Allgemeines

F: Was ist AWS Transfer Family?

A: AWS Transfer Family ist der zusammengefasste Name für AWS Transfer for SFTP, AWS Transfer for FTPS und AWS Transfer for FTP. AWS Transfer Family bietet eine vollständig verwaltete Unterstützung für die Übertragung von Dateien über SFTP, FTPS und FTP direkt zu und aus Amazon S3. Sie können Ihre Dateiübertragungs-Workflows nahtlos durch Beibehaltung von clientseitigen Konfigurationen für die Authentifizierung, den Zugriff und für Firewalls migrieren, sodass sich für Ihre Kunden, Partner und internen Teams sowie für deren Anwendungen nichts ändert.

F: Was ist SFTP?

A: SFTP steht für "Secure Shell File Transfer Protocol" – ein Netzwerkprotokoll für die sichere Übertragung von Daten über das Internet. Das Protokoll unterstützt die volle Sicherheits- und Authentifizierungsfunktionalität von SSH und wird häufig für den Datenaustausch zwischen Geschäftspartnern in einer Vielzahl von Branchen wie Finanzdienstleistungen, Gesundheitswesen, Medien und Unterhaltung, Einzelhandel, Werbung und mehr verwendet.

F: Was ist FTP?

A: FTP steht für File Transfer Protocol – ein Netzwerkprotokoll für die Übertragung von Daten. FTP verwendet separate Kanäle für die Kontrolle und für Datenübertragungen. Der Kontrollkanal bleibt geöffnet, bis er geschlossen wird oder durch Inaktivität abläuft. Der Datenkanal ist für die Dauer der Übertragung aktiv. FTP verwendet Klartext und unterstützt keine Verschlüsselung des Datenverkehrs.

F: Was ist FTPS?

A: FTPS steht für File Transfer Protocol over SSL, eine Erweiterung von FTP. Es verwendet Transport Layer Security (TLS) und Secure Sockets Layer (SSL) als kryptografische Protokolle für die Verschlüsselung des Datenverkehrs. FTPS ermöglicht die Verschlüsselung von Kontroll- und Datenkanalverbindungen – entweder gleichzeitig oder unabhängig voneinander.

F: Warum sollte ich AWS Transfer Family verwenden?

A: Wenn Sie heute Datenübertragungsprotokolle wie SFTP, FTPS oder FTP für den Datenaustausch mit Drittanbietern wie Ihren Lieferanten oder Geschäftspartnern verwenden und diese Daten in AWS für die Verarbeitung, Analyse und Archivierung verwalten möchten, müssen Sie Ihre eigenen Datenübertragungsservices vor Ort oder in der Cloud hosten und verwalten. Dazu müssen Sie in den Betrieb und die Verwaltung der Infrastruktur, die Überwachung auf Betriebsbereitschaft und Verfügbarkeit sowie den Aufbau einmaliger Mechanismen zur Bereitstellung von Benutzern und zur Überprüfung ihrer Aktivitäten investieren. AWS Transfer Family löst diese Herausforderungen durch Bereitstellen einer vollständig verwalteten Unterstützung für SFTP, FTPS und FTP, die die Betriebsbelastung reduzieren und gleichzeitig die vorhandenen Übertragungs-Workflows für Ihre Endbenutzer beibehalten kann. Der Service speichert übertragene Dateien als Objekte in Ihrem Amazon-S3-Bucket, damit Sie sie in Ihrem Data Lake optimal für Customer-Relationship-Management(CRM)- oder Enterprise-Resource-Planning(ERP)-Workflows oder zur Archivierung in AWS nutzen können.

F: Welche Vorteile bietet die Verwendung von AWS Transfer Family?

A: AWS Transfer Family bietet Ihnen einen vollständig verwalteten, hochverfügbaren Dateiübertragungsservice mit integrierten Auto-Scaling-Funktionen, sodass Sie die Dateiübertragungsinfrastruktur nicht selbst verwalten müssen. Die Workflows Ihrer Endbenutzer bleiben unverändert, während Daten, die über die ausgewählten Protokolle hoch- und heruntergeladen werden, in Ihrem Amazon-S3-Bucket gespeichert werden. Mit den Daten von Amazon S3 können Sie nun mit einer großen Bandbreite von AWS-Services für Datenverarbeitung, Analyse, Machine Learning und Archivierung in einer Umgebung, die Ihren Compliance-Anforderungen gerecht wird, arbeiten.

