Allgemeines
F: Was ist AWS Transfer Family?
A: Die AWS Transfer Family bietet vollständig verwaltete Unterstützung für die Übertragung von Dateien über SFTP, AS2, FTPS und FTP direkt in und aus Amazon S3 oder Amazon EFS. Sie können Ihre Dateiübertragungs-Workflows nahtlos migrieren, automatisieren und überwachen, indem Sie die bestehenden Client-seitigen Konfigurationen für Authentifizierung, Zugriff und Firewalls beibehalten - so ändert sich für Ihre Kunden, Partner und internen Teams oder deren Anwendungen nichts.
F: Was ist SFTP?
A: SFTP steht für "Secure Shell File Transfer Protocol" – ein Netzwerkprotokoll für die sichere Übertragung von Daten über das Internet. MAP verwendet außerdem ein bewährtes dreistufiges Framework (Bewerten, Mobilisieren und Migrieren und Modernisieren), um Sie beim Erreichen Ihrer Migrationsziele zu unterstützen.
F: Was ist FTP?
A: FTP steht für File Transfer Protocol, ein Netzwerkprotokoll für die Übertragung von Daten. FTP verwendet separate Kanäle für die Kontrolle und für Datenübertragungen. Der Kontrollkanal bleibt geöffnet, bis er geschlossen wird oder durch Inaktivität abläuft. Der Datenkanal ist für die Dauer der Übertragung aktiv. FTP verwendet Klartext und unterstützt keine Verschlüsselung des Datenverkehrs.
F: Was ist FTPS?
A: FTPS steht für File Transfer Protocol over SSL, eine Erweiterung von FTP. Es verwendet Transport Layer Security (TLS) und Secure Sockets Layer (SSL) als kryptografische Protokolle für die Verschlüsselung des Datenverkehrs. FTPS ermöglicht die Verschlüsselung von Kontroll- und Datenkanalverbindungen – entweder gleichzeitig oder unabhängig voneinander.
F: Was ist AS2?
AS2 steht für Applicability Statement 2, ein Netzwerkprotokoll, das für die sichere und zuverlässige Übertragung von Business-to-Business-Daten über das öffentliche Internet über HTTP/HTTPS (oder jedes andere TCP/IP-Netzwerk) verwendet wird.
F: Warum sollte ich AWS Transfer Family verwenden?
A: Die AWS Transfer Family unterstützt mehrere Protokolle für Business-to-Business (B2B)-Dateiübertragungen, sodass Daten einfach und sicher zwischen Beteiligten, Drittanbietern, Geschäftspartnern oder Kunden ausgetauscht werden können. Ohne Transfer Family müssen Sie Ihren eigenen Dateiübertragungsdienst hosten und verwalten, was Investitionen in den Betrieb und die Verwaltung der Infrastruktur, das Patchen von Servern, die Überwachung der Betriebszeit und Verfügbarkeit sowie die Entwicklung einmaliger Mechanismen zur Bereitstellung von Benutzern und zur Überprüfung ihrer Aktivitäten erfordert. Die AWS Transfer Family löst diese Herausforderungen, indem sie vollständig verwaltete Unterstützung für SFTP, FTPS und FTP bietet, die Ihren operativen Aufwand verringern kann, während Ihre bestehenden Übertragungsworkflows für Ihre Endbenutzer erhalten bleiben. Mit den verwalteten Dateiverarbeitungs-Workflows der AWS Transfer Family können Sie Ihre Dateiübertragungen und Datenverarbeitungen erstellen, automatisieren und überwachen, ohne Ihren eigenen Code oder Ihre eigene Infrastruktur zu pflegen. Der Service speichert die übertragenen Daten als Objekte in Ihrem Amazon-S3-Bucket oder als Dateien in Ihrem Amazon-EFS-Dateisystem, so dass Sie aus ihnen in Ihrem Data Lake, für Ihr Customer Relationship Management (CRM) oder Ihre Enterprise Resource Planning (ERP)-Workflows oder für die Archivierung in AWS Nutzen ziehen können.
F: Welche Vorteile bietet die Verwendung von AWS Transfer Family?
A: AWS Transfer Family bietet Ihnen einen vollständig verwalteten, hochverfügbaren Dateiübertragungsservice mit integrierten Auto-Scaling-Funktionen, sodass Sie die Dateiübertragungsinfrastruktur nicht selbst verwalten müssen. Die Workflows Ihrer Endbenutzer bleiben unverändert, während Daten, die über die ausgewählten Protokolle hoch- und heruntergeladen werden, in Ihrem Amazon-S3-Bucket oder Amazon-EFS-Dateisystem gespeichert werden. Mit den Daten von AWS können Sie nun mit einer großen Bandbreite von AWS-Services für Datenverarbeitung, Analyse, Machine Learning und Archivierung in einer Umgebung, die Ihren Compliance-Anforderungen gerecht wird, arbeiten.
F: Wie kann ich mit AWS Transfer für SFTP, FTPS und FTP beginnen?
A: Sie können in 3 einfachen Schritten einen Always-on-Serverendpunkt für SFTP, FTPS und/oder FTP aktivieren. Zunächst wählen Sie die gewünschten Protokolle aus, um es Ihren Endbenutzern zu ermöglichen, eine Verbindung zum Endpunkt herzustellen. Als Nächstes konfigurieren Sie den Benutzerzugriff mithilfe des integrierten Authentifizierungsmanagers von AWS Transfer Family (verwalteter Service), Microsoft Active Directory (AD) oder durch die Integration Ihres eigenen oder eines Drittanbieters wie Okta oder Microsoft AzureAD ("BYO"-Authentifizierung). Schließlich wählen Sie den Server für den Zugriff auf S3-Buckets oder EFS-Dateisysteme aus. Sobald das/die Protokoll(e), der Identitätsanbieter und der Zugriff auf Dateisysteme aktiviert sind, können Ihre Benutzer weiterhin ihre vorhandenen SFTP-, FTPS- oder FTP-Clients und -Konfigurationen verwenden, während die Daten, auf die zugegriffen wird, in den ausgewählten Dateisystemen gespeichert werden.
F: Wie kann ich mit AWS Transfer für AS2 beginnen?
A: Sie können AS2 für den Austausch von Nachrichten mit Ihren Handelspartnern in drei einfachen Schritten verwenden: Importieren Sie zunächst Ihre Zertifikate und privaten Schlüssel sowie das Zertifikat und die Zertifikatskette Ihres Handelspartners. Als nächstes erstellen Sie Profile mit Ihren und den AS2-IDs Ihres Partners. Verbinden Sie schließlich Ihre eigenen Profilinformationen mit denen Ihres Partners, indem Sie eine Vereinbarung zum Empfangen von Daten und einen Connector zum Senden von Daten verwenden. Jetzt sind Sie bereit, Nachrichten mit dem AS2-Server Ihres Handelspartners auszutauschen.
F: Worin besteht der Unterschied zwischen SFTP und FTPS? Welches Protokoll sollte ich wann verwenden?
A: FTPS und SFTP können beide für sichere Übertragungen verwendet werden. Da es sich um unterschiedliche Protokolle handelt, verwenden sie unterschiedliche Clients und Technologien, um einen sicheren Tunnel für die Übertragung von Befehlen und Daten bereitzustellen. SFTP ist ein neueres Protokoll, das einen einzelnen Kanal für Befehle und Daten verwendet, sodass weniger Ports als für FTPS geöffnet werden müssen.
F: Was ist der Unterschied zwischen den Protokollen SFTP, FTPS und AS2? Wann soll ich das AS2-Protokoll verwenden?
A: SFTP, FTPS und AS2 können alle für sichere Übertragungen verwendet werden. Da es sich um unterschiedliche Protokolle handelt, verwenden sie unterschiedliche Clients und Technologien, um sichere Übertragung von Daten bereitzustellen. AS2 unterstützt nicht nur verschlüsselte und signierte Nachrichten, sondern bietet auch einen eingebauten Mechanismus für die Message Disposition Notification (MDN), der den Absender benachrichtigt, dass die Nachricht erfolgreich empfangen und vom Empfänger entschlüsselt wurde. Dies ist der Beweis für den Absender, dass seine Nachricht ohne Manipulationen zugestellt wurde. AS2 wird häufig in Arbeitsabläufen im Einzelhandel, im E-Commerce, im Zahlungsverkehr und in der Lieferkette eingesetzt, um mit Geschäftspartnern zu interagieren, die ebenfalls in der Lage sind, AS2 für die sichere Übertragung und Zustellung von Nachrichten zu nutzen. AS2 bietet Ihnen Optionen, um die Identität des Absenders und des Empfängers sowie die Integrität der Nachricht sicherzustellen und zu bestätigen, ob die Nachricht erfolgreich zugestellt und vom Empfänger entschlüsselt wurde.
F: Können meine Benutzer weiterhin ihre vorhandenen Dateiübertragungsclients und -anwendungen verwenden?
A: Ja, alle vorhandenen Dateiübertragungsclient-Anwendungen werden weiterhin funktionieren, sofern Sie auf Ihrem Endpunkt die ausgewählten Protokolle aktiviert haben. Beispiele für häufig verwendete SFTP-/FTPS-/FTP-Clients sind WinSCP, FileZilla, CyberDuck, lftp und OpenSSH-Clients.
F: Kann ich CloudFormation zur Automatisierung der Bereitstellung meiner Server und Benutzer verwenden?
A: Ja, Sie können CloudFormation-Vorlagen zur automatisierten Erstellung Ihrer Server und Benutzer oder zur Integration eines Identitätsanbieters bereitstellen. Lesen Sie den Leitfaden zur Verwendung von AWS Transfer-Ressourcen in CloudFormation-Vorlagen,
F: Können meine Benutzer SCP oder HTTPS verwenden, um Dateien mit diesem Service zu übertragen?
A: Nein, Ihre Benutzer müssen für die Übertragung von Dateien SFTP, AS2, FTPS oder FTP verwenden. Die meisten Dateiübertragungs-Clients bieten all diese Protokolle als Option an, die während der Authentifizierung ausgewählt werden muss. Bitte teilen Sie uns über den AWS Support oder über Ihr AWS-Kontoteam mit, welche Protokolle Sie gerne unterstützt sehen möchten.
Serverendpunkt-Optionen
F: Kann ich meinen Firmendomänennamen (sftp.meinfirmenname.com) für den Zugriff auf meinen Endpunkt verwenden?
A: Ja. Wenn Sie bereits einen Domänennamen haben, können Sie Amazon Route 53 oder einen beliebigen DNS-Service verwenden, um den Datenverkehr Ihrer Benutzer von Ihrer registrierten Domäne zum Serverendpunkt in AWS umzuleiten. Lesen Sie in der Dokumentation nach, wie die AWS Transfer Family Amazon Route 53 für benutzerdefinierte Domänennamen verwendet (gilt nur für internetorientierte Endpunkte).
