Allgemeines

F: Was ist AWS Transfer Family?

A: Die AWS Transfer Family bietet vollständig verwaltete Unterstützung für die Übertragung von Dateien über SFTP, FTPS und FTP direkt in und aus Amazon S3 oder Amazon EFS. Sie können Ihre Dateiübertragungs-Workflows nahtlos migrieren, automatisieren und überwachen, indem Sie die bestehenden clientseitigen Konfigurationen für Authentifizierung, Zugriff und Firewalls beibehalten - so ändert sich für Ihre Kunden, Partner und internen Teams oder deren Anwendungen nichts.

F: Was ist SFTP?

A: SFTP steht für "Secure Shell File Transfer Protocol" – ein Netzwerkprotokoll für die sichere Übertragung von Daten über das Internet. MAP verwendet außerdem ein bewährtes dreistufiges Framework (Bewerten, Mobilisieren und Migrieren und Modernisieren), um Sie beim Erreichen Ihrer Migrationsziele zu unterstützen.

F: Was ist FTP?

A: FTP steht für File Transfer Protocol, ein Netzwerkprotokoll für die Übertragung von Daten. FTP verwendet separate Kanäle für die Kontrolle und für Datenübertragungen. Der Kontrollkanal bleibt geöffnet, bis er geschlossen wird oder durch Inaktivität abläuft. Der Datenkanal ist für die Dauer der Übertragung aktiv. FTP verwendet Klartext und unterstützt keine Verschlüsselung des Datenverkehrs.

F: Was ist FTPS?

A: FTPS steht für File Transfer Protocol over SSL, eine Erweiterung von FTP. Es verwendet Transport Layer Security (TLS) und Secure Sockets Layer (SSL) als kryptografische Protokolle für die Verschlüsselung des Datenverkehrs. FTPS ermöglicht die Verschlüsselung von Kontroll- und Datenkanalverbindungen – entweder gleichzeitig oder unabhängig voneinander.

F: Warum sollte ich AWS Transfer Family verwenden?

A: Die AWS Transfer Family unterstützt mehrere Protokolle für Business-to-Business (B2B)-Dateiübertragungen, sodass Daten einfach und sicher zwischen Beteiligten, Drittanbietern, Geschäftspartnern oder Kunden ausgetauscht werden können. Ohne Transfer Family müssen Sie Ihren eigenen Dateiübertragungsdienst hosten und verwalten, was Investitionen in den Betrieb und die Verwaltung der Infrastruktur, das Patchen von Servern, die Überwachung der Betriebszeit und Verfügbarkeit sowie die Entwicklung einmaliger Mechanismen zur Bereitstellung von Benutzern und zur Überprüfung ihrer Aktivitäten erfordert. Die AWS Transfer Family löst diese Herausforderungen, indem sie vollständig verwaltete Unterstützung für SFTP, FTPS und FTP bietet, die Ihren operativen Aufwand verringern kann, während Ihre bestehenden Übertragungsworkflows für Ihre Endbenutzer erhalten bleiben. Mit den verwalteten Dateiverarbeitungs-Workflows der AWS Transfer Family können Sie Ihre Dateiübertragungen und Datenverarbeitungen erstellen, automatisieren und überwachen, ohne Ihren eigenen Code oder Ihre eigene Infrastruktur zu pflegen. Der Service speichert die übertragenen Daten als Objekte in Ihrem Amazon-S3-Bucket oder als Dateien in Ihrem Amazon-EFS-Dateisystem, so dass Sie aus ihnen in Ihrem Data Lake, für Ihr Customer Relationship Management (CRM) oder Ihre Enterprise Resource Planning (ERP)-Workflows oder für die Archivierung in AWS Nutzen ziehen können.

F: Welche Vorteile bietet die Verwendung von AWS Transfer Family?

A: AWS Transfer Family bietet Ihnen einen vollständig verwalteten, hochverfügbaren Dateiübertragungsservice mit integrierten Auto-Scaling-Funktionen, sodass Sie die Dateiübertragungsinfrastruktur nicht selbst verwalten müssen. Die Workflows Ihrer Endbenutzer bleiben unverändert, während Daten, die über die ausgewählten Protokolle hoch- und heruntergeladen werden, in Ihrem Amazon-S3-Bucket oder Amazon-EFS-Dateisystem gespeichert werden. Mit den Daten von AWS können Sie nun mit einer großen Bandbreite von AWS-Services für Datenverarbeitung, Analyse, Machine Learning und Archivierung in einer Umgebung, die Ihren Compliance-Anforderungen gerecht wird, arbeiten.

F: Wie sollte ich AWS Transfer Family verwenden?

A: Sie können in 3 einfachen Schritten einen Always-on-Serverendpunkt für SFTP, FTPS und/oder FTP aktivieren. Zunächst wählen Sie die gewünschten Protokolle aus, um es Ihren Endbenutzern zu ermöglichen, eine Verbindung zum Endpunkt herzustellen. Als Nächstes konfigurieren Sie den Benutzerzugriff mithilfe des integrierten Authentifizierungsmanagers von Transfer Family (service managed), Microsoft Active Directory (AD) oder durch die Integration Ihres eigenen oder eines Drittanbieters wie Okta oder Microsoft AzureAD ("BYO"-Authentifizierung). Schließlich wählen Sie den Server für den Zugriff auf S3-Buckets oder EFS-Dateisysteme aus. Sobald das/die Protokoll(e), der Identitätsanbieter und der Zugriff auf Dateisysteme aktiviert sind, können Ihre Benutzer weiterhin ihre vorhandenen SFTP-, FTPS- oder FTP-Clients und -Konfigurationen verwenden, während die Daten, auf die zugegriffen wird, in den ausgewählten Dateisystemen gespeichert werden. 

F: Worin besteht der Unterschied zwischen SFTP und FTPS? Welches Protokoll sollte ich wann verwenden?

A: FTPS und SFTP können beide für sichere Übertragungen verwendet werden. Da es sich um unterschiedliche Protokolle handelt, verwenden sie unterschiedliche Clients und Technologien, um einen sicheren Tunnel für die Übertragung von Befehlen und Daten bereitzustellen. SFTP ist ein neueres Protokoll, das einen einzelnen Kanal für Befehle und Daten verwendet, sodass weniger Ports als für FTPS geöffnet werden müssen.

F: Können meine Benutzer weiterhin ihre vorhandenen Dateiübertragungsclients und -anwendungen verwenden?

A: Ja, alle vorhandenen Dateiübertragungsclient-Anwendungen werden weiterhin funktionieren, sofern Sie auf Ihrem Endpunkt die ausgewählten Protokolle aktiviert haben. Beispiele für häufig verwendete Clients sind WinSCP, FileZilla, CyberDuck, lftp und OpenSSH-Clients. 

F: Kann ich CloudFormation zur Automatisierung der Bereitstellung meiner Server und Benutzer verwenden?

A: Ja, Sie können CloudFormation-Vorlagen zur automatisierten Erstellung Ihrer Server und Benutzer oder zur Integration eines Identitätsanbieters bereitstellen. Lesen Sie den Leitfaden zur Verwendung von AWS Transfer-Ressourcen in CloudFormation-Vorlagen.

F: Können meine Benutzer SCP, HTTPS oder AS2 verwenden, um Dateien mit diesem Service zu übertragen?

A: Nein, Ihre Benutzer müssen für die Übertragung von Dateien SFTP, FTPS oder FTP verwenden. Die meisten Dateiübertragungsclients bieten all diese Protokolle als Option an, die während der Authentifizierung ausgewählt werden muss. Bitte teilen Sie uns über den AWS Support oder über Ihr AWS-Kontoteam mit, welche Protokolle Sie gerne unterstützt sehen möchten.

Serverendpunkt-Optionen

F: Kann ich meinen Firmendomänennamen (sftp.meinfirmenname.com) für den Zugriff auf meinen Endpunkt verwenden?

A: Ja. Wenn Sie bereits einen Domänennamen haben, können Sie Amazon Route 53 oder einen beliebigen DNS-Service verwenden, um den Datenverkehr Ihrer Benutzer von Ihrer registrierten Domäne zum Serverendpunkt in AWS umzuleiten. Lesen Sie in der Dokumentation nach, wie die AWS Transfer Family Amazon Route 53 für benutzerdefinierte Domänennamen verwendet (gilt nur für internetorientierte Endpunkte).

