FAQ sur l'AWS Transfer Family

Q : Qu'est-ce qu'AWS Transfer Family ?

R : AWS Transfer Family offre un support entièrement géré pour le transfert de fichiers via SFTP, AS2, FTPS, et FTP directement vers et à partir d'Amazon S3 ou d'Amazon EFS. Vous pouvez effectuer la migration, automatiser et surveiller de manière fluide vos flux de transfert de fichiers en conservant les configurations côté client existantes pour l'authentification, l'accès et les pare-feu. Ainsi, rien ne change pour vos clients, partenaires et équipes internes, ni pour leurs applications.

Q : Qu'est-ce que SFTP ?

R : SFTP signifie Secure Shell (SSH) File Transfer Protocol, un protocole réseau utilisé pour le transfert sécurisé de données sur Internet. Le protocole prend en charge la sécurité complète et les fonctionnalités d'authentification de SSH. Il est largement utilisé pour l'échange de données entre partenaires commerciaux dans des secteurs divers tels que les services financiers, la santé, les médias et le divertissement, la vente au détail et la publicité.

Q : Qu'est-ce que FTP ?

R : FTP signifie File Transfer Protocol, un protocole réseau utilisé pour le transfert de données. FTP utilise un canal distinct pour le contrôle et le transfert de données. Le canal de contrôle est ouvert jusqu'à ce qu'il y soit mis fin ou jusqu'à la temporisation d'inactivité, tandis que le canal de données est actif pour durée du transfert. FTP utilise le texte en clair, et ne prend pas en charge le chiffrement du trafic.

Q : Qu'est-ce que FTPS ?

R : FTPS signifie Protocole de transfert de fichiers via SSL, et est une extension à FTP. Comme le FTP, le FTPS utilise un canal distinct pour le contrôle et le transfert de données. Le canal de contrôle demeure ouvert jusqu'à ce qu'il soit résilié ou que le délai d'inactivité soit expiré, tandis que le canal de données demeure actif pendant toute la durée du transfert. Le FTPS utilise le protocole TLS (Transport Layer Security) pour chiffrer le trafic et permet le chiffrement des connexions de contrôle et de canal de données simultanément ou indépendamment.

Q : Qu'est-ce qu'AS2 ?

R : AS2 est l'abréviation de Applicability Statement 2, un protocole réseau utilisé pour le transfert sécurisé et fiable de données d'entreprise à entreprise sur l'Internet public via HTTP/HTTPS (ou tout autre réseau TCP/IP).

Q : Que sont les connecteurs ?

R : Les connecteurs d'AWS Transfer Family sont utilisés pour copier facilement et de manière fiable des fichiers à grande échelle entre des serveurs hébergés en externe et des services de stockage AWS. Les clients peuvent utiliser les connecteurs SFTP pour se connecter à des serveurs SFTP distants ou les connecteurs AS2 pour se connecter à des serveurs AS2 distants.  

Q : Pourquoi utiliser AWS Transfer Family ?

R : AWS Transfer Family prend en charge plusieurs protocoles pour les transferts de fichiers B2B (d'entreprise à entreprise). Ainsi, les données peuvent être échangées entre parties prenantes, fournisseurs tiers, partenaires commerciaux ou clients, et ce de manière simple et sécurisée. Sans Transfer Family, vous devez héberger et gérer votre propre service de transfert de fichiers, ce qui nécessite un investissement dans une infrastructure d'exploitation et de gestion, des serveurs d'application de correctifs, une surveillance du temps de fonctionnement et de la disponibilité et la création de mécanismes ponctuels d'allocation aux utilisateurs et d'audit de leur activité. AWS Transfer Family résout ces problèmes en offrant des options de connectivité entièrement gérées et sécurisées sur SFTP, AS2, FTPS et FTP pour les transferts de fichiers B2B afin de réduire votre charge opérationnelle tout en préservant vos flux de transfert existants pour vos utilisateurs finaux et en automatisant le traitement des fichiers à l'aide de flux de travail gérés à code réduit. Le service stocke les données transférées en tant qu'objets dans votre compartiment Amazon S3, ou en tant que fichiers dans votre système de fichiers Amazon EFS. Vous pouvez ainsi en extraire de la valeur dans votre lac de données, soit pour vos flux de gestion de la relation client (CRM) ou de planification des ressources d'entreprise (ERP), soit pour l'archivage dans AWS.