F: Kann ich den Service auch dann nutzen, wenn ich keinen Domänennamen habe?
A: Ja, wenn Sie keinen Domänennamen haben, können Ihre Benutzer über den vom Service bereitgestellten Hostnamen auf Ihren Endpunkt zugreifen. Alternativ können Sie eine neue Domäne über die Amazon-Route-53-Konsole oder -API registrieren und den Datenverkehr von dieser Domäne an den vom Service bereitgestellten Endpunkt-Hostnamen weiterleiten.
F: Kann ich meine Domäne verwenden, die bereits über eine öffentliche Zone verfügt?
A: Ja, Sie müssen die Domäne in den Hostnamen des vom Service bereitgestellten Endpunkts umbenennen (CNAME).
F: Kann ich meinen Server so einrichten, dass er nur für Ressourcen innerhalb meiner VPC zugänglich ist?
A: Ja. Wenn Sie einen Server erstellen oder einen bestehenden aktualisieren, haben Sie die Möglichkeit, festzulegen, ob der Endpunkt über das öffentliche Internet zugänglich sein oder innerhalb Ihrer VPC gehostet werden soll. Die Verwendung eines gehosteten VPC-Endpunkts für Ihren Server macht ihn nur für Clients innerhalb derselben VPC, anderer VPCs, die Sie angeben, oder in lokalen Umgebungen zugänglich, die Netzwerktechnologien verwenden, welche Ihre VPC erweitern, wie beispielsweise AWS Direct Connect, AWS VPN oder VPC-Peering. Sie können den Zugriff auf Ressourcen in bestimmten Subnetzen innerhalb Ihrer VPC mithilfe von Subnetzzugriffssteuerungslisten (Network Access Control Lists, NACLs) oder Sicherheitsgruppen weiter einschränken. Weitere Informationen finden Sie in der Dokumentation zur Erstellung Ihres Server-Endpunkts innerhalb Ihrer VPC mit AWS PrivateLink.
F: Kann ich FTP mit einem Endpunkt mit Internetanschluss verwenden?
A: Nein, wenn Sie FTP aktivieren, können Sie nur die interne Zugriffsoption des von der VPC gehosteten Endpunkts verwenden. Wenn der Datenverkehr das öffentliche Netzwerk durchqueren muss, sollten Sie sichere Protokolle wie SFTP oder FTPS verwenden.
F: Was ist, wenn ich FTP für Übertragungen über das öffentliche Internet verwenden muss?
A: Der Dienst erlaubt es Ihnen nicht, FTP über öffentliche Netzwerke zu nutzen, denn wenn Sie einen für FTP aktivierten Server erstellen, ist der Server-Endpunkt nur für Ressourcen innerhalb Ihrer VPC zugänglich. Wenn Sie FTP für den Datenaustausch über das öffentliche Internet verwenden müssen, können Sie den VPC-Endpunkt Ihres Servers mit einem dem Internet zugewandten Network Load Balancer (NLB) verbinden. Um FTP-Clients zu unterstützen, die mit dieser Konfiguration möglicherweise nicht funktionieren, verwenden Sie Ihren Server im PASV-Modus.
F: Kann ich FTP ohne eine VPC verwenden?
A: Nein. Eine VPC ist zum Hosten von FTP-Serverendpunkten erforderlich. Informationen zum Automatisieren der Erstellung von VPC-Ressourcen zum Hosten des Endpunkts während der Servererstellung finden Sie in der Dokumentation zu CloudFormation-Vorlagen.
F: Können meine Endbenutzer feste IP-Adressen verwenden, um den Zugriff auf den Endpunkt meines Servers in ihren Firewalls auf die Zugriffsliste zu setzen?
A: Ja. Sie können feste IPs für Ihren Serverendpunkt aktivieren, indem Sie den von der VPC gehosteten Endpunkt für Ihren Server und die Option für die Internetverbindung auswählen. Auf diese Weise können Sie elastische IPs (einschließlich BYO-IPs) direkt an den Endpunkt anfügen, der als IP-Adresse des Endpunkts zugewiesen ist. Weitere Informationen finden Sie im Abschnitt zum Erstellen eines mit dem Internet verbundenen Endpunkts in der Dokumentation Erstellen des Serverendpunkts in Ihrer VPC.
F: Kann ich eingehenden Datenverkehr durch die Quell-IP-Adressen der Endbenutzer einschränken?
A: Ja. Sie haben drei Möglichkeiten, den eingehenden Datenverkehr nach der Quell-IP-Adresse der Benutzer zu beschränken. Wenn Sie Ihren Server-Endpunkt in einer VPC hosten, lesen Sie diesen Blog-Beitrag über die Verwendung von Sicherheitsgruppen, um die Quell-IP-Adresse der Liste zuzulassen, oder verwenden Sie den AWS Network Firewall Service. Wenn Sie einen öffentlichen EndpointType-Transferserver und ein API-Gateway für die Integration Ihres Identitätsmanagementsystems verwenden, können Sie auch AWS WAF nutzen, um den Zugriff nach der Quell-IP-Adresse Ihrer Endbenutzer zuzulassen, zu blockieren oder zu begrenzen.
F: Kann ich den Endpunkt meines Servers in einer gemeinsamen VPC-Umgebung hosten?
A: Ja. Sie können Ihren Server-Endpunkt mit gemeinsam genutzten VPC-Umgebungen bereitstellen, die typischerweise bei der Segmentierung Ihrer AWS-Umgebung mit Tools wie AWS Landing Zone für Sicherheit, Kostenüberwachung und Skalierbarkeit verwendet werden. Lesen Sie diesen Blog-Beitrag über die Verwendung von VPC-gehosteten Endpunkten in gemeinsam genutzten VPC-Umgebungen mit AWS Transfer Family.
F: Wie kann ich auf Dateien zugreifen, die auf einer externen SFTP- oder FTPS-Seite gespeichert sind?
A: Lesen Sie diesen Blog über die Verwendung von AWS Fargate für die Verbindung mit einer externen SFTP/FTPS-Seite und den Zugriff auf Ihre Daten mit AWS Transfer Family. Wenn Sie eine vollständig verwaltete Lösung für die Verbindung mit externen Websites suchen, wenden Sie sich über den AWS-Support oder Ihr AWS-Kundenteam an uns.
F: Wie kann ich die Leistung von Dateiübertragungen für Endbenutzer an entfernten Standorten verbessern?
A: Sie können AWS Global Accelerator mit Ihrem Übertragungsserver-Endpunkt verwenden, um den Dateitransfer-Durchsatz und die Round-Trip-Zeit zu verbessern. Weitere Informationen finden Sie in diesem Blog-Beitrag.
F: Kann ich auswählen, welche kryptografischen Algorithmen verwendet werden können, wenn sich die Clients meiner Endbenutzer mit meinem Server-Endpunkt verbinden?
A: Ja. A: Ja, Basierend auf Ihren Sicherheits- und Compliance-Anforderungen können Sie eine von drei Sicherheitsrichtlinien auswählen, um die kryptografischen Algorithmen zu steuern, die von Ihren Server-Endpunkten bekannt gegeben werden: Transfer-Security-Policy-2018-11 (Standard), Transfer-Security-Policy-2020-06 (restriktiv – keine SHA-1-Algorithmen) und Transfer-FIPS-2020-06 (FIPS-konforme Algorithmen). Wenn die Dateiübertragungs-Clients Ihrer Endbenutzer versuchen, eine Verbindung zu Ihrem Server herzustellen, werden nur die in der Richtlinie angegebenen Algorithmen verwendet, um die Verbindung auszuhandeln. Lesen Sie die Dokumentation zu vordefinierten Sicherheitsrichtlinien.
F: Können meine Endbenutzer statische IP-Adressen verwenden, um Zugang zu meinem Server mit dem Endpunkttyp PUBLIC zu erhalten?
A: Nein. Statische IP-Adressen, die normalerweise für Whitelisting-Zwecke der Firewall verwendet werden, werden derzeit auf dem Endpunkttyp "PUBLIC" nicht unterstützt. Verwenden Sie VPC-gehostete Endpunkte, um statische IP-Adressen für Ihren Endpunkt zuzuweisen.
F: Welche IP-Bereiche würden meine Endbenutzer für die Whitelist nutzen müssen, um Zugang zum Endpunkt-Typ meines SFTP-Servers zu bekommen, der PUBLIC ist?
A: Wenn Sie den Endpunkttyp PUBLIC verwenden, müssen Ihre Benutzer die hier publizierten AWS-IP-Adressbereiche auf die Whitelist setzen. Informationen dazu, wie Sie auf dem neuesten Stand hinsichtlich AWS-IP-Adressbereiche bleiben können, finden Sie in der Dokumentation.
F: Wird der Hostschlüssel meines AWS-Transfer-for-SFTP-Servers sich jemals ändern, nachdem ich den Server erstellt habe?
A: Nein. Der Hostschlüssel des Servers, der beim Erstellen des Servers zugewiesen wird, bleibt unverändert, es sei denn, Sie fügen einen neuen Hostschlüssel hinzu und löschen das Original manuell.
F: Welche Arten von SFTP-Server-Hostschlüsseln werden unterstützt?
A: RSA-, ED25519- und ECDSA-Schlüsseltypen werden für SFTP-Server-Hostschlüssel unterstützt.
F: Kann ich Schlüssel von meinem aktuellen SFTP-Server importieren, damit meine Benutzer die Authentizität meines Servers nicht erneut überprüfen müssen?
A: Ja. Sie können einen Hostschlüssel importieren, wenn Sie einen Server erstellen, oder mehrfache Hostschlüssel importieren, wenn Sie einen Server aktualisieren. Weitere Informationen finden Sie in der Dokumentation zur Verwaltung von Hostschlüsseln für Ihren SFTP-fähigen Server.
F: Wie viele Hostschlüssel kann ich einem SFTP-Server zuordnen?
A: Sie können bis zu 10 Hostschlüssel pro SFTP-Server zuordnen. Allerdings kann nur ein Hostschlüssel pro Schlüsseltyp von den Clients Ihrer Endbenutzer verwendet werden, um die Authentizität Ihres SFTP-Servers in einer einzigen Sitzung zu überprüfen.
F: Wie kann ich meine mehrfachen Hostschlüssel identifizieren?
A: Mehrfache Hostschlüssel können anhand von Beschreibungen und Tags identifiziert werden, die beim Erstellen oder Aktualisieren eines Hostschlüssels hinzugefügt oder bearbeitet werden können. Jeder Hostschlüssel hat auch eine eindeutige Hostschlüssel-ID sowie einen Amazon-Ressourcennamen (ARN), der zum Identifizieren und Verfolgen des Hostschlüssels verwendet werden kann.