F: Wie sollte ich AWS Transfer Family verwenden?

A: Sie können in 3 einfachen Schritten einen Always-on-Serverendpunkt für SFTP, FTPS und/oder FTP aktivieren. Zunächst wählen Sie die gewünschten Protokolle aus, um es Ihren Endbenutzern zu ermöglichen, eine Verbindung zum Endpunkt herzustellen. Danach richten Sie Ihre Benutzer durch Integrieren eines vorhandenen Identitätsanbieters wie Microsoft Active Directory oder LDAP für die Authentifizierung ("BYO"-Authentifizierung) ein. Zuletzt weisen Sie IAM-Rollen zu, um den Zugriff auf Ihre S3-Buckets bereitzustellen. Sobald die Zugriffsrichtlinien für Protokoll(e), Identitätsanbieter und S3-Bucket aktiviert sind, können Ihre Benutzer ihre bestehenden Clients und Konfigurationen weiterhin verwenden, während die Daten, auf die sie zugreifen, in Ihrem S3-Bucket gespeichert werden.

F: Worin besteht der Unterschied zwischen SFTP und FTPS? Welches Protokoll sollte ich wann verwenden?

A: FTPS und SFTP können beide für sichere Übertragungen verwendet werden. Da es sich um unterschiedliche Protokolle handelt, verwenden sie unterschiedliche Clients und Technologien, um einen sicheren Tunnel für die Übertragung von Befehlen und Daten bereitzustellen. SFTP ist ein neueres Protokoll, das einen einzelnen Kanal für Befehle und Daten verwendet, sodass weniger Ports als für FTPS geöffnet werden müssen.

F: Können meine Benutzer SCP, HTTPS oder AS2 verwenden, um Dateien mit diesem Service zu übertragen?

A: Nein, Ihre Benutzer müssen für die Übertragung von Dateien SFTP, FTPS oder FTP verwenden. Die meisten Dateiübertragungsclients bieten alle dieser Protokolle als Option an, die während der Authentifizierung ausgewählt werden muss.

F: Können meine Benutzer weiterhin ihre vorhandenen Dateiübertragungsclients und -anwendungen verwenden?

A: Ja, alle vorhandenen Dateiübertragungsclient-Anwendungen werden weiterhin funktionieren, sofern Sie auf Ihrem Endpunkt die ausgewählten Protokolle aktiviert haben. Beispiele für häufig verwendete Clients sind WinSCP, FileZilla, CyberDuck, lftp und OpenSSH-Clients. 

F: Kann ich CloudFormation zur Automatisierung der Bereitstellung meiner Server und Benutzer verwenden?

A: Ja, Sie können CloudFormation-Vorlagen zur automatisierten Erstellung Ihrer Server und Benutzer oder zur Integration eines Identitätsanbieters bereitstellen. Informationen zur Verwendung von AWS Transfer-Ressourcen in CloudFormation-Vorlagen finden Sie im Benutzerhandbuch.

Serverendpunkt-Optionen

F: Kann ich meinen Firmendomänennamen (sftp.meinfirmenname.com) für den Zugriff auf meinen Endpunkt verwenden?

A: Ja. Wenn Sie bereits einen Domänennamen haben, können Sie Amazon Route 53 oder einen beliebigen DNS-Service verwenden, um den Datenverkehr Ihrer Benutzer von Ihrer registrierten Domäne zum Serverendpunkt in AWS umzuleiten. Lesen Sie die Dokumentation, in der Sie erfahren, wie AWS Transfer Family Amazon Route 53 für benutzerdefinierte Domänennamen verwendet (gilt nur für Endpunkte mit Internetanschluss).

F: Kann ich den Service auch dann nutzen, wenn ich keinen Domänennamen habe?

A: Ja, wenn Sie keinen Domänennamen haben, können Ihre Benutzer über den vom Service bereitgestellten Hostnamen auf Ihren Endpunkt zugreifen. Alternativ können Sie eine neue Domäne über die Amazon-Route-53-Konsole oder -API registrieren und den Datenverkehr von dieser Domäne an den vom Service bereitgestellten Endpunkt-Hostnamen weiterleiten.

