Aspectos generales

P: ¿Qué es AWS Transfer for SFTP?

R: AWS Transfer for SFTP (AWS SFTP) es un servicio completamente administrado alojado en AWS que permite transferir archivos a través de SFTP de forma directa hacia y desde Amazon S3.

P: ¿Qué es SFTP y dónde se usa?

R: SFTP significa Secure Shell (SSH) File Transfer Protocol (protocolo de transferencia de archivos de shell seguro), un protocolo de red que se utiliza para transferir datos a través de Internet de forma segura. El protocolo, que admite la seguridad plena y la funcionalidad de autenticación de SSH, se utiliza ampliamente para intercambiar datos entre socios comerciales en una variedad de sectores: servicios financieros, salud, medios y entretenimiento, publicidad, entre otros.

P: ¿Por qué debería utilizar AWS SFTP?

R: Si actualmente utiliza SFTP para intercambiar datos con terceros, como proveedores, socios comerciales o clientes, y desea administrar esos datos en AWS para procesarlos, analizarlos y almacenarlos, debe alojar y administrar un servicio SFTP propio. Esto implica que deberá invertir en la operación y administración de la infraestructura, la aplicación de parches en los servidores, la monitorización del tiempo de actividad y la disponibilidad, y la creación de mecanismos únicos para aprovisionar usuarios y auditar su actividad. AWS SFTP resuelve estos retos al proporcionar un servicio de SFTP completamente administrado que puede reducir su carga operativa y, al mismo tiempo, mantener su flujo de trabajo de transferencias existente para los usuarios finales. El servicio almacena archivos transferidos como objetos en su bucket de Amazon S3 para que pueda aprovecharlos en un lago de datos, en flujos de trabajo de un sistema de gestión de relaciones con el cliente (CRM) o de planificación de recursos empresariales (ERP) o para el archivado en AWS.

P: ¿Qué beneficios tiene usar AWS SFTP?

R: AWS SFTP le proporciona un servicio SFTP de alta disponibilidad y completamente administrado con capacidades de escalado automático, lo que elimina la necesidad de que usted administre la infraestructura relacionada con SFTP. Con AWS SFTP, los flujos de trabajo de los usuarios finales permanecen sin cambios, mientras que los datos cargados y descargados a través de SFTP se almacenan en su bucket de Amazon S3. Con los datos en Amazon S3, ahora puede usarlo fácilmente con la amplia gama de servicios de AWS para el procesamiento, análisis y almacenamiento de datos y para el aprendizaje automático en un entorno que puede cumplir sus requisitos de cumplimiento.

P: ¿Cómo uso AWS SFTP?

R: En 3 simples pasos, puede obtener un “servidor SFTP” persistente y de alta disponibilidad en AWS. Primero, asocie sus nombres de host SFTP existentes con el punto de enlace del servidor SFTP. A continuación, configure a sus usuarios seleccionando su proveedor de identidad para la autenticación – administrado por el servicio o un servicio de directorio como Microsoft AD. Por último, elija los buckets S3 y asigne las funciones de IAM para el acceso. Cuando el punto de enlace, el proveedor de identidad y las políticas de acceso a bucket S3 del servicio estén disponibles, los usuarios podrán continuar usando los clientes y configuraciones existentes mientras los datos a los que acceden se alojan en un bucket S3.

P: ¿Puedo usar CloudFormation para automatizar la implementación de usuarios y servidores de SFTP?

R: Sí, puede implementar plantillas de CloudFormation para automatizar la creación de usuarios y servidores de SFTP o para integrar un proveedor de identidad. Consulte la guía de uso para obtener información acerca de cómo utilizar recursos de AWS Transfer for SFTP en plantillas de CloudFormation.

P: ¿Los usuarios pueden usar SCP, FTP o FTP/S (FTP por SSL) para transferir archivos con este servicio?

R: No, los usuarios deberán usar SFTP para transferir archivos. La mayoría de los clientes de transferencia de archivos ofrecen SFTP como una opción que deberá seleccionarse al transferir archivos utilizando AWS SFTP. 

Opciones de punto de enlace del servidor

P: ¿Puedo usar un nombre de dominio corporativo (sftp.nombredemicompañía.com) para obtener acceso al punto de enlace de SFTP?

R: Sí. Si ya tiene un nombre de dominio, puede usar Amazon Route53 o cualquier servicio DNS para dirigir el tráfico de sus usuarios desde su dominio registrado al punto de enlace del servidor en AWS. Consulte la documentación sobre cómo AWS Transfer utiliza Amazon Route 53 para nombres de dominio personalizados, aplicable solo a puntos de enlace orientados a Internet.

