服务(包括 Amazon Transfer Family)集成,使您能够直接从状态机调用 SFTP 连接器的 StartFileTransfer 操作。使用 Amazon Transfer Family 创建 SFTP 连接器后,利用 Step Functions 的 Amazon SDK 集成来调用 StartFileTransfer API。如果您的使用案例依赖监控文件传输状态来向状态机提供反馈,您可以在 CloudTrail 中创建订阅筛选条件,来监控文件传输完成事件的日志条目。
问:我是否能利用通配符,来指定要使用 SFTP 连接器复制的文件的文件名模式?
答:否。在使用 StartFileTransfer API 操作通过 SFTP 连接器复制文件时,您需要指定完整的文件路径。如果您的使用案例依赖使用通配符来指定要传输的文件,而不是提供完整的文件路径,请通过 Amazon Web Services Support 或您的 Amazon Web Services 客户团队告知我们。
问:我是否能使用 SFTP 连接器与专用网络内的服务器连接?
答:否。目前,SFTP 连接器只能用于与提供互联网可访问端点的服务器连接。如果您需要连接到只能通过专用网络访问的服务器,请通过 Amazon Web Services Support 或您的 Amazon Web Services 客户团队告知我们。
多协议访问
问:我是否可以在同一个终端节点上启用多个协议?
答:是。在安装过程中,您可以选择要为客户端启用的协议,以便客户端连接到端点。服务器主机名、IP 地址和身份提供商在所选协议之间共享。同样,只要端点配置满足您打算使用的所有协议的要求,您还可以为现有的 Amazon Transfer Family 端点启用额外的协议支持。
问:我应该什么时候为每个协议创建单独的服务器端点,何时为多个协议启用同一个端点?
答:如果您需要使用 FTP(仅支持在 VPC 内访问),并且还需要通过互联网支持 SFTP、AS2 或 FTPS,您将需要一个单独的服务器端点用于 FTP。如果您希望通过多个协议连接的客户端使用相同的端点主机名和 IP 地址,则可以对多个协议使用同一个端点。此外,如果您要共享相同的 SFTP 和 FTPS 凭证,则可以设置并使用单个身份提供商对通过任一协议连接的客户端进行身份验证。
问:我是否可以设置同一个最终用户以通过多种协议访问终端节点?
是的,只要在身份提供商中设置了特定于协议的凭证,您就可以通过多个协议提供相同的用户访问权限。如果您已启用 FTP,我们建议您为 FTP 维护单独的凭证。请参阅有关为 FTP 设置单独凭证的文档。
问:为什么我要为 FTP 用户维护单独的凭证?
与 SFTP 和 FTPS 不同的是,FTP 以明文形式传输凭证。我们建议将 FTP 凭证与 SFTP 或 FTPS 隔离,因为如果意外共享或暴露了 FTP 凭证,使用 SFTP 或 FTPS 的工作负载将保持安全。
服务器端点的身份提供商选项
问:该服务如何对用户进行身份验证?
答:该服务支持两种身份验证模式:服务托管,您可以在服务中存储用户身份,另一种是自定义 (BYO),该模式可让您集成自己选择的身份提供商。仅为 SFTP 启用的服务器终端节点支持服务托管身份验证。
问:如何使用服务托管身份验证对用户进行身份验证?
答:您可以使用服务托管身份验证通过 SSH 密钥对 SFTP 用户进行身份验证。
问:每个 SFTP 用户可以上传多少个 SSH 密钥? 支持哪些密钥类型?
答:每个用户最多可以上传 10 个 SSH 密钥。支持 RSA、ED25519 和 ECDSA 密钥。
问:服务托管身份验证是否支持 SSH 密钥轮换?
答:是。有关如何为 SFTP 用户设置密钥轮换的详细信息,请参阅文档。
问:我是否能使用服务托管身份验证进行密码身份验证?
答:否,目前不支持在服务中存储密码以进行身份验证。
问:如何开始使用 Microsoft AD?
答:创建服务器时,您可以选择 Amazon Managed Microsoft AD、本地环境中的目录或 Amazon EC2 中的自行托管 AD 作为您的身份提供商。然后,您需要使用安全标识符(SID)指定要启用访问权限的 AD 组。将 AD 组与访问控制信息(如 IAM 角色、范围缩小策略(仅限 S3)、POSIX 配置文件(仅限 EFS)、主目录位置和逻辑目录映射)关联后,组成员可以使用其 AD 凭证通过启用的协议(SFTP、FTPS、FTP)来验证和传输文件。
问:如何设置 AD 用户,以便他们能够独立访问我的 S3 存储桶的不同部分?
答:设置用户时,您需要提供范围缩小策略,该策略将在运行时根据用户信息(如用户的用户名)进行评估。您可以对所有用户使用相同的范围缩小策略,以便根据用户名提供对存储桶中唯一前缀的访问权限。此外,通过提供标准化模板来说明如何向用户呈现 S3 存储桶或 EFS 文件系统的内容,还可以使用用户名来评估逻辑目录映射。 请访问文档以授予对 AD 组的访问权限。
问:我是否能将 Microsoft AD 用作所有受支持协议的身份提供商选项?
