Aspectos generales

P: ¿Qué es AWS Transfer for SFTP?

R: AWS Transfer for SFTP (AWS SFTP) es un servicio completamente administrado alojado en AWS que permite la transferencia de archivos a través de SFTP directamente dentro y fuera de Amazon S3.

P: ¿Qué es SFTP y dónde se usa?

R: SFTP significa Secure Shell (SSH) File Transfer Protocol (protocolo de transferencia de archivos de shell seguro), un protocolo de red utilizado para la transferencia segura de datos a través de Internet. El protocolo admite una seguridad completa y la funcionalidad de autenticación de SSH, y se utiliza ampliamente para intercambiar datos entre socios comerciales en una variedad de industrias, entre otras, los servicios financieros, la sanidad, el comercio minorista y la publicidad.

P: ¿Por qué debo utilizar AWS SFTP?

R: Hoy en día, si está utilizando SFTP para intercambiar datos con terceros, como proveedores, socios comerciales o clientes, y desea administrar estos datos en AWS para su procesamiento, análisis y almacenamiento, debe alojar y administrar sus propios servicios SFTP personalizados. Esto requiere que invierta en operar y administrar su infraestructura, aplicar parches a los servidores, monitorizar el tiempo de actividad y la disponibilidad, y crear mecanismos únicos para aprovisionar a los usuarios y auditar su actividad. AWS SFTP resuelve estos retos al proporcionar un servicio de SFTP completamente administrado que puede reducir su carga operativa y, al mismo tiempo, mantener su flujo de trabajo de transferencias existente para sus usuarios finales. Este servicio almacena los archivos transferidos como objetos en su bucket de Amazon S3; de este modo, podrá usarlos como parte de un flujo de trabajo de procesamiento, almacenamiento o lago de datos.

P: ¿Qué beneficios aporta el uso de AWS SFTP?

R: AWS SFTP le proporciona un servicio SFTP de alta disponibilidad y completamente administrado con capacidades de escalado automático, lo que elimina la necesidad de que usted administre la infraestructura relacionada con SFTP. Con AWS SFTP, los flujos de trabajo de los usuarios finales permanecen sin cambios, mientras que los datos cargados y descargados a través de SFTP se almacenan en su bucket de Amazon S3. Con los datos en Amazon S3, ahora puede usarlo fácilmente con la amplia gama de servicios de AWS para el procesamiento, análisis y almacenamiento de datos y para el aprendizaje automático en un entorno que puede cumplir sus requisitos de cumplimiento.

P: ¿Cómo uso AWS SFTP?

R: En 3 simples pasos, puede obtener un “servidor SFTP” persistente y de alta disponibilidad en AWS. Primero, asocie sus nombres de host SFTP existentes con el punto de enlace del servidor SFTP. A continuación, configure a sus usuarios seleccionando su proveedor de identidad para la autenticación – administrado por el servicio o un servicio de directorio como Microsoft AD. Por último, elija los buckets S3 y asigne las funciones de IAM para el acceso. Cuando el punto de enlace, el proveedor de identidad y las políticas de acceso a bucket S3 del servicio estén disponibles, sus usuarios pueden continuar usando los clientes y configuraciones existentes mientras los datos a los que acceden se alojan en su bucket S3.

P: ¿Pueden mis usuarios usar FTP o FTP/S (FTP sobre SSL) para transferir archivos usando este servicio?

R: No, sus usuarios necesitarán usar SFTP para transferir archivos. La mayoría de los clientes de transferencia de archivos ofrecen SFTP como una opción que deberá seleccionarse al transferir archivos utilizando AWS SFTP.

Acceso al punto de enlace del servidor

P: ¿Puedo seguir usando mi nombre de dominio corporativo (sftp.mydomainname.com) como mi punto de enlace de SFTP?

R: Sí. Si ya tiene un nombre de dominio, puede usar Amazon Route53 o cualquier servicio DNS para dirigir el tráfico de sus usuarios desde su dominio registrado al punto de enlace del servidor SFTP en AWS. Consulte la documentación acerca de Cómo AWS SFTP utiliza Amazon Route 53 para nombres de dominio personalizados.

P: ¿Puedo seguir usando el servicio si no tengo un nombre de dominio?

R: Sí, si no tiene un nombre de dominio, sus usuarios pueden acceder al punto de enlace de su servidor utilizando el nombre de host proporcionado por AWS SFTP. Alternativamente, puede registrar un nuevo dominio utilizando la consola o API de Amazon Route 53 y enrutar el tráfico desde este nuevo dominio al punto de enlace de su servidor SFTP.

