Généralités

Q : Qu'est-ce que la famille AWS Transfer ?

R : La famille AWS Transfer est un terme regroupant les outils AWS Transfer for SFTP, AWS Transfer for FTPS et AWS Transfer for FTP. La famille AWS Transfer offre un support entièrement géré pour le transfert de fichiers via SFTP, FTPS, et FTP directement vers et depuis Amazon S3. Vous pouvez migrer en toute transparence vos flux de travail de transfert de fichiers en maintenant les configurations côté client existantes pour l'authentification, l'accès et les pare-feu. Par conséquent, rien ne change pour vos clients, vos partenaires et vos équipes internes ni pour leurs applications.

Q : Qu'est-ce que SFTP ?

R : SFTP signifie Secure Shell (SSH) File Transfer Protocol, un protocole réseau utilisé pour le transfert sécurisé de données sur Internet. Le protocole prend en charge la sécurité complète et les fonctionnalités d'authentification de SSH. Il est largement utilisé pour l'échange de données entre partenaires commerciaux dans des secteurs divers tels que les services financiers, la santé, les médias et le divertissement, la vente au détail et la publicité.

Q : Qu'est-ce que FTP ?

R : FTP signifie File Transfer Protocol, un protocole réseau utilisé pour le transfert de données. FTP utilise un canal distinct pour le contrôle et le transfert de données. Le canal de contrôle est ouvert jusqu'à ce qu'il y soit mis fin ou jusqu'à la temporisation d'inactivité, tandis que le canal de données est actif pour durée du transfert. FTP utilise le texte en clair, et ne prend pas en charge le chiffrement du trafic.

Q : Qu'est-ce que FTPS ?

R : FTPS signifie File Transfer Protocol via SSL, et est une extension à FTP. Cet outil utilise les protocoles cryptographiques TLS (Transport Layer Security) et SSL (Secure Sockets Layer) pour chiffrer le trafic. FTPS permet le chiffrement à la fois du contrôle et des connexions du canal de données, concurremment ou indépendamment.

Q : Pourquoi utiliser la famille AWS Transfer ?

R : Aujourd'hui, si vous utilisez des protocoles de transfert de fichiers, par exemple SFTP, FTPS ou FTP, pour échanger des données avec des tiers tels que vos fournisseurs, vos partenaires commerciaux ou vos clients, et que vous souhaitez gérer ces données dans AWS à des fins de traitement, d'analyse et d'archivage, vous devez héberger et gérer votre propre service de transfert de fichiers. Cela nécessite que vous investissiez dans l'exploitation et la gestion d'une infrastructure, dans la correction des serveurs, dans la surveillance du temps de fonctionnement et de la disponibilité, et dans la création de mécanismes ponctuels pour provisionner les utilisateurs et auditer leur activité. La famille AWS Transfer résout ces problèmes en fournissant un support entièrement géré pour SFTP, FTPS et FTP capable de réduire votre charge opérationnelle, tout en préservant vos flux de travail de transfert existants pour vos utilisateurs finaux. Le service stocke les fichiers transférés en tant qu'objets dans votre compartiment Amazon S3. Vous pouvez ainsi en extraire de la valeur dans votre lac de données, soit pour vos flux de travail de gestion de la relation client (CRM) ou de planification de ressources d'entreprise (ERP), soit pour l'archivage dans AWS.

Q : Quels sont les avantages qu'apporte l'utilisation de la famille AWS Transfer ?

R : La famille AWS Transfer vous fournit un service de transfert de fichiers entièrement géré et hautement disponible, doté de fonctionnalités de scalabilité automatique, vous évitant ainsi de devoir gérer une infrastructure liée au transfert de fichiers. Les flux de travail de vos utilisateurs finaux restent inchangés, et les données téléchargées en amont/aval via les protocoles de votre choix sont stockées dans votre compartiment Amazon S3. Vous pouvez désormais utiliser facilement les données stockées dans Amazon S3 grâce au large éventail de services AWS permettant le traitement, l'analyse, le machine learning et l'archivage des données, dans un environnement répondant à vos exigences de conformité.

Q : Comment utiliser la famille AWS Transfer ?