答:是的,您可以使用 Microsoft AD 对用户进行身份验证,以便通过 SFTP、FTPS 和 FTP 进行访问。
问:我是否能撤消已启用 AD 的组的访问权限?
答:是的,您可以撤销单个 AD 组的文件传输访问权限。撤销后,AD 组的成员将无法使用其 AD 凭证传输文件。
问:我是否能向单个 AD 用户或目录中的所有用户提供访问权限?
答:不能,我们仅支持按 AD 组设置访问权限。
问:我是否能使用 AD 对使用 SSH 密钥的用户进行身份验证?
答:不能,Amazon Transfer Family 对 Microsoft AD 的支持只适用于基于密码的身份验证。要混用多种身份验证模式,请使用自定义授权方选项。
问:我为什么要使用自定义身份验证模式?
答:自定义身份验证模式(“BYO”身份验证)使您能够利用现有的身份提供商来管理所有协议类型(SFTP、FTPS 和 FTP)的最终用户,从而实现用户的轻松无缝迁移。凭证可以存储在公司目录或内部身份数据存储中,您可以将其集成以进行最终用户身份验证。身份提供商的示例包括 Microsoft Azure AD 或任何可用作整个资源预置门户的一部分的自定义身份提供商。
问:要将我的身份提供商与 Amazon Transfer Family 服务器集成,我需要哪些选项?
答:要将您的身份提供商与 Amazon Transfer Family 服务器集成,您可以使用 Amazon Lambda 函数或 Amazon API Gateway 端点。如果您需要 RESTful API 来连接身份提供商,或者想要利用 Amazon WAF 来实现地理封锁和速率限制功能,请使用 Amazon API Gateway。请访问文档,以详细了解如何集成 Amazon Cognito、Okta 和 Amazon Secrets Manager 等常见身份提供商。
问:如何开始集成现有的身份提供商以进行自定义身份验证?
答:要开始使用,您可以利用使用指南中的 Amazon CloudFormation 模板,并提供用户身份验证和访问所需的信息。请访问自定义身份提供商网站以了解更多信息。
问:匿名用户是否受支持?
答:否,目前不支持匿名用户使用任何协议。
问:通过自定义身份提供商设置用户时,使用哪些信息来允许我的用户访问?
答:您的用户需要提供用户名和密码(或 SSH 密钥)来进行身份验证,对存储桶的访问权限由 API Gateway 和 Lambda 提供的用于查询身份提供商的 Amazon IAM 角色决定。您还需要提供主目录信息,建议您将它们锁定到指定的主文件夹,以获得额外的安全性和可用性。
AS2 贸易伙伴
问:如何唯一识别我的 AS2 贸易伙伴?
答:系统使用贸易伙伴的 AS2 标识符(AS2 ID)对其进行唯一标识,同样,您的贸易伙伴使用您的 AS2 ID 来标识您的消息。
问:Amazon Transfer Family 的哪些现有功能可用于 AS2? 哪些功能不可用?
答:您可以利用 Amazon Transfer Family 对 Amazon S3、联网功能(VPC 端点、安全组和弹性 IP)的现有支持,以及对 AS2 的访问控制(Amazon IAM),就像对 SFTP、FTPS 和 FTP 的支持一样。AS2 不支持用户身份验证、逻辑目录、自定义横幅和将 Amazon EFS 作为存储后端。
问:什么是不可否认性,为什么它很重要?
答:AS2 独有的不可否认性可验证消息是否已在两方之间成功交换。AS2 中的不可否认性是使用消息处置通知(MDN)来实现的。在事务中请求 MDN 时,它可以确保发送者发送消息,接收者成功接收消息,并且发送者发送的消息与接收者接收的消息相同。
问:使用 AS2 协议进行的消息传输涉及哪些步骤?
答:消息传输涉及两个方面:一个来自发送者,一个来自接收者。发送者确定要发送的消息之后,将会对消息进行签名(使用发送者的私有密钥)、加密(使用接收者的证书),并且将会使用哈希计算消息完整性。已签名和加密的消息将通过线路传输到接收者。收到消息后,将会对消息进行解密(使用接收者的私有密钥)、验证(使用发送者的公共密钥)和处理,并且将会向发送者返回消息处置通知 (MDN)(如请求)以确认成功交付消息。请参阅 AS2 如何处理消息传输相关文档。
问:消息传输提供哪些选项?
答:可能的选项组合是从发送者的角度出发的。发送者可以选择仅加密或仅签署数据(或两者),然后选择请求消息处置通知 (MDN)。如果发送者选择请求 MDN,则它们可以请求已签名或未签名的 MDN。接收者预期会遵守这些选项。
问:请求消息处置通知 (MDN) 是可选的吗?