P: ¿Puedo seguir usando el servicio si no tengo un nombre de dominio?

R: Sí, si no tiene un nombre de dominio, sus usuarios pueden acceder al punto de enlace de su servidor utilizando el nombre de host proporcionado por AWS SFTP. Alternativamente, puede registrar un nuevo dominio utilizando la consola o API de Amazon Route 53 y enrutar el tráfico desde este nuevo dominio al punto de enlace de su servidor SFTP.

P: ¿Puedo usar mi dominio que ya tiene una zona pública?

R: Sí, necesitará crear un CNAME para el dominio en el nombre de host del servidor SFTP.

P: ¿Puedo configurar el punto de enlace del servidor SFTP para que solo se pueda obtener acceso a él desde adentro de una VPC?

R: Sí. Al crear un servidor o actualizar uno existente, tiene la opción de especificar si desea que el punto de enlace sea accesible a través de la Internet pública o dentro de su VPC. El uso del punto de enlace de la VPC para su servidor hace que sea accesible solo para los clientes dentro de la misma VPC, otras VPC que especifique o en entornos locales mediante el uso de tecnologías de red que extienden su VPC, tales como AWS Direct Connect, AWS VPN o emparejamiento de VPC. Puede restringir aún más el acceso a recursos en subredes específicas dentro de su VPC mediante listas de control de acceso (NACL) o grupos de seguridad de puntos de enlace. Consulte la sección de la documentación acerca de cómo crear el punto de enlace del servidor dentro de una VPC mediante AWS PrivateLink para obtener más información.

P: ¿Pueden usar mis usuarios finales direcciones IP fijas para acceder al punto de enlace de un servidor SFTP en sus firewalls?

R: Sí. Puede habilitar el uso de direcciones IP fijas en el punto de enlace de su servidor si selecciona el punto de enlace de la VPC para su servidor y elige la opción orientada a Internet. Esto le permitirá adjuntar IP elásticas (incluidas IP BYO) al punto de enlace de su servidor, que está asignado como la dirección IP del punto de enlace. Consulte la sección Creación de un punto de enlace orientado a Internet en la documentación: Creación del punto de enlace de su servidor dentro de su VPC.

P: ¿Puedo restringir el tráfico entrante mediante las direcciones IP de origen de los usuarios finales?

R: Sí. Puede adjuntar grupos de seguridad al punto de enlace de la VPC de su servidor que controlen el tráfico entrante de su servidor. Consulte la sección Creación de un punto de enlace orientado a Internet en la documentación: Creación del punto de enlace de su servidor dentro de su VPC.

P: ¿Mis clientes de SFTP pueden usar direcciones IP fijas para acceder al servidor SFTP cuyo tipo de punto de enlace es PUBLIC?

R: No. En la actualidad, las direcciones IP fijas que se utilizan normalmente para fines relacionados con listas blancas de firewall no se admiten en el tipo de punto de enlace PUBLIC.

P: ¿Qué intervalo IP necesitarían los usuarios finales para agregar a una lista blanca y así acceder al punto de enlace del servidor SFTP que es PÚBLICO?

R: Si está utilizando el tipo de punto de enlace PÚBLICO, los usuarios necesitarán agregar a la lista blanca los intervalos de direcciones IP de AWS publicados aquí. Consulte la documentación para obtener detalles sobre cómo mantenerse al día con los intervalos de direcciones IP de AWS.

P: ¿Se cambiará la clave de host del servidor AWS SFTP después de que se cree el servidor?

R: No. La clave de host del servidor que se asigna cuando crea el servidor permanece igual hasta que lo elimine y cree uno nuevo.

P: ¿Puedo importar claves de mi host SFTP actual para que mis usuarios no tengan que volver a verificar la información de la sesión?

R: Sí. Puede especificar una clave de host RSA al momento de crear un servidor nuevo o actualizar uno existente. Los clientes de los usuarios finales utilizarán esta clave para identificar el servidor. Consulte la documentación acerca de cómo usar los SDK o la CLI de AWS para cargar una clave de host destinada al servidor.

Autenticación de usuarios

P: ¿Pueden mis usuarios continuar usando sus clientes SFTP existentes o transferir aplicaciones?