F: Kann ich den Service auch dann nutzen, wenn ich keinen Domänennamen habe?

A: Ja, wenn Sie keinen Domänennamen haben, können Ihre Benutzer über den vom Service bereitgestellten Hostnamen auf Ihren Endpunkt zugreifen. Alternativ können Sie eine neue Domäne über die Amazon-Route-53-Konsole oder -API registrieren und den Datenverkehr von dieser Domäne an den vom Service bereitgestellten Endpunkt-Hostnamen weiterleiten.

F: Kann ich meine Domäne verwenden, die bereits über eine öffentliche Zone verfügt?

A: Ja, Sie müssen die Domäne in den Hostnamen des vom Service bereitgestellten Endpunkts umbenennen (CNAME).

F: Kann ich meinen Server so einrichten, dass er nur für Ressourcen innerhalb meiner VPC zugänglich ist?

A: Ja. Wenn Sie einen Server erstellen oder einen bestehenden aktualisieren, haben Sie die Möglichkeit, festzulegen, ob der Endpunkt über das öffentliche Internet zugänglich sein oder innerhalb Ihrer VPC gehostet werden soll. Die Verwendung eines gehosteten VPC-Endpunkts für Ihren Server macht ihn nur für Clients innerhalb derselben VPC, anderer VPCs, die Sie angeben, oder in lokalen Umgebungen zugänglich, die Netzwerktechnologien verwenden, welche Ihre VPC erweitern, wie beispielsweise AWS Direct Connect, AWS VPN oder VPC-Peering. Sie können den Zugriff auf Ressourcen in bestimmten Subnetzen innerhalb Ihrer VPC mithilfe von Subnetzzugriffssteuerungslisten (Network Access Control Lists, NACLs) oder Sicherheitsgruppen weiter einschränken. Weitere Informationen finden Sie in der Dokumentation zur Erstellung Ihres Server-Endpunkts innerhalb Ihrer VPC mit AWS PrivateLink.

F: Kann ich FTP mit einem Endpunkt mit Internetanschluss verwenden?

A: Nein, wenn Sie FTP aktivieren, können Sie nur die interne Zugriffsoption des von der VPC gehosteten Endpunkts verwenden. Wenn der Datenverkehr das öffentliche Netzwerk durchqueren muss, sollten Sie sichere Protokolle wie SFTP oder FTPS verwenden.

F: Was ist, wenn ich FTP für Übertragungen über das öffentliche Internet verwenden muss?

A: Der Dienst erlaubt es Ihnen nicht, FTP über öffentliche Netzwerke zu nutzen, denn wenn Sie einen für FTP aktivierten Server erstellen, ist der Server-Endpunkt nur für Ressourcen innerhalb Ihrer VPC zugänglich. Wenn Sie FTP für den Datenaustausch über das öffentliche Internet verwenden müssen, können Sie den VPC-Endpunkt Ihres Servers mit einem dem Internet zugewandten Network Load Balancer (NLB) verbinden. Um FTP-Clients zu unterstützen, die mit dieser Konfiguration möglicherweise nicht funktionieren, verwenden Sie Ihren Server im PASV-Modus.

F: Kann ich FTP ohne eine VPC verwenden?

A: Nein. Eine VPC ist zum Hosten von FTP-Serverendpunkten erforderlich. Informationen zum Automatisieren der Erstellung von VPC-Ressourcen zum Hosten des Endpunkts während der Servererstellung finden Sie in der Dokumentation zu CloudFormation-Vorlagen.

F: Können meine Endbenutzer feste IP-Adressen verwenden, um den Zugriff auf den Endpunkt meines Servers in ihren Firewalls auf die Zugriffsliste zu setzen?

A: Ja. Sie können feste IPs für Ihren Serverendpunkt aktivieren, indem Sie den von der VPC gehosteten Endpunkt für Ihren Server und die Option für die Internetverbindung auswählen. Auf diese Weise können Sie elastische IPs (einschließlich BYO-IPs) direkt an den Endpunkt anfügen, der als IP-Adresse des Endpunkts zugewiesen ist. Weitere Informationen finden Sie im Abschnitt zum Erstellen eines mit dem Internet verbundenen Endpunkts in der Dokumentation Erstellen des Serverendpunkts in Ihrer VPC.

F: Kann ich eingehenden Datenverkehr durch die Quell-IP-Adressen der Endbenutzer einschränken?

A: Ja. Sie haben drei Möglichkeiten, den eingehenden Datenverkehr nach der Quell-IP-Adresse der Benutzer zu beschränken. Wenn Sie Ihren Server-Endpunkt in einer VPC hosten, lesen Sie diesen Blog-Beitrag über die Verwendung von Sicherheitsgruppen, um die Quell-IP-Adresse der Liste zuzulassen, oder verwenden Sie den AWS Network Firewall Service. Wenn Sie einen öffentlichen EndpointType-Transferserver und ein API-Gateway für die Integration Ihres Identitätsmanagementsystems verwenden, können Sie auch AWS WAF nutzen, um den Zugriff nach der Quell-IP-Adresse Ihrer Endbenutzer zuzulassen, zu blockieren oder zu begrenzen.

F: Kann ich den Endpunkt meines Servers in einer gemeinsamen VPC-Umgebung hosten?

A: Ja. Sie können Ihren Server-Endpunkt mit gemeinsam genutzten VPC-Umgebungen bereitstellen, die typischerweise bei der Segmentierung Ihrer AWS-Umgebung mit Tools wie AWS Landing Zone für Sicherheit, Kostenüberwachung und Skalierbarkeit verwendet werden. Lesen Sie diesen Blog-Beitrag über die Verwendung von VPC-gehosteten Endpunkten in gemeinsam genutzten VPC-Umgebungen mit AWS Transfer Family.

F: Wie kann ich auf Dateien zugreifen, die auf einer externen SFTP- oder FTPS-Seite gespeichert sind?

A: Lesen Sie diesen Blog über die Verwendung von AWS Fargate für die Verbindung mit einer externen SFTP/FTPS-Seite und den Zugriff auf Ihre Daten mit AWS Transfer Family. Wenn Sie eine vollständig verwaltete Lösung für die Verbindung mit externen Websites suchen, wenden Sie sich über den AWS-Support oder Ihr AWS-Kundenteam an uns.

F: Wie kann ich die Leistung von Dateiübertragungen für Endbenutzer an entfernten Standorten verbessern?

A: Sie können AWS Global Accelerator mit Ihrem Übertragungsserver-Endpunkt verwenden, um den Dateitransfer-Durchsatz und die Round-Trip-Zeit zu verbessern. Weitere Informationen finden Sie in diesem Blog-Beitrag.

F: Kann ich auswählen, welche kryptografischen Algorithmen verwendet werden können, wenn sich die Clients meiner Endbenutzer mit meinem Server-Endpunkt verbinden?

A: Ja. A: Ja, Basierend auf Ihren Sicherheits- und Compliance-Anforderungen können Sie eine von drei Sicherheitsrichtlinien auswählen, um die kryptografischen Algorithmen zu steuern, die von Ihren Server-Endpunkten bekannt gegeben werden: Transfer-Security-Policy-2018-11 (Standard), Transfer-Security-Policy-2020-06 (restriktiv – keine SHA-1-Algorithmen) und Transfer-FIPS-2020-06 (FIPS-konforme Algorithmen). Wenn die Dateiübertragungs-Clients Ihrer Endbenutzer versuchen, eine Verbindung zu Ihrem Server herzustellen, werden nur die in der Richtlinie angegebenen Algorithmen verwendet, um die Verbindung auszuhandeln. Lesen Sie die Dokumentation zu vordefinierten Sicherheitsrichtlinien.

F: Können meine Endbenutzer statische IP-Adressen verwenden, um Zugang zu meinem Server mit dem Endpunkttyp PUBLIC zu erhalten?

A: Nein. Statische IP-Adressen, die normalerweise für Whitelisting-Zwecke der Firewall verwendet werden, werden derzeit auf dem Endpunkttyp "PUBLIC" nicht unterstützt. Verwenden Sie VPC-gehostete Endpunkte, um statische IP-Adressen für Ihren Endpunkt zuzuweisen.

F: Welche IP-Bereiche würden meine Endbenutzer für die Whitelist nutzen müssen, um Zugang zum Endpunkt-Typ meines SFTP-Servers zu bekommen, der PUBLIC ist?