答:是的,发送者可以选择请求 MDN,选择请求已签名或未签名的 MDN,以及选择应用于签署 MDN 的签名算法。
问:您是否支持同步 (Sync) 和异步 (Async) 消息处置通知 (MDN)? 什么时候该使用哪个选项?
答:目前我们仅支持同步 MDN。由于同步 MDN 是相同与消息相同的连接信道发送的,要简单得多,因此,可以使用建议的选项。如果在发送 MDN 之前您需要更多时间来处理消息,则最好使用异步 MDN。
问:如何跟踪和搜索发送和接收的有效负载和 MDN?
答:Amazon Transfer Family 将会提取交换的有效负载和 MDN 中的关键 AS2 信息,并将它们以 JSON 文件的形式存储于 Amazon S3 存储桶中。您可以使用 Amazon S3 Select 或 Amazon Athena 查询这些 JSON 文件,或者使用 Amazon OpenSearch 或 Amazon DocumentDB 检索这些文件,以便进行分析。
问:能否归档接收到的 MDN(以请求它们的发送者的身份)?
答:可以,从交易合作伙伴接收到 MDN 之后,相关服务将会使用证书验证此 MDN,并将消息存储于 Amazon S3 存储桶中。您可以通过利用 S3 生命周期策略选择归档消息。
问:当消息已准备就绪,可传送到我的交易合作伙伴的端点时,如何通知 Amazon Transfer Family?
答:当数据准备就绪可供传送时,您需要调用服务提供的 API,关联连接器以通知我们它已准备就绪,可供传送,并向我们提供接收者的信息。这会通知服务将消息发送至您的交易合作伙伴的端点。请参阅通过 AS2 向交易合作伙伴发送消息的连接器相关文档。
问:能否隔离我的每个交易合作伙伴,以使用不同的消息入站和出站位置?
答:可以,在设置交易合作伙伴的配置文件时,您可以为每个交易合作伙伴使用不同的文件夹。
问:能否在我的 Amazon Transfer Family AS2 端点中使用交易合作伙伴的现有密钥和证书?
答:可以,您可以导入合作伙伴的现有密钥和证书,并管理续订和轮换。请参阅导入证书相关文档。
问:如何知道我的交易合作伙伴的证书何时过期?
答:使用 Amazon Transfer Family 控制台,您可以查看按过期日期排序的证书控制面板。此外,您可以选择在证书过期之前接收通知,从而为您提供充足的时间来轮换它们,以防止操作中断。
问:Amazon Transfer Family 对 AS2 的支持是否已获得 Drummond 认证?
答:是的,Amazon Transfer Family 对 AS2 的支持已获得正式的 Drummond Group AS2 Cloud Certification Seal。Amazon Transfer Family AS2 功能在安全性以及与其他 14 个第三方 AS2 解决方案的消息交换兼容性方面经过全面审查。请访问官方公告以了解更多信息。
问:您是否支持 AS3 和 AS4?
答:否。
问:我是否能使用静态 IP 地址连接到我的贸易伙伴的 AS2 服务器?
答:是。默认情况下,静态 IP 地址与您的连接器关联,可用于将连接列入贸易伙伴的 AS2 服务器上的允许列表。您可以导航到 Amazon Transfer Family 控制台中的连接器详细信息页面,或使用 DescribeConnector API/CLI/CDK 命令来识别与您的连接器关联的静态 IP。
问:我的 AS2 异步 MDN 响应是否将使用静态 IP 地址?
是。您的 AS2 异步 MDN 响应将使用静态 IP 地址。您可以通过导航到 Amazon Transfer Family 管理控制台中的服务器详细信息页面,或使用 DescribeServer API/CLI/CDK,来识别用于发送异步 MDN 响应的静态 IP 地址。
用于上传后处理的托管式工作流
问:用于上传后处理的托管式工作流是什么?
答:Amazon Transfer Family 托管式工作流使您能够更轻松地创建、运行和监控上传后处理,以便通过 SFTP、FTPS 和 FTP 进行文件传输。使用此功能,您可以通过低代码自动化来协调所有必要的任务,如复制、标记和解密文件,从而节省时间。此外,您还可以自定义扫描 PII、病毒/恶意软件或其他错误(例如错误的文件格式或类型),从而更快速地检测到异常并符合您的合规性要求。
问:为什么需要托管式工作流?
答:如果您需要处理使用 Amazon Transfer Family 与业务合作伙伴交换的文件,则需要设置基础设施来运行自定义代码,持续监控运行时错误和异常,并确保对数据的所有更改和转换均已审核和记录。此外,您还需要考虑技术和业务方面的错误情况,同时确保正确触发失效保护模式。如果您有可追溯性方面的要求,则需要跟踪数据的沿袭,因为它会通过不同的系统组件。维护单独的系统处理工作流组件会占用专注于区分业务工作的时间。托管式工作流消除了管理多个任务的复杂性,并且可提供可在组织内复制的标准化文件处理解决方案,并且在每个步骤均有内置的异常处理和文件可追溯性,从而帮助满足您的业务要求。
问:使用托管式工作流具有哪些好处?