P: ¿Puedo usar mi dominio que ya tiene una zona pública?

R: Sí, necesitará crear un CNAME para el dominio en el nombre de host del servidor SFTP.

P: ¿Cambiará mi clave de host del servidor AWS SFTP después de crear el servidor?

R: No, siempre que no detenga ni elimine el servidor. La clave de host del servidor que se asigna cuando crea el servidor permanece igual hasta que lo detiene y lo inicia, o bien crea uno nuevo.

P: ¿Puedo configurar el punto de enlace del servidor SFTP para que sea accesible solo dentro de mi VPC?

R: Sí. Al crear un servidor SFTP o actualizar uno existente, tiene la opción de especificar si desea que el punto de enlace de su servidor sea accesible a través de la Internet pública o dentro de su VPC. Consulte la documentación acerca de Creación del punto de enlace del servidor SFTP dentro de su VPC mediante AWS PrivateLink, para obtener más información.

P: ¿Mis clientes de SFTP pueden usar direcciones IP fijas para acceder al punto de enlace de la VPC de mi servidor SFTP?

R: Sí, puede habilitar direcciones IP fijas mediante su creación en el punto de enlace de la VPC de su servidor SFTP. Puede crear un balanceador de carga de red (NLB) con direcciones IP elásticas habilitadas dentro de su VPC y especificar su punto de enlace de la VPC del servidor SFTP como su objetivo. Las direcciones IP elásticas asociadas le darán una o más direcciones IP estáticas que no cambiarán. Sus usuarios clientes de SFTP pueden usar estas IP para propósitos de listas blancas de firewall. Para obtener más información acerca de esta configuración, consulte la documentación del balanceador de carga de red.

P: ¿Puedo filtrar el tráfico entrante para acceder al punto de enlace de la VPC de mi servidor SFTP?

R: Sí. El uso del punto de enlace de la VPC para su servidor SFTP hace que sea accesible solo para los clientes dentro de la misma VPC, otras VPC que especifique o en entornos locales mediante el uso de tecnologías de red que extienden su VPC, tales como AWS Direct Connect, AWS VPN o emparejamiento de VPC. Puede permitir el acceso del tráfico de Internet a este punto de enlace al crear un NLB y especificar el punto de enlace de la VPC de su servidor SFTP como su objetivo. Los firewalls existentes en su VPC o las reglas en las listas de control de acceso a redes (NACL) de su subred pueden restringir el acceso por parte de direcciones IP de origen entrantes. Para obtener más información acerca de esta configuración, consulte la documentación del balanceador de carga de red.

P: ¿Mis clientes de SFTP pueden usar direcciones IP fijas para acceder al punto de enlace de mi servidor SFTP público?

R: No. Actualmente, las direcciones IP fijas que se utilizan normalmente con propósitos de listas blancas de firewall no se admiten en el punto final de enlace.

P: ¿Qué rangos de IP necesitarían mis usuarios finales para agregar a la lista blanca y así acceder al punto de enlace público de mi servidor SFTP?

R: Sus usuarios necesitarán agregar a la lista blanca los rangos de direcciones IP de AWS publicados aquí. Consulte la documentación para obtener detalles sobre cómo mantenerse al día con los rangos de direcciones IP de AWS

 

 

Autenticación de usuarios

P: ¿Pueden mis usuarios continuar usando sus clientes SFTP existentes o transferir aplicaciones?

R: Sí, cualquier cliente SFTP existente o la aplicación de transferencia SFTP continuará funcionando con AWS SFTP. Los ejemplos de clientes SFTP comúnmente utilizados incluyen clientes de WinSCP, FileZilla, CyberDuck y OpenSSH.

P: ¿Cómo el servicio autentica a mis usuarios?

R: El servicio admite dos modos de autenticación: el uso del servicio para almacenar y acceder a las identidades de los usuarios y el uso de un proveedor de identidad personalizado.

Autenticación administrada por el servicio

P: ¿Cómo puedo usar la autenticación administrada por el servicio?

R: Puede usar la autenticación basada en claves si está utilizando el servicio para almacenar y acceder a las identidades de los usuarios.

P: ¿Cuántas claves SSH puedo cargar por usuario?

R: Puede cargar hasta 10 claves SSH por usuario. Tenga en cuenta que agregar más claves aumenta el tiempo de inicio de sesión, ya que el servidor necesitará evaluar cada una de ellas hasta que se encuentre una coincidencia para una autenticación exitosa.

P: ¿Se admite la rotación de claves para la autenticación administrada por el servicio?