F: Können mehrfache Hostschlüssel verwendet werden, um die Authentizität meines SFTP-Servers zu bestätigen?
A: Ja. Der älteste Hostschlüssel jedes Schlüsseltyps kann zur Überprüfung der Authentizität eines SFTP-Servers verwendet werden. Durch Hinzufügen von RSA-, ED25519- und ECDSA-Hostschlüsseln können 3 separate Hostschlüssel verwendet werden, um Ihren SFTP-Server zu identifizieren.
F: Welche Hostschlüssel werden verwendet, um die Authentizität meines SFTP-Servers zu überprüfen?
A: Der älteste Hostschlüssel jedes Schlüsseltyps wird verwendet, um die Authentizität Ihres SFTP-Servers zu überprüfen.
F: Kann ich meine SFTP-Server-Hostschlüssel drehen, um sichere Verbindungen zu gewährleisten?
A: Ja. Sie können Ihre SFTP-Server-Hostschlüssel jederzeit drehen, indem Sie Hostschlüssel hinzufügen und entfernen. Weitere Informationen finden Sie in der Dokumentation zur Verwaltung von Hostschlüsseln für Ihren SFTP-fähigen Server.
F: Wie verifizieren die FTPS-Clients meiner Endbenutzer die Identität meines FTPS-Servers?
A: Wenn Sie den FTPS-Zugriff aktivieren, müssen Sie ein Zertifikat von Amazon Certificate Manager (ACM) bereitstellen. Dieses Zertifikat wird von den Clients Ihrer Endbenutzer verwendet, um die Identität Ihres FTPS-Servers zu verifizieren. Informationen finden Sie in den ACM-Dokumentationen zum Anfordern neuer Zertifikate oder Importieren vorhandener Zertifikate in ACM.
F: Unterstützen Sie aktive und passive Modi von FTPS und FTP?
A: Wir unterstützen nur den passiven Modus, der es den Clients Ihrer Endbenutzer ermöglicht, Verbindungen mit Ihrem Server zu initiieren. Für den passiven Modus müssen auf der Clientseite weniger Ports geöffnet werden, sodass Ihr Serverendpunkt kompatibler mit Endbenutzern hinter geschützten Firewalls ist.
F: Unterstützen Sie explizite und implizite FTPS-Modi?
A: Wir unterstützen nur den expliziten FTPS-Modus.
F: Kann ich Dateien über FTPS/FTP-Protokolle übertragen, wenn sich zwischen dem Client und dem Server eine Firewall oder ein Router befindet?
A: Ja. Dateiübertragungen, die eine Firewall oder einen Router durchqueren, werden standardmäßig im erweiterten passiven Verbindungsmodus (EPSV) unterstützt. Wenn Sie einen FTPS/FTP-Client verwenden, der den EPSV-Modus nicht unterstützt, lesen Sie diesen Blog-Beitrag, um Ihren Server im PASV-Modus zu konfigurieren und so die Kompatibilität Ihres Servers mit einer breiten Palette von Clients zu erweitern.
F: Kann ich die Anmeldebanner für Benutzer, die sich mit meinem Transfer-Family-Server verbinden, individuell gestalten?
A: Ja. Sie können Ihren Transfer-Family-Server so konfigurieren, dass er Ihren Benutzern benutzerdefinierte Banner wie Organisationsrichtlinien oder Geschäftsbedingungen anzeigt. Sie können auch benutzerdefinierte MOTDs (Message of the Day) für Benutzer anzeigen, die sich erfolgreich authentifiziert haben. Weitere Informationen finden Sie in der Dokumentation.
Multiprotokoll-Zugriff
F: Kann ich mehrere Protokolle auf dem gleichen Endpunkt aktivieren?
Ja. Während der Einrichtung können Sie die Protokolle auswählen, die aktiviert werden sollen, um es Clients zu ermöglichen, eine Verbindung zum Endpunkt herzustellen. Der Server-Hostname, die IP-Adresse und der Identitätsanbieter werden für alle ausgewählten Protokolle gemeinsam genutzt. In ähnlicher Weise können Sie auch die Unterstützung zusätzlicher Protokolle für bestehende Endpunkte der AWS Transfer Family aktivieren, sofern die Endpunktkonfiguration die Anforderungen für alle Protokolle erfüllt, die Sie verwenden möchten.
F: Wann sollte ich separate Serverendpunkte für die einzelnen Protokolle erstellen und wann sollte ich den gleichen Endpunkt für mehrere Protokolle aktivieren?
A: Wenn Sie FTP verwenden müssen (wird nur für Zugriff innerhalb der VPC unterstützt) und außerdem SFTP, AS2 oder FTPS über das Internet unterstützen müssen, benötigen Sie einen separaten Serverendpunkt für FTP. Sie können den gleichen Endpunkt für mehrere Protokolle verwenden, wenn Sie den gleichen Endpunkt-Hostnamen und die gleiche IP-Adresse für Clients verwenden möchten, die Verbindungen über mehrere Protokolle herstellen. Wenn Sie die gleichen Anmeldeinformationen für SFTP und FTPS verwenden möchten, können Sie außerdem einen einzelnen Identitätsanbieter für das Authentifizieren von Clients, die Verbindungen über eines dieser Protokolle herstellen, einrichten und verwenden.
F: Kann ich den gleichen Endbenutzer für den Zugriff auf den Endpunkt über mehrere Protokolle einrichten?
A: Ja, Sie können dem gleichen Benutzer Zugriff über mehrere Protokolle bereitstellen, sofern die protokollspezifischen Anmeldeinformationen in Ihrem Identitätsanbieter eingerichtet wurden. Wenn Sie FTP aktiviert haben, sollten Sie separate Anmeldeinformationen für FTP nutzen. Informationen zum Einrichten separater Anmeldeinformationen für FTP finden Sie in der Dokumentation.
F: Warum sollte ich separate Anmeldeinformationen für FTP-Benutzer verwenden?
A: Im Gegensatz zu SFTP und FTPS überträgt FTP die Anmeldeinformationen im Klartext. Wir empfehlen, FTP-Anmeldeinformationen von SFTP oder FTPS zu isolieren, denn wenn FTP-Anmeldeinformationen versehentlich freigegeben oder offengelegt werden, bleiben Ihre Workloads, die SFTP oder FTPS verwenden, sicher.
F: Können meine Benutzer über einen Browser auf den SFTP-Endpunkt von AWS Transfer Family zugreifen?
A: Ja, Sie können diese Open-Source-Lösung bereitstellen, mit der Sie eine browserbasierte Schnittstelle über die SFTP-Endpunkte Ihrer AWS Transfer Family bereitstellen können.
Optionen für Identitätsanbieter
F: Welche Optionen für Identitätsanbieter werden vom Dienst unterstützt?
A: Der Service unterstützt drei Identitätsanbieter-Optionen: Verwalteter Service, bei dem Sie Benutzeridentitäten innerhalb des Services speichern, Microsoft Active Directory und benutzerdefinierte Optionen, bei denen Sie einen Identitätsanbieter Ihrer Wahl integrieren können. Die Authentifizierung mithilfe des verwalteten Services wird für Serverendpunkte unterstützt, die ausschließlich für SFTP aktiviert sind.
F: Wie kann ich meine Benutzer mithilfe der Authentifizierung "Verwalteter Service" authentifizieren?
A: Sie können die Authentifizierung "Verwalteter Service" für die Authentifizierung Ihrer SFTP-Benutzer mithilfe von SSH-Schlüsseln verwenden.
F: Wie viele SSH-Schlüssel kann ich pro SFTP-Benutzer hochladen? Welche Schlüsseltypen werden unterstützt?
A: Sie können bis zu 10 SSH-Schlüssel pro Benutzer hochladen. RSA-, ED25519- und ECDSA-Schlüssel werden unterstützt.
F. Wird bei der Authentifizierung "Verwalteter Service" die SSH-Schlüsselrotation unterstützt?
A: Ja. Weitere Informationen zum Einrichten der Schlüsselrotation für Ihre SFTP-Benutzer finden Sie in der Dokumentation.
F: Kann ich den verwalteten Service für die Passwortauthentifizierung verwenden?
A: Nein. Das Speichern von Passwörtern zur Authentifizierung innerhalb des Service wird derzeit nicht unterstützt. Wenn Sie eine Kennwortauthentifizierung benötigen, verwenden Sie Active Directory, indem Sie ein Verzeichnis im AWS Directory Service auswählen, oder folgen Sie der in diesem Blog beschriebenen Architektur zur Aktivierung der Kennwortauthentifizierung mit Secrets Manager.
F: Was sind die ersten Schritte mit Microsoft AD?
A: Wenn Sie Ihren Server erstellen, wählen Sie ein Verzeichnis in AWS Managed Microsoft AD, Ihre lokale Umgebung oder selbst verwaltetes AD in Amazon EC2 als Ihren Identitätsanbieter. Anschließend müssen Sie die AD-Gruppen, die Sie für den Zugriff aktivieren möchten, mit einem Security Identifier (SID) angeben. Sobald Sie Ihre AD-Gruppe mit Zugriffskontrolle-Informationen wie IAM-Rolle, Scope-Down-Richtlinie (nur S3), POSIX-Profil (nur EFS), Home-Verzeichnis-Speicherort und logische Verzeichniszuordnungen verknüpft haben, können die Mitglieder der Gruppe ihre AD-Anmeldeinformationen zur Authentifizierung und Übertragung von Dateien über die aktivierten Programme (SFTP, FTPS, FTP) verwenden.
F: Wie kann ich meine AD-Benutzer so einrichten, dass sie isolierten Zugriff auf verschiedene Teile meines S3-Buckets haben?
A: Wenn Sie Ihre Benutzer einrichten, stellen Sie eine Richtlinie für den Bereich nach unten bereit, die in der Laufzeit auf der Grundlage der Informationen Ihrer Benutzer, wie z. B. deren Benutzernamen, ausgewertet wird. Sie können für alle Benutzer dieselbe Scope-Down-Richtlinie verwenden, um den Zugriff auf eindeutige Präfixe in Ihrem Bucket basierend auf ihrem Benutzernamen zu ermöglichen. Zusätzlich kann ein Benutzername auch dazu verwendet werden, logische Verzeichniszuordnungen auszuwerten, indem eine standardisierte Vorlage bereitgestellt wird, wie der Inhalt Ihres S3-Buckets oder EFS-Dateisystems für den Benutzer sichtbar gemacht wird. Weitere Informationen finden Sie in der Dokumentation zur Gewährung von Zugriff auf AD-Gruppen.
F: Kann ich Microsoft AD als Identitätsanbieter-Option für alle unterstützten Programme verwenden?
