Généralités

Q : Qu'est-ce que la famille AWS Transfer ?

R : AWS Transfer Family englobe les outils AWS Transfer for SFTP, AWS Transfer for FTPS et AWS Transfer for FTP. AWS Transfer Family offre un support entièrement géré pour le transfert de fichiers via SFTP, FTPS, et FTP directement vers et depuis Amazon S3 ou Amazon EFS. Vous pouvez faire migrer en toute transparence vos flux de travail de transfert de fichiers en maintenant les configurations existantes côté client pour l'authentification, l'accès et les pare-feux. Ainsi, rien ne change pour vos clients, vos partenaires et vos équipes internes ni pour leurs applications.

Q : Qu'est-ce que SFTP ?

R : SFTP signifie Secure Shell (SSH) File Transfer Protocol, un protocole réseau utilisé pour le transfert sécurisé de données sur Internet. Le protocole prend en charge la sécurité complète et les fonctionnalités d'authentification de SSH. Il est largement utilisé pour l'échange de données entre partenaires commerciaux dans des secteurs divers tels que les services financiers, la santé, les médias et le divertissement, la vente au détail et la publicité.

Q : Qu'est-ce que FTP ?

R : FTP signifie File Transfer Protocol, un protocole réseau utilisé pour le transfert de données. FTP utilise un canal distinct pour le contrôle et le transfert de données. Le canal de contrôle est ouvert jusqu'à ce qu'il y soit mis fin ou jusqu'à la temporisation d'inactivité, tandis que le canal de données est actif pour durée du transfert. FTP utilise le texte en clair, et ne prend pas en charge le chiffrement du trafic.

Q : Qu'est-ce que FTPS ?

R : FTPS signifie File Transfer Protocol via SSL, et est une extension à FTP. Cet outil utilise les protocoles cryptographiques TLS (Transport Layer Security) et SSL (Secure Sockets Layer) pour chiffrer le trafic. FTPS permet le chiffrement à la fois du contrôle et des connexions du canal de données, concurremment ou indépendamment.

Q : Pourquoi utiliser la famille AWS Transfer ?

R : Aujourd'hui, si vous utilisez des protocoles de transfert de fichiers, par exemple SFTP, FTPS ou FTP, pour échanger des données avec des tiers tels que vos fournisseurs, vos partenaires commerciaux ou vos clients, et que vous souhaitez gérer ces données dans AWS à des fins de traitement, d'analyse et d'archivage, vous devez héberger et gérer votre propre service de transfert de fichiers. Cela nécessite que vous investissiez dans l'exploitation et la gestion d'une infrastructure, dans la correction des serveurs, dans la surveillance du temps de fonctionnement et de la disponibilité, et dans la création de mécanismes ponctuels pour provisionner les utilisateurs et auditer leur activité. AWS Transfer Family résout ces problèmes en fournissant un support entièrement géré pour SFTP, FTPS et FTP, capable de réduire votre charge opérationnelle, tout en préservant vos flux de travail de transfert existants pour vos utilisateurs finaux. Le service stocke les données transférées en tant qu'objets dans votre compartiment Amazon S3 ou en tant que fichiers dans votre système de fichiers Amazon EFS. Vous pouvez ainsi en extraire de la valeur dans votre lac de données, soit pour vos flux de travail de gestion de la relation client (CRM) ou de planification de ressources d'entreprise (ERP), soit pour l'archivage dans AWS.

Q : Quels sont les avantages qu'apporte l'utilisation d'AWS Transfer Family ?

R : AWS Transfer Family vous fournit un service de transfert de fichiers entièrement géré et hautement disponible, doté de fonctionnalités de scalabilité automatique, vous évitant ainsi de devoir gérer une infrastructure liée au transfert de fichiers. Les flux de travail de vos utilisateurs finaux restent inchangés, et les données téléchargées en amont/aval via les protocoles de votre choix sont stockées dans votre compartiment Amazon S3 ou dans votre système de fichiers Amazon EFS. Vous pouvez désormais utiliser facilement les données stockées dans AWS grâce au large éventail de services AWS permettant le traitement des données, la gestion du contenu, l'analyse, le machine learning et l'archivage, dans un environnement répondant à vos exigences de conformité.

Q : Comment utiliser AWS Transfer Family ?

R : En trois étapes simples, vous obtenez un point de terminaison de serveur toujours actif compatible SFTP, FTPS et/ou FTP. Pour commencer, sélectionnez le ou les protocoles de votre choix pour permettre à vos utilisateurs finaux de se connecter à votre point de terminaison. Ensuite, vous configurez l'accès des utilisateurs en utilisant le gestionnaire d'authentification intégré de Transfer Family (service géré), Microsoft Active Directory (AD), ou en intégrant votre propre fournisseur d'identité ou celui d'une tierce partie, comme Okta ou Microsoft AzureAD (authentification « BYO »). Enfin, sélectionnez le serveur pour accéder aux compartiments S3 ou aux systèmes de fichiers EFS. Une fois que le ou les protocoles, le fournisseur d'identité et l'accès au système de fichiers ont été activés, vos utilisateurs peuvent continuer à se servir de leurs clients et configurations SFTP, FTPS ou FTP existants, tandis que les données accédées sont stockées dans les systèmes de fichiers choisis. 

Q : Quelle est la différence entre SFTP et FTPS ? Lequel des deux dois-je utiliser et quand ?

R : SFTP et FTPS peuvent tous deux être utilisés pour des transferts sécurisés. Étant donné que les deux protocoles sont différents, ils utilisent des clients et des technologies différents pour fournir un tunnel sécurisé pour la transmission des commandes et des données. SFTP est un protocole plus récent, qui utilise un seul canal de commandes et de données. Le nombre de ports à ouvrir est donc moins important que pour le protocole FTPS.

Q : Les utilisateurs peuvent-ils continuer d'utiliser leurs clients et applications de transfert de fichiers existants ?

