Allgemeines

F: Was ist AWS Transfer für SFTP?

A: AWS Transfer for SFTP (AWS SFTP) ist ein vollständig verwalteter Service, der in AWS gehostet wird und den Transfer von Dateien über SFTP direkt in und aus Amazon S3 ermöglicht.

F: Was ist SFTP und wo wird es eingesetzt?

A: SFTP steht für „Secure Shell File Transfer Protocol“, ein Netzwerkprotokoll für die sichere Übertragung von Daten über das Internet. Das Protokoll unterstützt die volle Sicherheits- und Authentifizierungsfunktionalität von SSH und wird häufig für den Datenaustausch zwischen Geschäftspartnern in einer Vielzahl von Branchen wie Finanzdienstleistungen, Gesundheitswesen, Einzelhandel und Werbung verwendet.

F: Warum sollte ich AWS SFTP verwenden?

A: Wenn Sie heute SFTP für den Datenaustausch mit Drittanbietern wie Ihren Lieferanten oder Geschäftspartnern verwenden und diese Daten in AWS für die Verarbeitung, Analyse und Archivierung verwalten möchten, müssen Sie Ihre eigenen benutzerdefinierten SFTP-Dienste vor Ort oder in der Cloud hosten und verwalten. Dazu müssen Sie in den Betrieb und die Verwaltung Ihrer Infrastruktur, die Überwachung auf Betriebsbereitschaft und Verfügbarkeit sowie den Aufbau einmaliger Mechanismen zur Bereitstellung von Benutzern und zur Überprüfung ihrer Aktivitäten investieren. AWS SFTP löst diese Herausforderungen durch bereitstellen eines kompletten SFTP-Services der Ihre Betriebslast verringern kann, ohne Ihre existierenden Transfer-Arbeitsabläufe für Ihre Endkunden zu beeinträchtigen. Der Dienst speichert übertragene Daten als Objekte in Ihrem Amazon S3 Bucket, so dass Sie sie als Teil Ihres Datenpools, Weiterverarbeitungs- oder Archivierungsarbeitsablaufes verwenden können.

F: Welche Vorteile bietet die Nutzung von AWS SFTP?

A: AWS SFTP bietet Ihnen einen vollständig verwalteten, hochverfügbaren SFTP-Service mit integrierten automatisierten Skalierungsfunktionen, so dass Sie die SFTP-Infrastruktur nicht selbst verwalten müssen. Mit AWS SFTP bleiben die Arbeitsabläufe Ihrer Endbenutzer unverändert, während Daten, die über SFTP hoch- und heruntergeladen werden, in Ihrem Amazon S3-Bucket gespeichert werden. Mit den Daten von Amazon S3 können Sie nun mit einer großen Bandbreite von AWS-Diensten für Datenverarbeitung, Analytics, Machine Learning und Archivierung in einer Umgebung, die Ihren Konformitätsansprüchen gerecht wird, arbeiten.

F: Wie nutze ich AWS SFTP?

A: Mit 3 einfachen Schritten erhalten Sie in AWS einen persistenten und hochverfügbaren „SFTP-Server“. Zunächst ordnen Sie Ihre(n) bestehenden SFTP-Hostnamen dem Endpunkt des SFTP-Servers zu. Anschließend richten Sie Ihre Benutzer ein, indem Sie Ihren Identitätsanbieter – Service-verwaltet oder ein Verzeichnisdienst wie Microsoft AD – für die Authentifizierung auswählen . Schließlich wählen Sie den/die S3-Bucket(s) aus und weisen IAM-Rollen für den Zugriff zu. Sobald die Zugriffsrichtlinien für Service-Endpunkt, Identitätsanbieter und S3-Bucket aktiviert sind, können Ihre Benutzer ihre bestehenden Clients und Konfigurationen weiterhin verwenden, während die Daten, auf die sie zugreifen, in Ihrem S3-Bucket gespeichert werden.

F: Können meine Benutzer FTP oder FTP/S (FTP über SSL) verwenden, um Dateien mit diesem Service zu übertragen?

A: Nein, Ihre Benutzer müssen für die Übertragung von Dateien SFTP verwenden. Die meisten Dateiübertragungs-Clients bieten SFTP als Option an, die bei der Übertragung von Dateien mit AWS SFTP ausgewählt werden muss.

Zugriff auf den Server-Endpunkt

F: Kann ich weiterhin meinen Firmendomänennamen (sftp.meindomainname.com) als SFTP-Endpunkt verwenden?