R : En trois étapes simples, vous obtenez un point de terminaison de serveur toujours actif compatible SFTP, FTPS et/ou FTP. Pour commencer, sélectionnez le ou les protocoles de votre choix pour permettre à vos utilisateurs finaux de se connecter à votre point de terminaison. Ensuite, configurez vos utilisateurs en intégrant un fournisseur d'identité existant, par exemple Microsoft Active Directory ou LDAP pour l'authentification (authentification « BYO »). Enfin, assignez les rôles IAM pour fournir l'accès à vos compartiments S3. Une fois les protocoles, le fournisseur d'identité et les politiques d'accès au compartiment S3 activés, vos utilisateurs peuvent continuer d'utiliser leurs clients et configurations existants, tandis que les données accédées sont stockées dans votre compartiment S3.

Q : Quelle est la différence entre SFTP et FTPS ? Lequel des deux dois-je utiliser et quand ?

R : SFTP et FTPS peuvent tous deux être utilisés pour des transferts sécurisés. Étant donné que les deux protocoles sont différents, ils utilisent des clients et des technologies différents pour fournir un tunnel sécurisé pour la transmission des commandes et des données. SFTP est un protocole plus récent et utilise un seul canal de commandes et de données, nécessitant ainsi moins d'ouvertures de ports que FTPS.

Q : Mes utilisateurs peuvent-ils utiliser SCP, HTTPS ou AS2 pour transférer des fichiers à l'aide de ce service ?

R : Non, vos utilisateurs devront utiliser SFTP, FTPS ou FTP pour transférer des fichiers. La plupart des clients de transfert de fichiers proposent l'un ou l'autre de ces protocoles en tant qu'option à sélectionner pendant l'authentification.

Q : Mes utilisateurs peuvent-ils continuer d'utiliser leurs clients et applications de transfert de fichiers existants ?

R : Oui, tout client ou application de transfert de fichiers existant continuera de fonctionner, pour autant que vous avez activé votre point de terminaison pour les protocoles ainsi sélectionnés. Des exemples de clients couramment utilisés sont les clients WinSCP, FileZilla, CyberDuck, lftp et OpenSSH. 

Q : Puis-je utiliser CloudFormation pour automatiser le déploiement de mes serveurs et utilisateurs ?

R : Oui, vous pouvez déployer des modèles CloudFormation pour automatiser la création de vos serveurs et utilisateurs ou pour intégrer un fournisseur d'identité. Reportez-vous au guide d'utilisation pour l'utilisation des ressources AWS Transfer dans les modèles CloudFormation.

Options de points de terminaison de serveur

Q : Puis-je utiliser le nom de domaine de mon entreprise (sftp.mycompanyname.com) pour accéder à mon point de terminaison ?

R : Oui. Si vous avez déjà un nom de domaine, vous pouvez utiliser Amazon Route 53 ou tout service DNS pour acheminer le trafic de vos utilisateurs depuis votre domaine enregistré vers le point de terminaison de serveur dans AWS. Consultez la documentation sur la façon dont la famille AWS Transfer utilise Amazon Route 53 pour les noms de domaine personnalisés (uniquement applicables aux points de terminaison accessibles sur Internet).

Q : Puis-je quand même utiliser le service si je n'ai pas de nom de domaine ?

R : Oui, si vous n'avez pas de nom de domaine, vos utilisateurs peuvent accéder à votre point de terminaison à l'aide du nom d'hôte fourni par le service. Vous pouvez également enregistrer un nouveau domaine à l'aide de la console ou de l'API Amazon Route 53, et acheminer le trafic depuis ce domaine vers le nom d'hôte du point de terminaison fourni par le service.

Q : Puis-je utiliser mon domaine ayant déjà une zone publique ?

R : Oui, vous devrez nommer (CNAME) le domaine avec le nom d'hôte du point de terminaison fourni par le service.

Q : Puis-je configurer mon serveur de manière à ce qu'il soit accessible uniquement aux ressources dans mon VPC ?

R : Oui. Lorsque vous créez un serveur ou que vous mettez à jour un serveur existant, vous pouvez spécifier si vous voulez que le point de terminaison soit accessible sur l'Internet public ou hébergé dans votre VPC. L'utilisation d'un point de terminaison hébergé dans un VPC pour votre serveur vous permet de restreindre son accès uniquement aux clients du même VPC, à d'autres VPC que vous spécifiez ou dans des environnements sur site utilisant des technologies de mise en réseau qui étendent votre VPC, par exemple AWS Direct Connect, AWS VPN ou l'appairage VPC. Vous pouvez restreindre plus encore l'accès aux ressources dans des sous-réseaux spécifiques au sein de votre VPC avec des listes de contrôle d'accès réseau (NACL) de sous-réseaux ou des groupes de sécurité de points de terminaison. Pour plus d'informations, reportez-vous à la documentation sur la création d'un point de terminaison du serveur dans votre VPC à l'aide d'AWS PrivateLink.