R : Oui, tout client ou application de transfert de fichiers existant continuera de fonctionner, pour autant que vous avez activé votre point de terminaison pour les protocoles ainsi sélectionnés. Des exemples de clients couramment utilisés sont les clients WinSCP, FileZilla, CyberDuck, lftp et OpenSSH. 

Q : Puis-je utiliser CloudFormation pour automatiser le déploiement de mes serveurs et utilisateurs ?

R : Oui, vous pouvez déployer des modèles CloudFormation pour automatiser la création de vos serveurs et utilisateurs ou pour intégrer un fournisseur d'identité. Reportez-vous au guide d'utilisation pour l'utilisation des ressources AWS Transfer dans les modèles CloudFormation.

Q : Mes utilisateurs peuvent-ils utiliser SCP, HTTPS ou AS2 pour transférer des fichiers à l'aide de ce service ?

R : Non, vos utilisateurs devront utiliser SFTP, FTPS ou FTP pour transférer des fichiers. La plupart des clients de transfert de fichiers proposent l'un ou l'autre de ces protocoles en tant qu'option à sélectionner lors de l'authentification. Si vous souhaitez tester la prise en charge d'un protocole particulier, n'hésitez pas à nous en faire part via AWS Support ou par le biais de l'équipe de votre compte AWS.

Options de points de terminaison de serveur

Q : Puis-je utiliser le nom de domaine de mon entreprise (sftp.mycompanyname.com) pour accéder à mon point de terminaison ?

R : Oui. Si vous avez déjà un nom de domaine, vous pouvez utiliser Amazon Route 53 ou tout service DNS pour acheminer le trafic de vos utilisateurs depuis votre domaine enregistré vers le point de terminaison de serveur dans AWS. Consultez la documentation sur la façon dont la famille AWS Transfer utilise Amazon Route 53 pour les noms de domaine personnalisés (uniquement applicables aux points de terminaison accessibles sur Internet).

Q : Puis-je quand même utiliser le service si je n'ai pas de nom de domaine ?

R : Oui, si vous n'avez pas de nom de domaine, vos utilisateurs peuvent accéder à votre point de terminaison à l'aide du nom d'hôte fourni par le service. Vous pouvez également enregistrer un nouveau domaine à l'aide de la console ou de l'API Amazon Route 53, et acheminer le trafic depuis ce domaine vers le nom d'hôte du point de terminaison fourni par le service.

Q : Puis-je utiliser mon domaine ayant déjà une zone publique ?

R : Oui, vous devrez nommer (CNAME) le domaine avec le nom d'hôte du point de terminaison fourni par le service.

Q : Puis-je configurer mon serveur de manière à ce qu'il soit accessible uniquement aux ressources dans mon VPC ?

R : Oui. Lorsque vous créez un serveur ou que vous mettez à jour un serveur existant, vous pouvez spécifier si vous voulez que le point de terminaison soit accessible sur l'Internet public ou hébergé dans votre VPC. L'utilisation d'un point de terminaison hébergé dans un VPC pour votre serveur vous permet de restreindre son accès uniquement aux clients du même VPC, à d'autres VPC que vous spécifiez ou dans des environnements sur site utilisant des technologies de mise en réseau qui étendent votre VPC, par exemple AWS Direct Connect, AWS VPN ou l'appairage VPC. Vous pouvez restreindre plus encore l'accès aux ressources dans des sous-réseaux spécifiques au sein de votre VPC avec des listes de contrôle d'accès réseau (NACL) de sous-réseaux ou des groupes de sécurité. Pour plus d'informations, reportez-vous à la documentation sur la création d'un point de terminaison du serveur dans votre VPC à l'aide d'AWS PrivateLink.

Q : Puis-je utiliser FTP avec un point de terminaison accessible sur Internet ?

R : Non, lorsque vous activez FTP, vous pouvez uniquement utiliser l'option d'accès interne du point de terminaison hébergé dans un VPC. Si le trafic doit transiter par le réseau public, vous devrez utiliser des protocoles sécurisés tels que SFTP ou FTPS.

Q : Que faire si je dois utiliser FTP pour des transferts via l'Internet public ?

R : Le service ne vous permet pas d'utiliser FTP via des réseaux publics, car, lorsque vous créez un serveur compatible FTP, le point de terminaison de serveur est uniquement accessible aux ressources dans votre VPC. Pour utiliser FTP pour l'échange des données via l'Internet public, vous pouvez interfacer le point de terminaison d'un VPC de votre serveur avec un Network Load Balancer (NLB) accessible sur Internet.

Q : Puis-je utiliser FTP sans un VPC ?

R : Non. Un VPC est requis pour héberger les points de terminaison du serveur FTP. Veuillez consulter la documentation sur les modèles CloudFormation visant à automatiser la création de ressources VPC pour héberger le point de terminaison lors de la création du serveur.

Q : Mes utilisateurs finaux peuvent-ils utiliser des adresses IP fixes pour ajouter sur liste d’autorisation l'accès au point de terminaison de mon serveur dans leurs pare-feu ?

R : Oui. Vous pouvez activer des adresses IP fixes pour le point de terminaison de votre serveur en sélectionnant le point de terminaison hébergé dans un VPC pour votre serveur et l'option d'accès via Internet. Ainsi, vous pouvez attacher des adresses IP Elastic (notamment des adresses BYO IP) directement au point de terminaison qui est assigné en tant qu'adresse IP du point de terminaison. Consultez la section sur la création d'un point de terminaison accessible sur Internet dans la documentation intitulée : Création du point de terminaison de votre serveur au sein de votre VPC.

Q : Puis-je limiter le trafic entrant via les adresses IP sources des utilisateurs finaux ?