Q : Quels sont les avantages qu'apporte l'utilisation d'AWS Transfer Family ?

R : AWS Transfer Family vous fournit un service de transfert de fichiers entièrement géré et hautement disponible, doté de fonctionnalités de scalabilité automatique, vous évitant ainsi de devoir gérer une infrastructure liée au transfert de fichiers. Les flux de travail de vos utilisateurs finaux restent inchangés, et les données téléchargées en amont/aval via les protocoles de votre choix sont stockées dans votre compartiment Amazon S3 ou dans votre système de fichiers Amazon EFS. Avec les données dans AWS, vous pouvez désormais les utiliser facilement avec le large éventail de services AWS pour le traitement des données, la gestion du contenu, l'analytique, le machine learning et l'archivage, dans un environnement qui peut répondre à vos exigences de conformité.

Q : Comment démarrer avec AWS Transfer pour les points de terminaison de serveurs SFTP, FTPS et FTP ?

R : En trois étapes simples, vous obtenez un point de terminaison de serveur toujours actif compatible SFTP, FTPS et/ou FTP. Pour commencer, sélectionnez le ou les protocoles de votre choix pour permettre à vos utilisateurs finaux de se connecter à votre point de terminaison. Ensuite, vous configurez l'accès des utilisateurs à l'aide du gestionnaire d'authentification intégré à AWS Transfer Family (service géré), de Microsoft Active Directory (AD), ou en intégrant votre propre fournisseur d'identité ou un fournisseur d'identité tiers tel que Okta ou Microsoft AzureAD (authentification « BYO »). Enfin, sélectionnez le serveur pour accéder aux compartiments S3 ou aux systèmes de fichiers EFS. Une fois le ou les protocoles, le fournisseur d'identité et l'accès aux systèmes de fichiers activés, vos utilisateurs peuvent continuer à utiliser leurs clients et configurations SFTP, FTPS ou FTP existants, tandis que les données auxquelles ils accèdent sont stockées dans les systèmes de fichiers choisis. 

Q : Comment démarrer avec AWS Transfer pour AS2 ?

R : Vous pouvez commencer à utiliser AS2 pour échanger des messages avec vos partenaires commerciaux, en trois étapes simples. Tout d'abord, importez vos certificats et clés privées ,ainsi que le certificat et la chaîne de certificats de vos partenaires commerciaux. Ensuite, créez des profils en utilisant vos identifiants AS2 et ceux de votre partenaire. Enfin, associez vos informations de profil et celles de votre partenaire en utilisant un accord pour la réception de données et un connecteur pour l'envoi de données. À ce stade, vous êtes prêt à échanger des messages avec le serveur AS2 de votre partenaire commercial.

Q : Comment démarrer avec les connecteurs SFTP d'AWS Transfer ?

R : Vous pouvez commencer à utiliser des connecteurs SFTP pour copier des fichiers entre des serveurs SFTP distants et Amazon S3 en deux étapes simples : créez d'abord un connecteur en fournissant la configuration de la connexion,
telle que l'adresse du serveur distant et les informations d'identification pour l'authentification. Invoquez ensuite une opération de transfert de fichiers en fournissant les chemins des fichiers source et de destination lors de l'appel à l'API StartFileTransfer pour copier un fichier vers ou depuis le serveur distant à l'aide du connecteur. Pour en savoir plus, consultez la documentation du connecteur SFTP.

Q : Quelle est la différence entre SFTP et FTPS ? Lequel des deux dois-je utiliser et quand ?

R : SFTP et FTPS peuvent tous deux être utilisés pour des transferts sécurisés. Étant donné que les deux protocoles sont différents, ils utilisent des clients et des technologies différents pour fournir un tunnel sécurisé pour la transmission des commandes et des données. SFTP est un protocole plus récent, qui utilise un seul canal pour les commandes et les données, et il nécessite moins d'ouvertures de ports que FTPS.

Q : Quelle est la différence entre les protocoles SFTP, FTPS et AS2 ? Quand utiliser le protocole AS2 ?