A: Ja. Wenn Sie bereits einen Domänennamen haben, können Sie Amazon Route53 oder einen beliebigen DNS-Service verwenden, um den Datenverkehr Ihrer Benutzer von Ihrer registrierten Domäne zum SFTP-Server-Endpunkt in AWS zu umzuleiten. Lesen Sie in der Dokumentation, wie AWS SFTP die Amazon Route 53 für benutzerdefinierte Domainnamen verwendet.

F: Kann ich den Service auch dann nutzen, wenn ich keinen Domänennamen habe?

A: Ja, wenn Sie keinen Domänennamen haben, können Ihre Benutzer über den von AWS SFTP bereitgestellten Hostnamen auf Ihren Server-Endpunkt zugreifen. Alternativ können Sie eine neue Domäne über die Amazon Route 53-Konsole oder API registrieren und den Datenverkehr von dieser neuen Domäne an Ihren SFTP-Server-Endpunkt weiterleiten.

F: Kann ich meine Domäne verwenden, die bereits über eine öffentliche Zone verfügt?

A: Ja, Sie müssen die den CNAME der Domäne mit dem Hostnamen des SFTP-Servers umbenennen.

F: Wird der Hostkey meines AWS-SFTP-Servers sich jemals ändern, nachdem ich den Server erstellt habe?

A:Nein, solange Sie niemals stoppen oder den Server löschen. Der Hostkey des Servers, der zugeteilt wird, wenn Sie den Server erstellen, bleibt gleich, bis Sie aufhören und Ihren Server starten, oder einen neuen erstellen.

F: Kann ich meinen SFTP-Server-Endpunkt so einrichten, dass er nur innerhalb meines VPCs zugänglich ist?

A: Ja. Wenn Sie einen SFTP-Server erstellen oder einen bestehenden aktualisieren, haben Sie die Möglichkeit, festzulegen, ob Ihr Server-Endpunkt über das öffentliche Internet oder innerhalb Ihres VPCs zugänglich sein soll. Weitere Informationen finden Sie in der Dokumentation zur Erstellung Ihres SFTP-Server-Endpunkts auf Ihrem VPC mit AWS PrivateLink.

Q: Können meine SFTP-Clients statische IP-Adressen verwenden, um Zugang zum VPC-Endpunkt meines SFTP-Servers zu bekommen?

A: Ja, Sie können statische IP-Adressen aktivieren, indem Sie auf dem VPC-Endpunkt Ihres SFTP-Servers aufbauen. Sie können einen Network Load Balancer (NLB) mit elastischer IP-Funktion innerhalb Ihres VPCs erstellen und den VPC-Endpunkt Ihres SFTP-Servers als Ziel angeben. Die zugehörigen Elastic IP-Adressen geben Ihnen eine oder mehrere statische IP-Adressen, die sich nicht ändern. Diese IP-Adressen können von den Benutzern Ihres SFTP-Clients für die Whitelist der Firewall verwendet werden. Weitere Informationen zu diesem Setup finden Sie in der Dokumentation zum Network Load Balancer.

F: Kann ich eingehenden Datenverkehr filtern, um auf den VPC-Endpunkt meines SFTP-Servers zuzugreifen?

A: Ja. Die Verwendung eines VPC-Endpunkts für Ihren SFTP-Server macht ihn nur für Clients innerhalb desselben VPCs, anderer VPCs, die Sie angeben, oder in lokalen Umgebungen zugänglich, die Netzwerktechnologien verwenden, welche Ihren VPC erweitern, wie beispielsweise AWS Direct Connect, AWS VPN oder VPC-Peering. Sie können den Internetzugriff auf diesen Endpunkt zulassen, indem Sie eine NLB erstellen und ihr Ziel als VPC-Endpunkt Ihres SFTP-Servers angeben. Bestehende Firewalls in Ihrem VPC oder Regeln in den Network Access Control Lists (NACL) Ihres Subnetzes können den Zugriff auf eingehende Quell-IP-Adressen einschränken. Weitere Informationen zu diesem Setup finden Sie in der Dokumentation zum Network Load Balancer.

F: Können meine SFTP-Clients statische IP-Adressen verwenden, um auf meinen öffentlichen SFTP-Server-Endpunkt zuzugreifen?

A: Nein. Statische IP-Adressen, die normalerweise für Whitelisting-Zwecke der Firewall verwendet werden, werden derzeit auf dem öffentlichen Endpunkt nicht unterstützt.

F: Welche IP-Bereiche würden meine Endbenutzer für die Whitelist nutzen müssen, um Zugang zum öffentlichen Endpunkt meines SFTP-Servers zu bekommen?