R : Oui. Vous pouvez attacher des groupes de sécurité au point de terminaison d'un VPC de votre serveur. Ceux-ci contrôleront le trafic entrant vers votre serveur. Reportez-vous à cet article de blog pour savoir comment utiliser des points de terminaison hébergés dans un VPC pour sécuriser l'accès à votre serveur à l'aide d'une liste d'autorisation des IP source des utilisateurs finaux. Si vous utilisez API Gateway pour intégrer votre système de gestion des identités, AWS WAF vous permet également d'autoriser ou bloquer l'accès, ou de le limiter en fonction du débit, en fonction des adresses IP source des utilisateurs finaux.

Q : Puis-je héberger le point de terminaison de mon serveur dans un environnement VPC partagé ?

R : Oui. Vous pouvez déployer le point de terminaison de votre serveur avec des environnements VPC utilisés généralement lors de la segmentation de votre environnement AWS à l'aide d'outils comme AWS Landing Zone pour la sécurité, la surveillance des coûts et la scalabilité. Reportez-vous à cet article de blog pour savoir comment utiliser des points de terminaison hébergés dans des environnements VPC avec AWS Transfer Family.

Q : Puis-je sélectionner les algorithmes de chiffrement qui peuvent être utilisés lorsque les clients de mes utilisateurs finaux se connectent au point de terminaison de mon serveur ?

R : Oui. En fonction de vos exigences de sécurité et de conformité, vous avez la possibilité de choisir l'une des trois politiques de sécurité suivantes pour contrôler les algorithmes de chiffrement qui seront annoncés par les points de terminaison de votre serveur : Transfer-Security-Policy-2018-11 (par défaut), Transfer-Security-Policy-2020-06 (restrictif – algorithmes SHA-1) et Transfer-FIPS-2020-06 (algorithmes conformes à la norme FIPS). Lorsque les clients de transfert de fichiers de vos utilisateurs finaux tentent de se connecter à votre serveur, seuls les algorithmes spécifiés dans la politique seront utilisés pour la connexion. Consultez la documentation relative aux politiques de sécurité prédéfinies.

Q : Mes utilisateurs finaux peuvent-ils utiliser des adresses IP fixes pour accéder à mon serveur dont le type de point de terminaison est PUBLIC ?

R : Non. Les adresses IP fixes généralement utilisées à des fins de liste blanche de pare-feu ne sont actuellement pas prises en charge par le type de points de terminaison PUBLIC. Utilisez des points de terminaison hébergés dans un VPC pour attribuer des adresses IP statiques pour votre point de terminaison.

Q : Quelles plages d'adresses IP les utilisateurs finaux doivent-ils ajouter à la liste blanche pour pouvoir accéder au point de terminaison de mon serveur SFTP de type PUBLIC ?

R : Si vous utilisez un type de points de terminaison PUBLIC, vos utilisateurs devront ajouter à la liste blanche les plages d'adresses IP AWS publiées ici. Reportez-vous à la documentation pour plus d'informations sur les plages d'adresses IP AWS.

Q : La clé d'hôte de mon serveur AWS Transfer for SFTP sera-t-elle modifiée après la création du serveur ?

R : Non. Tant que vous ne la supprimez pas et n'en créez pas une nouvelle, la clé d'hôte de serveur attribuée lors de la création du serveur demeure inchangée.

Q : Puis-je importer des clés de mon serveur SFTP actuel afin que mes utilisateurs n'aient pas à revérifier les informations de session ?

R : Oui. Vous pouvez fournir une clé d’hôte RSA lorsque vous créez un nouveau serveur ou mettez à jour un serveur existant. Cette clé sera utilisée par les clients de vos utilisateurs finaux pour identifier votre serveur. Reportez-vous à la documentation sur l'utilisation des interfaces de ligne de commande et kits SDK AWS pour télécharger une clé d'hôte pour votre serveur.

Q : Comment les clients FTPS de mes utilisateurs finaux vérifient-ils l'identité de mon serveur FTPS ?

R : Si vous activez l'accès FTPS, vous devrez fournir un certificat d'Amazon Certificate Manager (ACM). Ce certificat est utilisé par les clients de vos utilisateurs finaux pour vérifier l'identité de votre serveur FTPS. Consultez la documentation ACM consacrée à la demande de nouveaux certificats ou à l'importation de certificats existants dans ACM.

Q : Les modes actif et passif de FTPS et FTP sont-ils pris en charge ?

R : Nous ne prenons en charge que le mode passif, qui permet aux clients de vos utilisateurs finaux d'initier des connexions avec votre serveur. Le mode passif nécessite moins d'ouvertures de ports côté client, rendant le point de terminaison de votre serveur plus compatible avec les utilisateurs finaux derrière les pare-feu protégés.

Q : Les modes FTPS explicite et implicite sont-ils pris en charge ?

R : Nous ne prenons en charge que le mode FTPS explicite.

Accès multiprotocole

Q : Puis-je activer plusieurs protocoles sur le même point de terminaison ?

R : Oui. Lors de la configuration, vous pouvez sélectionner le ou les protocoles de votre choix pour permettre aux clients de se connecter à votre point de terminaison. Le nom de domaine de serveur et le fournisseur d'identité sont partagés sur les protocoles ainsi sélectionnés. De même, vous pouvez également ajouter le support FTP/FTPS à un point de terminaison existant de serveur AWS Transfer for SFTP, à condition que le point de terminaison soit hébergé au sein de votre VPC et que vous utilisiez un fournisseur d'identité personnalisé.

Q : Quand dois-je créer des points de terminaison de serveur distincts pour chaque protocole plutôt que d'activer le même point de terminaison pour plusieurs protocoles ?

R : Si vous devez utiliser FTP (uniquement pris en charge pour l'accès au sein du VPC), ainsi que la prise en charge sur Internet pour SFTP ou FTPS, vous devrez avoir besoin d'un point de terminaison de serveur distinct pour FTP. Vous pouvez utiliser le même point de terminaison pour plusieurs protocoles, lorsque vous souhaitez utiliser un nom d'hôte de point de terminaison et une adresse IP identiques pour les clients qui se connectent sur plusieurs protocoles. De plus, si vous souhaitez partager les mêmes informations d'identification pour SFTP et FTPS, vous pouvez configurer et utiliser un fournisseur d'identité unique pour l'authentification des clients qui se connectent sur l'un ou l'autre protocole.