Q : Puis-je utiliser FTP avec un point de terminaison accessible sur Internet ?

Non, lorsque vous activez FTP, vous pouvez uniquement utiliser l'option d'accès interne du point de terminaison hébergé dans un VPC. Si le trafic doit transiter par le réseau public, vous devrez utiliser des protocoles sécurisés tels que SFTP ou FTPS.

Q : Que faire si je dois utiliser FTP pour des transferts via l'Internet public ?

Le service ne vous permet pas d'utiliser FTP via des réseaux publics, car lorsque vous créez un serveur compatible FTP, le point de terminaison de serveur est uniquement accessible aux ressources dans votre VPC. Pour utiliser FTP pour l'échange des données via l'Internet public, vous pouvez interfacer le point de terminaison d'un VPC de votre serveur avec un Network Load Balancer (NLB) accessible sur Internet.

Q : Puis-je utiliser FTP sans un VPC ?

Non. Un VPC est requis pour héberger les points de terminaison du serveur FTP. Veuillez consulter la documentation sur les modèles CloudFormation visant à automatiser la création de ressources VPC pour héberger le point de terminaison lors de la création du serveur.

Q : Mes utilisateurs finaux peuvent-ils utiliser des adresses IP fixes pour ajouter sur liste blanche l'accès au point de terminaison de mon serveur dans leurs pare-feu ?

R : Oui. Vous pouvez activer des adresses IP fixes pour le point de terminaison de votre serveur en sélectionnant le point de terminaison hébergé dans un VPC pour votre serveur et l'option d'accès via Internet. Ainsi, vous pouvez attacher des adresses IP Elastic (notamment des adresses BYO IP) directement au point de terminaison qui est assigné en tant qu'adresse IP du point de terminaison. Consultez la section sur la création d'un point de terminaison accessible sur Internet dans la documentation intitulée : Création du point de terminaison de votre serveur au sein de votre VPC.

Q : Puis-je limiter le trafic entrant via les adresses IP sources des utilisateurs finaux ?

R : Oui. Vous pouvez attacher au point de terminaison d'un VPC de votre serveur des groupes de sécurité qui contrôleront le trafic entrant vers votre serveur. Consultez la section sur la création d'un point de terminaison accessible sur Internet dans la documentation intitulée : Création du point de terminaison de votre serveur au sein de votre VPC.

Q : Mes utilisateurs finaux peuvent-ils utiliser des adresses IP fixes pour accéder à mon serveur dont le type de points de terminaison est PUBLIC ?

R : Non. Les adresses IP fixes généralement utilisées à des fins de liste blanche de pare-feu ne sont actuellement pas prises en charge par le type de points de terminaison PUBLIC.

Q : Quelles plages d'adresses IP les utilisateurs finaux doivent-ils ajouter à la liste blanche pour pouvoir accéder au point de terminaison de mon serveur SFTP de type PUBLIC ?

R : Si vous utilisez un type de points de terminaison PUBLIC, vos utilisateurs devront ajouter à la liste blanche les plages d'adresses IP AWS publiées ici. Reportez-vous à la documentation pour plus d'informations sur les plages d'adresses IP AWS.

Q : La clé d'hôte de mon serveur AWS Transfer for SFTP sera-t-elle modifiée après la création du serveur ?

R : Non. Tant que vous ne la supprimez pas et n'en créez pas une nouvelle, la clé d'hôte de serveur attribuée lors de la création du serveur demeure inchangée.

Q : Puis-je importer des clés de mon serveur SFTP actuel afin que mes utilisateurs n'aient pas à revérifier les informations de session ?

R : Oui. Vous pouvez fournir une clé d’hôte RSA lorsque vous créez un nouveau serveur ou mettez à jour un serveur existant. Cette clé sera utilisée par les clients de vos utilisateurs finaux pour identifier votre serveur. Reportez-vous à la documentation sur l'utilisation des interfaces de ligne de commande et kits SDK AWS pour télécharger une clé d'hôte pour votre serveur.