A: Wenn Sie den Endpunkttyp PUBLIC verwenden, müssen Ihre Benutzer die hier publizierten AWS-IP-Adressbereiche auf die Whitelist setzen. Informationen dazu, wie Sie auf dem neuesten Stand hinsichtlich AWS-IP-Adressbereiche bleiben können, finden Sie in der Dokumentation.

F: Wird der Hostkey meines AWS Transfer for SFTP-Servers sich jemals ändern, nachdem ich den Server erstellt habe?

A: Nein. Der Hostkey des Servers, der beim Erstellen des Servers zugewiesen wird, bleibt gleich, bis Sie ihn löschen und einen neuen erstellen.

F: Kann ich Schlüssel von meinem aktuellen SFTP-Server importieren, damit meine Benutzer die Sitzungsinformationen nicht erneut bestätigen müssen?

A: Ja. Sie können einen RSA-Host-Schlüssel angeben, wenn Sie einen neuen Server erstellen oder einen bestehenden aktualisieren. Dieser Schlüssel wird von den Clients Ihrer Endbenutzer zur Identifizierung Ihres Servers verwendet. Informationen zur Verwendung des AWS CLI/der SDKs zum Hochladen eines Host-Schlüssels für Ihren Server finden Sie in der Dokumentation.

F: Wie verifizieren die FTPS-Clients meiner Endbenutzer die Identität meines FTPS-Servers?

A: Wenn Sie den FTPS-Zugriff aktivieren, müssen Sie ein Zertifikat von Amazon Certificate Manager (ACM) bereitstellen. Dieses Zertifikat wird von den Clients Ihrer Endbenutzer verwendet, um die Identität Ihres FTPS-Servers zu verifizieren. Informationen finden Sie in den ACM-Dokumentationen zum Anfordern neuer Zertifikate oder Importieren vorhandener Zertifikate in ACM.

F: Unterstützen Sie aktive und passive Modi von FTPS und FTP?

A: Wir unterstützen nur den passiven Modus, der es den Clients Ihrer Endbenutzer ermöglicht, Verbindungen mit Ihrem Server zu initiieren. Für den passiven Modus müssen auf der Clientseite weniger Ports geöffnet werden, sodass Ihr Serverendpunkt kompatibler mit Endbenutzern hinter geschützten Firewalls ist.

F: Unterstützen Sie explizite und implizite FTPS-Modi?

A: Wir unterstützen nur den expliziten FTPS-Modus.

F: Kann ich Dateien über FTPS/FTP-Protokolle übertragen, wenn sich zwischen dem Client und dem Server eine Firewall oder ein Router befindet?

A: Ja. Dateiübertragungen, die eine Firewall oder einen Router durchqueren, werden standardmäßig im erweiterten passiven Verbindungsmodus (EPSV) unterstützt. Wenn Sie einen FTPS/FTP-Client verwenden, der den EPSV-Modus nicht unterstützt, lesen Sie diesen Blog-Beitrag, um Ihren Server im PASV-Modus zu konfigurieren und so die Kompatibilität Ihres Servers mit einer breiten Palette von Clients zu erweitern.

Multiprotokoll-Zugriff

F: Kann ich mehrere Protokolle auf dem gleichen Endpunkt aktivieren?

Ja. Während der Einrichtung können Sie die Protokolle auswählen, die aktiviert werden sollen, um es Clients zu ermöglichen, eine Verbindung zum Endpunkt herzustellen. Der Server-Hostname und der Identitätsanbieter werden für alle ausgewählten Protokolle gemeinsam genutzt. Auf ähnliche Weise können Sie FTP-/FTPS-Unterstützung zu einem vorhandenen AWS Transfer for SFTP-Serverendpunkt hinzufügen, sofern der Endpunkt innerhalb Ihrer VPC gehostet wird und Sie einen benutzerdefinierten Identitätsanbieter verwenden.

F: Wann sollte ich separate Serverendpunkte für die einzelnen Protokolle erstellen und wann sollte ich den gleichen Endpunkt für mehrere Protokolle aktivieren?

A: Wenn Sie FTP verwenden müssen (wird nur für Zugriff innerhalb der VPC unterstützt) und außerdem SFTP oder FTPS über das Internet unterstützen müssen, benötigen Sie einen separaten Serverendpunkt für FTP. Sie können den gleichen Endpunkt für mehrere Protokolle verwenden, wenn Sie den gleichen Endpunkt-Hostnamen und die gleiche IP-Adresse für Clients verwenden möchten, die Verbindungen über mehrere Protokolle herstellen. Wenn Sie die gleichen Anmeldeinformationen für SFTP und FTPS verwenden möchten, können Sie außerdem einen einzelnen Identitätsanbieter für das Authentifizieren von Clients, die Verbindungen über eines dieser Protokolle herstellen, einrichten und verwenden.

F: Kann ich den gleichen Endbenutzer für den Zugriff auf den Endpunkt über mehrere Protokolle einrichten?

A: Ja, Sie können dem gleichen Benutzer Zugriff über mehrere Protokolle bereitstellen, sofern die protokollspezifischen Anmeldeinformationen in Ihrem Identitätsanbieter eingerichtet wurden. Wenn Sie FTP aktiviert haben, sollten Sie separate Anmeldeinformationen für FTP nutzen. Informationen zum Einrichten separater Anmeldeinformationen für FTP finden Sie in der Dokumentation.

F: Warum sollte ich separate Anmeldeinformationen für FTP-Benutzer verwenden?

A: Im Gegensatz zu SFTP und FTPS überträgt FTP die Anmeldeinformationen im Klartext. Wir empfehlen, FTP-Zugangsdaten von SFTP oder FTPS zu isolieren, denn wenn FTP-Zugangsdaten versehentlich freigegeben oder offengelegt werden, bleiben Ihre Workloads, die SFTP oder FTPS verwenden, sicher.

F: Können meine Benutzer über einen Browser auf den SFTP-Endpunkt von AWS Transfer Family zugreifen?

A: Ja, Sie können diese Open-Source-Lösung bereitstellen, mit der Sie eine browserbasierte Schnittstelle über die SFTP-Endpunkte Ihrer AWS Transfer Family bereitstellen können.

Optionen für Identitätsanbieter

F: Welche Optionen für Identitätsanbieter werden vom Dienst unterstützt?

A: Der Service unterstützt drei Identitätsanbieter-Optionen: Verwalteter Service, bei dem Sie Benutzeridentitäten innerhalb des Services speichern, Microsoft Active Directory und benutzerdefinierte Optionen, bei denen Sie einen Identitätsanbieter Ihrer Wahl integrieren können. Die Authentifizierung mithilfe des verwalteten Services wird für Serverendpunkte unterstützt, die ausschließlich für SFTP aktiviert sind.

F: Wie kann ich meine Benutzer mithilfe der Authentifizierung "Verwalteter Service" authentifizieren?

A: Sie können die Authentifizierung "Verwalteter Service" für die Authentifizierung Ihrer SFTP-Benutzer mithilfe von SSH-Schlüsseln verwenden.

F: Wie viele SSH-Schlüssel kann ich pro SFTP-Benutzer hochladen?

A: Sie können bis zu 10 SSH-Schlüssel pro Benutzer hochladen.

F: Wird bei der Authentifizierung "Verwalteter Service" die SSH-Schlüsselrotation unterstützt?

A: Ja. Weitere Informationen zum Einrichten der Schlüsselrotation für Ihre SFTP-Benutzer finden Sie in der Dokumentation.

F: Kann ich den verwalteten Service für die Passwortauthentifizierung verwenden?

A: Nein. Das Speichern von Passwörtern zur Authentifizierung innerhalb des Service wird derzeit nicht unterstützt. Wenn Sie eine Kennwortauthentifizierung benötigen, verwenden Sie Active Directory, indem Sie ein Verzeichnis im AWS Directory Service auswählen, oder folgen Sie der in diesem Blog beschriebenen Architektur zur Aktivierung der Kennwortauthentifizierung mit Secrets Manager.

F: Was sind die ersten Schritte mit Microsoft AD?