R : Les protocoles SFTP, FTPS et AS2 peuvent tous être utilisés pour les transferts sécurisés. Comme il s'agit de protocoles différents, ils utilisent des clients et des technologies différents pour effectuer des transmissions sécurisées de données. Outre la prise en charge des messages chiffrés et signés, le mécanisme intégré d'AS2 pour Message Disposition Notification (MDN) avertit l'expéditeur que le message a été reçu et déchiffré correctement par le destinataire. L'expéditeur a ainsi la preuve que son message a été remis sans avoir été altéré pendant le transit. L'utilisation d'AS2 est répandue dans les flux du commerce de détail, du commerce électronique, des paiements, de la chaîne d'approvisionnement pour interagir avec les partenaires commerciaux qui peuvent également utiliser AS2 pour traiter les messages, afin qu'ils soient transmis et remis en toute sécurité. AS2 vous offre des options pour garantir l'identité de l'expéditeur et du destinataire, l'intégrité du message, et pour confirmer que le message a été remis et déchiffré par le destinataire.

Q : Mes utilisateurs peuvent-ils continuer d'utiliser leurs clients et applications de transfert de fichiers existants ?

R : Oui. Toutes les applications client de transfert de fichiers existantes continuent à fonctionner tant que vous laissez activé votre point de terminaison pour les protocoles choisis. WinSCP, FileZilla, CyberDuck, lftp et OpenSSH sont des exemples de clients SFTP/FTPS/FTP couramment utilisés.

Q : Mes utilisateurs peuvent-ils charger et télécharger des fichiers via un portail web ?

R : Oui, les clients peuvent utiliser le client web d'AWS Transfer Family pour permettre aux utilisateurs de charger et de télécharger des fichiers via un portail web. Les clients ont accès aux mêmes avantages d'authentification et de contrôle d'accès qu'AWS Transfer pour SFTP, en plus d'une interface de navigateur web intuitive conçue pour les utilisateurs non techniques.

Q : Mes utilisateurs peuvent-ils utiliser SCP ou HTTPS pour transférer des fichiers à l'aide de ce service ?

R : Non. Ils doivent utiliser SFTP, AS2, FTPS ou FTP pour transférer des fichiers. La plupart des clients de transfert de fichiers proposent l'un ou l'autre de ces protocoles en tant qu'option à sélectionner lors de l'authentification. Si vous souhaitez tester la prise en charge d'un protocole particulier, n'hésitez pas à nous en faire part via AWS Support ou par le biais de l'équipe de votre compte AWS.

Q : Comment puis accéder aux fichiers stockés dans un site SFTP externe ?

R : Vous pouvez utiliser les connecteurs SFTP d'AWS Transfer pour accéder aux fichiers stockés sur des sites SFTP externes. Consultez la documentation sur les connecteurs SFTP pour commencer à les utiliser.

Q : Puis-je utiliser le nom de domaine de mon entreprise (sftp.mycompanyname.com) pour accéder à mon point de terminaison ?

R : Oui. Le service fournit un nom de domaine par défaut permettant d'accéder à votre point de terminaison. Si vous disposez déjà d'un nom de domaine, vous pouvez utiliser Amazon Route 53 ou tout service DNS pour acheminer le trafic de vos utilisateurs depuis votre domaine enregistré vers le point de terminaison de serveur dans AWS. Consultez la documentation sur la façon dont AWS Transfer Family utilise Amazon Route 53 pour les noms de domaine personnalisés (uniquement applicables aux points de terminaison accessibles sur Internet).

Q : Puis-je configurer mon serveur de manière à ce qu'il soit accessible uniquement aux ressources dans mon VPC ?

R : Oui. Lorsque vous créez un serveur ou que vous mettez à jour un serveur existant, vous pouvez spécifier si vous voulez que le point de terminaison soit accessible sur l'Internet public ou hébergé dans votre VPC. L'utilisation d'un point de terminaison hébergé dans un VPC pour votre serveur vous permet de restreindre son accès uniquement aux clients du même VPC, à d'autres VPC que vous spécifiez ou dans des environnements sur site utilisant des technologies de mise en réseau qui étendent votre VPC, par exemple AWS Direct Connect, AWS VPN ou l'appairage VPC. Vous pouvez restreindre plus encore l'accès aux ressources dans des sous-réseaux spécifiques au sein de votre VPC avec des listes de contrôle d'accès réseau (NACL) de sous-réseaux ou des groupes de sécurité. Pour plus d'informations, reportez-vous à la documentation sur la création du point de terminaison de votre serveur au sein de votre VPC à l'aide d'AWS PrivateLink.