Q : Comment les clients FTPS de mes utilisateurs finaux vérifient-ils l'identité de mon serveur FTPS ?

R : Si vous activez l'accès FTPS, vous devrez fournir un certificat d'Amazon Certificate Manager (ACM). Ce certificat est utilisé par les clients de vos utilisateurs finaux pour vérifier l'identité de votre serveur FTPS. Consultez la documentation ACM consacrée à la demande de nouveaux certificats ou à l'importation de certificats existants dans ACM.

Q : Les modes actif et passif de FTPS et FTP sont-ils pris en charge ?

R : Nous ne prenons en charge que le mode passif, qui permet aux clients de vos utilisateurs finaux d'initier des connexions avec votre serveur. Le mode passif nécessite moins d'ouvertures de ports côté client, rendant le point de terminaison de votre serveur plus compatible avec les utilisateurs finaux derrière les pare-feu protégés.

Q : Les modes FTPS explicite et implicite sont-ils pris en charge ?

R : Nous ne prenons en charge que le mode FTPS explicite.

Accès multiprotocole

Q : Puis-je activer plusieurs protocoles sur le même point de terminaison ?

R : Oui. Lors de la configuration, vous pouvez sélectionner le ou les protocoles de votre choix pour permettre aux clients de se connecter à votre point de terminaison. Le nom de domaine de serveur et le fournisseur d'identité sont partagés sur les protocoles ainsi sélectionnés. De même, vous pouvez également ajouter le support FTP/FTPS à un point de terminaison existant de serveur AWS Transfer for SFTP, à condition que le point de terminaison soit hébergé au sein de votre VPC et que vous utilisiez un fournisseur d'identité personnalisé.

Q : Quand dois-je créer des points de terminaison de serveur distincts pour chaque protocole plutôt que d'activer le même point de terminaison pour plusieurs protocoles ?

R : Si vous devez utiliser FTP (uniquement pris en charge pour l'accès au sein du VPC), ainsi que la prise en charge sur Internet pour SFTP ou FTPS, vous devrez avoir besoin d'un point de terminaison de serveur distinct pour FTP. Vous pouvez utiliser le même point de terminaison pour plusieurs protocoles, lorsque vous souhaitez utiliser un nom d'hôte de point de terminaison et une adresse IP identiques pour les clients qui se connectent sur plusieurs protocoles. De plus, si vous souhaitez partager les mêmes informations d'identification pour SFTP et FTPS, vous pouvez configurer et utiliser un fournisseur d'identité unique pour l'authentification des clients qui se connectent sur l'un ou l'autre protocole.

Q : Puis-je configurer le même utilisateur final pour accéder au point de terminaison sur plusieurs protocoles ?

Oui, vous pouvez fournir au même utilisateur l'accès sur plusieurs protocoles, à condition que les informations d'identification propres au protocole aient été configurées au sein de votre fournisseur d'identité. Si vous avez activé FTP, nous vous recommandons de maintenir des informations d'identification distinctes pour FTP. Veuillez consulter la documentation relative à la configuration d'informations d'identification distinctes pour FTP.

Q : Pourquoi devrais-je maintenir des informations d'identification distinctes pour les utilisateurs FTP ?

Contrairement à SFTP et FTPS, FTP transmet les informations d'identification en texte en clair. Nous vous recommandons d'isoler les informations d'identification FTP de celles relatives à SFTP et FTPS, car en cas de partage ou d'exposition accidentels des informations d'identification FTP, vos charges de travail utilisant SFTP ou FTPS restent protégées.

Modes d'authentification

Q : Comment le service authentifie-t-il les utilisateurs ?

R : Le service prend en charge deux modes d'authentification, à savoir l'authentification gérée par le service, où vous stockez les identités des utilisateurs au sein du service, et l'authentification personnalisée (BYO), qui vous permet d'intégrer un fournisseur d'identité de votre choix. L'authentification gérée par le service prend uniquement en charge les points de terminaison de serveur qui sont activés pour SFTP.

Q : Comment puis-je authentifier mes utilisateurs à l'aide de l'authentification gérée par le service ?

R : Vous pouvez utiliser l'authentification gérée par le service pour authentifier vos utilisateurs SFTP à l'aide des clés SSH.

Q : Combien de clés SSH puis-je télécharger par utilisateur SFTP ?