F: Kann ich meine Domäne verwenden, die bereits über eine öffentliche Zone verfügt?

A: Ja, Sie müssen die Domäne in den Hostnamen des vom Service bereitgestellten Endpunkts umbenennen (CNAME).

F: Kann ich meinen Server so einrichten, dass er nur für Ressourcen innerhalb meiner VPC zugänglich ist?

A: Ja. Wenn Sie einen Server erstellen oder einen bestehenden aktualisieren, haben Sie die Möglichkeit, festzulegen, ob der Endpunkt über das öffentliche Internet zugänglich sein oder innerhalb Ihrer VPC gehostet werden soll. Die Verwendung eines gehosteten VPC-Endpunkts für Ihren Server macht ihn nur für Clients innerhalb derselben VPC, anderer VPCs, die Sie angeben, oder in lokalen Umgebungen zugänglich, die Netzwerktechnologien verwenden, welche Ihre VPC erweitern, wie beispielsweise AWS Direct Connect, AWS VPN oder VPC-Peering. Sie können den Zugriff auf Ressourcen in bestimmten Subnetzen innerhalb Ihrer VPC mithilfe von Subnetzzugriffssteuerungslisten (Network Access Control Lists, NACLs) oder Endpunktsicherheitsgruppen weiter einschränken. Weitere Informationen finden Sie in der Dokumentation zur Erstellung Ihres Serverendpunkts in Ihrer VPC mit AWS PrivateLink.

F: Kann ich FTP mit einem Endpunkt mit Internetanschluss verwenden?

Nein, wenn Sie FTP aktivieren, können Sie nur die interne Zugriffsoption des von der VPC gehosteten Endpunkts verwenden. Wenn der Datenverkehr das öffentliche Netzwerk durchqueren muss, sollten Sie sichere Protokolle wie SFTP oder FTPS verwenden.

F: Wie sollte ich vorgehen, wenn ich FTP für Übertragungen über das öffentliche Internet verwenden muss?

Der Service lässt es nicht zu, dass Sie FTP über öffentliche Netzwerke verwenden, da beim Erstellen eines für FTP aktivierten Servers der Serverendpunkt nur für Ressourcen innerhalb Ihrer VPC erreichbar ist. Wenn Sie FTP für den Austausch von Daten über das öffentliche Internet verwenden müssen, können Sie dem VPC-Endpunkt Ihres Servers einen Network Load Balancer (NLB) mit Internetanschluss voranstellen.

F: Kann ich FTP ohne eine VPC verwenden?

Nein. Eine VPC ist zum Hosten von FTP-Serverendpunkten erforderlich. Informationen zum Automatisieren der Erstellung von VPC-Ressourcen zum Hosten des Endpunkts während der Servererstellung finden Sie in der Dokumentation zu CloudFormation-Vorlagen.

F: Können meine Endbenutzer feste IP-Adressen verwenden, um den Zugriff auf den Endpunkt meines Servers in ihren Firewalls auf die Whitelist zu setzen?

A: Ja. Sie können feste IPs für Ihren Serverendpunkt aktivieren, indem Sie den von der VPC gehosteten Endpunkt für Ihren Server und die Option für die Internetverbindung auswählen. Auf diese Weise können Sie elastische IPs (einschließlich BYO-IPs) direkt an den Endpunkt anfügen, der als IP-Adresse des Endpunkts zugewiesen ist. Weitere Informationen finden Sie im Abschnitt „Erstellen eines mit dem Internet verbundenen Endpunkts“ in der Dokumentation Erstellen des Serverendpunkts in Ihrer VPC.

F: Kann ich eingehenden Datenverkehr durch die Quell-IP-Adressen der Endbenutzer einschränken?

A: Ja. Sie können Sicherheitsgruppen an den VPC-Endpunkt Ihres Servers anfügen, der den eingehenden Datenverkehr an den Server steuert. Weitere Informationen finden Sie im Abschnitt zum Erstellen eines mit dem Internet verbundenen Endpunkts in der Dokumentation Erstellen des Serverendpunkts in Ihrer VPC.

F: Können meine Endbenutzer statische IP-Adressen verwenden, um Zugang zu meinem Server mit dem Endpunkttyp "PUBLIC" zu erhalten?

A: Nein. Statische IP-Adressen, die normalerweise für Whitelisting-Zwecke der Firewall verwendet werden, werden derzeit auf dem Endpunkttyp "PUBLIC" nicht unterstützt.