A: Ihre User werden die hier publizierten AWS-IP-Adressbereiche auf die Whitelist setzen müssen. Beziehen Sie sich auf die Dokumentation für Details darüber, wie Sie auf dem neuesten Stand für AWS-IP-Adressbereiche bleiben können

 

 

Benutzerauthentifizierung

F: Können meine Benutzer weiterhin ihre vorhandenen SFTP-Clients oder Übertragungsanwendungen verwenden?

A: Ja, jeder bestehende SFTP-Client oder jede bestehende SFTP-Übertragungsanwendung funktioniert auch mit AWS SFTP. Beispiele für häufig verwendete SFTP-Clients sind WinSCP, FileZilla, CyberDuck und OpenSSH-Clients.

F: Wie authentifiziert der Service meine Benutzer?

A: Der Service unterstützt zwei Arten der Authentifizierung: die Verwendung des Service zum Speichern und Zugreifen auf Benutzeridentitäten und die Verwendung eines benutzerdefinierten Identitätsanbieters.

Service-verwaltete Authentifizierung

F: Wie kann ich die Service-verwaltete Authentifizierung nutzen?

A: Sie können eine schlüsselbasierte Authentifizierung verwenden, wenn Sie den Service zum Speichern und Zugreifen auf Benutzeridentitäten verwenden.

F: Wie viele SSH-Schlüssel kann ich pro Benutzer hochladen?

A: Sie können bis zu 10 SSH-Schlüssel pro Benutzer hochladen. Beachten Sie, dass das Hinzufügen weiterer Schlüssel die Anmeldezeit verlängert, da der Server jeden von ihnen auswerten muss, bis eine Übereinstimmung für eine erfolgreiche Authentifizierung gefunden wird.

F: Wird bei der Service-verwalteten Authentifizierung die Schlüsselrotation unterstützt?

A: Ja. Weitere Informationen zum Einrichten der Schlüsselrotation mit dem Service finden Sie in der Dokumentation.

F: Kann ich die Service-verwaltete Authentifizierung für die Passwortauthentifizierung verwenden?

A: Nein, das Speichern von Passwörtern innerhalb des Dienstes zur Authentifizierung wird derzeit nicht unterstützt. Wenn Sie eine Passwortauthentifizierung benötigen, lesen Sie unsere Dokumentation und laden Sie Vorlagen herunter, die dies über einen alternativen Identitätsanbieter wie AWS SimpleAD oder Secrets Manager unterstützen.

F: Werden anonyme Benutzer unterstützt?

A: Nein, anonyme Benutzer werden derzeit nicht unterstützt.

F: Kann ich Schlüssel von meinem aktuellen SFTP-Host importieren, damit meine Benutzer die Sitzungsinformationen nicht erneut bestätigen müssen?

A: Nein, wir unterstützen derzeit nicht den Import bestehender Hostschlüssel in den Service.

Benutzerdefinierter Identitätsanbieter

F: Kann ich meinen bestehenden Identitätsanbieter nutzen, um meine SFTP-Benutzer zu verwalten?

A: AWS SFTP ermöglicht es Ihnen, Ihren bestehenden Identitätsanbieter einzubinden, sodass Sie Ihre Benutzer, deren Anmeldeinformationen in Ihrem Firmenverzeichnis gespeichert sind, migrieren können. Beispiele für Identitätsanbieter sind Microsoft Active Directory (AD), Lightweight Directory Access Protocol (LDAP) oder andere benutzerdefinierte Identitätsanbieter.

F: Wie kann ich mit der Integration meines bestehenden Identitätsproviders für die Benutzerauthentifizierung beginnen?

A: Wir empfehlen Ihnen, die AWS CloudFormation-Vorlage zu verwenden und die notwendigen Informationen für die Benutzerauthentifizierung und den Zugriff bereitzustellen. Besuchen Sie die Website über benutzerdefinierte Identitätsanbieter, um mehr darüber zu erfahren.

F: Welche Informationen muss ich bei der Einrichtung meines Benutzers angeben, um den Zugriff zu ermöglichen?

A: Unabhängig vom Identitätsanbietertyp müssen Sie einen Benutzernamen, eine AWS IAM-Rolle und Informationen zum Startverzeichnis angeben. A: Wenn Sie den Service zum Speichern und Zugreifen auf Benutzeridentitäten verwenden, müssen Sie auch einen SSH-Schlüssel angeben.

F: Warum muss ich eine AWS IAM-Rolle zur Verfügung stellen und wie wird sie verwendet?