R : Vous pouvez télécharger jusqu'à 10 clés SSH par utilisateur.

Q : La rotation des clés SSH est-elle prise en charge pour l'authentification gérée par le service ?

R : Oui. Reportez-vous à la documentation pour savoir comment configurer la rotation des clés pour vos utilisateurs SFTP.

Q : Puis-je utiliser l'authentification gérée par le service pour l'authentification par mot de passe ?

R : Non, le stockage des mots de passe dans le service à des fins d'authentification n'est pas pris en charge pour le moment. Si vous avez besoin d'une authentification par mot de passe, utilisez l'architecture décrite dans cet article sur l'activation de l'authentification par mot de passe à l'aide de Secrets Manager.

Q : Pourquoi utiliser le mode d'authentification personnalisée ?

R : Le mode d'authentification personnalisée (authentification « BYO ») vous permet de tirer parti d'un fournisseur d'identité existant pour gérer vos utilisateurs finaux pour tous les types de protocoles (SFTP, FTPS et FTP), ce qui permet une migration facile et transparente de vos utilisateurs. Les informations d'identification peuvent être stockées dans le répertoire de votre entreprise ou dans un magasin de données d'identités interne, et vous pouvez les intégrer à des fins d'authentification des utilisateurs finaux. Les exemples de fournisseurs d'identité incluent Microsoft Active Directory (AD), Lightweight Directory Access Protocol (LDAP) ou tout fournisseur d'identité personnalisé que vous pourriez utiliser dans le cadre d'un portail de provisionnement global.

Q : Comment démarrer avec l'intégration de mon fournisseur d'identité existant pour l'authentification personnalisée ?

R : Pour démarrer, vous pouvez utiliser le modèle AWS CloudFormation dans le guide d'utilisation et fournir les informations nécessaires à l'authentification et à l'accès des utilisateurs. Visitez le site Web sur les fournisseurs d'identité personnalisés pour en savoir plus.

Q : Les utilisateurs anonymes sont-ils pris en charge ?

R : Non, les utilisateurs anonymes ne sont pris en charge pour aucun protocole pour le moment.

Q : Lors de la configuration de mes utilisateurs via un fournisseur d'identité personnalisé, quelles informations sont utilisées pour permettre l'accès à mes utilisateurs ?

R : Votre utilisateur devra fournir un nom d'utilisateur et un mot de passe (ou clé SSH) qui seront utilisés pour l'authentification. L'accès à votre compartiment est déterminé par le rôle AWS IAM fourni par les outils API Gateway et Lambda utilisés pour interroger votre fournisseur d'identité. Vous devrez également fournir des informations sur le répertoire de base. Il est recommandé de les verrouiller dans le dossier de base désigné afin d'optimiser la sécurité et la convivialité. Reportez-vous à cet article de blog pour savoir comment simplifier l'expérience de vos utilisateurs finaux lorsque vous utilisez un fournisseur d'identité personnalisé avec AWS SFTP.

Privilèges d'accès des utilisateurs

Q : Pourquoi dois-je fournir un rôle AWS IAM et comment est-il utilisé ?

R : AWS IAM est utilisé pour déterminer le niveau d'accès que vous souhaitez fournir à vos utilisateurs. Cela inclut les opérations que vous souhaitez activer sur leur client et les compartiments Amazon S3 auxquels ils ont accès, qu'il s'agisse de la totalité ou d'une partie du compartiment.

Q : Pourquoi dois-je fournir des informations sur le répertoire de base et comment sont-elles utilisées ?

Le répertoire de base que vous avez configuré pour votre utilisateur détermine son répertoire de connexion. Il s'agit du chemin de répertoire que le client de votre utilisateur utilisera dès qu'il aura été authentifié avec succès dans le serveur. Vous devez vous assurer que le rôle IAM fourni donne à l'utilisateur l'accès au répertoire de base.

Q : J'ai des centaines d'utilisateurs qui ont des paramètres d'accès similaires, mais à différentes parties de mon compartiment. Puis-je les configurer en utilisant le même rôle et la même stratégie IAM pour activer leur accès ?

Oui. Vous pouvez assigner un rôle IAM unique pour tous vos utilisateurs et utiliser des mappages logiques de répertoire qui spécifient les chemins absolus de compartiment Amazon S3 que vous souhaitez rendre visibles pour vos utilisateurs finaux et comment vous souhaitez que ces chemins leur soient présentés par leurs clients. Consultez l’article de blog sur la simplication de la structure AWS SFTP/FTPS/FTP avec les répertoires chroot et logiques.