F: Welche IP-Bereiche würden meine Endbenutzer für die Whitelist nutzen müssen, um Zugang zum Endpunkt-Typ meines SFTP-Servers zu bekommen, der „PUBLIC“ ist?

A: Wenn Sie den Endpunkttyp „PUBLIC“ verwenden, müssen Ihre Benutzer die hier publizierten AWS-IP-Adressbereiche auf die Whitelist setzen. Informationen dazu, wie Sie auf dem neuesten Stand hinsichtlich AWS-IP-Adressbereiche bleiben können, finden Sie in der Dokumentation.

F: Wird der Hostkey meines AWS Transfer for SFTP-Servers sich jemals ändern, nachdem ich den Server erstellt habe?

A: Nein. Der Hostkey des Servers, der beim Erstellen des Servers zugewiesen wird, bleibt gleich, bis Sie ihn löschen und einen neuen erstellen.

F: Kann ich Schlüssel von meinem aktuellen SFTP-Server importieren, damit meine Benutzer die Sitzungsinformationen nicht erneut bestätigen müssen?

A: Ja. Sie können einen RSA-Host-Schlüssel angeben, wenn Sie einen neuen Server erstellen oder einen bestehenden aktualisieren. Dieser Schlüssel wird von den Clients Ihrer Endbenutzer zur Identifizierung Ihres Servers verwendet. Informationen zur Verwendung des AWS CLI/der SDKs zum Hochladen eines Host-Schlüssels für Ihren Server finden Sie in der Dokumentation.

F: Wie verifizieren die FTPS-Clients meiner Endbenutzer die Identität meines FTPS-Servers?

A: Wenn Sie den FTPS-Zugriff aktivieren, müssen Sie ein Zertifikat von Amazon Certificate Manager (ACM) bereitstellen. Dieses Zertifikat wird von den Clients Ihrer Endbenutzer verwendet, um die Identität Ihres FTPS-Servers zu verifizieren. Informationen finden Sie in der ACM-Dokumentation zum Anfordern neuer Zertifikate oder Importieren vorhandener Zertifikate in ACM.

F: Unterstützen Sie aktive und passive Modi von FTPS und FTP?

A: Wir unterstützen nur den passiven Modus, der es den Clients Ihrer Endbenutzer ermöglicht, Verbindungen mit Ihrem Server zu initiieren. Für den passiven Modus müssen auf der Clientseite weniger Ports geöffnet werden, sodass Ihr Serverendpunkt kompatibler mit Endbenutzern hinter geschützten Firewalls ist.

F: Unterstützen Sie explizite und implizite FTPS-Modi?

A: Wir unterstützen nur den expliziten FTPS-Modus.

Multiprotokollzugriff

F: Kann ich mehrere Protokolle auf dem gleichen Endpunkt aktivieren?

A: Ja. Während der Einrichtung können Sie die Protokolle auswählen, die aktiviert werden sollen, um es Clients zu ermöglichen, eine Verbindung zum Endpunkt herzustellen. Der Server-Hostname und der Identitätsanbieter werden für alle ausgewählten Protokolle gemeinsam genutzt. Auf ähnliche Weise können Sie FTP-/FTPS-Unterstützung zu einem vorhandenen AWS Transfer for SFTP-Serverendpunkt hinzufügen, sofern der Endpunkt innerhalb Ihrer VPC gehostet wird und Sie einen benutzerdefinierten Identitätsanbieter verwenden.

F: Wann sollte ich separate Serverendpunkte für die einzelnen Protokolle erstellen und wann sollte ich den gleichen Endpunkt für mehrere Protokolle aktivieren?

A: Wenn Sie FTP verwenden müssen (wird nur für Zugriff innerhalb der VPC unterstützt) und außerdem SFTP oder FTPS über das Internet unterstützen müssen, benötigen Sie einen separaten Serverendpunkt für FTP. Sie können den gleichen Endpunkt für mehrere Protokolle verwenden, wenn Sie den gleichen Endpunkt-Hostnamen und die gleiche IP-Adresse für Clients verwenden möchten, die Verbindungen über mehrere Protokolle herstellen. Wenn Sie die gleichen Anmeldeinformationen für SFTP und FTPS verwenden möchten, können Sie außerdem einen einzelnen Identitätsanbieter für das Authentifizieren von Clients, die Verbindungen über eines dieser Protokolle herstellen, einrichten und verwenden.