Q : Puis-je utiliser FTP avec un point de terminaison accessible sur Internet ?

R : Non, lorsque vous activez FTP, vous pouvez uniquement utiliser l'option d'accès interne du point de terminaison hébergé dans un VPC. Si le trafic doit transiter par le réseau public, vous devrez utiliser des protocoles sécurisés tels que SFTP ou FTPS.

Q : Que faire si je dois utiliser FTP pour des transferts via l'Internet public ?

R : Le service ne vous permet pas d'utiliser FTP via des réseaux publics, car lorsque vous créez un serveur compatible FTP, le point de terminaison de serveur est uniquement accessible aux ressources dans votre VPC. Pour utiliser FTP pour l'échange des données via l'Internet public, vous pouvez interfacer le point de terminaison d'un VPC de votre serveur avec un Network Load Balancer (NLB) accessible sur Internet. Pour prendre en charge les clients FTP qui pourraient ne pas utiliser cette configuration, utilisez votre serveur en mode PASV.

Q : Puis-je utiliser FTP sans un VPC ?

R : Non. Un VPC est requis pour héberger les points de terminaison du serveur FTP. Veuillez consulter la documentation sur les modèles CloudFormation visant à automatiser la création de ressources VPC pour héberger le point de terminaison lors de la création du serveur.

Q : Mes utilisateurs finaux peuvent-ils utiliser des adresses IP fixes pour ajouter sur liste d’autorisation l'accès au point de terminaison de mon serveur dans leurs pare-feu ?

R : Oui. Vous pouvez activer des adresses IP fixes pour le point de terminaison de votre serveur en sélectionnant le point de terminaison hébergé dans un VPC pour votre serveur et l'option d'accès via Internet. Ainsi, vous pouvez attacher des adresses IP Elastic (notamment des adresses BYO IP) directement au point de terminaison qui est assigné en tant qu'adresse IP du point de terminaison. Consultez la section sur la création d'un point de terminaison accessible sur Internet dans la documentation intitulée : Création du point de terminaison de votre serveur au sein de votre VPC.

Q : Puis-je limiter le trafic entrant via les adresses IP sources des utilisateurs finaux ?

R : Oui. Vous avez trois options pour limiter le trafic entrant via les adresses IP sources des utilisateurs finaux. Si vous hébergez votre point de terminaison de serveur au sein du VPC, consultez cet article de blog sur l'utilisation de groupes de sécurité pour autoriser le listage de l'adresse IP source, ou utilisez le service AWS Network Firewall. Si vous utilisez un serveur public EndpointType Transfer et API Gateway pour intégrer votre système de gestion des identités, vous pouvez également utiliser AWS WAF pour autoriser ou bloquer l'accès, ou le limiter en fonction du débit, par l'adresse IP source de vos utilisateurs finaux.

Q : Puis-je héberger le point de terminaison de mon serveur dans un environnement VPC partagé ?

R : Oui. Vous pouvez déployer le point de terminaison de votre serveur avec des environnements VPC utilisés généralement lors de la segmentation de votre environnement AWS à l'aide d'outils comme AWS Landing Zone pour la sécurité, la surveillance des coûts et la scalabilité. Reportez-vous à cet article de blog sur l'utilisation des points de terminaison hébergés VPC dans des environnements VPC partagés avec AWS Transfer Family.

Q : Comment puis-améliorer les performances des transferts de fichiers pour les utilisateurs finaux situés à distance ?

R : Vous pouvez utiliser AWS Global Accelerator avec votre point de terminaison de serveur Transfer pour améliorer le débit de transfert des fichiers et le temps d'aller-retour. Pour plus d'informations, lisez cet article de blog.

Q : Puis-je sélectionner les algorithmes de chiffrement qui peuvent être utilisés lorsque les clients de mes utilisateurs finaux se connectent au point de terminaison de mon serveur ?

R : Oui. Selon vos exigences en matière de sécurité et de conformité, vous pouvez sélectionner l'une de nos politiques de sécurité gérées par service disponibles afin de contrôler les algorithmes cryptographiques qui seront publiés par les points de terminaison de votre serveur. Lorsque les clients de transfert de fichiers de vos utilisateurs finaux tentent de se connecter à votre serveur, seuls les algorithmes spécifiés dans la politique peuvent être utilisés pour la connexion. Consultez la documentation sur les politiques de sécurité prédéfinies.