A: Wenn Sie Ihren Server erstellen, wählen Sie ein Verzeichnis in AWS Managed Microsoft AD, Ihre lokale Umgebung oder selbst verwaltetes AD in Amazon EC2 als Ihren Identitätsanbieter. Anschließend müssen Sie die AD-Gruppen, die Sie für den Zugriff aktivieren möchten, mit einem Security Identifier (SID) angeben. Sobald Sie Ihre AD-Gruppe mit Zugriffskontrolle-Informationen wie IAM-Rolle, Scope-Down-Richtlinie (nur S3), POSIX-Profil (nur EFS), Home-Verzeichnis-Speicherort und logische Verzeichniszuordnungen verknüpft haben, können die Mitglieder der Gruppe ihre AD-Anmeldeinformationen zur Authentifizierung und Übertragung von Dateien über die aktivierten Programme (SFTP, FTPS, FTP) verwenden. 

F: Wie kann ich meine AD-Benutzer so einrichten, dass sie isolierten Zugriff auf verschiedene Teile meines S3-Buckets haben?

A: Wenn Sie Ihre Benutzer einrichten, stellen Sie eine Richtlinie für den Bereich nach unten bereit, die in der Laufzeit auf der Grundlage der Informationen Ihrer Benutzer, wie z. B. deren Benutzernamen, ausgewertet wird. Sie können für alle Benutzer dieselbe Scope-Down-Richtlinie verwenden, um den Zugriff auf eindeutige Präfixe in Ihrem Bucket basierend auf ihrem Benutzernamen zu ermöglichen. Zusätzlich kann ein Benutzername auch dazu verwendet werden, logische Verzeichniszuordnungen auszuwerten, indem eine standardisierte Vorlage bereitgestellt wird, wie der Inhalt Ihres S3-Buckets oder EFS-Dateisystems für den Benutzer sichtbar gemacht wird. Besuchen Sie die Dokumentation zu Zugriff auf AD-Gruppen gewähren.

F: Kann ich Microsoft AD als Identitätsanbieter-Option für alle unterstützten Programme verwenden?

A: Ja, Sie können Microsoft AD verwenden, um Benutzer für den Zugriff über SFTP, FTPS und FTP zu authentifizieren.

F: Kann ich den Zugriff für aktivierte AD-Gruppen widerrufen?

A: Ja, Sie können den Dateiübertragungszugriff für einzelne AD-Gruppen widerrufen. Nach dem Entzug können Mitglieder der AD-Gruppen keine Dateien mehr mit ihren AD-Anmeldeinformationen übertragen.

F: Kann ich einzelnen AD-Benutzern oder allen Benutzern in einem Verzeichnis Zugriff gewähren?

A: Nein, wir unterstützen nur die Einstellung des Zugriffs durch AD-Gruppen.

F: Kann ich AD verwenden, um Benutzer mit SSH-Schlüsseln zu authentifizieren?

A: Nein, die Unterstützung der AWS Transfer Family für Microsoft AD kann nur für die passwortbasierte Authentifizierung verwendet werden. Um eine Mischung von Authentifizierungsmodi zu verwenden, verwenden Sie die Lambda-Genehmiger-Option.

F: Warum sollte ich den benutzerdefinierten Authentifizierungsmodus verwenden?

A: Der benutzerdefinierte Modus ("BYO"-Authentifizierung) ermöglicht es Ihnen, einen vorhandenen Identitätsanbieter zu nutzen, um Ihre Endbenutzer für alle Protokolltypen (SFTP, FTPS und FTP) zu verwalten, was eine einfache und nahtlose Migration Ihrer Benutzer ermöglicht. Berechtigungsnachweise können in Ihrem Unternehmensverzeichnis oder in einem internen Identitätsdatenspeicher gespeichert werden, und Sie können sie für die Authentifizierung von Endbenutzern integrieren. Beispiele für Identitätsprovider sind Okta, Microsoft AzureAD oder jeder kundenspezifische Identitätsprovider, den Sie als Teil eines allgemeinen Bereitstellungsportals verwenden.

F: Welche Möglichkeiten habe ich, meinen Identitätsanbieter mit einem AWS-Transfer-Family-Server zu integrieren?

A: Für die Integration Ihres Identitätsanbieters mit einem AWS-Transfer-Family-Server können Sie eine AWS-Lambda-Funktion oder einen Amazon-API-Gateway-Endpunkt verwenden. Benutzen Sie Amazon API Gateway, falls Sie eine RESTful API benötigen, um sich mit Ihrem Identitätsanbieter zu verbinden oder falls Sie AWS WAF für Ihre Ratenbegrenzungs- und Geoblockingfunktionen nutzen möchten. In der Dokumentation erfahren Sie mehr über die Integration von gängigen Identitätsanbietern wie AWS Cognito, Okta und AWS Secrets Manager.

F: Wie kann ich mit der Integration meines vorhandenen Identitätsanbieters für die benutzerdefinierte Authentifizierung beginnen?

A: Für die ersten Schritte können Sie die AWS-CloudFormation-Vorlage im Nutzungshandbuch verwenden und die notwendigen Informationen für die Benutzerauthentifizierung und den Zugriff bereitstellen. Besuchen Sie die Website über benutzerdefinierte Identitätsanbieter, um mehr darüber zu erfahren.

F: F: Welche Informationen werden beim Einrichten meiner Benutzer über einen benutzerdefinierten Identitätsanbieter verwendet, um den Zugriff auf meine Benutzer zu ermöglichen?

A: Ihr Benutzer muss zur Authentifizierung einen Benutzernamen und ein Passwort (oder einen SSH-Schlüssel) angeben und der Zugriff auf Ihren Bucket wird durch die AWS-IAM-Rolle bestimmt, die vom API-Gateway bereitgestellt und von Lambda zur Abfrage Ihres Identitätsanbieters verwendet wird. Sie müssen außerdem Startverzeichnisinformationen angeben und es wird empfohlen, den Benutzer für zusätzliche Sicherheit und Benutzerkomfort auf das zugeordnete Startverzeichnis einzuschränken. Informationen zur Vereinfachung Ihrer Endbenutzererfahrung bei Verwendung eines benutzerdefinierten Identitätsanbieters mit AWS SFTP finden Sie in diesem Blog-Beitrag.

F: Kann ich Zugriffskontrollen basierend auf der Quell-IP des Clients anwenden?

A: Ja. Die Quell-IP des Clients wird an Ihren Identitätsanbieter weitergegeben, wenn Sie mit AWS Lambda oder API Gateway eine Verbindung zu einem benutzerdefinierten Identitätsanbieter herstellen. Dies ermöglicht es Ihnen, den Zugriff auf der Grundlage der IP-Adressen von Clients zu erlauben, zu verweigern oder einzuschränken, um sicherzustellen, dass der Zugriff auf Ihre Daten nur von IP-Adressen erfolgt, die Sie als vertrauenswürdig eingestuft haben.

F: Werden anonyme Benutzer unterstützt?

A: Nein, anonyme Benutzer werden derzeit für keines der Protokolle unterstützt.

Verwaltete Workflows für die Verarbeitung nach dem Hochladen

F: Was sind verwaltete Workflows für die Verarbeitung nach dem Hochladen?

A: Die Unterstützung der AWS Transfer Family für verwaltete Workflows erleichtert Ihnen das Erstellen, Ausführen und Überwachen der Post-Upload-Verarbeitung für Dateiübertragungen über SFTP, FTPS und FTP. Mit dieser Funktion können Sie Zeit sparen, indem Sie mit geringem Codeaufwand alle notwendigen Aufgaben wie Kopieren und Markieren koordinieren. Sie können auch die Suche nach PII, Viren/Malware oder anderen Fehlern, wie z. B. dem falschen Dateiformat oder -typ, anpassen, so dass Sie Anomalien schnell erkennen und Ihre Compliance-Anforderungen erfüllen können.

F: Warum brauche ich verwaltete Workflows?

A: Wenn Sie Daten mit Ihren Geschäftspartnern über eines der verfügbaren Protokolle der AWS Transfer Family (SFTP, FTPS, FTP) austauschen, die eine Vorverarbeitung erfordern, müssen Sie mehrere Einstellungen konfigurieren. Dazu gehören die Einrichtung einer Infrastruktur zur Ausführung von benutzerdefiniertem Code bei Dateieingang, das Schreiben Ihrer eigenen Markierungs- und Kopierfunktionen, die kontinuierliche Überwachung der Laufzeit auf Fehler und Anomalien sowie die Sicherstellung, dass alle Änderungen und Transformationen der Daten geprüft und protokolliert werden. Darüber hinaus müssen Sie technische und geschäftliche Fehlerszenarien berücksichtigen und gleichzeitig sicherstellen, dass die Ausfallsicherungsmodi ordnungsgemäß ausgelöst werden. Wenn Sie Anforderungen an die Rückverfolgbarkeit stellen, müssen Sie die Herkunft der Daten auf dem Weg durch die verschiedenen Komponenten Ihres Workflows verfolgen. Die Pflege und Verwaltung dieser Art von Arbeitsabläufen nimmt Zeit weg von der Konzentration auf die differenzierende Arbeit, die Sie für Ihr Unternehmen leisten könnten. Mit den von der AWS Transfer Family verwalteten Workflows werden diese mühsamen Aufgaben von Anfang an erledigt.