答:通过托管式工作流,您可以在下游应用程序使用数据之前轻松预处理数据,方法是编排将文件移至用户特定文件夹之类的文件处理任务,加密传输中文件,恶意软件扫描和标记。您可以使用基础设施即代码 (IaC) 部署工作流,从而更快速地复制和标准化跨组织中多个业务部门的常见上传后文件处理任务。托管式工作流只会在已完全上传的文件上触发,这就可以确保维持数据质量。内置异常处理功能使您能够快速响应文件处理结果,从而帮助您保持业务和技术 SLA,同时使您能够控制如何处理故障。最后,每个工作流步骤都会生成详细的日志,可以审核这些日志以跟踪数据沿袭。
问:如何开始使用此工作流?
答:首先,设置工作流,以根据您的要求将复制、标记之类的操作以及可包括自定义步骤的一系列操作包含在一系列步骤中。接着,将工作流映射到服务器,以便在文件到达时,以便可以实时评估和触发此工作流中的指定操作。如需了解更多信息,请访问文档。
问:能否在多个服务器中使用相同的工作流设置?
答:是。可以向多个服务器分配相同的工作流,从而使您能够更轻松地维护和标准化配置。
问:使用工作流可以对我的文件执行哪些操作?
答:当传输服务器收到来自客户端的文件时,可以执行以下常见操作:
- 使用 PGP 密钥解密文件
- 将数据从其到达处移动或复制到需要使用数据的位置。
- 在存档或复制到新位置后删除原始文件。
- 根据内容标记文件,以便下游服务(仅限 S3)可以检索和搜索文件。
- 通过将您自己的 Lambda 函数作为自定义步骤应用到工作流的任何自定义文件处理逻辑。例如,检查文件类型的兼容性、扫描文件中是否存在恶意软件、检测个人身份信息(PII)以及在将文件摄取到数据分析中之前进行的元数据提取。
问:我能否使用工作流通过 PGP 自动解密文件?
答:是。您可以使用预先构建的完全托管的工作流程步骤对文件进行 PGP 解密。有关更多信息,请参阅托管工作流程文档。
问:能否选择在每个工作流步骤中处理的文件?
答:是。您可以配置工作流步骤,以处理原始上传的文件或者上一个工作流步骤的输出文件。这使您能够在将文件上传到 Amazon S3 之后轻松地自动移动和重命名文件。例如,要将文件移至不同的位置进行文件归档或保留,请在工作流中配置两个步骤。第一个步骤是将文件复制到不同的 Amazon S3 位置,第二个步骤是删除原始上传的文件。有关为工作流步骤选择文件位置的更多详细信息,请阅读文档。
问:能否保留原始上传的文件,以便保留记录?
答:是。通过使用工作流,您可以为原始文件创建多个副本,同时保留原始文件,以便保留记录。
问:能否使用工作流将文件动态路由至用户特定的 Amazon S3 文件夹?
答:是。您可以在工作流复制步骤中将用户名用作一个变量,以便将文件动态路由至 Amazon S3 中的用户特定文件夹。这样一来,在复制文件和自动创建 Amazon S3 中的用户特定文件夹时就无需硬编码目标文件夹位置,从而使您能够扩展您的文件自动化工作流。请阅读文档了解更多信息。
问:如何监控我的工作流?
答:有关记录托管工作流活动的支持功能的详细信息,请参阅“监控”部分。
问:我正在使用 Amazon Step Functions 编排我的文件处理步骤。Amazon Transfer Family 托管式工作流与我当前的 Amazon Step Functions 设置有何不同?
答:Amazon Step Functions 是一项无服务器编排服务,只需几个简单的步骤即可通过它将 Amazon Lambda 与其他服务结合使用,以定义业务应用程序的执行。要使用 Amazon Step Functions 执行文件处理步骤,您可以将 Amazon Lambda 函数与 Amazon S3 的事件触发器结合使用,以编排您自己的工作流。托管式工作流提供了一个轻松编排处理线性序列的框架,并且可通过以下方式与现有解决方案区分开来:1) 只有完整的文件上传才能触发要执行的工作流,2) 可以为 Amazon S3 以及 Amazon EFS(不提供上传后事件)触发工作流,以及 3) 客户可以在 Amazon CloudWatch Logs 中获得其文件传输和处理的端到端可见性。
问:能否根据通过 AS2 的消息交换触发工作流操作?
答:不能,目前不能将托管式工作流与 AS2 结合使用。
问:能否在用户下载时触发工作流操作?
答:不能。只能使用入站端点在文件到达时调用处理。
问:能否对会话中的批量文件触发相同工作流?
答:不能。工作流目前只能每次执行处理一个文件。
问:能否在部分上传时触发工作流?
答:可以。您可以定义在全部和部分文件上传时触发的工作流。**更新后,请将此问题上移 3 位,高于所有以“否”回答的问题。**
Amazon S3 访问
问:为什么我需要提供 Amazon IAM 角色?如何使用它?