Q : Puis-je configurer le même utilisateur final pour accéder au point de terminaison sur plusieurs protocoles ?

R : Oui, vous pouvez fournir au même utilisateur l'accès sur plusieurs protocoles, à condition que les informations d'identification propres au protocole aient été configurées au sein de votre fournisseur d'identité. Si vous avez activé FTP, nous vous recommandons de maintenir des informations d'identification distinctes pour FTP. Veuillez consulter la documentation relative à la configuration d'informations d'identification distinctes pour FTP.

Q : Pourquoi devrais-je maintenir des informations d'identification distinctes pour les utilisateurs FTP ?

R : Contrairement à SFTP et FTPS, FTP transmet les informations d'identification en texte clair. Nous vous recommandons d'isoler les informations d'identification FTP de celles relatives à SFTP et FTPS, car en cas de partage ou d'exposition accidentels des informations d'identification FTP, vos charges de travail utilisant SFTP ou FTPS restent protégées.

Options de fournisseur d’identité

Q : Quelles options de fournisseur d'identité sont prises en charge par le service ?

R : Le service prend en charge trois options de fournisseur d'identité, à savoir l'option gérée par le service, où vous stockez les identités des utilisateurs au sein du service, Microsoft Active Directory, et les options personnalisées (BYO), qui vous permettent d'intégrer un fournisseur d'identité de votre choix. L'authentification gérée par le service prend uniquement en charge les points de terminaison de serveur qui sont activés pour SFTP.

Q : Comment puis-je authentifier mes utilisateurs à l'aide de l'authentification gérée par le service ?

R : Vous pouvez utiliser l'authentification gérée par le service pour authentifier vos utilisateurs SFTP à l'aide des clés SSH.

Q : Combien de clés SSH puis-je télécharger par utilisateur SFTP ?

R : Vous pouvez télécharger jusqu'à 10 clés SSH par utilisateur.

Q : La rotation des clés SSH est-elle prise en charge pour l'authentification gérée par le service ?

R : Oui. Reportez-vous à la documentation pour savoir comment configurer la rotation des clés pour vos utilisateurs SFTP.

Q : Puis-je utiliser l'option gérée par le service pour l'authentification par mot de passe ?

R : Non, le stockage des mots de passe dans le service à des fins d'authentification n'est pas pris en charge pour le moment. Si vous avez besoin d'une authentification par mot de passe, utilisez Active Directory en sélectionnant un répertoire dans AWS Directory Service ou suivez l'architecture décrite dans ce blog surl’activation de l'authentification par mot de passe à l'aide de Secrets Manager.

Q : Comment commencer à utiliser Microsoft AD ?

R : Lorsque vous créez votre serveur, vous sélectionnez un répertoire dans AWS Managed Microsoft AD, votre environnement sur site, ou AD autogéré dans Amazon EC2 en tant que fournisseur d'identité. Vous devrez ensuite spécifier les groupes AD que vous souhaitez autoriser à accéder à l'aide d'un identifiant de sécurité (SID). Une fois que vous avez associé votre groupe AD à des informations de contrôle d'accès comme un rôle IAM, une stratégie de réduction de la portée (uniquement S3), un profile POSIX (uniquement EFS), un emplacement de répertoire de base et des mappages de répertoires logiques, les membres du groupe peuvent utiliser leurs informations d'identification AD pour s'authentifier et transférer des fichiers via les protocoles activés (SFTP, FTPS, FTP). 

Q : Comment puis-je configurer mes utilisateurs AD pour qu'ils aient un accès isolé à différentes parties de mon compartiments S3 ?

R : Lorsque vous configurez vos utilisateurs, vous fournissez une stratégie de réduction de la portée qui est évaluée au moment de l'exécution sur la base d’informations relatives à vos utilisateurs, telles que leur nom d'utilisateur. Vous pouvez utiliser la même stratégie de réduction de la portée pour tous vos utilisateurs afin de leur donner accès à des préfixes uniques dans votre compartiment en fonction de leur nom d'utilisateur. De plus, un nom d'utilisateur peut également être utilisé pour évaluer les mappages de répertoires logiques en fournissant un modèle standardisé sur la manière dont le contenu de votre compartiment S3 ou de vos systèmes de fichiers EFS est rendu visible à votre utilisateur. Consultez la documentation pour Accorder l'accès aux groupes AD.

Q : Puis-je utiliser Microsoft AD comme option de fournisseur d'identité pour tous les protocoles pris en charge ?

R : Oui, vous pouvez utiliser Microsoft AD pour authentifier les utilisateurs concernant l'accès via SFTP, FTPS et FTP.

Q : Puis-je révoquer l'accès de groupes AD activés ?

R : Oui, vous pouvez révoquer l'accès au transfert de fichiers pour des groupes AD particuliers. Une fois révoqués, les membres des groupes AD ne pourront plus transférer de fichiers en utilisant leurs informations d'identification AD.

Q : Puis-je donner accès à des utilisateurs AD particuliers ou à tous les utilisateurs d'un répertoire ?

R : Non, nous prenons en charge uniquement le paramétrage de l’accès par groupes AD.

Q : Puis-je utiliser AD pour authentifier les utilisateurs en utilisant des clés SSH ?

R : Non, le support AWS Transfer Family pour Microsoft AD ne peut être utilisé que pour l'authentification par mot de passe. Pour combiner des modes d'authentification, utilisez l’option Custom Authorizer.

Q : Pourquoi utiliser le mode d'authentification personnalisée ?