A: Ja, Sie können Microsoft AD verwenden, um Benutzer für den Zugriff über SFTP, FTPS und FTP zu authentifizieren.
F: Kann ich den Zugriff für aktivierte AD-Gruppen widerrufen?
A: Ja, Sie können den Dateiübertragungszugriff für einzelne AD-Gruppen widerrufen. Nach dem Entzug können Mitglieder der AD-Gruppen keine Dateien mehr mit ihren AD-Anmeldeinformationen übertragen.
F: Kann ich einzelnen AD-Benutzern oder allen Benutzern in einem Verzeichnis Zugriff gewähren?
A: Nein, wir unterstützen nur die Einstellung des Zugriffs durch AD-Gruppen.
F: Kann ich AD verwenden, um Benutzer mit SSH-Schlüsseln zu authentifizieren?
A: Nein, die Unterstützung der AWS Transfer Family für Microsoft AD kann nur für die passwortbasierte Authentifizierung verwendet werden. Um eine Mischung von Authentifizierungsmodi zu verwenden, verwenden Sie die Lambda-Genehmiger-Option.
F: Warum sollte ich den benutzerdefinierten Authentifizierungsmodus verwenden?
A: Der benutzerdefinierte Modus ("BYO"-Authentifizierung) ermöglicht es Ihnen, einen vorhandenen Identitätsanbieter zu nutzen, um Ihre Endbenutzer für alle Protokolltypen (SFTP, FTPS und FTP) zu verwalten, was eine einfache und nahtlose Migration Ihrer Benutzer ermöglicht. Berechtigungsnachweise können in Ihrem Unternehmensverzeichnis oder in einem internen Identitätsdatenspeicher gespeichert werden, und Sie können sie für die Authentifizierung von Endbenutzern integrieren. Beispiele für Identitätsprovider sind Okta, Microsoft AzureAD oder jeder kundenspezifische Identitätsprovider, den Sie als Teil eines allgemeinen Bereitstellungsportals verwenden.
F: Welche Möglichkeiten habe ich, meinen Identitätsanbieter mit einem AWS-Transfer-Family-Server zu integrieren?
A: Für die Integration Ihres Identitätsanbieters mit einem AWS-Transfer-Family-Server können Sie eine AWS-Lambda-Funktion oder einen Amazon-API-Gateway-Endpunkt verwenden. Benutzen Sie Amazon API Gateway, falls Sie eine RESTful API benötigen, um sich mit Ihrem Identitätsanbieter zu verbinden oder falls Sie AWS WAF für Ihre Ratenbegrenzungs- und Geoblockingfunktionen nutzen möchten. In der Dokumentation erfahren Sie mehr über die Integration von gängigen Identitätsanbietern wie AWS Cognito, Okta und AWS Secrets Manager.
F: Wie kann ich mit der Integration meines vorhandenen Identitätsanbieters für die benutzerdefinierte Authentifizierung beginnen?
A: Für die ersten Schritte können Sie die AWS-CloudFormation-Vorlage im Nutzungshandbuch verwenden und die notwendigen Informationen für die Benutzerauthentifizierung und den Zugriff bereitstellen. Besuchen Sie die Website über benutzerdefinierte Identitätsanbieter, um mehr darüber zu erfahren.
F: F: Welche Informationen werden beim Einrichten meiner Benutzer über einen benutzerdefinierten Identitätsanbieter verwendet, um den Zugriff auf meine Benutzer zu ermöglichen?
A: Ihr Benutzer muss zur Authentifizierung einen Benutzernamen und ein Passwort (oder einen SSH-Schlüssel) angeben und der Zugriff auf Ihren Bucket wird durch die AWS-IAM-Rolle bestimmt, die vom API-Gateway bereitgestellt und von Lambda zur Abfrage Ihres Identitätsanbieters verwendet wird. Sie müssen außerdem Startverzeichnisinformationen angeben und es wird empfohlen, den Benutzer für zusätzliche Sicherheit und Benutzerkomfort auf das zugeordnete Startverzeichnis einzuschränken. Informationen zur Vereinfachung Ihrer Endbenutzererfahrung bei Verwendung eines benutzerdefinierten Identitätsanbieters mit AWS SFTP finden Sie in diesem Blog-Beitrag.
F: Kann ich Zugriffskontrollen basierend auf der Quell-IP des Clients anwenden?
A: Ja. Die Quell-IP des Clients wird an Ihren Identitätsanbieter weitergegeben, wenn Sie mit AWS Lambda oder API Gateway eine Verbindung zu einem benutzerdefinierten Identitätsanbieter herstellen. Dies ermöglicht es Ihnen, den Zugriff auf der Grundlage der IP-Adressen von Clients zu erlauben, zu verweigern oder einzuschränken, um sicherzustellen, dass der Zugriff auf Ihre Daten nur von IP-Adressen erfolgt, die Sie als vertrauenswürdig eingestuft haben.
F: Werden anonyme Benutzer unterstützt?
A: Nein, anonyme Benutzer werden derzeit für keines der Protokolle unterstützt.
AS2-Handelspartner
F: Wie kann ich meinen AS2-Handelspartner eindeutig identifizieren?
A: Ihr Handelspartner wird durch seinen AS2 Identifier (AS2 ID) eindeutig identifiziert. Auf ähnliche Weise identifizieren Ihre Handelspartner Ihre Nachrichten anhand Ihrer AS2 ID.
F: Welche bestehenden Funktionen der AWS Transfer Family sind für AS2 verfügbar? Welche Funktionen sind nicht verfügbar?
A: Sie können die bestehende Unterstützung der AWS Transfer Family für Amazon S3, Netzwerkfunktionen (VPC-Endpunkte, Sicherheitsgruppen und Elastic IPs) und Zugriffskontrollen (AWS IAM) für AS2 verwenden, wie Sie es auch für SFTP, FTPS und FTP tun könnten. , logische Verzeichnisse, benutzerdefinierte Banner und Amazon EFS als Speicher-Backend werden für AS2 nicht unterstützt.
F: Was ist Non-Repudiation und warum ist sie wichtig?
A: Die Non-Repudiation, die es nur in AS2 gibt, bestätigt, dass die Nachrichten zwischen zwei Parteien erfolgreich ausgetauscht wurden. Non-Repudiation in AS2 wird mit Message Disposition Notifications (MDN) erreicht. Wenn eine MDN in einer Transaktion angefordert wird, stellt sie sicher, dass der Absender die Nachricht gesendet und der Empfänger sie erfolgreich empfangen hat und dass die vom Absender gesendete Nachricht mit der vom Empfänger empfangenen Nachricht übereinstimmt.
F: Welche Schritte sind bei der Nachrichtenübertragung mit dem AS2-Protokoll erforderlich?
A: Es gibt zwei Aspekte bei der Übertragung von Nachrichten - einen vom Absender und einen vom Empfänger. Sobald der Absender festgelegt hat, welche Nachricht er senden möchte, wird die Nachricht signiert (mit dem privaten Schlüssel des Absenders), verschlüsselt (mit dem Zertifikat des Empfängers) und die Integrität der Nachricht wird mithilfe eines Hashes berechnet. Diese signierte und verschlüsselte Nachricht wird über das Kabel an den Empfänger übertragen. Sobald die Nachricht empfangen wurde, wird sie entschlüsselt (mit dem privaten Schlüssel des Empfängers), validiert (mit dem öffentlichen Schlüssel des Absenders), verarbeitet und eine signierte Message Disposition Notifications (MDN), falls angefordert, wird an den Absender zurückgeschickt, um die erfolgreiche Zustellung der Nachricht zu bestätigen. Lesen Sie in der Dokumentation nach, wie AS2 die Nachrichtenübertragung handhabt.
F: Was sind die verfügbaren Optionen für die Nachrichtenübertragung?
A: Die Kombination der möglichen Optionen wird vom Standpunkt des Absenders aus gesteuert. Der Absender kann wählen, ob er die Daten nur verschlüsseln oder nur signieren möchte (oder beides), und er kann eine Message Disposition Notifications (MDN) anfordern. Wenn der Absender sich entscheidet, eine MDN anzufordern, kann er eine signierte oder unsignierte MDN anfordern. Es wird erwartet, dass der Empfänger diese Optionen wahrnimmt.
F: Ist das Beantragen von Benachrichtigungen über den Versand von Nachrichten (MDN) optional?
A: Ja, der Absender kann wählen, ob er eine MDN anfordert, ob er eine signierte oder unsignierte MDN anfordert und welche Signieralgorithmen für die Signatur der MDN verwendet werden sollen.
D: Unterstützen Sie synchrone (Sync) und asynchrone (Async) MDNs? Wann sollte ich welche Option verwenden?
A: Derzeit unterstützen wir nur synchrones MDN. Da synchrone MDNs über denselben Verbindungskanal wie die Nachricht gesendet werden, ist dies viel einfacher und daher die empfohlene Option. Wenn Sie mehr Zeit benötigen, um die Nachricht zu verarbeiten, bevor Sie eine MDN senden, sind asynchrone MDNs vorzuziehen. Kontaktieren Sie uns über den AWS-Support oder Ihren Kundenbetreuer, wenn Sie Unterstützung für asynchrone MDNs benötigen
F: Wie kann ich gesendete und empfangene Payloads und MDNs verfolgen und suchen?
A: AWS Transfer Family extrahiert wichtige AS2-Informationen aus den ausgetauschten Nutzungsdaten und MDNs und speichert sie als JSON-Dateien in Ihrem Amazon-S3-Bucket. Sie können diese JSON-Dateien mit S3 Select oder Amazon Athena abfragen oder die Dateien mit Amazon OpenSearch oder Amazon DocumentDB für Analysen indizieren.
F: Kann ich die empfangenen MDNs archivieren (als der Absender, der sie angefordert hat)?
A: Ja, sobald Sie eine MDN von Ihrem Handelspartner erhalten, validiert der Service die MDN mit Ihrem Zertifikat und speichert die Nachricht in Ihrem Amazon-S3-Bucket. Sie können die Nachricht archivieren, indem Sie die S3-Lifecycle-Richtlinien nutzen.
F: Wie benachrichtige ich AWS Transfer Family, wenn eine Nachricht für die Zustellung an den Endpunkt meines Handelspartners bereit ist?
A: Sobald Ihre Daten für die Zustellung bereit sind, müssen Sie eine vom Service bereitgestellte API aufrufen, einen Konnektor zuordnen, um uns zu benachrichtigen, dass die Daten bereit für die Zustellung sind, und uns die Daten des Empfängers mitteilen. Dadurch wird der Service benachrichtigt, die Nachricht an den Endpunkt Ihres Handelspartners zu senden. Lesen Sie die Dokumentation über Konnektoren, um Nachrichten über AS2 an Ihren Handelspartner zu senden.