F: Kann ich den gleichen Endbenutzer für den Zugriff auf den Endpunkt über mehrere Protokolle einrichten?

Ja, Sie können dem gleichen Benutzer Zugriff über mehrere Protokolle bereitstellen, sofern die protokollspezifischen Anmeldeinformationen in Ihrem Identitätsanbieter eingerichtet wurden. Wenn Sie FTP aktiviert haben, sollten Sie separate Anmeldeinformationen für FTP nutzen. Informationen zum Einrichten separater Anmeldeinformationen für FTP finden Sie in der Dokumentation.

F: Warum sollte ich separate Anmeldeinformationen für FTP-Benutzer verwenden?

Im Gegensatz zu SFTP und FTPS überträgt FTP die Anmeldeinformationen im Klartext. Wir empfehlen das Isolieren der FTP-Anmeldeinformationen von SFTP oder FTPS, da Ihre Workloads, die SFTP oder FTPS verwenden, auch dann sicher bleiben, wenn FTP-Anmeldeinformationen versehentlich geteilt oder offengelegt werden.

Authentifizierungsmodi

F: Wie authentifiziert der Service Benutzer?

A: Der Service unterstützt zwei Authentifizierungsmodi: "Verwalteter Service", bei dem Benutzeridentitäten innerhalb des Service gespeichert werden, und "Benutzerdefiniert (BYO)", der es Ihnen ermöglicht, einen Identitätsanbieter Ihrer Wahl zu integrieren. Die Authentifizierung mithilfe von "Verwalteter Service" wird für Serverendpunkte unterstützt, die ausschließlich für SFTP aktiviert sind.

F: Wie kann ich meine Benutzer mithilfe der Authentifizierung "Verwalteter Service" authentifizieren?

A: Sie können die Authentifizierung "Verwalteter Service" für die Authentifizierung Ihrer SFTP-Benutzer mithilfe von SSH-Schlüsseln verwenden.

F: Wie viele SSH-Schlüssel kann ich pro SFTP-Benutzer hochladen?

A: Sie können bis zu 10 SSH-Schlüssel pro Benutzer hochladen.

F: Wird bei der Authentifizierung "Verwalteter Service" die SSH-Schlüsselrotation unterstützt?

A: Ja. Weitere Informationen zum Einrichten der Schlüsselrotation für Ihre SFTP-Benutzer finden Sie in der Dokumentation.

F: Kann ich die Authentifizierung "Verwalteter Service" für die Passwortauthentifizierung verwenden?

A: Nein. Das Speichern von Passwörtern innerhalb des Service zur Authentifizierung wird derzeit nicht unterstützt. Wenn Sie Passwortauthentifizierung benötigen, verwenden Sie die in diesem Post zum Aktivieren der Passwortauthentifizierung mit Secrets Manager beschriebene Architektur.

F: Warum sollte ich den benutzerdefinierten Authentifizierungsmodus verwenden?

A: Der benutzerdefinierte Authentifizierungsmodus ("BYO"-Authentifizierung) ermöglicht Ihnen die Nutzung eines vorhandenen Identitätsanbieters zum Verwalten Ihrer Endbenutzer für alle Protokolltypen (SFTP, FTPS und FTP) und ermöglicht so die einfache und nahtlose Migration Ihrer Benutzer. Anmeldeinformationen können in Ihrem Unternehmensverzeichnis oder in einem internen Identitätsdatenspeicher gespeichert und zum Zwecke der Endbenutzerauthentifizierung integriert werden. Beispiele für Identitätsanbieter sind Microsoft Active Directory (AD), Lightweight Directory Access Protocol (LDAP) oder jeder andere benutzerdefinierte Identitätsanbieter, den Sie möglicherweise als Teil eines übergreifenden Bereitstellungsportals verwenden.

F: Wie kann ich mit der Integration meines vorhandenen Identitätsanbieters für die benutzerdefinierte Authentifizierung beginnen?

A: Für die ersten Schritte können Sie die AWS-CloudFormation-Vorlage im Nutzungshandbuch verwenden und die notwendigen Informationen für die Benutzerauthentifizierung und den Zugriff bereitstellen. Besuchen Sie die Website zum Thema benutzerdefinierte Identitätsanbieter, um mehr darüber zu erfahren.