R : Le mode personnalisé (authentification « BYO ») vous permet de tirer parti d'un fournisseur d'identité existant pour gérer vos utilisateurs finaux pour tous les types de protocoles (SFTP, FTPS et FTP), ce qui permet une migration facile et transparente de vos utilisateurs. Les informations d'identification peuvent être stockées dans le répertoire de votre entreprise ou dans un magasin de données d'identités interne, et vous pouvez les intégrer à des fins d'authentification des utilisateurs finaux. Les fournisseurs d'identité peuvent être Okta, Microsoft AzureAD, ou tout fournisseur d'identité personnalisé que vous pouvez utiliser dans le cadre d'un portail de mise en service global.

Q : Comment démarrer avec l'intégration de mon fournisseur d'identité existant pour l'authentification personnalisée ?

R : Pour démarrer, vous pouvez utiliser le modèle AWS CloudFormation dans le guide d'utilisation et fournir les informations nécessaires à l'authentification et à l'accès des utilisateurs. Consultez le site Web sur les fournisseurs d'identité personnalisés pour en savoir plus.

Q : Lors de la configuration de mes utilisateurs via un fournisseur d'identité personnalisé, quelles informations sont utilisées pour permettre l'accès à mes utilisateurs ?

R : Votre utilisateur devra fournir un nom d'utilisateur et un mot de passe (ou clé SSH) qui seront utilisés pour l'authentification. L'accès à votre compartiment est déterminé par le rôle AWS IAM fourni par les outils API Gateway et Lambda utilisés pour interroger votre fournisseur d'identité. Vous devrez également fournir des informations sur le répertoire de base. Il est recommandé de les verrouiller dans le dossier de base désigné afin d'optimiser la sécurité et la convivialité. Reportez-vous à cet article de blog pour savoir comment simplifier l'expérience de vos utilisateurs finaux lorsque vous utilisez un fournisseur d'identité personnalisé avec AWS SFTP.

Q : Les utilisateurs anonymes sont-ils pris en charge ?

R : Non, les utilisateurs anonymes ne sont pris en charge pour aucun protocole pour le moment.

Accès à Amazon S3

Q : Pourquoi dois-je fournir un rôle AWS IAM et comment est-il utilisé ?

R : AWS IAM est utilisé pour déterminer le niveau d'accès que vous souhaitez fournir à vos utilisateurs. Cela inclut les opérations que vous souhaitez activer sur leur client et les compartiments Amazon S3 auxquels ils ont accès, qu'il s'agisse de la totalité ou d'une partie du compartiment.

Q : Pourquoi dois-je fournir des informations sur le répertoire de base et comment sont-elles utilisées ?

R : Le répertoire de base que vous avez configuré pour votre utilisateur détermine son répertoire de connexion. Il s'agit du chemin de répertoire que le client de votre utilisateur utilisera dès qu'il aura été authentifié avec succès dans le serveur. Vous devez vous assurer que le rôle IAM fourni donne à l'utilisateur l'accès au répertoire de base.

Q : J'ai des centaines d'utilisateurs qui ont des paramètres d'accès similaires, mais à différentes parties de mon compartiment. Puis-je les configurer en utilisant le même rôle et la même stratégie IAM pour activer leur accès ?

R : Oui. Vous pouvez assigner un rôle IAM unique pour tous vos utilisateurs et utiliser des mappages logiques de répertoire qui spécifient les chemins absolus de compartiment Amazon S3 que vous souhaitez rendre visibles pour vos utilisateurs finaux et comment vous souhaitez que ces chemins leur soient présentés par leurs clients. Consultez l’article de blog sur la simplication de la structure AWS SFTP/FTPS/FTP avec les répertoires chroot et logiques.

Q : Comment les fichiers stockés dans mon compartiment Amazon S3 sont-ils transférés avec AWS Transfer ?

R : Les fichiers transférés via les protocoles pris en charge sont stockés en tant qu'objets dans votre compartiment Amazon S3. Un mappage un à un entre les fichiers et les objets permet un accès natif à ces objets à l'aide des services AWS pour le traitement ou l'analyse.

Q : Comment les objets Amazon S3 stockés dans mon compartiment sont-ils présentés à mes utilisateurs ?

R : Une fois l'authentification réussie, le service présente les objets et les dossiers Amazon S3 sous forme de fichiers et de répertoires aux applications de transfert de vos utilisateurs, en fonction des informations d'identification de vos utilisateurs.

Q : Quelles opérations de fichiers sont prises en charge ? Quelles opérations ne sont pas prises en charge ?

R : Les commandes courantes permettant de créer, lire, mettre à jour et supprimer des fichiers et des répertoires sont prises en charge. Les fichiers sont stockés en tant qu'objets individuels dans votre compartiment Amazon S3. Les répertoires sont gérés sous la forme d'objets de dossier dans S3, en utilisant la même syntaxe que la console S3.

Les opérations de changement de nom de répertoire, les opérations d'ajout, la modification des droits de propriété, des autorisations et des horodatages, ainsi que l'utilisation de liens symboliques et en dur ne sont pas prises en charge pour le moment.

Q : Puis-je contrôler les opérations que mes utilisateurs sont autorisés à effectuer ?

R : Oui, vous pouvez activer et désactiver les opérations de fichiers à l'aide du rôle AWS IAM que vous avez mappé à leur nom d'utilisateur. Veuillez consulter la documentation sur la création de politiques et de rôles IAM pour contrôler l'accès de vos utilisateurs finaux.

Q : Puis-je fournir à mes utilisateurs finaux l'accès à plus d'un compartiment Amazon S3 ?

R : Oui. Le(s) compartiment(s) auquel (auxquels) votre utilisateur peut accéder est (sont) déterminé(s) par le rôle IAM de l'AWS et les conditions générales à portée descendante en option que vous lui attribuez. Vous ne pouvez utiliser qu'un seul compartiment comme répertoire de base pour l'utilisateur.

Q : Puis-je créer un serveur à l'aide du compte AWS A et mapper mes utilisateurs sur des compartiments Amazon S3 appartenant au compte AWS B ?