Q : Comment les fichiers stockés dans mon compartiment Amazon S3 sont-ils transférés avec AWS Transfer ?

Les fichiers transférés via les protocoles pris en charge sont stockés en tant qu'objets dans votre compartiment Amazon S3. Un mappage un à un entre les fichiers et les objets permet un accès natif à ces objets à l'aide des services AWS pour le traitement ou l'analyse.

Q : Comment les objets Amazon S3 stockés dans mon compartiment sont-ils présentés à mes utilisateurs ?

Une fois l'authentification réussie, le service présente les objets et les dossiers Amazon S3 sous forme de fichiers et de répertoires aux applications de transfert de vos utilisateurs, en fonction des informations d'identification de vos utilisateurs.

Q : Quelles opérations de fichiers sont prises en charge ? Quelles opérations ne sont pas prises en charge ?

R : Les commandes courantes permettant de créer, lire, mettre à jour et supprimer des fichiers et des répertoires sont prises en charge. Les fichiers sont stockés en tant qu'objets individuels dans votre compartiment Amazon S3. Les répertoires sont gérés sous la forme d'objets de dossier dans S3, en utilisant la même syntaxe que la console S3.

Les opérations de changement de nom de répertoire, les opérations d'ajout, la modification des droits de propriété, des autorisations et des horodatages, ainsi que l'utilisation de liens symboliques et en dur ne sont pas prises en charge pour le moment.

Q : Puis-je contrôler les opérations que mes utilisateurs sont autorisés à effectuer ?

R : Oui, vous pouvez activer et désactiver les opérations de fichiers à l'aide du rôle AWS IAM que vous avez mappé à leur nom d'utilisateur. Veuillez consulter la documentation sur la création de politiques et de rôles IAM pour contrôler l'accès de vos utilisateurs finaux.

Q : Puis-je fournir à mes utilisateurs finaux l'accès à plus d'un compartiment Amazon S3 ?

R : Oui. Le(s) compartiment(s) auquel (auxquels) votre utilisateur peut accéder est (sont) déterminé(s) par le rôle IAM de l'AWS et les conditions générales à portée descendante en option que vous lui attribuez. Vous ne pouvez utiliser qu'un seul compartiment comme répertoire de base pour l'utilisateur.

Q : Puis-je créer un serveur à l'aide du compte AWS A et mapper mes utilisateurs sur des compartiments Amazon S3 appartenant au compte AWS B ?

R : Oui. Vous pouvez utiliser l'interface de ligne de commande et l'API pour configurer l'accès croisé aux comptes entre votre serveur et les compartiments que vous voulez utiliser pour stocker les fichiers transférés via les protocoles pris en charge. Le menu déroulant Console n'affichera que les compartiments du compte A. De plus, vous devrez vérifier que le rôle attribué à l'utilisateur appartient bien au compte A.

Q : Puis-je automatiser le traitement d'un fichier une fois qu'il a été téléchargé sur Amazon S3 ?

R : Oui, vous pouvez utiliser les événements Amazon S3 pour automatiser le traitement post-téléchargement à l'aide d'un large éventail de services AWS dédiés aux requêtes, à l'analyse, au machine learning et plus encore. Consultez la documentation pour en savoir plus sur les exemples courants de traitement post-téléchargement à l'aide de Lambda avec Amazon S3.

Q : Puis-je personnaliser des règles pour le traitement en fonction de l'utilisateur qui télécharge le fichier ?

R : Oui. Lorsque votre utilisateur télécharge un fichier, le nom d'utilisateur et l'identifiant de serveur du serveur utilisé pour le téléchargement est stocké comme partie intégrante des métadonnées de l'objet S3 associé. Vous pouvez utiliser ces informations pour le traitement post-téléchargement.

Sécurité et conformité

Q :Quels protocoles utiliser pour sécuriser les données en transit sur un réseau public ?

Vous pouvez utiliser SFTP ou FTPS pour des transferts sécurisés sur les réseaux publics. Compte tenu de la sécurité sous-jacente des protocoles basés sur les algorithmes cryptographiques SSH et TLS, les données et les commandes sont transférées via un canal sécurisé et chiffré.