F: Werden anonyme Benutzer unterstützt?

A: Nein, anonyme Benutzer werden derzeit für keines der Protokolle unterstützt.

F: Welche Informationen werden beim Einrichten meiner Benutzer über einen benutzerdefinierten Identitätsanbieter verwendet, um den Zugriff einzurichten?

A: Ihr Benutzer muss zur Authentifizierung einen Benutzernamen und ein Passwort (oder einen SSH-Schlüssel) angeben, und der Zugriff auf Ihren Bucket wird durch die AWS-IAM-Rolle bestimmt, die vom API-Gateway bereitgestellt und von Lambda zur Abfrage Ihres Identitätsanbieters verwendet wird. Sie müssen außerdem Startverzeichnisinformationen angeben, und es wird empfohlen, den Benutzer für zusätzliche Sicherheit und Benutzerkomfort auf das zugeordnete Startverzeichnis einzuschränken. Informationen zur Vereinfachung Ihrer Endbenutzererfahrung bei Verwendung eines benutzerdefinierten Identitätsanbieters mit AWS SFTP finden Sie in diesem Blog-Beitrag.

Benutzerzugriffsrechte

F: Warum muss ich eine AWS-IAM-Rolle zur Verfügung stellen und wie wird sie verwendet?

A: AWS IAM wird verwendet, um die Zugriffsebene zu bestimmen, die Sie Ihren Benutzern zur Verfügung stellen möchten. Dies beinhaltet Informationen darüber, welche Operationen Sie auf ihrem Client aktivieren möchten und auf welche Amazon-S3-Buckets die Benutzer Zugriff haben, d. h. ob es sich um den gesamten Bucket oder um Teile davon handelt.

F: Warum muss ich Informationen zum Startverzeichnis bereitstellen und wie werden diese verwendet?

Das Startverzeichnis, das Sie für Ihren Benutzer einrichten, legt dessen Anmeldeverzeichnis fest. Das entspricht dem Verzeichnispfad, in den der Client die Benutzer nach dem erfolgreichen Authentifizieren am Server platziert. Sie werden sicherstellen müssen, dass die bereitgestellte IAM-Rolle den Benutzerzugriff auf das Startverzeichnis zur Verfügung stellt.

F: Ich habe Hunderte von Benutzern, die ähnliche Zugriffseinstellungen haben, aber auf verschiedene Teile meines Buckets zugreifen. Kann ich sie mit der gleichen IAM-Rolle und -Richtlinie einrichten, um ihren Zugriff zu aktivieren?

Ja. Sie können eine einzelne IAM-Rolle für alle Benutzer zuweisen und logische Verzeichniszuordnungen verwenden, die angeben, welche absoluten Amazon-S3-Bucket-Pfade den Endbenutzern angezeigt werden sollen und wie diese Pfade von den Clients dargestellt werden. In diesem Blog-Beitrag finden Sie weitere Informationen zum Vereinfachen Ihrer AWS-SFTP-/FTPS-/FTP-Struktur mit Chroot und logischen Verzeichnissen.

F: Wie werden Dateien, die in meinem Amazon-S3-Bucket gespeichert sind, mit AWS Transfer übertragen?

Dateien, die über die unterstützten Protokolle übertragen werden, werden als Objekte in Ihrem Amazon-S3-Bucket gespeichert, und es gibt eine Eins-zu-Eins-Zuordnung zwischen Dateien und Objekten, die einen nativen Zugriff auf diese Objekte über AWS-Services zur Verarbeitung oder Analyse ermöglicht.

F: Wie werden die in meinem Bucket gespeicherten Amazon-S3-Objekte meinen Benutzern präsentiert?

A: Nach erfolgreicher Authentifizierung, basierend auf den Anmeldeinformationen Ihrer Benutzer, stellt der Service Amazon-S3-Objekte und -Ordner als Dateien und Verzeichnisse für die Übertragungsanwendungen Ihrer Benutzer dar.

F: Welche Dateioperationen werden unterstützt? Welche Operationen werden nicht unterstützt?