A: AWS IAM wird verwendet, um die Zugriffsebene zu bestimmen, die Sie Ihren Benutzern zur Verfügung stellen möchten. Dies beinhaltet Informationen darüber, welche Operationen Sie auf ihrem Client aktivieren möchten und auf welche Amazon S3-Buckets sie Zugriff haben, d.h. ob es sich nun um den gesamten Bucket oder Teile davon handelt.

F: Warum muss ich Informationen über das Startverzeichnis angeben und wie werden diese verwendet?

A: Das Startverzeichnis, das Sie für Ihren Benutzer einrichten, legt dessen Anmeldeverzeichnis fest. Sobald Ihr Nutzer sich an den SFTP-Server anmeldet, würde deren SFTP-Klient dieses Verzeichnis als Landeverzeichnis benutzen. Sie werden sicherstellen müssen, dass die bereitgestellte IAM-Rolle dem Nutzer Zugang zu Ihrem Heimatverzeichnis bietet.

F: Ich habe Hunderte von Benutzern, die ähnliche Zugriffseinstellungen haben, aber auf verschiedene Teile meines Buckets zugreifen. Kann ich sie mit der gleichen IAM-Rolle und Richtlinie einrichten, um ihren Zugriff zu ermöglichen?

A: Ja, wenn Sie einen ähnlichen Zugriff für Ihre Benutzer bereitstellen möchten, aber auf verschiedene Partitionen Ihres Amazon S3-Buckets und basierend auf deren Benutzernamen, können Sie dies mit weniger IAM-Rollen und Richtlinien tun. Weitere Informationen zum Herunterskalieren des Zugriffs durch Echtzeit-Auswertung von Richtlinienvariablen finden Sie in der Dokumentation.

Daten-Uploads und -Downloads

F: Wie werden Dateien, die in meinem Amazon S3-Bucket gespeichert sind, mit AWS SFTP übertragen?

A: Dateien, die über SFTP übertragen werden, werden als Objekte in Ihrem Amazon S3-Bucket gespeichert, und es gibt eine Eins-zu-Eins Zuordnung zwischen Dateien und Objekten, die einen nativen Zugriff auf diese Objekte über AWS-Services zur Verarbeitung oder Analyse ermöglicht.

F: Wie werden die in meinem Bucket gespeicherten Amazon S3-Objekte meinen Benutzern dargestellt?

A: Nach erfolgreicher Authentifizierung, basierend auf den Anmeldeinformationen Ihrer Benutzer, stellt AWS SFTP Amazon S3-Objekte und -Ordner als Dateien und Verzeichnisse für die Übertragungsprogramme Ihrer Benutzer dar.

F: Welche Dateioperationen werden von AWS SFTP unterstützt? Welche Operationen werden nicht unterstützt?

A: Es werden gängige SFTP-Befehle zum Erstellen, Lesen, Aktualisieren und Löschen von Dateien und Verzeichnissen unterstützt. Dateien werden in Ihrem Amazon S3-Bucket als einzelne Objekte gespeichert. Verzeichnisse werden in S3 als Ordnerobjekte verwaltet und verwenden dieselbe Syntax wie die S3 Konsole. Operationen zum Umbenennen von Verzeichnissen, symbolische Links und harte Links werden derzeit nicht unterstützt.

F: Kann ich steuern, welche Aktionen meine Benutzer ausführen dürfen?

A: Ja, Sie können Dateioperationen mit der AWS IAM-Rolle, die Sie ihrem Benutzernamen zugeordnet haben, aktivieren und deaktivieren.

F: Kann ich meinen SFTP-Benutzern Zugang zu mehr als einem Amazon S3-Bucket gewähren?

A: Ja. Der oder die Buckets, auf die Ihr Benutzer zugreifen kann, werden durch die AWS IAM-Rolle und die optionale Scope-Down-Richtlinie bestimmt, die Sie für diesen Benutzer festlegen. Sie können nur einen einzelnen Bucket als Startverzeichnis für den Benutzer verwenden.

F: Kann ich einen Server mit AWS Account A erstellen und meine SFTP-Benutzer den Amazon S3-Buckets von AWS Account B zuordnen?

A: Ja. Sie können die CLI und API verwenden, um einen kontenübergreifenden Zugang zwischen Ihrem Server und den Buckets einzurichten, die Sie für SFTP verwenden möchten. Die Dropdown-Liste der Konsole listet nur Bereiche in Konto A auf. Außerdem müssen Sie sicherstellen, dass die dem Benutzer zugewiesene Rolle zu Konto A gehört.