F: Welche Vorteile bietet die Verwendung von Workflows?

A: Mit verwalteten Workflows der AWS Transfer Family können Sie gängige Dateiverarbeitungsschritte wie das Kopieren und Markieren orchestrieren, ohne den Aufwand für die Verwaltung Ihres eigenen benutzerdefinierten Codes und Ihrer Infrastruktur. Darüber hinaus können Sie mit den verwalteten Workflows der AWS Transfer Family Ihre eigene Dateiverarbeitungslogik mithilfe von AWS Lambda für Anwendungsfälle wie Malware-Scans und Kompatibilitätsprüfungen von Dateitypen einbringen, so dass Sie Daten vor der Weiterleitung an Ihre Datenanalyse-Pipelines problemlos vorverarbeiten können. Mit der AWS Transfer Family Management Console und den Amazon-CloudWatch-Protokollen für robuste Überwachungs- und Warnsysteme erhalten Sie vollen Einblick in Ihre Workflow-Ausführungen. 

F: Wie kann ich mit Workflows beginnen?

A: Richten Sie zunächst Ihren Workflow so ein, dass er Aktionen wie Kopieren, Markieren und eine Reihe von Aktionen enthält, die Ihren eigenen benutzerdefinierten Schritt in einer auf Ihren Anforderungen basierenden Abfolge von Schritten enthalten können. Als Nächstes ordnen Sie den Workflow einem Server zu, so dass beim Eintreffen einer Datei die in diesem Workflow angegebenen Aktionen in Echtzeit ausgewertet und ausgelöst werden. Um mehr zu erfahren, besuchen Sie die Dokumentation oder schauen Sie sich diese Demo an für den Start mit verwalteten Workflows.

F: Kann ich dieselbe Workflow-Einrichtung auf mehreren Servern verwenden?

A: Ja. Ein und derselbe Workflow kann mehreren Servern zugewiesen werden, so dass es für Sie einfacher ist, Konfigurationen zu pflegen und zu standardisieren.

F: Welche Aktionen kann ich mithilfe von Workflows für meine Dateien durchführen?

A: Die folgenden allgemeinen Aktionen sind verfügbar, sobald ein Übertragungsserver eine Datei vom Client erhalten hat:

  • Verschieben oder Kopieren von Daten von dem Ort, an dem sie ankommen, zu dem Ort, an dem sie genutzt werden sollen.
  • Markieren Sie die Datei anhand ihres Inhalts, damit sie von nachgeschalteten Diensten indiziert und durchsucht werden kann (nur S3)
  • Beliebige benutzerdefinierte Logik für die Dateiverarbeitung, indem Sie Ihre eigene Lambda-Funktion als benutzerdefinierten Schritt für Ihren Workflow bereitstellen. Zum Beispiel die Überprüfung der Kompatibilität des Dateityps, das Scannen von Dateien auf Malware und die Extraktion von Metadaten, bevor die Dateien in Ihre Datenanalyse aufgenommen werden.

F: Wie kann ich den Status meiner Workflows einsehen?

A: Über die AWS Management Console können Sie den Echtzeitstatus laufender Workflow-Ausführungen suchen und anzeigen. In den CloudWatch-Protokollen für Ihren Server finden Sie auch Details über abgeschlossene Ausführungen.

F: Welche Arten von Benachrichtigungen kann ich erhalten?

A: Sie können den benutzerdefinierten Prozessorschritt verwenden, um Benachrichtigungen an EventBridge auszulösen und benachrichtigt zu werden, wenn die Verarbeitung einer Datei abgeschlossen ist. Zusätzlich können Sie auch CloudWatch-Protokolle von Lambda-Ausführungen verwenden, um Benachrichtigungen zu erhalten.

F: Ich verwende AWS Step Functions, um meine Dateiverarbeitungsschritte zu orchestrieren. Wie unterscheiden sich die verwalteten Arbeitsabläufe der AWS Transfer Family von meiner derzeitigen Einrichtung der AWS Step Functions?

A: AWS Step Functions ist ein serverloser Orchestrierungsservice, mit dem Sie AWS Lambda mit anderen Services kombinieren können, um die Ausführung von Geschäftsanwendungen in einfachen Schritten zu definieren. Zur Durchführung von Dateiverarbeitungsschritten mit AWS Step Functions verwenden Sie AWS Lambda-Funktionen mit den Ereignisauslösern von Amazon S3, um Ihre eigenen Workflows zusammenzustellen. Verwaltete Workflows bieten einen Framework für die einfache Orchestrierung einer linearen Abfolge von Verarbeitungen und unterscheiden sich in folgenden Punkten von bestehenden Lösungen: 1) Nur vollständige Datei-Uploads lösen die Ausführung von Workflows aus, 2) Workflows können sowohl für S3 als auch für EFS (das keine Post-Upload-Ereignisse bietet) automatisch ausgelöst werden, und 3) Kunden erhalten in CloudWatch-Protokollen einen umfassenden Einblick in ihre Dateiübertragungen und -verarbeitung.

F: Kann ich eine Benachrichtigung senden, wenn eine Dateivalidierungsprüfung fehlschlägt?

A: Ja. Wenn eine Dateivalidierungsprüfung anhand der vorkonfigurierten Validierungsschritte fehlschlägt, können Sie den Exception Handler verwenden, um Ihr Überwachungssystem oder Ihre Teammitglieder über ein Amazon SNS-Thema aufzurufen.

F: Kann ich Workflow-Aktionen bei Benutzer-Downloads auslösen?

A: Nein. Die Verarbeitung kann nur beim Eintreffen der Datei über den Eingangsendpunkt aufgerufen werden.

<t1/>F: Kann ich denselben Workflow auf mehrere Dateien in einer Sitzung anwenden?

A: Nein.

F: Können Workflows bei Teil-Uploads ausgelöst werden?

A: Nein. Nur abgeschlossene und vollständige Datei-Uploads lösen die Verarbeitung durch Workflows aus.

Amazon-S3-Zugriff

F: Warum muss ich eine AWS-IAM-Rolle zur Verfügung stellen und wie wird sie verwendet?

A: AWS IAM wird verwendet, um die Zugriffsebene zu bestimmen, die Sie Ihren Benutzern zur Verfügung stellen möchten. Dies beinhaltet Informationen darüber, welche Operationen Sie auf ihrem Client aktivieren möchten und auf welche Amazon-S3-Buckets die Benutzer Zugriff haben, d. h. ob es sich um den gesamten Bucket oder um Teile davon handelt.

F: Warum muss ich Informationen zum Startverzeichnis bereitstellen und wie werden diese verwendet?

A: Das Startverzeichnis, das Sie für Ihren Benutzer einrichten, legt dessen Anmeldeverzeichnis fest. Das entspricht dem Verzeichnispfad, in den der Client die Benutzer nach dem erfolgreichen Authentifizieren am Server platziert. Sie werden sicherstellen müssen, dass die bereitgestellte IAM-Rolle den Benutzerzugriff auf das Startverzeichnis zur Verfügung stellt.

F: Ich habe Hunderte von Benutzern, die ähnliche Zugriffseinstellungen haben, aber auf verschiedene Teile meines Buckets zugreifen. Kann ich sie mit der gleichen IAM-Rolle und -Richtlinie einrichten, um ihren Zugriff zu aktivieren?

A: Ja. Sie können eine einzelne IAM-Rolle für alle Benutzer zuweisen und logische Verzeichniszuordnungen verwenden, die angeben, welche absoluten Amazon-S3-Bucket-Pfade den Endbenutzern angezeigt werden sollen und wie diese Pfade von den Clients dargestellt werden. In diesem Blog-Beitrag finden Sie weitere Informationen zum Vereinfachen Ihrer AWS-SFTP-/FTPS-/FTP-Struktur mit Chroot und logischen Verzeichnissen.