F: Kann ich jeden meiner Handelspartner isolieren, um unterschiedliche Eingangs- und Ausgangsspeicher für Nachrichten zu verwenden?
A: Ja, wenn Sie das Profil Ihres Handelspartners einrichten, können Sie für jeden von ihnen unterschiedliche Ordner verwenden.
F: Kann ich die vorhandenen Schlüssel und Zertifikate meines Handelspartners mit meinem AWS-Transfer-Family-AS2-Endpunkt verwenden?
A: Ja, Sie können die vorhandenen Schlüssel und Zertifikate Ihres Partners importieren und Verlängerungen und Rotationen verwalten. Lesen Sie die Dokumentation zum Importieren von Zertifikaten.
F: Woher weiß ich, wann die Zertifikate meines Handelspartners ablaufen?
A: Mit der AWS-Transfer-Family-Konsole können Sie ein Dashboard der Zertifikate, sortiert nach Ablaufdatum, anzeigen. Darüber hinaus können Sie sich für den Erhalt von Benachrichtigungen vor Ablauf des Zertifikats entscheiden, so dass Sie genügend Zeit haben, das Zertifikat zu wechseln, um eine Unterbrechung des Betriebs zu vermeiden.
F: Ist die Unterstützung der AWS Transfer Family für AS2 Drummond zertifiziert?
A: Nein. Die Unterstützung der AWS Transfer Family für AS2 ist derzeit Drummond Pre-Certified und wird 2023 Drummond Certified werden. Lesen Sie diese Ankündigung, um mehr zu erfahren.
F: Unterstützen Sie AS3 und AS4?
A: Nein.
Verwaltete Workflows für die Verarbeitung nach dem Hochladen
F: Was sind verwaltete Workflows für die Verarbeitung nach dem Hochladen?
A: Die verwalteten Workflows der AWS Transfer Family erleichtern Ihnen das Erstellen, Ausführen und Überwachen der Post-Upload-Verarbeitung für Dateiübertragungen über SFTP, FTPS und FTP. Mit dieser Funktion sparen Sie Zeit, indem Sie mit geringem Codeaufwand alle notwendigen Aufgaben wie Kopieren, Entschlüsseln und Markieren koordinieren. Sie können auch die Suche nach PII, Viren/Malware oder anderen Fehlern, wie z. B. dem falschen Dateiformat oder -typ, anpassen, so dass Sie Anomalien schnell erkennen und Ihre Compliance-Anforderungen erfüllen können.
F: Warum brauche ich verwaltete Workflows?
A: Wenn Sie Dateien verarbeiten müssen, die Sie mit Ihren Geschäftspartnern über AWS Transfer Family austauschen, müssen Sie eine Infrastruktur einrichten, um benutzerdefinierten Code auszuführen, kontinuierlich auf Laufzeitfehler und Anomalien zu überwachen und sicherzustellen, dass alle Änderungen und Transformationen an den Daten geprüft und protokolliert werden. Darüber hinaus müssen Sie technische und geschäftliche Fehlerszenarien berücksichtigen und gleichzeitig sicherstellen, dass die Ausfallsicherungsmodi ordnungsgemäß ausgelöst werden. Wenn Sie Anforderungen an die Rückverfolgbarkeit stellen, müssen Sie die Herkunft der Daten auf dem Weg durch die verschiedenen Komponenten Ihres Systems verfolgen. Die Pflege separater Komponenten eines Dateiverarbeitungs-Workflows kostet Sie Zeit, die Ihnen dann bei der Konzentration auf die entscheidende Arbeit fehlt, die Sie für Ihr Unternehmen leisten könnten. Verwaltete Workflows beseitigen die Komplexität der Verwaltung mehrerer Aufgaben und bieten eine standardisierte Lösung für die Dateiverarbeitung, die im gesamten Unternehmen repliziert werden kann, mit integrierter Ausnahmebehandlung und Rückverfolgbarkeit der Dateien für jeden Schritt, damit Sie Ihre geschäftlichen und rechtlichen Anforderungen erfüllen können.
F: Welche Vorteile bietet die Verwendung von verwalteten Workflows?
A: Verwaltete Workflows ermöglichen Ihnen die einfache Vorverarbeitung von Daten, bevor sie von Ihren nachgelagerten Anwendungen genutzt werden, indem sie Dateiverarbeitungsaufgaben wie das Verschieben von Dateien in benutzerspezifische Ordner, das Verschlüsseln von Dateien während der Übertragung, Malware-Scans und Markierungen orchestrieren. Sie können Workflows mithilfe von Infrastructure as Code (IaC) bereitstellen und so gängige Aufgaben der Dateiverarbeitung, die mehrere Geschäftsbereiche in Ihrem Unternehmen betreffen, nach dem Hochladen schnell replizieren und standardisieren. Sie können eine granulare Kontrolle ausüben, indem Sie verwaltete Workflows definieren, die nur bei vollständig hochgeladenen Dateien ausgelöst werden, um die Datenqualität zu gewährleisten, und indem Sie verwaltete Workflows definieren, die bei teilweise hochgeladenen Dateien ausgelöst werden, um die Verarbeitung unvollständiger Uploads zu konfigurieren. Die integrierte Ausnahmebehandlung ermöglicht Ihnen eine schnelle Reaktion auf Ergebnisse bei der Dateiverarbeitung, im Falle von Fehlern oder Ausnahmen bei der Workflow-Ausführung, so dass Sie Ihre geschäftlichen und technischen SLAs einhalten können und gleichzeitig die Art des Umgangs mit Fehlern unter Kontrolle haben. Und schließlich erzeugt jeder Workflow-Schritt detaillierte Protokolle, die zur Datenverfolgung geprüft werden können.
F: Wie kann ich mit Workflows beginnen?
A: Richten Sie zunächst Ihren Workflow so ein, dass er Aktionen wie Kopieren, Markieren und eine Reihe von Aktionen enthält, die Ihren eigenen benutzerdefinierten Schritt in einer auf Ihren Anforderungen basierenden Abfolge von Schritten enthalten können. Als Nächstes ordnen Sie den Workflow einem Server zu, so dass beim Eintreffen einer Datei die in diesem Workflow angegebenen Aktionen in Echtzeit ausgewertet und ausgelöst werden. Weitere Informationen finden Sie in der Dokumentation, in dieser Demo zu den ersten Schritten mit verwalteten Workflows oder in diesem Blogbeitrag zur Bereitstellung einer cloudnativen Dateiübertragungsplattform.
F: Kann ich dieselbe Workflow-Einrichtung auf mehreren Servern verwenden?
A: Ja. Ein und derselbe Workflow kann mehreren Servern zugewiesen werden, so dass es für Sie einfacher ist, Konfigurationen zu pflegen und zu standardisieren.
F: Welche Aktionen kann ich mithilfe von Workflows für meine Dateien durchführen?
A: Die folgenden allgemeinen Aktionen sind verfügbar, sobald ein Übertragungsserver eine Datei vom Client erhalten hat:
- Datei mit PGP-Schlüssel entschlüsseln
- Verschieben oder Kopieren von Daten von dem Ort, an dem sie ankommen, zu dem Ort, an dem sie genutzt werden sollen.
- Löschen der Originaldatei nach dem Archivieren oder Kopieren an einen neuen Speicherort.
- Markieren der Datei anhand ihres Inhalts, damit sie von nachgeschalteten Services indiziert und durchsucht werden kann (nur S3)
- Beliebige benutzerdefinierte Logik für die Dateiverarbeitung, indem Sie Ihre eigene Lambda-Funktion als benutzerdefinierten Schritt für Ihren Workflow bereitstellen. Zum Beispiel die Überprüfung der Kompatibilität des Dateityps, das Scannen von Dateien auf Malware, die Erkennung von persönlich identifizierbaren Informationen (PII) und die Extraktion von Metadaten, bevor die Dateien in Ihre Datenanalyse aufgenommen werden.
F: Kann ich Workflows verwenden, um Dateien automatisch mit PGP zu entschlüsseln?
A: Ja. Sie können einen vorgefertigten, vollständig verwalteten Workflow-Schritt für die PGP-Entschlüsselung von Dateien verwenden. Weitere Informationen finden Sie in unserer Dokumentation zu verwalteten Workflows.
F: Kann ich in jedem Workflow-Schritt auswählen, welche Datei verarbeitet werden soll?
A: Ja. Sie können einen Workflow-Schritt so konfigurieren, dass er entweder die ursprünglich hochgeladene Datei oder die Ausgabedatei des vorherigen Workflow-Schrittes verarbeitet. So können Sie das Verschieben und Umbenennen Ihrer Dateien nach dem Hochladen auf Amazon S3 ganz einfach automatisieren. Um beispielsweise eine Datei zur Archivierung oder Aufbewahrung an einen anderen Speicherort zu verschieben, konfigurieren Sie zwei Schritte in Ihrem Workflow. Der erste Schritt besteht im Kopieren einer Datei an einen anderen Amazon-S3-Speicherort und der zweite Schritt im Löschen der ursprünglich hochgeladenen Datei. Lesen Sie die Dokumentation, um mehr über die Auswahl eines Dateispeichers für Workflow-Schritte zu erfahren.
F: Kann ich die ursprünglich hochgeladene Datei zur Archivierung aufbewahren?
A: Ja. Mithilfe von Workflows können Sie mehrere Kopien der Originaldatei erstellen und gleichzeitig die Originaldatei zur Archivierung aufbewahren.
F: Kann ich Workflows verwenden, um Dateien dynamisch an benutzerspezifische Amazon-S3-Ordner weiterzuleiten?
A: Ja. Sie können jetzt den Benutzernamen als Variable in Workflow-Kopierschritten verwenden, wodurch Sie Dateien dynamisch an benutzerspezifische Ordner in Amazon S3 weiterleiten können. Dadurch entfällt die Notwendigkeit, den Speicherort des Zielordners beim Kopieren von Dateien fest zu codieren, und die Erstellung benutzerspezifischer Ordner in Amazon S3 wird automatisiert, sodass Sie Ihre Dateiautomatisierungs-Workflows skalieren können. Weitere Informationen finden Sie in der Dokumentation.
F: Wie überwache ich meinen Workflow?
A: Workflow-Ausführungen können mithilfe von AWS CloudWatch-Metriken wie der Gesamtzahl der Workflow-Ausführungen, der erfolgreichen Ausführungen und der fehlgeschlagenen Ausführungen überwacht werden. Über die AWS-Managementkonsole können Sie den Echtzeitstatus laufender Workflow-Ausführungen suchen und anzeigen. Verwenden Sie CloudWatch-Protokolle zur detaillierten Protokollierung der Workflow-Ausführungen.
F: Welche Arten von Benachrichtigungen kann ich erhalten?