答:Amazon IAM 用于确定要向用户提供的访问级别。这包括您希望在客户端上启用的操作以及他们有权访问哪些 Amazon S3 存储桶——无论是整个存储桶还是部分存储桶。
问:为什么我需要提供主目录信息以及如何使用它?
答:您为用户设置的主目录决定了用户的登录目录。这将是用户客户端在成功通过服务器身份验证后立即将其放置在的目录路径。您需要确保所提供的 IAM 角色为用户提供了对主目录的访问权限。
问:我有数百个用户,他们具有类似的访问设置,但能访问存储桶的不同部分。我是否可以使用相同的 IAM 角色和策略进行设置以启用他们的访问权限?
答:是。您可以为所有用户分配单个 IAM 角色,并使用逻辑目录映射来指定要让最终用户可见的绝对 Amazon S3 存储桶路径以及这些路径如何由其客户端呈现给他们。
问:如何使用 Amazon Transfer 传输存储在我的 Amazon S3 存储桶中的文件?
通过支持的协议传输的文件将作为对象存储在 Amazon S3 存储桶中,文件和对象之间存在一对一的映射关系,从而可以使用亚马逊云科技服务对这些对象进行本机访问,以进行处理或分析。
问:如何向用户呈现存储在我的存储桶中的 Amazon S3 对象?
答:成功进行身份验证后,该服务会根据用户的凭证将 Amazon S3 对象和文件夹作为文件和目录呈现给用户的传输应用程序。
问:支持哪些文件操作? 不支持哪些操作?
答:支持用于创建、读取、更新和删除文件和目录的常见命令。文件作为单个对象存储在 Amazon S3 存储桶中。目录在 S3 中作为文件夹对象进行管理,使用的语法与 S3 控制台相同。
目前不支持目录重命名操作、附加操作、更改所有权、权限和时间戳以及使用符号链接和硬链接。
问:我是否可以控制允许用户执行哪些操作?
答:可以,您可以使用已映射到其用户名的 Amazon IAM 角色启用/禁用文件操作。请参阅有关“创建 IAM 策略和角色以控制最终用户”访问权限的文档
问:我是否能向最终用户提供对多个 Amazon S3 存储桶的访问权限?
答:是。您的用户可以访问的存储桶取决于 IAM 角色以及您为该用户分配的可选缩小范围策略。您只能使用单个存储桶作为用户的主目录。
问:我是否能使用亚马逊云科技账户 A 创建服务器并将用户映射到亚马逊云科技账户 B 拥有的 Amazon S3 存储桶?
答:是。您可以使用 CLI 和 API 在服务器和要用于存储通过支持的协议传输的文件的存储桶之间设置跨账户访问权限。控制台下拉列表将仅列出账户 A 中的存储桶。此外,您需要确保分配给用户的角色属于账户 A。
问:文件上传到 Amazon S3 后,我是否能自动处理该文件?
答:是的,您可以使用 Amazon S3 事件通过用于查询、分析、机器学习等的各种亚马逊云科技服务自动进行上传后处理。请访问文档,了解有关将 Lambda 与 Amazon S3 结合使用进行上传后处理的常见示例的更多信息。
问:我是否可以根据上传文件的用户来自定义处理规则?
答:是。当用户上传文件时,用于上传的服务器的用户名和服务器 ID 将作为关联 S3 对象元数据的一部分存储。您可以将此信息用于上传后处理。 请参阅有关用于上传后处理的信息的文档。
Amazon EFS 访问
问:如何将 EFS 文件系统设置为与 Amazon Transfer Family 配合使用?
答:在将 Amazon Transfer Family 设置为使用 Amazon EFS 文件系统之前,您需要使用计划分配给 Amazon Transfer Family 用户的相同 POSIX 身份(用户 ID/组 ID)来设置文件和文件夹的所有权。此外,如果要访问其他账户中的文件系统,还必须在文件系统上配置资源策略才能启用跨账户访问。
问:如何向用户提供从我的文件系统上传/下载文件的权限?
答:Amazon EFS 使用由操作系统用户 ID、组 ID 和辅助组 ID 组成的 POSIX ID 来控制对文件系统的访问。在 Amazon Transfer Family 控制台/CLI/API 中设置用户时,您需要指定用户名、用户的 POSIX 配置和 IAM 角色才能访问 EFS 文件系统。您还需要在该文件系统中指定一个 EFS 文件系统 ID 和可选的目录作为用户的登录目录。当您的 Amazon Transfer Family 用户使用其文件传输客户端成功进行身份验证后,他们将直接放置在指定的主目录或指定 EFS 文件系统的根目录中。他们的操作系统 POSIX ID 将应用于通过其文件传输客户端提出的所有请求。作为 EFS 管理员,您需要确保希望 Amazon Transfer Family 用户访问的文件和目录由 EFS 文件系统中的相应 POSIX ID 所有。请参阅文档,以了解有关在 EFS 中配置子目录所有权的更多信息。请注意,如果您使用 Amazon EFS 进行存储,Transfer Family 不支持访问点。
问:如何通过存储在 Amazon EFS 文件系统中的协议传输文件?