F: Wie werden Dateien, die in meinem Amazon-S3-Bucket gespeichert sind, mit AWS Transfer übertragen?

A: Dateien, die über die unterstützten Protokolle übertragen werden, werden als Objekte in Ihrem Amazon-S3-Bucket gespeichert, und es gibt eine Eins-zu-Eins-Zuordnung zwischen Dateien und Objekten, die einen nativen Zugriff auf diese Objekte über AWS-Services zur Verarbeitung oder Analyse ermöglicht.

F: Wie werden die in meinem Bucket gespeicherten Amazon-S3-Objekte meinen Benutzern präsentiert?

A: Nach erfolgreicher Authentifizierung, basierend auf den Anmeldeinformationen Ihrer Benutzer, stellt der Service Amazon-S3-Objekte und -Ordner als Dateien und Verzeichnisse für die Übertragungsanwendungen Ihrer Benutzer dar.

F: Welche Dateioperationen werden unterstützt? Welche Operationen werden nicht unterstützt?

A: Es werden gängige Befehle zum Erstellen, Lesen, Aktualisieren und Löschen von Dateien und Verzeichnissen unterstützt. Dateien werden in Ihrem Amazon-S3-Bucket als einzelne Objekte gespeichert. Verzeichnisse werden in S3 als Ordnerobjekte verwaltet und verwenden dieselbe Syntax wie die S3-Konsole.

Verzeichnisumbenennungsvorgänge, Anfügevorgänge, Besitzwechsel, Berechtigungen und Zeitstempel sowie die Verwendung symbolischer und fester Links werden aktuell nicht unterstützt.

F: Kann ich steuern, welche Aktionen meine Benutzer ausführen dürfen?

A: Ja, Sie können Dateioperationen mit der AWS-IAM-Rolle, die Sie den jeweiligen Benutzernamen zugeordnet haben, aktivieren und deaktivieren. Weitere Informationen finden Sie in der Dokumentation zum 'Erstellen von IAM-Richtlinien und -Rollen zum Steuern des Endbenutzerzugriffs'

F: Kann ich meinen Endbenutzern Zugriff auf mehr als einen Amazon-S3-Bucket gewähren?

A: Ja. Der oder die Buckets, auf die Ihr Benutzer zugreifen kann, werden durch die AWS-IAM-Rolle und die optionale Scope-Down-Richtlinie bestimmt, die Sie für diesen Benutzer festlegen. Sie können nur einen einzelnen Bucket als Startverzeichnis für den Benutzer verwenden.

F: Kann ich S3-Zugriffspunkte mit AWS Transfer Family verwenden, um den Benutzerzugriff auf freigegebene Datensätze zu vereinfachen?

A: Ja. Sie können S3-Zugangspunkt-Aliase mit AWS Transfer Family verwenden, um granularen Zugriff auf einen großen Datensatz zu ermöglichen, ohne dass Sie eine einzelne Bucket-Richtlinie verwalten müssen. Durch die Kombination von S3-Zugangspunkt-Aliasen mit den logischen Verzeichnissen der AWS Transfer Family können Sie eine fein abgestufte Zugriffskontrolle für verschiedene Anwendungen, Teams und Abteilungen erstellen und dabei gleichzeitig den Aufwand für die Verwaltung von Bucket-Richtlinien reduzieren. Weitere Informationen und erste Schritte finden Sie im Blogbeitrag zur Verbesserung der Datenzugriffskontrolle mit AWS Transfer Family und Amazon-S3-Zugangspunkten.

F: Kann ich einen Server mit AWS-Konto A erstellen und meine Benutzer den Amazon-S3-Buckets von AWS-Konto-B zuordnen?

A: Ja. Sie können die CLI und die API verwenden, um einen kontenübergreifenden Zugriff zwischen Ihrem Server und den Buckets einzurichten, die Sie für das Speichern von Dateien, die über die unterstützten Protokolle übertragen werden, verwenden möchten. Die Dropdown-Liste der Konsole listet nur Bereiche in Konto A auf. Außerdem müssen Sie sicherstellen, dass die dem Benutzer zugewiesene Rolle zu Konto A gehört.

F: Kann ich die Verarbeitung einer Datei automatisieren, nachdem sie in Amazon S3 hochgeladen wurde?

A: Ja, Sie können die verwalteten Workflows der AWS Transfer Family verwenden, um die Dateiverarbeitung zu erstellen, zu automatisieren und zu überwachen, nachdem Ihre Dateien in Amazon S3 hochgeladen wurden. Mithilfe von verwalteten Workflows können Sie Ihre Dateien vorverarbeiten, bevor Sie sie in Ihre Datenanalyse- und -verarbeitungssysteme einspeisen, ohne den Aufwand für die Verwaltung Ihres eigenen benutzerdefinierten Codes und Ihrer Infrastruktur. Besuchen Sie die Dokumentation, um mehr über die verwalteten Workflows der AWS Transfer Family zu erfahren.

F: Kann ich Regeln für das Verarbeiten basierend auf dem Benutzer, der die Datei hochlädt, anpassen?

A: Ja. Wenn der Benutzer eine Datei hochlädt, werden Benutzername und Server-ID des Servers, der für das Hochladen verwendet wird, als Teil der zugeordneten Metadaten des S3-Objekts gespeichert. Sie können diese Informationen für die Verarbeitung nach dem Hochladen verwenden. Beachten Sie die Dokumentation zu den Informationen, die Sie für die Nachbearbeitung des Uploads verwenden.

Amazon EFS Zugriff

F: Wie richte ich mein EFS-Dateisystem für die Zusammenarbeit mit AWS Transfer Family ein?

A: Bevor Sie AWS Transfer Family für die Arbeit mit einem Amazon-EFS-Dateisystem einrichten, müssen Sie die Eigentümerschaft von Dateien und Ordnern mit denselben POSIX-Identitäten (Benutzer-ID/Gruppen-ID) einrichten, die Sie Ihren AWS-Transfer-Family-Benutzern zuweisen möchten. Wenn Sie auf Dateisysteme in einem anderen Konto zugreifen, müssen außerdem Ressourcenrichtlinien auf Ihrem Dateisystem konfiguriert werden, um den kontoübergreifenden Zugriff zu ermöglichen. Eine schrittweise Anleitung zur Verwendung von AWS Transfer Family mit EFS finden Sie in diesem Blog-Beitrag.

F: Wie kann ich meinen Benutzern den Zugang zum Hochladen / Herunterladen von Dateien auf / von meinen Dateisystemen ermöglichen?

A: Amazon EFS verwendet POSIX-IDs, die aus einer Betriebssystem-Benutzer-ID, einer Gruppen-ID und einer sekundären Gruppen-ID bestehen, um den Zugriff auf ein Dateisystem zu steuern. Wenn Sie Ihren Benutzer in der AWS-Transfer-Family-Konsole/CLI/API einrichten, müssen Sie den Benutzernamen, die POSIX-Konfiguration des Benutzers und eine IAM-Rolle für den Zugriff auf das EFS-Dateisystem angeben. Sie müssen auch eine EFS-Dateisystem-ID und optional ein Verzeichnis innerhalb dieses Dateisystems als Landeverzeichnis für Ihren Benutzer angeben. Wenn sich Ihr AWS-Transfer-Family-Benutzer erfolgreich über seinen Dateiübertragungs-Client authentifiziert, wird er direkt im angegebenen Home-Verzeichnis oder im Stammverzeichnis des angegebenen EFS-Dateisystems platziert. Ihre Betriebssystem-POSIX-ID wird auf alle Anfragen angewendet, die über ihre Dateiübertragungs-Clients gestellt werden. Als EFS-Administrator müssen Sie sicherstellen, dass die Dateien und Verzeichnisse, auf die Ihre AWS-Transfer-Family-Benutzer zugreifen sollen, den entsprechenden POSIX-IDs in Ihrem EFS-Dateisystem gehören. Lesen Sie die Dokumentation, um mehr über die Konfiguration der Eigentümerschaft von Unterverzeichnissen in EFS zu erfahren.

F: Wie werden Dateien über die Protokolle übertragen, die in meinen Amazon-EFS-Dateisystemen gespeichert sind?