A: Sie können den benutzerdefinierten Verarbeitungsschritt verwenden, um Benachrichtigungen an EventBridge oder Simple Notification Service (SNS) auszulösen und benachrichtigt zu werden, wenn die Dateiverarbeitung abgeschlossen ist. Darüber hinaus können Sie auch CloudWatch-Protokolle von Lambda-Ausführungen verwenden, um Benachrichtigungen zu erhalten.
F: Ich verwende AWS Step Functions, um meine Dateiverarbeitungsschritte zu orchestrieren. Wie unterscheiden sich die verwalteten Workflows der AWS Transfer Family von meiner derzeitigen Einrichtung der AWS Step Functions?
A: AWS Step Functions ist ein serverloser Orchestrierungsservice, mit dem Sie AWS Lambda mit anderen Services kombinieren können, um die Ausführung von Geschäftsanwendungen in einfachen Schritten zu definieren. Zur Durchführung von Dateiverarbeitungsschritten mit AWS Step Functions verwenden Sie AWS-Lambda-Funktionen mit den Ereignisauslösern von Amazon S3, um Ihre eigenen Workflows zusammenzustellen. Verwaltete Workflows bieten einen Framework für die einfache Orchestrierung einer linearen Abfolge von Verarbeitungen und unterscheiden sich in folgenden Punkten von bestehenden Lösungen: 1) Sie können Workflows granular definieren, die nur auf vollständigen Datei-Uploads aufgeführt werden, sowie Workflows, die auf partiellen Dateiuploads ausgeführt werden, 2) Workflows können sowohl für S3 als auch für EFS (das keine Post-Upload-Ereignisse bietet) automatisch ausgelöst werden, und 3) Kunden erhalten in CloudWatch-Protokollen einen umfassenden Einblick in ihre Dateiübertragungen und -verarbeitung.
F: Kann ich eine Benachrichtigung senden, wenn eine Dateivalidierungsprüfung fehlschlägt?
A: Ja. Wenn eine Dateivalidierungsprüfung anhand der vorkonfigurierten Validierungsschritte fehlschlägt, können Sie den Exception Handler verwenden, um Ihr Überwachungssystem oder Ihre Teammitglieder über ein Amazon-SNS-Thema aufzurufen.
F: Können Workflows bei Teil-Uploads ausgelöst werden?
A: Ja. Sie können Workflows definieren, die sowohl bei vollständigen als auch bei teilweisen Datei-Uploads ausgelöst werden.
F: Kann ich Workflow-Aktionen basierend auf dem Austausch von Nachrichten über AS2 auslösen?
A: Nein, Sie können derzeit keine verwalteten Workflows mit AS2 verwenden.
F: Kann ich Workflow-Aktionen bei Benutzer-Downloads auslösen?
A: Nein. Die Verarbeitung kann nur beim Eintreffen der Datei über den Eingangsendpunkt aufgerufen werden.
F: Kann ich denselben Workflow auf mehrere Dateien in einer Sitzung anwenden?
A: Nein. Workflows verarbeiten derzeit eine Datei pro Ausführung.
Amazon-S3-Zugriff
F: Wie kommuniziert AWS Transfer Family mit Amazon S3?
A: Der Datentransfer zwischen Servern der AWS Transfer Family und Amazon S3 findet über interne AWS-Netzwerke statt und erfolgt nicht über das öffentliche Internet. Deshalb ist es nicht erforderlich, dass Sie AWS PrivateLink für Daten verwenden, die vom Server der AWS Transfer Family zu Amazon S3 übertragen werden. Der Transfer-Family-Service erfordert keine AWS-PrivateLink-Endpunkte für Amazon S3, um zu verhindern, dass Datenverkehr über das Internet geleitet wird. Es stehen somit keine Endpunkte für die Kommunikation mit Speicherservices zur Verfügung. Hierbei gehen wir davon aus, dass die AWS-Speicherservices und der Server der Transfer Family sich in der gleichen Region befinden.
F: Warum muss ich eine AWS-IAM-Rolle zur Verfügung stellen und wie wird sie verwendet?
A: AWS IAM wird verwendet, um die Zugriffsebene zu bestimmen, die Sie Ihren Benutzern zur Verfügung stellen möchten. Dies beinhaltet Informationen darüber, welche Operationen Sie auf ihrem Client aktivieren möchten und auf welche Amazon-S3-Buckets die Benutzer Zugriff haben, d. h. ob es sich um den gesamten Bucket oder um Teile davon handelt.
F: Warum muss ich Informationen zum Startverzeichnis bereitstellen und wie werden diese verwendet?
A: Das Startverzeichnis, das Sie für Ihren Benutzer einrichten, legt dessen Anmeldeverzeichnis fest. Das entspricht dem Verzeichnispfad, in den der Client die Benutzer nach dem erfolgreichen Authentifizieren am Server platziert. Sie werden sicherstellen müssen, dass die bereitgestellte IAM-Rolle den Benutzerzugriff auf das Startverzeichnis zur Verfügung stellt.
F: Ich habe Hunderte von Benutzern, die ähnliche Zugriffseinstellungen haben, aber auf verschiedene Teile meines Buckets zugreifen. Kann ich sie mit der gleichen IAM-Rolle und -Richtlinie einrichten, um ihren Zugriff zu aktivieren?
A: Ja. Sie können eine einzelne IAM-Rolle für alle Benutzer zuweisen und logische Verzeichniszuordnungen verwenden, die angeben, welche absoluten Amazon-S3-Bucket-Pfade den Endbenutzern angezeigt werden sollen und wie diese Pfade von den Clients dargestellt werden. In diesem Blog-Beitrag finden Sie weitere Informationen zum Vereinfachen Ihrer AWS-SFTP-/FTPS-/FTP-Struktur mit Chroot und logischen Verzeichnissen.
F: Wie werden Dateien, die in meinem Amazon-S3-Bucket gespeichert sind, mit AWS Transfer übertragen?
A: Dateien, die über die unterstützten Protokolle übertragen werden, werden als Objekte in Ihrem Amazon-S3-Bucket gespeichert, und es gibt ein Eins-zu-Eins-Mapping zwischen Dateien und Objekten, die einen nativen Zugriff auf diese Objekte über AWS-Services zur Verarbeitung oder Analyse ermöglicht.
F: Wie werden die in meinem Bucket gespeicherten Amazon-S3-Objekte meinen Benutzern präsentiert?
A: Nach erfolgreicher Authentifizierung, basierend auf den Anmeldeinformationen Ihrer Benutzer, stellt der Service Amazon-S3-Objekte und -Ordner als Dateien und Verzeichnisse für die Übertragungsanwendungen Ihrer Benutzer dar.
F: Welche Dateioperationen werden unterstützt? Welche Operationen werden nicht unterstützt?
A: Es werden gängige Befehle zum Erstellen, Lesen, Aktualisieren und Löschen von Dateien und Verzeichnissen unterstützt. Dateien werden in Ihrem Amazon-S3-Bucket als einzelne Objekte gespeichert. Verzeichnisse werden in S3 als Ordnerobjekte verwaltet und verwenden dieselbe Syntax wie die S3-Konsole.
Verzeichnisumbenennungsvorgänge, Anfügevorgänge, Besitzwechsel, Berechtigungen und Zeitstempel sowie die Verwendung symbolischer und fester Links werden aktuell nicht unterstützt.
F: Kann ich steuern, welche Aktionen meine Benutzer ausführen dürfen?
A: Ja, Sie können Dateioperationen mit der AWS-IAM-Rolle, die Sie den jeweiligen Benutzernamen zugeordnet haben, aktivieren und deaktivieren. Weitere Informationen finden Sie in der Dokumentation zum 'Erstellen von IAM-Richtlinien und -Rollen zum Steuern des Endbenutzerzugriffs'
F: Kann ich meinen Endbenutzern Zugriff auf mehr als einen Amazon-S3-Bucket gewähren?
A: Ja. Der oder die Buckets, auf die Ihr Benutzer zugreifen kann, werden durch die AWS-IAM-Rolle und die optionale Scope-Down-Richtlinie bestimmt, die Sie für diesen Benutzer festlegen. Sie können nur einen einzelnen Bucket als Startverzeichnis für den Benutzer verwenden.
F: Kann ich S3-Zugriffspunkte mit AWS Transfer Family verwenden, um den Benutzerzugriff auf freigegebene Datensätze zu vereinfachen?
A: Ja. Sie können S3-Zugangspunkt-Aliase mit AWS Transfer Family verwenden, um granularen Zugriff auf einen großen Datensatz zu ermöglichen, ohne dass Sie eine einzelne Bucket-Richtlinie verwalten müssen. Durch die Kombination von S3-Zugangspunkt-Aliasen mit den logischen Verzeichnissen der AWS Transfer Family können Sie eine fein abgestufte Zugriffskontrolle für verschiedene Anwendungen, Teams und Abteilungen erstellen und dabei gleichzeitig den Aufwand für die Verwaltung von Bucket-Richtlinien reduzieren. Weitere Informationen und erste Schritte finden Sie im Blogbeitrag zur Verbesserung der Datenzugriffskontrolle mit AWS Transfer Family und Amazon-S3-Zugangspunkten.
F: Kann ich einen Server mit AWS-Konto A erstellen und meine Benutzer den Amazon-S3-Buckets von AWS-Konto-B zuordnen?
A: Ja. Sie können die CLI und die API verwenden, um einen kontenübergreifenden Zugriff zwischen Ihrem Server und den Buckets einzurichten, die Sie für das Speichern von Dateien, die über die unterstützten Protokolle übertragen werden, verwenden möchten. Die Dropdown-Liste der Konsole listet nur Bereiche in Konto A auf. Außerdem müssen Sie sicherstellen, dass die dem Benutzer zugewiesene Rolle zu Konto A gehört.
F: Kann ich die Verarbeitung einer Datei automatisieren, nachdem sie in Amazon S3 hochgeladen wurde?
A: Ja, Sie können die verwalteten Workflows der AWS Transfer Family verwenden, um die Dateiverarbeitung zu erstellen, zu automatisieren und zu überwachen, nachdem Ihre Dateien in Amazon S3 hochgeladen wurden. Mithilfe von verwalteten Workflows können Sie Ihre Dateien vorverarbeiten, bevor Sie sie in Ihre Datenanalyse- und -verarbeitungssysteme einspeisen, ohne den Aufwand für die Verwaltung Ihres eigenen benutzerdefinierten Codes und Ihrer Infrastruktur. Besuchen Sie die Dokumentation, um mehr über die verwalteten Workflows der AWS Transfer Family zu erfahren.
F: Kann ich Regeln für das Verarbeiten basierend auf dem Benutzer, der die Datei hochlädt, anpassen?