A: Es werden gängige Befehle zum Erstellen, Lesen, Aktualisieren und Löschen von Dateien und Verzeichnissen unterstützt. Dateien werden in Ihrem Amazon-S3-Bucket als einzelne Objekte gespeichert. Verzeichnisse werden in S3 als Ordnerobjekte verwaltet und verwenden dieselbe Syntax wie die S3-Konsole.

Verzeichnisumbenennungsvorgänge, Anfügevorgänge, Besitzwechsel, Berechtigungen und Zeitstempel sowie die Verwendung symbolischer und fester Links werden aktuell nicht unterstützt.

F: Kann ich steuern, welche Aktionen meine Benutzer ausführen dürfen?

A: Ja, Sie können Dateioperationen mit der AWS-IAM-Rolle, die Sie den jeweiligen Benutzernamen zugeordnet haben, aktivieren und deaktivieren. Weitere Informationen finden Sie in der Dokumentation zum Erstellen von IAM-Richtlinien und -Rollen zum Steuern des Endbenutzerzugriffs

F: Kann ich meinen Endbenutzern Zugriff auf mehrere Amazon-S3-Buckets gewähren?

A: Ja. Der oder die Buckets, auf die Ihr Benutzer zugreifen kann, werden durch die AWS IAM-Rolle und die optionale Scope-Down-Richtlinie bestimmt, die Sie für diesen Benutzer festlegen. Sie können nur einen einzelnen Bucket als Startverzeichnis für den Benutzer verwenden.

F: Kann ich einen Server mit AWS-Konto A erstellen und meine Benutzer den Amazon-S3-Buckets von AWS-Konto B zuordnen?

A: Ja. Sie können die CLI und die API verwenden, um einen kontenübergreifenden Zugriff zwischen Ihrem Server und den Buckets einzurichten, die Sie für das Speichern von Dateien, die über die unterstützten Protokolle übertragen werden, verwenden möchten. Die Dropdown-Liste der Konsole listet nur Bereiche in Konto A auf. Außerdem müssen Sie sicherstellen, dass die dem Benutzer zugewiesene Rolle zu Konto A gehört.

F: Kann ich die Verarbeitung einer Datei automatisieren, nachdem sie in Amazon S3 hochgeladen wurde?

A: Ja, Sie können Amazon-S3-Ereignisse verwenden, um die Verarbeitung nach dem Hochladen mit einer breiten Palette von AWS-Services für Abfragen, Analysen, Machine Learning und mehr zu automatisieren. In der Dokumentation erfahren Sie mehr über gängige Beispiele für die Verarbeitung nach dem Upload durch Lambda mit Amazon S3.

F: Kann ich Regeln für das Verarbeiten basierend auf dem Benutzer, der die Datei hochlädt, anpassen?

A: Ja. Wenn der Benutzer eine Datei hochlädt, werden Benutzername und Server-ID des Servers, der für das Hochladen verwendet wird, als Teil der zugeordneten Metadaten des S3-Objekts gespeichert. Sie können diese Informationen für die Verarbeitung nach dem Hochladen verwenden.

Sicherheit und Compliance

F: Welche Protokolle sollte ich für das Schützen von Daten während der Übertragung über ein öffentliches Netzwerk verwenden?

Für die sichere Übertragung über öffentliche Netzwerke sollte SFTP oder FTPS verwendet werden. Aufgrund der zugrunde liegenden Sicherheit der Protokolle basierend auf kryptografischen SSH- und TLS-Algorithmen werden Daten und Befehle über einen sicheren, verschlüsselten Kanal übertragen.

F: Welche Optionen habe ich zum Verschlüsseln von ruhenden Daten?

A: Sie können auswählen, ob Sie die in Ihrem Bucket gespeicherten Dateien mithilfe von Amazon S3 Server-Side Encryption (SSE-S3) oder Amazon KMS (SSE-KMS) verschlüsseln möchten.

F: Welche Compliance-Programme werden von AWS Transfer Family unterstützt?

A: AWS Transfer Family ist PCI-DSS- und DSGVO-konform sowie HIPAA-fähig. Der Service ist außerdem SOC 1-, 2- und 3-konform. Erfahren Sie mehr über mit Compliance-Programmen konforme Services.

F: Ist AWS Transfer Family FISMA-konform?