R: Sí. Consulte la documentación para obtener detalles sobre cómo configurar la rotación de claves mediante el uso del servicio

P: ¿Puedo usar la autenticación administrada por el servicio para la autenticación con contraseña?

R: No, actualmente no se admite el almacenamiento de contraseñas dentro del servicio para la autenticación. Si necesita autenticación con contraseña, visite nuestra documentación para descargar plantillas compatibles con esto utilizando un proveedor de identidad alternativo como AWS SimpleAD o Secrets Manager.

P: ¿Se admiten los usuarios anónimos?

R: No, actualmente no se admiten los usuarios anónimos.

P: ¿Puedo importar claves de mi host SFTP actual para que mis usuarios no tengan que volver a verificar la información de la sesión?

R: No, actualmente no admitimos la importación de claves de host existentes en el servicio.

Proveedor de identidad personalizado

P: ¿Puedo aprovechar mi proveedor de identidad existente para administrar mis usuarios de SFTP?

R: AWS SFTP le permite conectar su proveedor de identidad existente para que pueda migrar a sus usuarios cuyas credenciales están almacenadas en su directorio corporativo. Algunos ejemplos de proveedores de identidad son Microsoft Active Directory (AD), Lightweight Directory Access Protocol (LDAP) o proveedores de identidad personalizada.

P: ¿Cómo empiezo a integrar mi proveedor de identidad existente para la autenticación de usuarios?

R: Para comenzar, recomendamos utilizar la plantilla de AWS CloudFormation y proporcionar la información necesaria para la autenticación y el acceso de los usuarios. Visite el sitio web sobre proveedores de identidad personalizados para obtener más información.

P: Al configurar mi usuario, ¿qué información debo proporcionar para habilitar el acceso?

R: Independientemente del tipo de proveedor de identidad, deberá proporcionar un nombre de usuario, un rol de IAM de AWS e información del directorio principal. Si está utilizando el servicio para almacenar y acceder a las identidades de los usuarios, también deberá proporcionar una clave SSH.

P: ¿Por qué necesito proporcionar un rol de IAM de AWS y cómo se usa?

R: AWS IAM se utiliza para determinar el nivel de acceso que desea proporcionar a sus usuarios. Esto incluye las operaciones que desea habilitar en su cliente y los buckets de Amazon S3 a los que tienen acceso, ya sea el bucket completo o parte de él.

P: ¿Por qué necesito proporcionar información del directorio principal y cómo se usa?

R: El directorio principal que configuró para su usuario determina su directorio de inicio de sesión. Tan pronto como su usuario se registre en el servidor SFTP, esta es la ruta de directorio que su cliente SFTP usaría como directorio de aterrizaje. Necesitará asegurarse de que el rol de IAM provisto ofrece al usuario acceso al directorio principal.

P: Tengo cientos de usuarios que tienen configuraciones de acceso similares, pero a diferentes partes de mi bucket. ¿Puedo configurarlos usando el mismo rol y la misma política de IAM para permitir su acceso?

R: Sí, cuando desea proporcionar un acceso similar a sus usuarios, pero a diferentes particiones de su bucket de Amazon S3 en función de su nombre de usuario, puede hacerlo con menos políticas y funciones de IAM. Consulte la documentación para obtener más información acerca del acceso al alcance a través de la evaluación en tiempo real de las variables de políticas.

Cargas y descargas de datos

P: ¿Cómo se transfieren los archivos almacenados en mi bucket de Amazon S3 con AWS SFTP?

R: Los archivos transferidos a través de SFTP se almacenan como objetos en su bucket de Amazon S3 y existe una correspondencia unívoca entre los archivos y los objetos que permite el acceso nativo a estos objetos utilizando los servicios de AWS para el procesamiento o el análisis.

P: ¿Cómo se presentan a mis usuarios los objetos de Amazon S3 almacenados en mi bucket?

R: Después de una autenticación exitosa, en función de las credenciales de sus usuarios, AWS SFTP presenta los objetos y carpetas de Amazon S3 como archivos y directorios a las aplicaciones de transferencia de sus usuarios.

P: ¿Qué operaciones de archivos son compatibles con AWS SFTP? ¿Qué operaciones no son compatibles?

R: Son compatibles los comandos SFTP comunes para crear, leer, actualizar y eliminar archivos y directorios. Los archivos se almacenan como objetos individuales en su bucket de Amazon S3. Los directorios se administran como objetos de carpeta en S3, con la misma sintaxis que la consola de S3. Las operaciones de renombramiento de directorios, los enlaces simbólicos y los enlaces duros actualmente no son compatibles.

P: ¿Puedo controlar qué operaciones tienen permitido realizar mis usuarios?