R: Sí, cualquier cliente SFTP existente o la aplicación de transferencia SFTP continuará funcionando con AWS SFTP. Los ejemplos de clientes SFTP comúnmente utilizados incluyen clientes de WinSCP, FileZilla, CyberDuck y OpenSSH.

P: ¿Cómo el servicio autentica a mis usuarios?

R: El servicio admite dos modos de autenticación: el uso del servicio para almacenar y acceder a las identidades de los usuarios y el uso de un proveedor de identidad personalizado.

Autenticación administrada por el servicio

P: ¿Cómo puedo autenticar los usuarios mediante el uso de la autenticación administrada de servicios?

R: Puede usar la autenticación basada en claves SSH si está utilizando el servicio para almacenar y acceder a las identidades de los usuarios.

P: ¿Cuántas claves SSH puedo cargar por usuario?

R: Puede cargar hasta 10 claves SSH por usuario. Tenga en cuenta que agregar más claves aumenta el tiempo de inicio de sesión, ya que el servidor necesitará evaluar cada una de ellas hasta que se encuentre una coincidencia para una autenticación exitosa.

P: ¿Se admite la rotación de claves para la autenticación administrada por el servicio?

R: Sí. Consulte la documentación para obtener detalles sobre cómo configurar la rotación de claves mediante el uso del servicio

P: ¿Puedo restringir los usuarios administrados del servicio a sus directorios principales designados (“chroot”)?

Sí. Cuando agregue un usuario nuevo o actualice uno existente, podrá seleccionar la casilla “restricted” (restringido). De esta forma, se asigna la raíz del cliente del usuario a la ubicación del directorio principal asignado en el bucket S3, lo que lo vincula a dicha ubicación mediante “chroot”.  

P: ¿Puedo usar la autenticación administrada por el servicio para la autenticación con contraseña?

R: No. Actualmente, no se admite para SFTP el almacenamiento de contraseñas dentro del servicio para la autenticación. Si necesita utilizar la autenticación de contraseñas para SFTP, lea la publicación de blog Enabling Password Authentication using Secrets Manager (Cómo activar la autenticación de contraseñas con Secrets Manager).

P: ¿Se admiten los usuarios anónimos?

R: No. Actualmente, no se admiten los usuarios anónimos.

Proveedor de identidad personalizado

P: ¿Puedo aprovechar mi proveedor de identidad existente para administrar mis usuarios de SFTP?

R: AWS SFTP le permite conectar un proveedor de identidad existente para que pueda migrar usuarios cuyas credenciales estén almacenadas en un directorio corporativo. Algunos ejemplos de proveedores de identidad son Microsoft Active Directory (AD), Lightweight Directory Access Protocol (LDAP) o proveedores de identidad personalizada.

P: ¿Cómo empiezo a integrar mi proveedor de identidad existente para la autenticación de usuarios?

R: Para comenzar, recomendamos utilizar la plantilla de AWS CloudFormation y proporcionar la información necesaria para la autenticación y el acceso de los usuarios. Visite el sitio web sobre proveedores de identidad personalizada para obtener más información.

P: Cuando configuro usuarios mediante un proveedor de identidad personalizada, ¿qué información se utiliza para habilitar el acceso de mis usuarios?

R: El usuario debe especificar un nombre de usuario y contraseña (o clave SSH), que se utilizará para la autenticación. El acceso al bucket estará determinado por el rol de AWS IAM suministrado por los API Gateway y Lambda utilizados para realizar consultas en el proveedor de identidad. También deberá proveer información sobre el directorio principal y se recomienda restringirlos a la carpeta principal designada para lograr un nivel de seguridad y practicidad adicional. Consulte esta publicación de blog acerca de cómo simplificar la experiencia de los usuarios finales al momento de utilizar un proveedor de identidad personalizada con AWS SFTP.

P: ¿Por qué necesito proporcionar un rol de IAM de AWS? ¿Cómo se usa?

R: AWS IAM se utiliza para determinar el nivel de acceso que desea proporcionar a sus usuarios. Esto incluye las operaciones que desea habilitar en su cliente y los buckets de Amazon S3 a los que tienen acceso, ya sea el bucket completo o parte de él.

P: ¿Por qué necesito proporcionar información del directorio principal y cómo se usa?

R: El directorio principal que configuró para su usuario determina su directorio de inicio de sesión. Tan pronto como su usuario se registre en el servidor SFTP, esta es la ruta de directorio que su cliente SFTP usaría como directorio de aterrizaje. Deberá asegurarse de que el rol de IAM provisto conceda acceso al directorio principal al usuario.