Q : Quelles sont les options de chiffrement de données au repos disponibles ?

R : Vous pouvez choisir de chiffrer les fichiers stockés dans votre compartiment à l'aide d'Amazon KMS (SSE-KMS) ou du chiffrement côté serveur d'Amazon S3 (SSE-S3).

Q : Quels sont les programmes de conformité pris en charge par la famille AWS Transfer ?

R : La famille AWS Transfer est conforme aux normes PCI-DSS et RGPD et est éligible à la loi HIPAA. Le service est également conforme SOC 1, 2 et 3. Apprenez-en davantage sur les services concernés par les programmes de conformité.

Q : La famille AWS Transfer est-elle conforme à la loi FISMA ?

R : Les régions AWS USA Est, USA Ouest et GovCloud (US) sont conformes. L'autorisation FedRAMP pour ces deux régions pour FedRAMP Moderate et FedRAMP High démontre cette conformité. Cette conformité s’appuie sur des évaluations annuelles et la documentation des contrôles NIST SP 800-53 en vigueur dans nos plans de sécurité système. Des modèles sont disponibles sur Artifact avec notre matrice de responsabilité client (CRM) qui démontre, de manière détaillée, notre engagement à respecter ces contrôles NIST tel que l’exige FedRAMP. Artifact est disponible via la console de gestion accessible par un compte AWS pour les régions USA Est, USA Ouest et GovCloud (US). Si vous avez d'autres questions sur ce sujet, veuillez consulter la console.

Q : Comment le service assure-t-il l'intégrité des fichiers téléchargés ?

R : Tous les fichiers téléchargés via les services sont vérifiés en comparant le total de contrôle MD5 pré et post-téléchargement du fichier.

Q : Comment surveiller l’activité de mes clients finaux ?

R : Vous pouvez utiliser Amazon CloudWatch pour surveiller l’activité de vos utilisateurs finaux, et AWS CloudTrail pour accéder à un enregistrement de toutes les opérations d’API S3 appelées par votre serveur en réponse aux demandes de données de vos utilisateurs finaux. Consultez la documentation sur l'activation de la journalisation Amazon CloudWatch et AWS CloudTrail.

Q : Comment assurer le suivi du volume de données téléchargées en amont/aval sur les protocoles ?

R : Vous pouvez utiliser les métriques Amazon CloudWatch pour surveiller et suivre les données téléchargées en amont/aval par vos utilisateurs sur les protocoles de votre choix. Consultez la documentation pour en savoir plus sur l’utilisation des métriques Amazon CloudWatch.

Facturation

Q : Comment s’effectue la facturation du service ?

Chaque protocole activé vous est facturé sur une base horaire, de l'heure de création et de configuration du point de terminaison de votre serveur jusqu'à l’heure de sa suppression. Vous êtes également facturé en fonction de la quantité de données chargées et téléchargées via SFTP, FTPS ou FTP. Pour plus d'informations, consultez la page tarification.

Q : Ma facture sera-t-elle différente selon que j’utilise le même point de terminaison de serveur pour plusieurs protocoles ou différents points de terminaison pour chaque protocole ?

R : Non, vous êtes facturé de l’heure pour chacun des protocoles que vous avez activés et pour la quantité de données transférées via chacun des protocoles, et ce indépendamment du fait que vous ayez activé le même point de terminaison pour plusieurs protocoles ou que vous utilisiez différents points de terminaison pour chacun des protocoles.

Q : J'ai arrêté mon serveur. Est-ce que je serai facturé même s’il est arrêté ?

R : Oui, arrêter le serveur, à l'aide de la console ou en exécutant la commande CLI « stop-server », ou encore la commande API « StopServer », n'a aucune incidence sur la facturation. Vous êtes facturé sur une base horaire, de l'heure de création du point de terminaison de votre serveur et de configuration de l’accès audit point sur un ou plusieurs protocoles jusqu'à l’heure de sa suppression.

En savoir plus sur la tarification SFTP
En savoir plus sur la tarification

La famille AWS Transfer fournit un service entièrement géré, réduisant vos coûts opérationnels liés à l'exécution des services de transfert de fichiers.

En savoir plus 
Créer gratuitement un compte AWS
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
Commencer à créer avec SFTP
Commencer à créer sur la console

Commencez à créer vos services SFTP, FTPS et FTP dans AWS Management Console.

Se connecter