F: Woher weiß ich, welcher SFTP-Benutzer eine Datei hochgeladen hat?
A: Sie können Amazon CloudWatch verwenden, um die Aktivitäten Ihrer SFTP-Benutzer anzuzeigen. In der Dokumentation erfahren Sie mehr darüber, wie Sie die Amazon CloudWatch-Protokollierung aktivieren können.

F: Kann ich die Verarbeitung einer Datei automatisieren, nachdem sie in Amazon S3 hochgeladen wurde?
A: Ja, Sie können Amazon S3-Ereignisse verwenden, um die Verarbeitung der hochgeladenen Dateien mit einer breiten Palette von AWS-Services für Abfragen, Analysen, Machine Learning und mehr zu automatisieren. In der Dokumentation erfahren Sie mehr über gängige Beispiele für die Verarbeitung nach dem Upload durch Lambda mit Amazon S3.

 

Sicherheit und Compliance

F: Sind meine Daten während der Übertragung sicher?

A: Ja, die zugrunde liegende Sicherheit des SFTP-Protokolls überträgt Befehle und Dateidaten durch einen sicheren, verschlüsselten Tunnel.

F: Was sind meine Optionen zur Verschlüsselung von ruhenden Daten, die mit AWS SFTP übertragen wurden?

A: Sie können wählen, ob Sie Dateien verschlüsseln möchten, die in Ihrem Bucket gespeichert, indem Sie Amazon S3 Server-Side Encryption (SSE-S3) oder Amazon KMS (SSE-KMS) verwenden.

F: Welche Compliance-Programme werden von AWS SFTP unterstützt?

A: AWS SFTP ist PCI-DSS- und DSGVO-konform und HIPAA-fähig.

F: Wie stellt der Service die Integrität der hochgeladenen Dateien sicher?

A: Alle Dateien, die über den SFTP-Server hochgeladen werden, werden durch den Vergleich ihrer MD5-Prüfsumme vor und nach dem Hochladen der Datei überprüft.

F: Wie kann ich die Nutzung überwachen und die Aktivitäten meiner Benutzer verfolgen?

A: Sie können Amazon CloudWatch verwenden, um die Aktivitäten Ihrer SFTP-Benutzer anzuzeigen. In der Dokumentation erfahren Sie mehr darüber, wie Sie die Amazon CloudWatch-Protokollierung aktivieren können.

 

Fakturierung

F: Was werde ich zahlen wenn ich AWS SFTP nutze?

A: Sie zahlen nur für die Ressourcen, die Sie tatsächlich über AWS SFTP nutzen. Dazu gehören der Endpunkt des SFTP-Servers und der Upload und Download von Daten über SFTP. Die Kosten decken eine voll verwalteten, hochverfügbaren SFTP-Dienst, der automatisch je nach Ihren Arbeitslastforderungen skaliert. Bitte beziehen Sie sich auf die AWS SFTP-Preisliste für mehr Details.

F: Wie wird mein AWS SFTP-Server abgerechnet?

Sie werden anhand einer stündlichen Rate abgerechnet, beginnend mit der Konfiguration Ihres SFTP-Servers, welcher speziell für Ihren Gebrauch bereitgestellt wurde, und bis zu dem Zeitpunkt an dem Sie den Server löschen. Sie werden auch anhand der Datenmenge abgerechnet (Gigabytes), die vom SFTP-Server hoch- und heruntergeladen werden. Bitte beziehen Sie sich auf die AWS SFTP-Preisliste für mehr Details.

F: Ich habe meinen Server gestoppt. Werde ich für den Server abgerechnet, während er gestoppt ist?

A: Ja, das Stoppen des Servers mit der Konsole, oder durch Nutzen des „stop-server“-CLI-Befehls, oder dem „StopServer“-API-Befehl beeinflusst die Abrechnung nicht. Sie werden anhand einer stündlichen Rate abgerechnet, beginnend mit der Konfiguration Ihres SFTP-Servers, welcher speziell für Ihren Gebrauch bereitgestellt wurde, und bis zu dem Zeitpunkt an dem Sie den Server löschen.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Erfahren Sie mehr über die Preisberechnung

AWS SFTP bietet einen vollständig verwalteten Service, der Ihre Kosten für den Betrieb von Dateiübertragungs-Services senkt.

Weitere Informationen 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Registrieren Sie sich und erhalten Sie ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Beginnen Sie mit der Entwicklung in der Konsole

Beginnen Sie mit dem Aufbau von AWS SFTP in der AWS-Konsole.

Anmeldung