A: Dateien, die über die aktivierten Protokolle übertragen werden, werden direkt in Ihren Amazon-EFS-Dateisystemen gespeichert und sind über eine Standard-Dateisystem-Schnittstelle oder von AWS-Services, die auf Amazon-EFS-Dateisysteme zugreifen können, zugänglich.

F: Welche Dateivorgänge werden über die Protokolle bei Verwendung von Amazon S3 und Amazon EFS unterstützt?

A: SFTP/FTPS/FTP-Befehle zum Erstellen, Lesen, Aktualisieren und Löschen von Dateien, Verzeichnissen und symbolischen Links werden unterstützt. In der folgenden Tabelle finden Sie die unterstützten Befehle für EFS sowie S3.

Befehl Amazon S3 Amazon EFS
     cd Unterstützt Unterstützt
     ls/dir Unterstützt Unterstützt
     pwd Unterstützt Unterstützt
     put Unterstützt Unterstützt
     get Unterstützt Unterstützt, einschließlich der Auflösung von Symlinks und Hardlinks
     rename Unterstützt1 Unterstützt
     chown Nicht unterstützt Unterstützt2
     chmod Nicht unterstützt Unterstützt2
     chgrp Nicht unterstützt Unterstützt3
     ln -s/symlink Nicht unterstützt Unterstützt
     mkdir Unterstützt Unterstützt
     rm/delete Unterstützt Unterstützt
     rmdir Unterstützt4 Unterstützt
     chmtime Nicht unterstützt Unterstützt

1 Es werden nur Dateiumbenennungen unterstützt. Verzeichnisumbenennungen und das Umbenennen von Dateien zum Überschreiben vorhandener Dateien werden nicht unterstützt.

2 Nur root, d. h. Benutzer mit uid=0, können Eigentümer und Berechtigungen von Dateien und Verzeichnissen ändern.

3 Unterstützt entweder für root z. B. uid=0 oder für den Eigentümer der Datei, der die Gruppe einer Datei nur in eine seiner sekundären Gruppen ändern kann.

4 Wird nur bei nicht leeren Ordnern unterstützt.

F: Wie kann ich kontrollieren, auf welche Dateien und Ordner meine Benutzer Zugriff haben und welche Operationen sie durchführen dürfen und welche nicht?

A: Die IAM-Richtlinie, die Sie für Ihren AWS-Transfer-Family-Benutzer bereitstellen, bestimmt, ob er schreibgeschützten, nicht schreibgeschützten und Root-Zugriff auf Ihr Dateisystem hat. Darüber hinaus können Sie als Dateisystemadministrator Besitzrechte einrichten und den Zugriff auf Dateien und Verzeichnisse innerhalb Ihres Dateisystems über ihre Benutzer- und Gruppenkennungen gewähren. Dies gilt für Benutzer, unabhängig davon, ob sie innerhalb des Dienstes (service managed) oder innerhalb Ihres Identitätsmanagementsystems („BYO Auth“) gespeichert sind.

F: Kann ich jeden meiner Benutzer darauf beschränken, auf verschiedene Verzeichnisse innerhalb meines Dateisystems zuzugreifen und nur auf Dateien innerhalb dieser Verzeichnisse?

A: Ja, wenn Sie Ihren Benutzer einrichten, können Sie verschiedene Dateisysteme und Verzeichnisse für jeden Ihrer Benutzer angeben. Bei erfolgreicher Authentifizierung erzwingt EFS ein Verzeichnis für jede Dateisystemanforderung, die mit den aktivierten Protokollen erfolgt.

F: Kann ich den Namen des Dateisystems verbergen, so dass er für meinen Benutzer nicht sichtbar ist?

A: Ja, mit den logischen Verzeichniszuordnungen der AWS Transfer Family können Sie die Sicht Ihrer Endbenutzer auf Verzeichnisse in Ihren Dateisystemen einschränken, indem Sie absolute Pfade auf für Endbenutzer sichtbare Pfadnamen abbilden. Dazu gehört auch die Möglichkeit, den Benutzer in sein gewünschtes Home-Verzeichnis zu „chrooten“.

F: Werden symbolische Links unterstützt?

A: Ja, wenn symbolische Links in Verzeichnissen vorhanden sind, auf die Ihr Benutzer Zugriff hat, und Ihr Benutzer versucht, auf diese zuzugreifen, werden die Links in sein Ziel aufgelöst. Symbolische Links werden nicht unterstützt, wenn Sie logische Verzeichniszuordnungen verwenden, um den Zugriff Ihrer Benutzer einzurichten.

F: Kann ich einem einzelnen SFTP/FTPS/FTP-Benutzer Zugriff auf mehr als ein Dateisystem geben?

A: Ja, wenn Sie einen AWS-Transfer-Family-Benutzer einrichten, können Sie in der IAM-Richtlinie, die Sie als Teil Ihrer Benutzereinrichtung bereitstellen, ein oder mehrere Dateisysteme angeben, um Zugriff auf mehrere Dateisysteme zu gewähren.

F: Welche Betriebssysteme kann ich für den Zugriff auf meine EFS-Dateisysteme über AWS Transfer Family verwenden?

A: Sie können Clients und Anwendungen verwenden, die für Microsoft Windows, Linux, macOS oder jedes andere Betriebssystem entwickelt wurden, das SFTP/FTPS/FTP unterstützt, um Dateien hochzuladen und auf Dateien zuzugreifen, die in Ihren EFS-Dateisystemen gespeichert sind. Konfigurieren Sie einfach den Server und den Benutzer mit den entsprechenden Berechtigungen für das EFS-Dateisystem, um über alle Betriebssysteme hinweg auf das Dateisystem zuzugreifen.

F: Wie kann ich die Schritte der Dateiverarbeitung nach dem Hochladen meiner Datei in den EFS automatisieren und überwachen?

A: Sie können den verwalteten Workflow von AWS Transfer Family erstellen, um die Dateiverarbeitung automatisch auszulösen, nachdem die Datei in den EFS hochgeladen wurde. Sie können Arbeitsabläufe einrichten, die das Markieren, Kopieren und beliebige benutzerdefinierte Verarbeitungsschritte enthalten, die Sie je nach Ihren geschäftlichen Anforderungen an der Datei vornehmen möchten. Weitere Informationen finden Sie in der Dokumentation zum verwalteten Workflow der AWS Transfer Family.

F: Woher weiß ich, welcher Benutzer eine Datei hochgeladen hat?

A: Für neue Dateien wird die POSIX-Benutzerkennung, die dem Benutzer zugeordnet ist, der die Datei hochlädt, als Eigentümer der Datei in Ihrem EFS-Dateisystem festgelegt. Zusätzlich können Sie Amazon CloudWatch verwenden, um die Aktivitäten Ihrer Benutzer für Dateierstellungs-, Aktualisierungs-, Lösch- und Lesevorgänge zu verfolgen. In der Dokumentation erfahren Sie mehr darüber, wie Sie die Amazon-CloudWatch-Protokollierung aktivieren können.

F: Kann ich einsehen, wie viele Daten über die aktivierten Protokolle hoch- und heruntergeladen wurden?

A: Ja, Metriken für Daten, die mit Ihrem Server hoch- und heruntergeladen werden, werden in Amazon CloudWatch im Namespace der AWS Transfer Family veröffentlicht. Besuchen Sie die Dokumentation, um mehr über die für Verfolgung und Überwachung verfügbaren Metriken zu erfahren.

F: Kann ich AWS Transfer Family verwenden, um auf ein Dateisystem in einem anderen Konto zuzugreifen?

A: Ja. Sie können die Befehlszeilenschnittstelle und die API verwenden, um den kontoübergreifenden Zugriff zwischen Ihren AWS-Transfer-Family-Ressourcen und EFS-Dateisystemen einzurichten. Die AWS-Transfer-Family-Konsole listet nur Dateisysteme auf, die demselben Konto angehören. Außerdem müssen Sie sicherstellen, dass die IAM-Rolle, die dem Benutzer für den Zugriff auf das Dateisystem zugewiesen wurde, zu Konto A gehört.

F: Was passiert, wenn in meinem EFS-Dateisystem nicht die richtigen Richtlinien für den kontoübergreifenden Zugriff aktiviert sind?

A: Wenn Sie einen AWS-Transfer-Family-Server für den Zugriff auf ein kontoübergreifendes EFS-Dateisystem einrichten, das nicht für den kontoübergreifenden Zugriff aktiviert ist, wird Ihren SFTP/FTP/FTPS-Benutzern der Zugriff auf das Dateisystem verweigert. Wenn Sie die CloudWatch-Protokollierung auf Ihrem Server aktiviert haben, werden kontoübergreifende Zugriffsfehler in Ihren CloudWatch-Protokollen protokolliert.