Q : AWS Transfer Family prend-il en charge l'échange de clés publiques post-quantique en toute sécurité ?

R : Oui. AWS Transfer Family prend en charge l'échange à clé publique post-quantique pour les transferts de fichiers SFTP. Vous pouvez associer l'une des politiques de sécurité PQ hybrides prédéfinies à votre serveur SFTP pour permettre un échange de clés post-quantique sécurisé avec des clients prenant en charge les algorithmes de chiffrement PQ.

Q : Mes utilisateurs finaux peuvent-ils utiliser des adresses IP fixes pour accéder à mon serveur dont le type de point de terminaison est PUBLIC ?

R : Non. Les adresses IP fixes généralement utilisées à des fins de liste blanche de pare-feu ne sont actuellement pas prises en charge par le type de points de terminaison PUBLIC. Utilisez des points de terminaison hébergés dans un VPC pour attribuer des adresses IP statiques pour votre point de terminaison.

Q : De quelles plages d'adresses IP les utilisateurs finaux auront-ils besoin pour autoriser le listage, afin de pouvoir accéder au point de terminaison de mon serveur SFTP de type PUBLIC ?

R : Si vous utilisez le type de point de terminaison PUBLIC, vos utilisateurs doivent autoriser le listage des plages d'adresses IP AWS publiées ici. Reportez-vous à la documentation pour plus d'informations sur les plages d'adresses IP AWS.

Q : La clé d'hôte de mon serveur AWS Transfer for SFTP sera-t-elle modifiée après la création du serveur ?

R : Non. La clé d'hôte du serveur qui est attribuée lorsque vous créez le serveur ne change pas, à moins que vous n'ajoutiez une nouvelle clé d'hôte et supprimiez manuellement la clé originale.

Q : Quels types d'hôtes de serveur SFTP sont pris en charge ?

R : Les types de clés RSA, ED25519, et ECDSA sont pris en charge pour les clés d'hôtes du serveur SFTP.

Q : Puis-je importer les clés de mon serveur SFTP actuel, afin de dispenser mes utilisateurs d'avoir à vérifier à nouveau l'authenticité de mon serveur ?

R : Oui. Vous pouvez importer une clé d'hôte lors de la création d'un serveur ou importer plusieurs clés d'hôtes lors de la mise à jour d'un serveur. Veuillez consulter la documentation sur La gestion des clés d'hôtes pour vos serveurs compatibles SFTP.

Q : Est-il possible d'utiliser des clés d'hôtes multiples pour vérifier l'authenticité de mon serveur SFTP ?

R : Oui. La plus ancienne clé d'hôte pour chaque type de clés peut être utilisé pour vérifier l'authenticité d'un serveur SFTP. En ajoutant les clés d'hôtes RSA, ED25519 et ECDSA, 3 clés d'hôtes distinctes peuvent être utilisées pour identifier votre serveur SFTP.

Q : Quelles clés d'hôtes sont utilisées pour vérifier l'authenticité de mon serveur SFTP ?

R : la plus ancienne clé d'hôte pour chaque type de clés est utilisée pour vérifier l'authenticité de votre serveur SFTP.

Q : Puis-je procéder à une rotation de mes clés d'hôtes pour mon serveur SFTP afin de garantir des connexions sécurisée ?

R : Oui. Vous pouvez effectuer une rotation de vos clés d'hôtes du serveur SFTP à tout moment en ajoutant ou en retirant des clés d'hôtes. Veuillez consulter la documentation sur La gestion des clés d'hôtes pour vos protocoles SFTP actifs.

Q : Comment les clients FTPS de mes utilisateurs finaux vérifient-ils l'identité de mon serveur FTPS ?

R : Si vous activez l'accès FTPS, vous devrez fournir un certificat d'Amazon Certificate Manager (ACM). Ce certificat est utilisé par les clients de vos utilisateurs finaux pour vérifier l'identité de votre serveur FTPS. Consultez la documentation ACM consacrée à la demande de nouveaux certificats ou à l'importation de certificats existants dans ACM.