R : Oui. Vous pouvez utiliser l'interface de ligne de commande et l'API pour configurer l'accès croisé aux comptes entre votre serveur et les compartiments que vous voulez utiliser pour stocker les fichiers transférés via les protocoles pris en charge. Le menu déroulant Console n'affichera que les compartiments du compte A. De plus, vous devrez vérifier que le rôle attribué à l'utilisateur appartient bien au compte A.

Q : Puis-je automatiser le traitement d'un fichier une fois qu'il a été téléchargé sur Amazon S3 ?

R : Oui, vous pouvez utiliser les événements Amazon S3 pour automatiser le traitement post-téléchargement à l'aide d'un large éventail de services AWS dédiés aux requêtes, à l'analyse, au machine learning et plus encore. Consultez la documentation pour en savoir plus sur les exemples courants de traitement post-téléchargement à l'aide de Lambda avec Amazon S3.

Q : Puis-je personnaliser des règles pour le traitement en fonction de l'utilisateur qui télécharge le fichier ?

R : Oui. Lorsque votre utilisateur télécharge un fichier, le nom d'utilisateur et l'identifiant de serveur du serveur utilisé pour le téléchargement est stocké comme partie intégrante des métadonnées de l'objet S3 associé. Vous pouvez utiliser ces informations pour le traitement post-téléchargement. Reportez-vous à la documentation sur les informations que vous utilisez pour le traitement post-téléchargement.

Accès à Amazon EFS

Q : Comment puis-je configurer mon système de fichiers EFS afin qu'il fonctionne avec AWS Transfer Family ?

R : Avant de configurer AWS Transfer Family pour un fonctionnement avec le système de fichiers Amazon EFS, vous devrez configurer la propriété des fichiers et des dossiers à l'aide des mêmes identités POSIX (identifiant utilisateur/identifiant de groupe) que vous prévoyez d'attribuer à vos utilisateurs AWS Transfer Family. Par ailleurs, si vous accédez aux systèmes de fichiers à partir d'un compte différent, les politiques de ressources doivent également être configurées sur votre système de fichiers afin d'autoriser l'accès entre comptes.

Q : Comment puis-je fournir un accès à mes utilisateurs pour le téléchargement vers/depuis mes systèmes de fichiers ?

R : Pour contrôler l'accès à un système de fichiers, Amazon EFS utilise des identifiants POSIX, composés d'un identifiant utilisateur de système d'exploitation, d'un identifiant de groupe et d'un identifiant de groupe secondaire. Lors de la configuration de votre utilisateur dans la console/CLI/API d'AWS Transfer Family, vous devrez spécifier le nom d'utilisateur, la configuration POSIX de l'utilisateur et le rôle IAM pour accéder au système de fichiers EFS. Vous devrez aussi spécifier un identifiant de système de fichiers EFS et, si vous le souhaitez, un répertoire au sein de ce système de fichiers, qui servira de répertoire d'arrivée pour l'utilisateur. Lorsque l'utilisateur AWS Transfer Family s'authentifie avec succès à l'aide de son client de transfert de fichiers, il se trouvera directement dans le répertoire de départ spécifié, ou à la racine du système de fichiers EFS spécifié. Son identifiant POSIX de système d'exploitation sera appliqué à toutes les requêtes effectuées via son client de transfert de fichiers. En tant qu'administrateur EFS, vous devrez vous assurer que les fichiers et les répertoires auxquels vous souhaitez que vos utilisateurs AWS Transfer Family accèdent sont associés à leurs identifiants POSIX correspondants dans votre système de fichiers EFS. Reportez-vous à la documentation pour en savoir plus sur la configuration de la propriété des sous-répertoires dans EFS.

Q : Comment mes fichiers transférés via les protocoles sont-ils stockés dans mes systèmes de fichiers Amazon EFS ?

R : Les fichiers transférés via les protocoles autorisés sont stockés directement dans vos systèmes de fichiers Amazon EFS et seront accessibles via une interface de système de fichiers standard ou à partir des services AWS qui peuvent accéder aux systèmes de fichiers Amazon EFS.

Q : Quelles opérations de fichiers sont prises en charge via les protocoles lors de l'utilisation d'Amazon S3 et d'Amazon EFS ?

R : Les commandes SFTP/FTPS/FTP permettant de créer, lire, mettre à jour et supprimer des fichiers, des répertoires et des liens symboliques sont prises en charge. Reportez-vous au tableau ci-dessous pour découvrir les commandes prises en charge pour EFS et S3.

Commande Amazon S3 Amazon EFS
     cd Prise en charge Prise en charge
     ls/dir Prise en charge Prise en charge
     pwd Prise en charge Prise en charge
     put Prise en charge Prise en charge
     get Prise en charge Prise en charge, y compris résolution des liens symboliques et des liens matériels
     renommage Prise en charge1 Prise en charge
     chown Pas prise en charge Prise en charge2
     chmod Pas prise en charge Prise en charge2
     chgrp Pas prise en charge Prise en charge3
     ln -s/symlink Pas prise en charge Prise en charge
     mkdir Prise en charge Prise en charge
     rm/delete Prise en charge Prise en charge
     rmdir Prise en charge4 Prise en charge
     chmtime Pas prise en charge Prise en charge

1 Seul le renommage de fichiers est pris en charge. Le renommage de répertoires ou le renommage de fichiers pour écraser des fichiers existants ne sont pas pris en charge.

2 Seuls les utilisateurs racine (c.-à-d. ceux dont l'uid=0) peuvent modifier la propriété et les autorisations de fichiers et de répertoires.

3 Prise en charge pour les utilisateurs racine (c.-à-d. uid=0) ou pour le propriétaire du fichier, qui peut uniquement modifier le groupe d'un fichier en choisissant un de ses groupes secondaires.

4 Prise en charge uniquement pour les dossiers non vides.

Q : Comment puis-je contrôler les fichiers et dossiers auxquels les utilisateurs ont accès, ainsi que les opérations que ces derniers sont autorisés ou non à effectuer ?