P: Tengo cientos de usuarios con configuraciones de acceso similares, pero a diferentes partes de un bucket. ¿Puedo restringir el acceso a la carpeta principal designada?

R: Sí. Puede utilizar asignaciones de directorios lógicas para especificar de qué manera desea lograr que las rutas de acceso absolutas al bucket de Amazon S3 queden visibles para los usuarios. En la función de Lambda de la integración del proveedor de identidad, deberá especificar “Entry” como “/” (raíz especificadora) y “Target” como ubicación de acceso absoluta del bucket de S3 que funcionará como ruta de directorio principal. Es posible o no que deba utilizar una política de restricción de acceso, ya que las asignaciones serán las únicas ubicaciones del bucket de S3 a las que los usuarios finales podrán acceder. Consulte esta publicación de blog: Simplify Your AWS SFTP Structure with Chroot and Logical Directories (Simplificar la estructura de AWS SFTP con Chroot y directorios lógicos).'

Cargas y descargas de datos

P: ¿Cómo se transfieren los archivos almacenados en mi bucket de Amazon S3 con AWS SFTP?

R: Los archivos transferidos a través de SFTP se almacenan como objetos en su bucket de Amazon S3 y existe una correspondencia unívoca entre los archivos y los objetos que permite el acceso nativo a estos objetos utilizando los servicios de AWS para el procesamiento o el análisis.

P: ¿Cómo se presentan a mis usuarios los objetos de Amazon S3 almacenados en mi bucket?

R: Después de una autenticación exitosa, en función de las credenciales de los usuarios, AWS SFTP presenta los objetos y las carpetas de Amazon S3 como archivos y directorios a las aplicaciones de transferencia de los usuarios. También puede especificar asignaciones de directorios lógicos para personalizar la manera en la que las rutas del bucket de S3 se presentan al usuario.

P: ¿Qué operaciones de archivos son compatibles con AWS SFTP? ¿Qué operaciones no son compatibles?

R: Son compatibles los comandos SFTP comunes para crear, leer, actualizar y eliminar archivos y directorios. Los archivos se almacenan como objetos individuales en su bucket de Amazon S3. Los directorios se administran como objetos de carpeta en S3, con la misma sintaxis que la consola de S3. Actualmente, no se admiten las operaciones de cambio de nombre de directorios, el cambio de propiedad, los permisos y las marcas temporales ni el uso de enlaces simbólicos y físicos.

P: ¿Es posible controlar qué operaciones pueden realizar mis usuarios?

R: Sí, puede habilitar/deshabilitar las operaciones de archivos usando la función de AWS IAM que ha asignado a su nombre de usuario.

P: ¿Puedo proporcionar a los usuarios de SFTP acceso a más de un bucket de Amazon S3?

R: Sí. Si incluye varios buckets de S3 en la política de IAM asociada al rol de AWS IAM que asigne a los usuarios, estos tendrán acceso a ellos. Además, puede presentar carpetas de varios buckets de S3 como espacio de nombre único a los usuarios mediante el uso de asignaciones de directorios lógicos. Lea esta publicación de blog para obtener más información.

P: ¿Puedo crear un servidor mediante una cuenta A de AWS y asignar los usuarios de SFTP a los buckets de Amazon S3 pertenecientes a una cuenta B de AWS?

R: Sí. Puede utilizar la CLI y la API para configurar el acceso entre cuentas entre su servidor y los buckets que desee usar para SFTP. La lista desplegable de la consola solo mostrará los buckets de la cuenta A. Además, deberá asegurarse de que el rol asignado al usuario pertenece a la cuenta A.

P: ¿Cómo puedo saber qué usuario de SFTP subió un archivo?

R: Puede usar Amazon CloudWatch para ver la actividad de sus usuarios de SFTP. Consulte la documentación para obtener más información acerca de cómo habilitar el registro de Amazon CloudWatch.

P: ¿Puedo automatizar el procesamiento de un archivo una vez que se haya cargado en Amazon S3?

R: Sí, puede usar los eventos de Amazon S3 para automatizar el procesamiento de los archivos cargados utilizando una amplia gama de servicios de AWS para consultas, análisis, aprendizaje automático y más. Consulte la documentación para obtener más información sobre ejemplos comunes para el procesamiento posterior a la carga mediante el uso de Lambda con Amazon S3.

P: ¿Puedo ver el volumen de datos que se cargó y descargó con el servidor AWS SFTP?