Q : Les modes actif et passif de FTPS et FTP sont-ils pris en charge ?

R : Nous ne prenons en charge que le mode passif, qui permet aux clients de vos utilisateurs finaux d'initier des connexions avec votre serveur. Le mode passif nécessite moins d'ouvertures de ports côté client, rendant le point de terminaison de votre serveur plus compatible avec les utilisateurs finaux derrière les pare-feu protégés.

Q : Les modes FTPS explicite et implicite sont-ils pris en charge ?

R : Nous prenons uniquement en charge le mode FTPS explicite.

Q : Puis-je transférer des fichiers via les protocoles FTPS/FTP si j'ai un pare-feu ou un routeur configuré entre le client et le serveur ?

R : Oui. Les transferts de fichiers traversant un pare-feu ou un routeur sont pris en charge par défaut à l'aide du mode EPSV (Extended Passive Connection Mode). Si vous utilisez un client FTPS/FTP qui ne prend pas en charge le mode EPSV, consultez cet article de blog pour configurer votre serveur en mode PASV afin d'étendre la compatibilité de votre serveur à une large gamme de clients.

Q : Puis-je personnaliser les bannières de connexion pour les utilisateurs qui se connectent à mon serveur Transfer Family ?

R : Oui. Vous pouvez configurer votre serveur Transfer Family de sorte à afficher les bannières personnalisées, telles les politiques ou les conditions générales d'organisation, à vos utilisateurs. Vous pouvez également afficher des messages du jour (MOTD) personnalisés aux utilisateurs qui se sont authentifiés avec succès. Pour en savoir plus, consultez la documentation.

Q : Quelles méthodes d'authentification sont-elles prises en charge pour établir une connexion avec des serveurs SFTP distants ?

R : Vous pouvez authentifier les connexions aux serveurs distants en utilisant des paires de clés SSH ou un mot de passe, ou les deux, selon les exigences du serveur distant. Enregistrez votre nom d'utilisateur et votre clé privée SSH et/ou votre mot de passe pour vous connecter aux serveurs distants dans votre compte AWS Secrets Manager. Pour en savoir plus sur le stockage et la gestion des informations d'authentification de votre connecteur, consultez la documentation.  

Q : Quels algorithmes de clé SSH sont-ils pris en charge pour les paires de clés hôtes SSH ?

R : Nous prenons en charge les formats RSA et ECDSA avec des tailles de clé de 2048 et 4096 bits. Si vous souhaitez tester la prise en charge d'un algorithme de clé particulier, n'hésitez pas à nous en faire part via AWS Support ou par le biais de l'équipe de votre compte AWS.

Q : Quels formats de paires de clés SSH sont-ils pris en charge ?

R : Vous pouvez utiliser des paires de clés OpenSSH se terminant par l'extension de fichier .pem et ne comportant pas de phrase secrète. Si vous avez une paire de clés SSH au format PuTTY (.ppk), convertissez-la d'abord au format PEM. Si votre paire de clés est au format propriétaire OpenSSH, elle doit être convertie au format PEM existant avant son utilisation avec le connecteur SFTP. Reportez-vous à la documentation pour connaître les étapes à suivre pour convertir les formats de clés.

Q : Quels sont les services de stockage AWS pris en charge pour transférer des fichiers à l'aide des connecteurs SFTP ?

R : Vous pouvez transférer des fichiers depuis ou vers Amazon S3 vers des serveurs SFTP distants à l'aide de connecteurs SFTP.

Q : Puis-je configurer des services de stockage backend et des connecteurs SFTP séparément dans des
comptes AWS distincts ?

R : Oui. Vous pouvez provisionner les ressources de votre connecteur SFTP et votre service de stockage dans des comptes AWS différents.

Q : Quelles sont les options disponibles pour valider l'identité d'un serveur SFTP distant ?

R : Vous pouvez utiliser l'empreinte de la clé SSH du serveur distant pour valider l'identité d'un serveur distant. Chargez l'empreinte de la clé SSH du serveur distant dans la configuration de votre connecteur SFTP, et chaque fois que le connecteur établit une connexion avec le serveur distant, l'identité de celui-ci sera validée à l'aide de l'empreinte. Si l'empreinte fournie par le serveur distant ne correspond pas à celle qui a été chargée dans la configuration du connecteur SFTP, la connexion échouera et les détails de l'erreur seront journalisés dans CloudWatch. Pour rétablir la connexion, vous pouvez modifier manuellement la configuration du connecteur afin de spécifier l'empreinte SSH mise à jour du serveur.