R : La politique IAM que vous fournissez pour l'utilisateur AWS Transfer Family détermine s'il bénéficie d'un accès racine, en lecture seule ou en lecture et écriture à votre système de fichiers. Par ailleurs, en tant qu'administrateur de système de fichiers, vous pouvez définir la propriété des fichiers et des répertoires et y accorder l'accès au sein de votre système de fichiers à l'aide d'identifiants utilisateur et d'identifiants de groupe. Cela s'applique aux utilisateurs stockés au sein du service (gérés par le service), mais aussi à ceux stockés au sein de votre système de gestion des identités (authentification « BYO »).

Q : Puis-je définir des restrictions afin que chacun de mes utilisateurs ait accès à des répertoires différents au sein de mon système de fichiers et n'ait accès qu'aux fichiers présents au sein de ces répertoires ?

R : Oui. Lorsque vous configurez des utilisateurs, vous pouvez spécifier des systèmes de fichiers et des répertoires différents pour chacun d'entre eux. Lorsque l'authentification est réussie, EFS applique un répertoire pour chaque demande de système de fichiers effectuée à l'aide des protocoles activés.

Q : Puis-je masquer le nom du système de fichiers afin qu'il n'apparaisse pas pour l'utilisateur ?

R : Oui. Grâce aux mappages de répertoires logiques d'AWS Transfer Family, vous pouvez empêcher l'utilisateur final de voir les répertoires dans votre système de fichiers en mappant des chemins absolus aux noms de chemin visibles pour l'utilisateur final. Cela vous permet aussi d'effectuer un « chroot » de l'utilisateur vers le répertoire de départ que vous lui avez attribué.

Q : Les liens symboliques sont-ils pris en charge ?

R : Oui. Si des liens symboliques sont présents dans les répertoires accessibles à l'utilisateur et que ce dernier essaie d'y accéder, les liens seront résolus vers les cibles correspondantes. Les liens symboliques ne sont pas pris en charge lorsque vous utilisez le mappage de répertoire logique pour configurer l'accès des utilisateurs.

Q : Puis-je fournir un accès utilisateur SFTP/FTPS/FTP individuel à plus d'un système de fichiers ?

R : Oui. Lorsque vous configurez un utilisateur AWS Transfer Family, vous pouvez spécifier un ou plusieurs systèmes de fichiers dans la politique IAM que vous fournissez dans le cadre cette configuration afin de donner à l'utilisateur accès à plusieurs systèmes de fichiers.

Q : Avec quels systèmes d'exploitation puis-je accéder à mes systèmes de fichiers EFS via AWS Transfer Family ?

R : Vous pouvez utiliser les clients et applications conçues pour Microsoft Windows, Linux, macOS ou tout autre système d'exploitation prenant en charge les protocoles SFTP/FTPS/FTP pour télécharger et accéder aux fichiers stockés dans vos systèmes de fichiers EFS. Configurez simplement le serveur et l'utilisateur avec les autorisations appropriées pour le système de fichiers EFS afin d'accéder au système de fichiers sur l'ensemble des systèmes d'exploitation.

Q : Comment savoir quel utilisateur a transféré un fichier ?

R : Pour les nouveaux fichiers, l'identifiant utilisateur POSIX associé à l'utilisateur transférant le fichier sera défini comme propriétaire du fichier dans votre système de fichiers EFS. Par ailleurs, avec Amazon CloudWatch, vous pouvez suivre les activités des utilisateurs relatives à la création, la mise à jour, la suppression et la lecture de fichiers. Consultez la documentation pour en savoir plus sur l'activation de la journalisation Amazon CloudWatch.

Q : Puis-je afficher le volume de données téléchargées et transférées via les protocoles activés ?

R : Oui. Les métriques relatives aux données téléchargées et transférées à l'aide de votre serveur sont publiées dans Amazon CloudWatch au sein de l'espace de noms AWS Transfer Family. Consultez la documentation pour afficher les métriques disponibles pour le suivi et la surveillance.

Q : Puis-je utiliser AWS Transfer Family pour accéder à un système de fichiers dans un autre compte ?

R : Oui. Avec la CLI et l'API, vous pouvez configurer l'accès entre comptes entre vos ressources AWS Transfer Family et vos systèmes de fichiers EFS. La console AWS Transfer Family ne répertoriera que les systèmes de fichiers dans le même compte. Par ailleurs, vous devrez vous assurer que le rôle IAM attribué à l'utilisateur pour accéder au système de fichiers appartient au compte A.

Q : Que se passe-t-il si les bonnes politiques pour l'accès entre comptes ne sont pas activées pour mon système de fichiers EFS ?

R : Si vous configurez un serveur AWS Transfer Family afin qu'il accède à un système de fichiers EFS pour lequel l'accès entre comptes n'est pas activé, l'accès des utilisateurs SFTP/FTP/FTPS au système de fichiers sera refusé. Si la journalisation CloudWatch est activée sur votre serveur, les erreurs d'accès entre comptes seront consignées dans CloudWatch Logs.

Q : Puis-je utiliser AWS Transfer Family pour accéder à un système de fichiers EFS dans une autre région AWS ?

R : Non. AWS Transfer Family vous permet d'accéder uniquement aux systèmes de fichiers EFS situés dans la même région AWS.

Q : Puis-je utiliser AWS Transfer Family avec toutes les classes de stockage EFS ?

R : Oui. Vous pouvez utiliser AWS Transfer pour écrire des fichiers vers EFS et configurer EFS Lifecycle Management pour faire migrer les fichiers qui n'ont pas été utilisés depuis un certain temps vers la classe de stockage avec accès peu fréquent.

Q : Mes applications peuvent-elles se servir des protocoles SFTP/FTPS/FTP pour écrire et lire simultanément des données dans le même fichier ?