R: Sí, puede habilitar/deshabilitar las operaciones de archivos usando la función de AWS IAM que ha asignado a su nombre de usuario.

P: ¿Puedo proporcionar a mis usuarios de SFTP acceso a más de un bucket de Amazon S3?

R: Sí. El rol de IAM de AWS, así como la política opcional de alcance que usted asigne para un usuario, determina el número de buckets a los que su usuario puede acceder. Puede utilizar únicamente un solo bucket como directorio principal para el usuario.

P: ¿Puedo crear un servidor mediante una cuenta A de AWS y asignar mis usuarios de SFTP a los buckets de Amazon S3 pertenecientes a una cuenta B de AWS?

R: Sí. Puede utilizar la CLI y la API para configurar el acceso entre cuentas entre su servidor y los buckets que desee usar para SFTP. La lista desplegable de la consola solo mostrará los buckets de la cuenta A. Además, deberá asegurarse de que el rol asignado al usuario pertenece a la cuenta A.

P: ¿Cómo puedo saber qué usuario de SFTP subió un archivo?
R: Puede usar Amazon CloudWatch para ver la actividad de sus usuarios de SFTP. Consulte la documentación para obtener más información acerca de cómo habilitar el registro de Amazon CloudWatch.

P: ¿Puedo automatizar el procesamiento de un archivo una vez que se haya cargado en Amazon S3?
R: Sí, puede usar los eventos de Amazon S3 para automatizar el procesamiento de los archivos cargados utilizando una amplia gama de servicios de AWS para consultas, análisis, aprendizaje automático y más. Visite la documentación para obtener más información sobre ejemplos comunes para el procesamiento posterior a la carga utilizando Lambda con Amazon S3.

 

Seguridad y conformidad

P: ¿Mis datos están seguros mientras están en tránsito?

R: Sí, la seguridad subyacente del protocolo SFTP transfiere comandos y datos de archivos a través de un túnel seguro y cifrado.

P: ¿Qué opciones tengo para cifrar datos en reposo que fueron transferidos usando AWS SFTP?

R: Puede escoger cifrar los archivos almacenados en su bucket usando el cifrado del lado del servidor de Amazon S3 (SSE-S3) o Amazon KMS (SSE-KMS).

P: ¿Qué programas de conformidad son compatibles con AWS SFTP?

R: AWS SFTP es compatible con PCI-DSS y GDPR, y cumple los requisitos de HIPAA.

P: ¿Cómo garantiza el servicio la integridad de los archivos cargados?

R: Todos los archivos cargados a través del servidor SFTP se verifican comparando la suma de comprobación MD5 anterior y posterior a la carga del archivo.

P: ¿Cómo puedo monitorizar el uso y hacer un seguimiento de la actividad de mis usuarios?

R: Puede usar Amazon CloudWatch para ver la actividad de sus usuarios de SFTP. Consulte la documentación para obtener más información acerca de cómo habilitar el registro de Amazon CloudWatch.

 

Facturación

¿Qué es lo que estoy pagando cuando uso AWS SFTP?

R: Usted paga por los recursos que usa con AWS SFTP. Esto incluye un cargo por horas para el punto de enlace del servidor SFTP, así como cargos por cargas y descargas de datos SFTP. Los precios cubren un servicio SFTP completamente administrado y altamente disponible que ajusta su escala automáticamente en tiempo real y se basa en sus demandas de carga de trabajo. Consulte la página de precios de AWS SFTP para obtener más información.

P: ¿Cómo me facturan el servidor AWS SFTP?

R: Se le facturará por horas desde el momento en el que cree y configure su servidor SFTP; a continuación, este ya estará listo para su uso dedicado hasta que usted elimine el servidor. Además, se le facturará en función de la cantidad de datos cargados y descargados a través de su servidor SFTP. Consulte la página de precios de AWS SFTP para obtener más información.

P: He detenido mi servidor. ¿Se me facturará este servidor mientras esté parado?

R: Sí. Parar el servidor usando la consola, o ejecutar el comando de la CLI “stop-server” o el comando API “StopServer” no afecta a su facturación. Se le facturará por horas desde el momento en el que cree y configure su servidor SFTP; a continuación, este ya estará listo para su uso dedicado hasta que usted elimine el servidor.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Más información acerca de los precios

AWS SFTP proporciona un servicio completamente administrado, lo que reduce los costos operacionales para ejecutar los servicios de transferencia de archivos.

Más información 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Inscríbase para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Regístrese 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Comience a crear en la consola

Comience a crear con AWS SFTP en la consola de AWS.

Iniciar sesión