Q : Puis-je attribuer une adresse IP statique à mon connecteur SFTP afin d'autoriser mon partenaire commercial à
répertorier l'adresse IP du connecteur dans son pare-feu ?

R : Non, il n'est pas actuellement possible de créer des connecteurs avec une adresse IP statique. Veuillez nous informer via AWS Support ou par le biais de l'équipe de votre compte AWS si vous avez un cas d'utilisation qui repose sur des connecteurs SFTP avec des adresses IP statiques.

Q : Comment savoir si la connexion au serveur distant est réussie ?

R : Vous pouvez utiliser la console de gestion AWS ou la commande CLI TestConnection pour vérifier si la connexion au serveur distant a été correctement créée avant de lancer les transferts de fichiers. Pour en savoir plus, consultez la documentation sur les connecteurs SFTP.

Q : Quelles sont les opérations de transfert de fichiers prises en charge par les connecteurs SFTP ?

R : Les connecteurs SFTP peuvent servir à envoyer des fichiers depuis Amazon S3 vers un répertoire sur un serveur SFTP distant, ou pour récupérer des fichiers depuis un répertoire sur un serveur SFTP distant vers Amazon S3. Vous pouvez lancer un transfert de fichiers à la demande par une exécution de l'API StartFileTransfer. Veuillez consulter la documentation sur les connecteurs SFTP pour en savoir plus et nous informer via AWS Support ou par le biais de l'équipe de votre compte AWS si vous souhaitez que la prise en charge à l'aide des connecteurs SFTP couvre d'autres opérations.

Q : Comment puis-je suivre l'état de mes transferts de fichiers ?

R : Les connecteurs SFTP génèrent des journaux pour chaque transfert de fichiers. Vous pouvez y accéder via Amazon CloudWatch. Vous pouvez savoir si le transfert de fichiers a été terminé ou a échoué. Les connecteurs SFTP génèrent également des détails supplémentaires, notamment l'opération (envoi ou récupération), l'horodatage, le chemin d'accès source et distant du fichier, l'état du transfert et la description de l'erreur (le cas échéant), afin de vous aider
à maintenir le lignage des données.

Q : Puis-je utiliser des connecteurs SFTP pour me connecter à des serveurs au sein d'un réseau privé ?

R : Non. Actuellement, les connecteurs SFTP ne peuvent être utilisés que pour se connecter à des serveurs qui offrent un point de terminaison accessible à Internet. Si vous avez un cas d'utilisation pour vous connecter à des serveurs au sein de votre réseau privé, veuillez nous en informer via le AWS Support ou par l'intermédiaire de l'équipe chargée de votre compte AWS.

Q : Puis-je activer plusieurs protocoles sur le même point de terminaison de serveur ?

Oui. Lors de la configuration, vous pouvez sélectionner le ou les protocoles de votre choix pour permettre aux clients de se connecter à votre point de terminaison. Le nom d'hôte du serveur, l'adresse IP et le fournisseur d'identité sont partagés entre les protocoles sélectionnés. De même, vous pouvez activer la prise en charge de protocoles supplémentaires pour les points de terminaison AWS Transfer Family existants, à condition que la configuration du point de terminaison réponde aux conditions de tous les protocoles que vous avez l'intention d'utiliser.

Q : Quand dois-je créer des points de terminaison de serveur distincts pour chaque protocole ou activer le même point de terminaison pour plusieurs protocoles ?

R : Lorsque vous devez utiliser FTP (uniquement pris en charge pour l'accès dans un VPC) et que vous devez également prendre en charge Internet pour SFTP, AS2 ou FTPS, vous avez besoin d'un point de terminaison de serveur distinct pour FTP. Vous pouvez utiliser le même point de terminaison pour plusieurs protocoles, lorsque vous souhaitez utiliser le même nom d'hôte et la même adresse IP de point de terminaison pour les clients qui se connectent par le biais de plusieurs protocoles. De plus, si vous souhaitez partager les mêmes informations d'identification pour SFTP et FTPS, vous pouvez configurer et utiliser un fournisseur d'identité unique pour l'authentification des clients qui se connectent sur l'un ou l'autre protocole.