答:通过启用的协议传输的文件直接存储在 Amazon EFS 文件系统中,可以通过标准文件系统界面或可以访问 Amazon EFS 文件系统的亚马逊云科技服务访问。
问:使用 Amazon S3 和 Amazon EFS 时,协议支持哪些文件操作?
答:支持用于创建、读取、更新和删除文件、目录和符号链接的 SFTP/FTPS/FTP 命令。请参阅下表了解 EFS 以及 S3 支持的命令。
| 命令 | Amazon S3 | Amazon EFS |
|---|---|---|
| cd | 支持 | 支持 |
| ls/dir | 支持 | 支持 |
| pwd | 支持 | 支持 |
| put | 支持 | 支持 |
| get | 支持 | 支持包括解析符号链接 |
| rename | 支持 1 | 支持 1 |
| chown | 不支持 | 支持 2 |
| chmod | 不支持 | 支持 2 |
| chgrp | 不支持 | 支持 3 |
| 在 -s/symlink 中 | 不支持 | 不支持 |
| mkdir | 支持 | 支持 |
| rm/delete | 支持 | 支持 |
| rmdir | 支持 4 | 支持 |
| chmtime | 不支持 | 支持 |
1 只支持文件重命名。不支持重命名目录和重命名文件覆盖现有文件。
2 只能由根用户(例如 uid=0 的用户)更改文件和目录的所有权和权限。
3 支持根用户(例如 uid=0)或文件的所有者,他们只能将文件的组更改为其辅助组之一。
4 仅支持非空文件夹。
问:如何控制用户可以访问哪些文件和文件夹以及允许他们执行哪些操作和不允许执行哪些操作?
答:您为 Amazon Transfer Family 用户提供的 IAM 策略决定了他们是否具有对文件系统的只读、读写和根访问权限。此外,作为文件系统管理员,您可以设置所有权并授予使用用户 ID 和组 ID 访问文件系统内的文件和目录的权限。这适用于用户,无论他们是存储在服务(服务托管)中还是存储在您的身份管理系统(“BYO Auth”)中。
问:我是否能限制每个用户访问文件系统中的不同目录,并只访问这些目录中的文件?
答:是的,在设置用户时,您可以为每个用户指定不同的文件系统和目录。身份验证成功后,EFS 将为使用启用的协议提出的每个文件系统请求强制使用目录。
问:我是否可以隐藏文件系统名称而不向我的用户公开?
答:是的,使用 Amazon Transfer Family 的逻辑目录映射,您可以通过将绝对路径映射到最终用户可见路径名来限制最终用户在文件系统中的目录视图。这还包括能够将用户“chroot”到他们指定的主目录。
问:是否支持符号链接?
答:是的,如果符号链接存在于可供用户访问的目录中,并且您的用户试图访问它们,则链接将被解析到其目标。使用逻辑目录映射设置用户访问权限时,不支持符号链接。
问:我是否能为单个 SFTP/FTPS/FTP 用户提供对多个文件系统的访问权限?
答:是的,当您设置 Amazon Transfer Family 用户时,您可以在 IAM 策略中指定一个或多个作为用户设置的一部分提供的文件系统,以便授予对多个文件系统的访问权限。
问:我可以使用哪些操作系统通过 Amazon Transfer Family 访问我的 EFS 文件系统?
答:您可以使用为 Microsoft Windows、Linux、macOS 或任何支持 SFTP/FTPS/FTP 的操作系统构建的客户端和应用程序来上传和访问存储在 EFS 文件系统中的文件。只需为服务器和用户配置 EFS 文件系统的适当权限,即可跨所有操作系统访问文件系统。
问:我如何知道哪个用户将文件上传到 EFS?
答:对于新文件,与上传文件的用户关联的 POSIX 用户 ID 将被设置为 EFS 文件系统中文件的所有者。此外,您可以使用 Amazon CloudWatch 跟踪用户的文件创建、更新、删除和读取操作的活动。请访问文档,以了解有关如何启用 Amazon CloudWatch 日志记录的更多信息。
问:我是否可以使用 Amazon Transfer Family 访问另一个账户中的文件系统?
答:是。您可以使用 CLI 和 API 在 Amazon Transfer Family 资源与 EFS 文件系统之间设置跨账户访问权限。Amazon Transfer Family 控制台将仅列出同一账户中的文件系统。此外,您还需要确保分配给用户访问文件系统的 IAM 角色属于账户 A。
问:如果我的 EFS 文件系统没有为跨账户访问启用正确的策略,会发生什么情况?
答:如果您将 Amazon Transfer Family 服务器设置为访问未启用跨账户访问的跨账户 EFS 文件系统,则 SFTP/FTP/FTPS 用户将被拒绝访问文件系统。如果您在服务器上启用了 CloudWatch 日志记录,跨账户访问错误将记录到您的 CloudWatch Logs 中。
问:我是否可以使用 Amazon Transfer Family 访问其他亚马逊云科技区域中的 EFS 文件系统?