R: Sí, lo datos cargados y descargados con el servidor se registran como métricas en Amazon CloudWatch. Consulte la documentación si desea ver las métricas disponibles para seguimiento y monitorización.

Seguridad y conformidad

P: ¿Mis datos están seguros mientras están en tránsito?

R: Sí, la seguridad subyacente del protocolo SFTP transfiere comandos y datos de archivos a través de un túnel seguro y cifrado.

P: ¿Qué opciones tengo para cifrar datos en reposo que fueron transferidos usando AWS SFTP?

R: Puede escoger cifrar los archivos almacenados en su bucket usando el cifrado del lado del servidor de Amazon S3 (SSE-S3) o Amazon KMS (SSE-KMS).

P: ¿Qué programas de conformidad son compatibles con AWS SFTP?

R: AWS SFTP cumple los requisitos de PCI-DSS, GDPR y HIPAA, además de los de SOC 1, 2 y 3. Obtenga más información acerca de los servicios en el ámbito de los programas de conformidad.

P: ¿AWS SFTP cumple los requisitos de FISMA?

R: Las regiones AWS Este/Oeste y GovCloud (EE.UU.) cumplen los requisitos. Dicha conformidad queda manifestada en la autorización de FedRAMP de estas dos regiones en los niveles moderado y alto de FedRAMP. El cumplimiento de la normativa se demuestra mediante evaluaciones anuales y la documentación del cumplimiento de los controles SP 800-53 de NIST dentro de los planes de seguridad de sistemas. Existen plantillas disponibles en Artifact junto con nuestra matriz de responsabilidades del cliente (CRM), que describe detalladamente nuestra responsabilidad en relación con el cumplimiento de estos controles de NIST de acuerdo con los requisitos de FedRAMP. Artifact se encuentra disponible mediante la consola de administración, a la cual una cuenta de AWS puede acceder tanto para las regiones Este/Oeste como para la región GovCloud. Si tiene más preguntas acerca de este tema, vaya a la consola.

P: ¿Cómo garantiza el servicio la integridad de los archivos cargados?

R: Todos los archivos cargados a través del servidor SFTP se verifican comparando la suma de comprobación MD5 anterior y posterior a la carga del archivo.

P: ¿Cómo puedo monitorizar el uso y hacer un seguimiento de la actividad de mis usuarios?

R: Puede usar Amazon CloudWatch para ver la actividad de sus usuarios de SFTP. Consulte la documentación para obtener más información acerca de cómo habilitar el registro de Amazon CloudWatch. Además, puede ver un registro de llamadas a la API de Amazon S3 realizadas en representación de sus usuarios en AWS CloudTrail.

Facturación

¿Qué es lo que estoy pagando cuando uso AWS SFTP?

R: Usted paga por los recursos que usa con AWS SFTP. Esto incluye un cargo por horas para el punto de enlace del servidor SFTP, así como cargos por cargas y descargas de datos SFTP. Los precios cubren un servicio SFTP completamente administrado y altamente disponible que ajusta su escala automáticamente en tiempo real y se basa en sus demandas de carga de trabajo. Consulte la página de precios de AWS SFTP para obtener más información.

P: ¿Cómo me facturan el servidor AWS SFTP?

R: Se le facturará por horas desde el momento en el que cree y configure su servidor SFTP; a continuación, este ya estará listo para su uso dedicado hasta que usted elimine el servidor. Además, se le facturará en función de la cantidad de datos cargados y descargados a través de su servidor SFTP. Consulte la página de precios de AWS SFTP para obtener más información.

P: He detenido mi servidor. ¿Se me facturará este servidor mientras esté parado?

R: Sí. Parar el servidor usando la consola, o ejecutar el comando de la CLI “stop-server” o el comando API “StopServer” no afecta a su facturación. Se le facturará por horas desde el momento en el que cree y configure su servidor SFTP; a continuación, este ya estará listo para su uso dedicado hasta que usted elimine el servidor.

Más información sobre los precios de SFTP
Más información acerca de los precios

AWS SFTP proporciona un servicio completamente administrado, lo que reduce los costos operacionales para ejecutar los servicios de transferencia de archivos.

Más información 
Inscríbase para obtener una cuenta gratuita de AWS
Regístrese para obtener una cuenta gratuita

Obtenga acceso instantáneo a la capa gratuita de AWS. 

Registrarse 
Comience a crear con SFTP
Comience a crear en la consola

Comience a crear con AWS SFTP en la consola de AWS.

Iniciar sesión