A: Ja. Wenn der Benutzer eine Datei hochlädt, werden Benutzername und Server-ID des Servers, der für das Hochladen verwendet wird, als Teil der zugeordneten Metadaten des S3-Objekts gespeichert. Sie können diese Informationen für die Verarbeitung nach dem Hochladen verwenden. Beachten Sie die Dokumentation zu den Informationen, die Sie für die Nachbearbeitung des Uploads verwenden.
Amazon EFS Zugriff
F: Wie richte ich mein EFS-Dateisystem für die Zusammenarbeit mit AWS Transfer Family ein?
A: Bevor Sie AWS Transfer Family für die Arbeit mit einem Amazon-EFS-Dateisystem einrichten, müssen Sie die Eigentümerschaft von Dateien und Ordnern mit denselben POSIX-Identitäten (Benutzer-ID/Gruppen-ID) einrichten, die Sie Ihren AWS-Transfer-Family-Benutzern zuweisen möchten. Wenn Sie auf Dateisysteme in einem anderen Konto zugreifen, müssen außerdem Ressourcenrichtlinien auf Ihrem Dateisystem konfiguriert werden, um den kontoübergreifenden Zugriff zu ermöglichen. Eine schrittweise Anleitung zur Verwendung von AWS Transfer Family mit EFS finden Sie in diesem Blog-Beitrag.
F: Wie kommuniziert AWS Transfer Family mit Amazon EFS?
A: Der Datentransfer zwischen Servern der AWS Transfer Family und Amazon EFS findet über interne AWS-Netzwerke statt und erfolgt nicht über das öffentliche Internet. Deshalb ist es nicht erforderlich, dass Sie AWS PrivateLink für Daten verwenden, die vom Server der AWS Transfer Family zu Amazon EFS übertragen werden. Der Transfer-Family-Service erfordert keine AWS-PrivateLink-Endpunkte für Amazon EFS, um zu verhindern, dass Traffic über das Internet geleitet wird. Es stehen somit keine Endpunkte für die Kommunikation mit Speicherservices zur Verfügung. Hierbei gehen wir davon aus, dass die AWS-Speicherservices und der Server der Transfer Family sich in der gleichen Region befinden.
F: Wie kann ich meinen Benutzern den Zugang zum Hochladen/Herunterladen von Dateien auf/von meinen Dateisystemen ermöglichen?
A: Amazon EFS verwendet POSIX-IDs, die aus einer Betriebssystem-Benutzer-ID, einer Gruppen-ID und einer sekundären Gruppen-ID bestehen, um den Zugriff auf ein Dateisystem zu steuern. Wenn Sie Ihren Benutzer in der AWS-Transfer-Family-Konsole/CLI/API einrichten, müssen Sie den Benutzernamen, die POSIX-Konfiguration des Benutzers und eine IAM-Rolle für den Zugriff auf das EFS-Dateisystem angeben. Sie müssen auch eine EFS-Dateisystem-ID und optional ein Verzeichnis innerhalb dieses Dateisystems als Landeverzeichnis für Ihren Benutzer angeben. Wenn sich Ihr AWS-Transfer-Family-Benutzer erfolgreich über seinen Dateiübertragungs-Client authentifiziert, wird er direkt im angegebenen Home-Verzeichnis oder im Stammverzeichnis des angegebenen EFS-Dateisystems platziert. Ihre Betriebssystem-POSIX-ID wird auf alle Anfragen angewendet, die über ihre Dateiübertragungs-Clients gestellt werden. Als EFS-Administrator müssen Sie sicherstellen, dass die Dateien und Verzeichnisse, auf die Ihre AWS-Transfer-Family-Benutzer zugreifen sollen, den entsprechenden POSIX-IDs in Ihrem EFS-Dateisystem gehören. Lesen Sie die Dokumentation, um mehr über die Konfiguration der Eigentümerschaft von Unterverzeichnissen in EFS zu erfahren.
F: Wie werden Dateien über die Protokolle übertragen, die in meinen Amazon-EFS-Dateisystemen gespeichert sind?
A: Dateien, die über die aktivierten Protokolle übertragen werden, werden direkt in Ihren Amazon-EFS-Dateisystemen gespeichert und sind über eine Standard-Dateisystem-Schnittstelle oder von AWS-Services, die auf Amazon-EFS-Dateisysteme zugreifen können, zugänglich.
F: Welche Dateivorgänge werden über die Protokolle bei Verwendung von Amazon S3 und Amazon EFS unterstützt?
A: SFTP/FTPS/FTP-Befehle zum Erstellen, Lesen, Aktualisieren und Löschen von Dateien, Verzeichnissen und symbolischen Links werden unterstützt. In der folgenden Tabelle finden Sie die unterstützten Befehle für EFS sowie S3.
| Befehl | Amazon S3 | Amazon EFS |
|---|---|---|
| cd | Unterstützt | Unterstützt |
| ls/dir | Unterstützt | Unterstützt |
| pwd | Unterstützt | Unterstützt |
| put | Unterstützt | Unterstützt |
| get | Unterstützt | Unterstützt, einschließlich der Auflösung von Symlinks und Hardlinks |
| rename | Unterstützt1 | Unterstützt |
| chown | Nicht unterstützt | Unterstützt2 |
| chmod | Nicht unterstützt | Unterstützt2 |
| chgrp | Nicht unterstützt | Unterstützt3 |
| ln -s/symlink | Nicht unterstützt | Unterstützt |
| mkdir | Unterstützt | Unterstützt |
| rm/delete | Unterstützt | Unterstützt |
| rmdir | Unterstützt4 | Unterstützt |
| chmtime | Nicht unterstützt | Unterstützt |
1 Es werden nur Dateiumbenennungen unterstützt. Verzeichnisumbenennungen und das Umbenennen von Dateien zum Überschreiben vorhandener Dateien werden nicht unterstützt.
2 Nur root, d. h. Benutzer mit uid=0, können Eigentümer und Berechtigungen von Dateien und Verzeichnissen ändern.
3 Unterstützt entweder für root z. B. uid=0 oder für den Eigentümer der Datei, der die Gruppe einer Datei nur in eine seiner sekundären Gruppen ändern kann.
4 Wird nur bei nicht leeren Ordnern unterstützt.
F: Wie kann ich kontrollieren, auf welche Dateien und Ordner meine Benutzer Zugriff haben und welche Operationen sie durchführen dürfen und welche nicht?
A: Die IAM-Richtlinie, die Sie für Ihren AWS-Transfer-Family-Benutzer bereitstellen, bestimmt, ob er schreibgeschützten, nicht schreibgeschützten und Root-Zugriff auf Ihr Dateisystem hat. Darüber hinaus können Sie als Dateisystemadministrator Besitzrechte einrichten und den Zugriff auf Dateien und Verzeichnisse innerhalb Ihres Dateisystems über ihre Benutzer- und Gruppenkennungen gewähren. Dies gilt für Benutzer, unabhängig davon, ob sie innerhalb des Dienstes (service managed) oder innerhalb Ihres Identitätsmanagementsystems („BYO Auth“) gespeichert sind.
F: Kann ich jeden meiner Benutzer darauf beschränken, auf verschiedene Verzeichnisse innerhalb meines Dateisystems zuzugreifen und nur auf Dateien innerhalb dieser Verzeichnisse?
A: Ja, wenn Sie Ihren Benutzer einrichten, können Sie verschiedene Dateisysteme und Verzeichnisse für jeden Ihrer Benutzer angeben. Bei erfolgreicher Authentifizierung erzwingt EFS ein Verzeichnis für jede Dateisystemanforderung, die mit den aktivierten Protokollen erfolgt.
F: Kann ich den Namen des Dateisystems verbergen, so dass er für meinen Benutzer nicht sichtbar ist?
A: Ja, mit den logischen Verzeichniszuordnungen der AWS Transfer Family können Sie die Sicht Ihrer Endbenutzer auf Verzeichnisse in Ihren Dateisystemen einschränken, indem Sie absolute Pfade auf für Endbenutzer sichtbare Pfadnamen abbilden. Dazu gehört auch die Möglichkeit, den Benutzer in sein gewünschtes Home-Verzeichnis zu „chrooten“.
F: Werden symbolische Links unterstützt?
A: Ja, wenn symbolische Links in Verzeichnissen vorhanden sind, auf die Ihr Benutzer Zugriff hat, und Ihr Benutzer versucht, auf diese zuzugreifen, werden die Links in sein Ziel aufgelöst. Symbolische Links werden nicht unterstützt, wenn Sie logische Verzeichniszuordnungen verwenden, um den Zugriff Ihrer Benutzer einzurichten.
F: Kann ich einem einzelnen SFTP/FTPS/FTP-Benutzer Zugriff auf mehr als ein Dateisystem geben?
A: Ja, wenn Sie einen AWS-Transfer-Family-Benutzer einrichten, können Sie in der IAM-Richtlinie, die Sie als Teil Ihrer Benutzereinrichtung bereitstellen, ein oder mehrere Dateisysteme angeben, um Zugriff auf mehrere Dateisysteme zu gewähren.
F: Welche Betriebssysteme kann ich für den Zugriff auf meine EFS-Dateisysteme über AWS Transfer Family verwenden?
A: Sie können Clients und Anwendungen verwenden, die für Microsoft Windows, Linux, macOS oder jedes andere Betriebssystem entwickelt wurden, das SFTP/FTPS/FTP unterstützt, um Dateien hochzuladen und auf Dateien zuzugreifen, die in Ihren EFS-Dateisystemen gespeichert sind. Konfigurieren Sie einfach den Server und den Benutzer mit den entsprechenden Berechtigungen für das EFS-Dateisystem, um über alle Betriebssysteme hinweg auf das Dateisystem zuzugreifen.
F: Wie kann ich die Schritte der Dateiverarbeitung nach dem Hochladen meiner Datei in den EFS automatisieren und überwachen?
A: Sie können die verwalteten Workflows von AWS Transfer Family erstellen, um die Dateiverarbeitung automatisch auszulösen, nachdem die Datei in den EFS hochgeladen wurde. Sie können Workflows einrichten, die das Markieren, Kopieren und beliebige benutzerdefinierte Verarbeitungsschritte enthalten, die Sie je nach Ihren geschäftlichen Anforderungen an der Datei vornehmen möchten. Weitere Informationen finden Sie in der Dokumentation zum verwalteten Workflow der AWS Transfer Family.
F: Woher weiß ich, welcher Benutzer eine Datei hochgeladen hat?
A: Für neue Dateien wird die POSIX-Benutzerkennung, die dem Benutzer zugeordnet ist, der die Datei hochlädt, als Eigentümer der Datei in Ihrem EFS-Dateisystem festgelegt. Zusätzlich können Sie Amazon CloudWatch verwenden, um die Aktivitäten Ihrer Benutzer für Dateierstellungs-, Aktualisierungs-, Lösch- und Lesevorgänge zu verfolgen. In der Dokumentation erfahren Sie mehr darüber, wie Sie die Amazon-CloudWatch-Protokollierung aktivieren können.