答:不能,您只能使用 Amazon Transfer Family 访问同一亚马逊云科技区域中的 EFS 文件系统。
问:我是否可以将 Amazon Transfer Family 与所有的 EFS 存储类结合使用?
答:是。您可以使用 Amazon Transfer 将文件写入 EFS 并配置 EFS 生命周期管理,以将在设定时间内未访问的文件迁移到不频繁访问 (IA) 存储类中。
问:我的应用程序是否可以使用 SFTP/FTPS/FTP 同时读取和写入同一个文件的数据?
答:是的,Amazon EFS 可以提供文件系统界面、文件系统访问语义(例如强一致性和文件锁定)以及最高支持数千个 NFS/SFTP/FTPS/FTP 客户端同时访问的存储。
问:当我使用 Amazon Transfer Family 访问文件系统时,会消耗我的 EFS 突增积分吗?
答:是。无论吞吐量模式如何,使用 Amazon Transfer Family 服务器访问 EFS 文件系统都将消耗 EFS 突增积分。 请参阅有关可用性能和吞吐量模式的文档并查看一些有用的性能提示。
安全性与合规性
问:在通过公共网络传输过程中,我应该使用哪些协议来保护数据的安全?
SFTP 或 FTPS 应该用于通过公共网络进行的安全传输。由于基于 SSH 和 TLS 加密算法的协议的底层安全性,数据和命令通过安全的加密通道传输。
问:我可以通过哪些选项来加密静态数据?
答:您可以选择使用 Amazon S3 服务器端加密 (SSE-S3) 或 Amazon KMS (SSE-KMS) 对存储桶中存储的文件进行加密。 对于存储在 EFS 中的文件,您可以选择 Amazon 或客户管理的 CMK 来加密静态文件。有关使用 Amazon EFS 对文件数据和元数据进行静态加密的选项的详细信息,请参阅文档。
问:Amazon Transfer Family 支持哪些合规性计划?
答:Amazon Transfer Family 符合 PCI-DSS 标准。该服务还符合 SOC 1、2 和 3 标准。按合规性计划了解有关范围中的服务的更多信息。
问:如何追踪通过协议上传和下载的数据量?
答:您可以使用 Amazon CloudWatch 指标监控和跟踪用户通过所选协议上传和下载的数据。请访问文档,了解有关使用 Amazon CloudWatch 指标的更多信息。
问:我有哪些方法可以加密/解密文件以进行传输?
答:您可以使用 Amazon Transfer Family 托管的工作流程,使用 PGP 密钥自动解密上传到您的 Amazon Transfer Family 资源的文件。有关更多信息,请参阅托管工作流程文档。如果您正在寻找 PGP 加密支持,请通过 Amazon Web Services Support 或您的 Amazon Web Services 账户团队联系我们。
计费
问:我如何为使用该服务付费?
在删除服务器终端节点之前,对于每个启用的协议,将从您创建和配置服务器端点时开始,按小时向您收费。您还需要根据通过 SFTP、FTPS 或 FTP 上传和下载的数据量、通过 AS2 交换的消息数量以及使用 Decrypt 工作流程步骤处理的数据量来计费。使用 SFTP 连接器时,您需要根据传输的数据量和进行的连接器调用次数付费。有关更多详细信息,请参阅定价页面
问:如果我对多个协议使用同一服务器终端节点或为每个协议使用不同的终端节点,我的账单会不同吗?
答:不会,无论是为多个协议启用了同一个终端节点还是为每个协议使用不同的终端节点,对于您启用的每个协议和通过每个协议传输的数据量,都将按小时向您收费。
问:我已经停止了我的服务器。停止时会向我收费吗?
答:会,通过使用控制台或运行“stop-server”CLI 命令或“StopServer”API 命令停止服务器,不会影响计费。从您创建服务器端点并通过一个或多个协议配置对该端点的访问,直到删除该端点为止,将按小时向您收费。
问:使用托管工作流程如何计费?
答:根据您使用 PGP 密钥解密的数据量,向您收取解密工作流程步骤的费用。使用托管工作流程不收取其他额外费用。根据您的工作流程配置,您还需要为使用 Amazon S3、Amazon EFS、Amazon Secrets Manager 和 Amazon Lambda 付费。
托管式工作流
问:使用托管式工作流具有哪些好处?