A: Die Regionen AWS Ost/West und GovCloud (USA) sind konform. Diese Konformität wird durch die FedRAMP-Autorisierung dieser beiden Regionen gemäß „FedRAMP Moderate“ und „FedRAMP High“ nachgewiesen. Wir weisen die Konformität durch jährliche Prüfungen und die Dokumentierung der Compliance mit geltenden NIST SP 800-53-Kontrollen in unseren Systemsicherheitsplänen nach. Vorlagen sind zusammen mit unserer Kundenverantwortungsmatrix (CRM) auf Artifact verfügbar. Diese zeigt auf detaillierter Ebene unsere Verantwortung, diese NIST-Kontrollen gemäß FedRAMP zu erfüllen. Artifact ist über die Managementkonsole verfügbar und für AWS-Konten in den Regionen Ost/West und GovCloud zugänglich. Weitere Informationen zu diesem Thema finden Sie in der Konsole.

F: Wie stellt der Service die Integrität der hochgeladenen Dateien sicher?

A: Dateien, die über Services hochgeladen werden, werden durch den Vergleich ihrer MD5-Prüfsumme vor und nach dem Hochladen verifiziert.

F: Wie kann ich die Aktivität meiner Endbenutzer überwachen?

A: Sie können Amazon CloudWatch zum Überwachen der Aktivitäten Ihrer Endbenutzer und AWS CloudTrail für den Zugriff auf einen Datensatz aller S3-API-Vorgänge verwenden, die von Ihrem Server als Reaktion auf Datenanforderungen Ihrer Endbenutzer aufgerufen werden. In der Dokumentation erhalten Sie Informationen zum Aktivieren der Amazon CloudWatch- und AWS-CloudTrail-Protokollierung.

F: Wie kann ich die Größe der Daten überprüfen, die über die Protokolle hoch- und heruntergeladen werden?

A: Sie können Amazon CloudWatch Metrics zum Überwachen und Überprüfen der Daten verwenden, die von Ihren Benutzern über die ausgewählten Protokolle hoch- und heruntergeladen werden. Weitere Informationen zum Verwenden von Amazon-CloudWatch-Metriken finden Sie in der Dokumentation.

Fakturierung

F: Wie wird mir die Nutzung des Service in Rechnung gestellt?

Die Rechnung wird für jedes aktivierte Protokoll vom Zeitpunkt des Erstellens und Konfigurierens des Serverendpunkts bis zu seiner Löschung auf Stundenbasis erstellt. Die Abrechnung erfolgt außerdem anhand der Datenmenge, die über SFTP, FTPS oder FTP hoch- und heruntergeladen wird. Weitere Informationen finden Sie auf der Seite mit den Preisangaben

F: Unterscheidet sich meine Abrechnung, wenn ich den gleichen Serverendpunkt für mehrere Protokolle oder unterschiedliche Endpunkte für jedes einzelne Protokoll verwende?

A: Nein, die Abrechnung erfolgt für jedes der aktivierten Protokolle und für die Datenmenge, die über die einzelnen Protokolle übertragen wird, auf Stundenbasis. Dabei spielt es keine Rolle, ob der gleiche Endpunkt für mehrere Protokolle aktiviert wird oder ob unterschiedliche Endpunkte für die einzelnen Protokolle verwendet werden.

F: Ich habe meinen Server gestoppt. Wird der Server in Rechnung gestellt, während er gestoppt ist?

A: Ja, das Stoppen des Servers mit der Konsole oder durch Nutzen des "stop-server"-CLI-Befehls oder dem "StopServer"-API-Befehl beeinflusst die Abrechnung nicht. Die Rechnung wird vom Zeitpunkt des Erstellens des Serverendpunkts und des Konfigurierens des Zugriffs über ein oder mehrere Protokolle bis zu seiner Löschung auf Stundenbasis erstellt.

Weitere Informationen zu SFTP-Preisen
Weitere Informationen zu Preisen

AWS Transfer Family bietet einen vollständig verwalteten Service, der Ihre Kosten für den Betrieb von Dateiübertragungsservices senkt.

Weitere Informationen 
Für ein kostenloses AWS-Konto registrieren
Für ein kostenloses Konto registrieren

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Beginnen Sie die Erstellung mit SFTP
Entwicklungsbeginn in der Konsole

Beginnen Sie mit dem Erstellen Ihrer SFTP-, FTPS- und FTP-Services in der AWS-Managementkonsole.

Anmeldung