F: Kann ich AWS Transfer Family verwenden, um auf ein EFS-Dateisystem in einer anderen AWS-Region zuzugreifen?

A: Nein, Sie können AWS Transfer Family nur für den Zugriff auf EFS-Dateisysteme in derselben AWS-Region verwenden.

F: Kann ich AWS Transfer Family mit allen EFS-Speicherklassen verwenden?

A: Ja. Mit AWS DataSync können Sie Dateien in EFS kopieren und die Einstellungen für das EFS- Lifecycle Management so konfigurieren, dass Dateien, auf die über einen festgelegten Zeitraum nicht zugegriffen wurde, in die Speicherklasse für seltenen Zugriff (Infrequent Access, IA) migriert werden.

F: Können meine Anwendungen SFTP/FTPS/FTP verwenden, um gleichzeitig Daten aus derselben Datei zu lesen und in dieselbe Datei zu schreiben?

A: Ja, Amazon EFS stellt eine Dateisystemoberfläche, eine Dateisystem-Zugriffssemantik (z. B. starke Konsistenz und Dateisperren) sowie Speicher bereit, auf die bzw. den Tausende von NFS/SFTP/FTPS/FTP-Clients gleichzeitig zugreifen können.

F: Wird mein EFS-Burst-Guthaben verbraucht, wenn ich mit AWS Transfer Family auf meine Dateisysteme zugreife?

A: Ja. Der Zugriff auf Ihre EFS-Dateisysteme über Ihre AWS-Transfer-Family-Server verbraucht Ihr EFS-Burst-Guthaben unabhängig vom Durchsatzmodus. Lesen Sie die Dokumentation zu den verfügbaren Leistungs- und Durchsatzmodi und sehen Sie sich einige nützliche Leistungstipps an.

Sicherheit und Compliance

F: Welche Protokolle sollte ich zum Schutz von Daten während der Übertragung über ein öffentliches Netzwerk verwenden?

A: Für die sichere Übertragung über öffentliche Netzwerke sollte SFTP oder FTPS verwendet werden. Aufgrund der zugrunde liegenden Sicherheit der Protokolle basierend auf kryptografischen SSH- und TLS-Algorithmen werden Daten und Befehle über einen sicheren, verschlüsselten Kanal übertragen.

F: Welche Optionen habe ich zum Verschlüsseln von ruhenden Daten?

A: Sie können auswählen, ob Sie die in Ihrem Bucket gespeicherten Dateien mithilfe von Amazon S3 Server-Side Encryption (SSE-S3) oder Amazon KMS (SSE-KMS) verschlüsseln möchten. Für Dateien, die in EFS gespeichert sind, können Sie AWS oder vom Kunden verwaltetes CMK für die Verschlüsselung von Dateien im Ruhezustand wählen. Weitere Informationen zu den Optionen für die Verschlüsselung von Dateidaten und Metadaten im Ruhezustand mit Amazon EFS finden Sie in der Dokumentation.

F: Welche Compliance-Programme werden von AWS Transfer Family unterstützt?

A: AWS Transfer Family ist PCI-DSS- und DSGVO-konform sowie HIPAA-fähig. Der Service ist außerdem SOC 1-, 2- und 3-konform. Erfahren Sie mehr über den Leistungsumfang von Compliance-Programmen.

F: Ist AWS Transfer Family FISMA-konform?

A: Die Regionen AWS Ost/West und GovCloud (US) sind FISMA-konform. Wenn die AWS Transfer Family für FedRAMP autorisiert ist, wird sie innerhalb der jeweiligen Regionen FISMA-konform sein. Diese Konformität wird durch die FedRAMP-Autorisierung dieser beiden Regionen gemäß FedRAMP-Moderate und FedRAMP-High nachgewiesen. Wir weisen die Konformität durch jährliche Prüfungen und die Dokumentierung der Compliance mit geltenden NIST-SP-800-53-Kontrollen in unseren Systemsicherheitsplänen nach. Vorlagen sind zusammen mit unserer Kundenverantwortungsmatrix (CRM) auf Artifact verfügbar. Diese zeigt auf detaillierter Ebene unsere Verantwortung, diese NIST-Kontrollen gemäß FedRAMP zu erfüllen. Artifact ist über die Managementkonsole verfügbar und für AWS-Konten in den Regionen Ost/West und GovCloud zugänglich. Wenn Sie weitere Fragen zu diesem Thema haben, wenden Sie sich bitte an die Konsole.

F: Wie stellt der Service die Integrität der hochgeladenen Dateien sicher?

A: Dateien, die über Services hochgeladen werden, werden durch den Vergleich ihrer MD5-Prüfsumme vor und nach dem Hochladen verifiziert.

F: Wie kann ich die Aktivität meiner Endbenutzer überwachen?

A: Die Aktivitäten Ihrer Endbenutzer können Sie mithilfe der Protokolle von Amazon CloudWatch und CloudTrail überwachen. Sie können auch auf CloudWatch-Diagramme für Metriken wie die Anzahl der übertragenen Dateien und Bytes in der Verwaltungs-Konsole der AWS Transfer Family zugreifen, so dass Sie die Dateiübertragungen über ein zentrales Dashboard überwachen können. Sie können AWS-CloudTrail-Protokolle verwenden, um auf eine Aufzeichnung aller API-Vorgänge zuzugreifen, die von Ihrem Server aufgerufen werden, um die Datenanforderungen Ihrer Endbenutzer zu bedienen. Weitere Informationen finden Sie in der Dokumentation.

Fakturierung

F: Wie wird mir die Nutzung des Service in Rechnung gestellt?

A: Die Rechnung wird für jedes aktivierte Protokoll vom Zeitpunkt des Erstellens und Konfigurierens des Server-Endpunkts bis zu seiner Löschung auf Stundenbasis erstellt. Die Abrechnung erfolgt außerdem anhand der Datenmenge, die über SFTP, FTPS oder FTP hoch- und heruntergeladen wird. Weitere Informationen finden Sie auf der Seite mit den Preisangaben

F: Unterscheidet sich meine Abrechnung, wenn ich den gleichen Serverendpunkt für mehrere Protokolle oder unterschiedliche Endpunkte für jedes einzelne Protokoll verwende?

A: Nein, die Abrechnung erfolgt für jedes der aktivierten Protokolle und für die Datenmenge, die über die einzelnen Protokolle übertragen wird, auf Stundenbasis. Dabei spielt es keine Rolle, ob der gleiche Endpunkt für mehrere Protokolle aktiviert wird oder ob unterschiedliche Endpunkte für die einzelnen Protokolle verwendet werden.

F: Ich habe meinen Server gestoppt. Wird der Server in Rechnung gestellt, während er gestoppt ist?

A: Ja, das Stoppen des Servers mit der Konsole oder durch Nutzen des "stop-server"-CLI-Befehls oder dem "StopServer"-API-Befehl beeinflusst die Abrechnung nicht. Ab dem Zeitpunkt, an dem Sie Ihren Server-Endpunkt erstellen und den Zugriff auf ihn über ein oder mehrere Protokolle konfigurieren, bis zu dem Zeitpunkt, an dem Sie ihn löschen, werden Sie auf Stundenbasis abgerechnet.

F: Wie wird mir die Nutzung verwalteter Workflows in Rechnung gestellt?

A: Für die Nutzung verwalteter Workflows fallen keine zusätzlichen Kosten an. Abhängig von Ihrer Workflow-Konfiguration wird Ihnen die Nutzung von Amazon S3, Amazon EFS und AWS Lambda in Rechnung gestellt.

Weitere Informationen zu SFTP-Preisen
Weitere Informationen zu Preisen

AWS Transfer Family bietet einen vollständig verwalteten Service, der Ihre Kosten für den Betrieb von Dateiübertragungsservices senkt.

Weitere Informationen 
F&uuml;r ein kostenloses AWS-Konto registrieren
Für ein kostenloses Konto registrieren

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Beginnen Sie die Erstellung mit SFTP
Entwicklungsbeginn in der Konsole

Beginnen Sie mit dem Erstellen Ihrer SFTP-, FTPS- und FTP-Services in der AWS-Managementkonsole.

Anmeldung