答:通过托管式工作流,您可以在下游应用程序使用数据之前轻松预处理数据,方法是编排将文件移至用户特定文件夹之类的文件处理任务,加密传输中文件,恶意软件扫描和标记。您可以使用基础设施即代码(IaC)部署工作流,从而更快速地复制和标准化跨组织中多个业务部门的常见上传后文件处理任务。 您可以通过定义仅在完全上传文件时触发的托管式工作流来实现精细控制,以确保保持数据质量,也可以定义针对部分上传的文件触发的托管式工作流来配置对未完成上传的处理。内置异常处理功能使您能够在工作流执行中出现错误或异常时快速响应文件处理结果,从而帮助您保持业务和技术 SLA,同时使您能够控制如何处理故障。最后,每个工作流步骤都会生成详细的日志,可以审核这些日志以跟踪数据沿袭。
问:我正在使用 Amazon Step Functions 编排我的文件处理步骤。Amazon Transfer Family 托管式工作流与我当前的 Amazon Step Functions 设置有何不同?
答:Amazon Step Functions 是一项无服务器编排服务,只需几个简单的步骤即可通过它将 Amazon Lambda 与其他服务结合使用,以定义业务应用程序的执行。要使用 Amazon Step Functions 执行文件处理步骤,您可以将 Amazon Lambda 函数与 Amazon S3 的事件触发器结合使用,以编排您自己的工作流。托管式工作流提供了一个轻松编排处理线性序列的框架,并且可通过以下方式与现有解决方案区分开来:1)您可以精细定义仅在完整文件上传时执行的工作流,以及仅在部分文件上传时执行的工作流,2)可以为 S3 以及 EFS(不提供上传后事件)触发工作流,以及 3)客户可以在 CloudWatch Logs 中获得其文件传输和处理的端到端可见性。
问:能否在部分上传时触发工作流?
答:是。您可以定义要在全部和部分文件上传时触发的工作流。
监控
问:支持哪些日志目标?
答:Amazon Transfer Family 支持将 Amazon CloudWatch 和 Amazon CloudTrail 作为日志目标。与用户访问、文件传输和工作流执行相关的活动将传输到 Amazon CloudWatch,而与 API 控制面板操作相关的活动则传输到 Amazon CloudTrail。
问:如何监控最终用户的活动?
答:可以使用 Amazon CloudWatch 和 Amazon CloudTrail 日志监控最终用户的活动。还可以访问 Amazon CloudWatch 图表,了解在 Amazon Transfer Family 管理控制台中传输的文件数和字节数等指标,同时提供单一窗格以使用集中式控制面板监控文件传输。使用 Amazon CloudTrail 日志访问服务器为服务最终用户数据请求而调用的所有 API 操作的记录。查看文档以了解更多信息。
问:如何监控哪些用户上传或下载文件?
答:您可以使用 Amazon CloudWatch 跟踪用户的文件创建、更新、删除和读取操作的活动。请访问文档,以了解有关如何启用 Amazon CloudWatch 日志记录的更多信息。
问:我是否可以查看通过启用的协议上传和下载了多少数据?
答:是的,使用服务器上传和下载的数据的指标将发布到 Amazon Transfer Family 命名空间内的 Amazon CloudWatch 中。请访问文档以查看可用于跟踪和监控的指标。
问:Amazon Transfer Family 日志是如何格式化的?
答:Amazon Transfer Family 所有资源(包括服务器、连接器和工作流)和所有协议(包括 SFTP、FTPS、FTP 和 AS2)中提供结构化 JSON 格式的日志。此 JSON 日志格式的结构使您能够使用 Amazon CloudWatch Log Insights 轻松解析和查询日志,以自动发现采用 JSON 格式的字段。此外,您还将受益于改进的监控功能和对 Amazon CloudWatch Contributor Insights 的支持,它们都需要使用结构化的日志格式来跟踪热门用户、唯一身份用户的总数及其持续使用情况。
问:如何使用 Amazon CloudWatch 日志组自定义我的日志记录体验?
答:Amazon CloudWatch 日志组是共享相同保留、监控和访问控制设置的日志流组。创建或更新服务器时,可以指定新的或现有的日志组。通过 Amazon Transfer Family 资源共享日志组的功能,您可以将来自多个服务器的日志流合并到一个日志组中,从而更轻松地管理您的监控配置和日志保留设置。创建日志组后,它还可用于创建自定义指标和可视化效果,这些指标和可视化效果可以添加到 Amazon CloudWatch 控制面板中。
问:如何监控我的工作流?
答:可以使用 Amazon CloudWatch 指标(例如工作流执行总次数、成功执行次数和失败执行次数)来监控工作流执行。使用 Amazon Web Services 控制台,您还可以搜索和查看正在进行的工作流执行的实时状态。使用 Amazon CloudWatch Logs 获取详细的工作流执行日志记录。
问:可以接收哪些类型的工作流通知?
答:您可以使用自定义处理步骤向 Amazon EventBridge 或 Amazon Simple Notification Service (SNS) 触发通知,并在文件处理完成时收到通知。此外,您还可以使用 Amazon Lambda 执行的 Amazon CloudWatch Logs 获得通知。
问:能否在工作流文件验证检查失败时发送通知?
答:可以。如果按照预先配置的工作流验证步骤来说文件验证检查失败,则您可以使用异常处理程序通过 Amazon Simple Notification Service (SNS) 主题调用您的监控系统或团队成员。