F: Kann ich einsehen, wie viele Daten über die aktivierten Protokolle hoch- und heruntergeladen wurden?
A: Ja, Metriken für Daten, die mit Ihrem Server hoch- und heruntergeladen werden, werden in Amazon CloudWatch im Namespace der AWS Transfer Family veröffentlicht. Besuchen Sie die Dokumentation, um mehr über die für Verfolgung und Überwachung verfügbaren Metriken zu erfahren.
F: Kann ich AWS Transfer Family verwenden, um auf ein Dateisystem in einem anderen Konto zuzugreifen?
A: Ja. Sie können die Befehlszeilenschnittstelle und die API verwenden, um den kontoübergreifenden Zugriff zwischen Ihren AWS-Transfer-Family-Ressourcen und EFS-Dateisystemen einzurichten. Die AWS-Transfer-Family-Konsole listet nur Dateisysteme auf, die demselben Konto angehören. Außerdem müssen Sie sicherstellen, dass die IAM-Rolle, die dem Benutzer für den Zugriff auf das Dateisystem zugewiesen wurde, zu Konto A gehört.
F: Was passiert, wenn in meinem EFS-Dateisystem nicht die richtigen Richtlinien für den kontoübergreifenden Zugriff aktiviert sind?
A: Wenn Sie einen AWS-Transfer-Family-Server für den Zugriff auf ein kontoübergreifendes EFS-Dateisystem einrichten, das nicht für den kontoübergreifenden Zugriff aktiviert ist, wird Ihren SFTP/FTP/FTPS-Benutzern der Zugriff auf das Dateisystem verweigert. Wenn Sie die CloudWatch-Protokollierung auf Ihrem Server aktiviert haben, werden kontoübergreifende Zugriffsfehler in Ihren CloudWatch-Protokollen protokolliert.
F: Kann ich AWS Transfer Family verwenden, um auf ein EFS-Dateisystem in einer anderen AWS-Region zuzugreifen?
A: Nein, Sie können AWS Transfer Family nur für den Zugriff auf EFS-Dateisysteme in derselben AWS-Region verwenden.
F: Kann ich AWS Transfer Family mit allen EFS-Speicherklassen verwenden?
A: Ja. Mit AWS DataSync können Sie Dateien in EFS kopieren und die Einstellungen für das EFS- Lifecycle Management so konfigurieren, dass Dateien, auf die über einen festgelegten Zeitraum nicht zugegriffen wurde, in die Speicherklasse für seltenen Zugriff (Infrequent Access, IA) migriert werden.
F: Können meine Anwendungen SFTP/FTPS/FTP verwenden, um gleichzeitig Daten aus derselben Datei zu lesen und in dieselbe Datei zu schreiben?
A: Ja, Amazon EFS stellt eine Dateisystemoberfläche, eine Dateisystem-Zugriffssemantik (z. B. starke Konsistenz und Dateisperren) sowie Speicher bereit, auf die bzw. den Tausende von NFS/SFTP/FTPS/FTP-Clients gleichzeitig zugreifen können.
F: Wird mein EFS-Burst-Guthaben verbraucht, wenn ich mit AWS Transfer Family auf meine Dateisysteme zugreife?
A: Ja. Der Zugriff auf Ihre EFS-Dateisysteme über Ihre AWS-Transfer-Family-Server verbraucht Ihr EFS-Burst-Guthaben unabhängig vom Durchsatzmodus. Lesen Sie die Dokumentation zu den verfügbaren Leistungs- und Durchsatzmodi und sehen Sie sich einige nützliche Leistungstipps an.
Sicherheit und Compliance
F: Welche Protokolle sollte ich zum Schutz von Daten während der Übertragung über ein öffentliches Netzwerk verwenden?
A: Für die sichere Übertragung über öffentliche Netzwerke sollte SFTP oder FTPS verwendet werden. Aufgrund der zugrunde liegenden Sicherheit der Protokolle basierend auf kryptografischen SSH- und TLS-Algorithmen werden Daten und Befehle über einen sicheren, verschlüsselten Kanal übertragen.
F: Welche Optionen habe ich zum Verschlüsseln von ruhenden Daten?
A: Sie können auswählen, ob Sie die in Ihrem Bucket gespeicherten Dateien mithilfe von Amazon S3 Server-Side Encryption (SSE-S3) oder Amazon KMS (SSE-KMS) verschlüsseln möchten. Für Dateien, die in EFS gespeichert sind, können Sie AWS oder vom Kunden verwaltetes CMK für die Verschlüsselung von Dateien im Ruhezustand wählen. Weitere Informationen zu den Optionen für die Verschlüsselung von Dateidaten und Metadaten im Ruhezustand mit Amazon EFS finden Sie in der Dokumentation.
F: Welche Compliance-Programme werden von AWS Transfer Family unterstützt?
A: Die AWS Transfer Family ist mit PCI-DSS, GDPR, FedRAMP und SOC 1, 2 und 3 kompatibel. Der Service ist auch HIPPA-konform. Erfahren Sie mehr über den Leistungsumfang von Compliance-Programmen.
F: Ist AWS Transfer Family FISMA-konform?
A: Die Regionen AWS Ost/West und GovCloud (US) sind FISMA-konform. Wenn die AWS Transfer Family für FedRAMP autorisiert ist, wird sie innerhalb der jeweiligen Regionen FISMA-konform sein. Diese Compliance wird durch die FedRAMP-Autorisierung dieser beiden Regionen gemäß FedRAMP-Moderate und FedRAMP-High nachgewiesen. Wir weisen die Konformität durch jährliche Prüfungen und die Dokumentierung der Compliance mit geltenden NIST-SP-800-53-Kontrollen in unseren Systemsicherheitsplänen nach. Vorlagen sind zusammen mit unserer Kundenverantwortungsmatrix (CRM) auf Artifact verfügbar. Diese zeigt auf detaillierter Ebene unsere Verantwortung, diese NIST-Kontrollen gemäß FedRAMP zu erfüllen. Artifact ist über die Managementkonsole verfügbar und für AWS-Konten in den Regionen Ost/West und GovCloud zugänglich. Wenn Sie weitere Fragen zu diesem Thema haben, wenden Sie sich bitte an die Konsole.
F: Wie stellt der Service die Integrität der hochgeladenen Dateien sicher?
A: Dateien, die über Services hochgeladen werden, werden durch den Vergleich ihrer MD5-Prüfsumme vor und nach dem Hochladen verifiziert.
F: Wie kann ich die Aktivität meiner Endbenutzer überwachen?
A: Die Aktivitäten Ihrer Endbenutzer können Sie mithilfe der Protokolle von Amazon CloudWatch und CloudTrail überwachen. Sie können auch auf CloudWatch-Diagramme für Metriken wie die Anzahl der übertragenen Dateien und Bytes in der Verwaltungs-Konsole der AWS Transfer Family zugreifen, so dass Sie die Dateiübertragungen über ein zentrales Dashboard überwachen können. Sie können AWS-CloudTrail-Protokolle verwenden, um auf eine Aufzeichnung aller API-Vorgänge zuzugreifen, die von Ihrem Server aufgerufen werden, um die Datenanforderungen Ihrer Endbenutzer zu bedienen. Weitere Informationen finden Sie in der Dokumentation.
F: Welche Möglichkeiten habe ich, Dateien für die Übertragung zu verschlüsseln/entschlüsseln?
A: Sie können die von der AWS Transfer Family verwalteten Workflows verwenden, um Dateien, die auf Ihre AWS-Transfer-Family-Ressource hochgeladen wurden, automatisch mit PGP-Schlüsseln zu entschlüsseln. Weitere Informationen finden Sie in unserer Dokumentation zu verwalteten Workflows. Wenn Sie nach einer vollständig verwalteten Lösung für die PGP-Verschlüsselung suchen, wenden Sie sich über den AWS-Support oder über Ihr AWS-Kontoteam an uns.
Fakturierung
F: Wie wird mir die Nutzung des Service in Rechnung gestellt?
A: Die Rechnung wird für jedes aktivierte Protokoll vom Zeitpunkt des Erstellens und Konfigurierens des Server-Endpunkts bis zu seiner Löschung auf Stundenbasis erstellt. Die Abrechnung erfolgt außerdem auf der Grundlage der über SFTP, FTPS oder FTP hoch- und heruntergeladenen Datenmenge und der Anzahl der über AS2 ausgetauschten Nachrichten, sowie der vom Workflow-Schritt Entschlüsseln genutzten Datenmenge. Weitere Informationen finden Sie auf der Seite mit den Preisangaben
F: Unterscheidet sich meine Abrechnung, wenn ich den gleichen Serverendpunkt für mehrere Protokolle oder unterschiedliche Endpunkte für jedes einzelne Protokoll verwende?
A: Nein, die Abrechnung erfolgt für jedes der aktivierten Protokolle und für die Datenmenge, die über die einzelnen Protokolle übertragen wird, auf Stundenbasis. Dabei spielt es keine Rolle, ob der gleiche Endpunkt für mehrere Protokolle aktiviert wird oder ob unterschiedliche Endpunkte für die einzelnen Protokolle verwendet werden.
F: Ich habe meinen Server gestoppt. Wird der Server in Rechnung gestellt, während er gestoppt ist?
A: Ja, das Stoppen des Servers mit der Konsole oder durch Nutzen des "stop-server"-CLI-Befehls oder dem "StopServer"-API-Befehl beeinflusst die Abrechnung nicht. Ab dem Zeitpunkt, an dem Sie Ihren Server-Endpunkt erstellen und den Zugriff auf ihn über ein oder mehrere Protokolle konfigurieren, bis zu dem Zeitpunkt, an dem Sie ihn löschen, werden Sie auf Stundenbasis abgerechnet.
F: Wie wird mir die Nutzung verwalteter Workflows in Rechnung gestellt?
A: Der Workflow-Schritt Entschlüsseln wird Ihnen auf der Grundlage der Datenmenge, die Sie mit PGP-Schlüsseln entschlüsseln, in Rechnung gestellt. Für die Nutzung verwalteter Workflows fallen keine zusätzlichen Kosten an. Abhängig von Ihrer Workflow-Konfiguration wird Ihnen die Nutzung von Amazon S3, Amazon EFS, AWS Secrets Manager und AWS Lambda in Rechnung gestellt.
AWS Transfer Family bietet einen vollständig verwalteten Service, der Ihre Kosten für den Betrieb von Dateiübertragungsservices senkt.
Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.
Beginnen Sie mit dem Erstellen Ihrer SFTP-, FTPS- und FTP-Services in der AWS-Managementkonsole.