R : Oui. Amazon EFS fournit une interface de système de fichiers, une sémantique d'accès de système de fichiers (par ex. : forte cohérence des données et verrouillage des fichiers) et un stockage auquel peuvent accéder simultanément des milliers de clients NFS/SFTP/FTPS/FTP.

Q : Mes crédits de transmission en rafales EFS sont-ils consommés lorsque j'accède à mes systèmes de fichiers à l'aide d'AWS Transfer Family ?

R : Oui. L'accès à vos systèmes de fichiers EFS à l'aide de vos serveurs AWS Transfer Family consomme vos crédits de transmission en rafales EFS, quel que soit le mode de débit. Consultez la documentation sur les modes de performances et de débit disponibles et découvrez des conseils utiles en matière de performances.

Sécurité et conformité

Q :Quels protocoles utiliser pour sécuriser les données en transit sur un réseau public ?

R : Vous pouvez utiliser SFTP ou FTPS pour des transferts sécurisés sur les réseaux publics. Compte tenu de la sécurité sous-jacente des protocoles basés sur les algorithmes cryptographiques SSH et TLS, les données et les commandes sont transférées via un canal sécurisé et crypté.

Q : Quelles sont les options de chiffrement de données au repos disponibles ?

R : Vous pouvez choisir de chiffrer les fichiers stockés dans votre compartiment à l'aide d'Amazon KMS (SSE-KMS) ou du chiffrement côté serveur d'Amazon S3 (SSE-S3). Pour le chiffrement au repos des fichiers stockés dans EFS, vous avez le choix entre une clé CMK gérée par AWS et une clé CMK gérée par le client. Consultez la documentation pour en savoir plus sur les options de chiffrement au repos des données et métadonnées de fichier à l'aide d'Amazon EFS.

Q : Quels sont les programmes de conformité pris en charge par AWS Transfer Family ?

R : La famille AWS Transfer est conforme aux normes PCI-DSS et RGPD et est éligible à la loi HIPAA. Le service est également conforme SOC 1, 2 et 3. Apprenez-en davantage sur les services concernés par les programmes de conformité.

Q : La famille AWS Transfer est-elle conforme à la loi FISMA ?

R : Les régions AWS USA Est, USA Ouest et GovCloud (US) sont conformes à la loi FISMA. Lorsque la famille AWS Transfer est autorisée pour FedRAMP, elle sera conforme à la loi FISMA dans les régions concernées. L'autorisation FedRAMP pour ces deux régions pour FedRAMP Moderate et FedRAMP High démontre cette conformité. Cette conformité s’appuie sur des évaluations annuelles et la documentation des contrôles NIST SP 800-53 en vigueur dans nos plans de sécurité système. Des modèles sont disponibles sur Artifact avec notre matrice de responsabilité client (CRM) qui démontre, de manière détaillée, notre engagement à respecter ces contrôles NIST tel que l’exige FedRAMP. Artifact est disponible via la console de gestion accessible par un compte AWS pour les régions USA Est, USA Ouest et GovCloud (US). Si vous avez d'autres questions sur ce sujet, veuillez consulter la console.

Q : Comment le service assure-t-il l'intégrité des fichiers téléchargés ?

R : Tous les fichiers téléchargés via les services sont vérifiés en comparant le total de contrôle MD5 pré et post-téléchargement du fichier.

Q : Comment surveiller l’activité de mes clients finaux ?

R : Vous pouvez utiliser Amazon CloudWatch pour surveiller l’activité de vos utilisateurs finaux, et AWS CloudTrail pour accéder à un enregistrement de toutes les opérations d’API S3 appelées par votre serveur en réponse aux demandes de données de vos utilisateurs finaux. Consultez la documentation sur l'activation de la journalisation Amazon CloudWatch et AWS CloudTrail.

Q : Comment assurer le suivi du volume de données téléchargées en amont/aval sur les protocoles ?

R : Vous pouvez utiliser les métriques Amazon CloudWatch pour surveiller et suivre les données téléchargées en amont/aval par vos utilisateurs sur les protocoles de votre choix. Consultez la documentation pour en savoir plus sur l’utilisation des métriques Amazon CloudWatch.

Facturation

Q : Comment s’effectue la facturation du service ?

R : Chaque protocole activé vous est facturé sur une base horaire, de l'heure de création et de configuration du point de terminaison de votre serveur jusqu'à l’heure de sa suppression. Vous êtes également facturé en fonction de la quantité de données chargées et téléchargées via SFTP, FTPS ou FTP. Pour plus d'informations, consultez la page tarification.

Q : Ma facture sera-t-elle différente selon que j’utilise le même point de terminaison de serveur pour plusieurs protocoles ou différents points de terminaison pour chaque protocole ?

R : Non, vous êtes facturé de l’heure pour chacun des protocoles que vous avez activés et pour la quantité de données transférées via chacun des protocoles, et ce indépendamment du fait que vous ayez activé le même point de terminaison pour plusieurs protocoles ou que vous utilisiez différents points de terminaison pour chacun des protocoles.

Q : J'ai arrêté mon serveur. Est-ce que je serai facturé même s’il est arrêté ?

R : Oui, arrêter le serveur, à l'aide de la console ou en exécutant la commande CLI « stop-server », ou encore la commande API « StopServer », n'a aucune incidence sur la facturation. Vous êtes facturé sur une base horaire, de l'heure de création du point de terminaison de votre serveur et de configuration de l’accès audit point sur un ou plusieurs protocoles jusqu'à l’heure de sa suppression.

En savoir plus sur la tarification SFTP
En savoir plus sur la tarification

La famille AWS Transfer fournit un service entièrement géré, réduisant vos coûts opérationnels liés à l'exécution des services de transfert de fichiers.

En savoir plus 
Créer gratuitement un compte AWS
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
Commencer à créer avec SFTP
Commencer à créer sur la console

Commencez à créer vos services SFTP, FTPS et FTP dans AWS Management Console.

Se connecter