Q : Puis-je configurer le même utilisateur final pour accéder au point de terminaison sur plusieurs protocoles ?

R : Oui, vous pouvez fournir au même utilisateur l'accès sur plusieurs protocoles, à condition que les informations d'identification propres au protocole aient été configurées au sein de votre fournisseur d'identité. Si vous avez activé FTP, nous vous recommandons de maintenir des informations d'identification distinctes pour FTP. Veuillez consulter la documentation relative à la configuration d'informations d'identification distinctes pour FTP.

Q : Pourquoi devrais-je maintenir des informations d'identification distinctes pour les utilisateurs FTP ?

R : Contrairement à SFTP et FTPS, FTP transmet les informations d'identification en texte clair. Nous vous recommandons d'isoler les informations d'identification FTP de celles relatives à SFTP et FTPS, car en cas de partage ou d'exposition accidentels des informations d'identification FTP, vos charges de travail utilisant SFTP ou FTPS restent protégées.

Q : Mes utilisateurs peuvent-ils accéder au point de terminaison SFTP d'AWS Transfer Family à l'aide d'un navigateur ?

R : Oui. Vous pouvez déployer cette solution open source qui vous permet de fournir une interface basée sur un navigateur à l'aide de vos points de terminaison SFTP d'AWS Transfer Family.

Q : Quelles options de fournisseur d'identité sont prises en charge par le service ?

R : Le service prend en charge trois options de fournisseur d'identité, à savoir l'option gérée par le service, dans laquelle vous stockez les identités des utilisateurs au sein du service, Microsoft Active Directory, et les fournisseurs d'identité personnalisés, qui vous permettent d'intégrer un fournisseur d'identité de votre choix. L'authentification gérée par le service prend uniquement en charge les points de terminaison de serveur qui sont activés pour SFTP.

Q : Comment puis-je authentifier mes utilisateurs à l'aide de l'authentification gérée par le service ?

R : Vous pouvez utiliser l'authentification gérée par le service pour authentifier vos utilisateurs SFTP à l'aide des clés SSH.

Q : Combien de clés SSH puis-je télécharger par utilisateur SFTP ? Quelles sont les types de clés pris en charge ?

R : Vous pouvez télécharger jusqu'à 10 clés SSH par utilisateur. Les clés RSA, ED25519 et ECDSA sont pris en charge.

Q : La rotation des clés SSH est-elle prise en charge pour l'authentification gérée par le service ?

R : Oui. Consultez la documentation pour savoir comment configurer la rotation des clés pour vos utilisateurs SFTP.

Q : Puis-je utiliser l'option gérée par le service pour l'authentification par mot de passe ?

R : Non, le stockage des mots de passe dans le service à des fins d'authentification n'est pas pris en charge pour le moment. Si vous avez besoin d'une authentification par mot de passe, utilisez Active Directory en sélectionnant un répertoire dans AWS Directory Service, ou suivez l'architecture décrite dans ce blog sur l'activation de l'authentification par mot de passe à l'aide de Secrets Manager.

Q : Comment commencer à utiliser Microsoft AD ?

R : Lorsque vous créez votre serveur, vous sélectionnez un répertoire dans AWS Managed Microsoft AD, votre environnement sur site, ou AD autogéré dans Amazon EC2 en tant que fournisseur d'identité. Vous devrez ensuite spécifier les groupes AD que vous souhaitez autoriser à accéder à l'aide d'un identifiant de sécurité (SID). Une fois que vous avez associé votre groupe AD à des informations de contrôle d'accès comme un rôle IAM, une stratégie de réduction de la portée (uniquement S3), un profile POSIX (uniquement EFS), un emplacement de répertoire de base et des mappages de répertoires logiques, les membres du groupe peuvent utiliser leurs informations d'identification AD pour s'authentifier et transférer des fichiers via les protocoles activés (SFTP, FTPS, FTP). 

Q : Comment puis-je configurer mes utilisateurs AD pour qu'ils aient un accès isolé à différentes parties de mon compartiment S3 ?

R : Lorsque vous configurez vos utilisateurs, vous fournissez une stratégie de réduction de la portée qui est évaluée au moment de l'exécution sur la base d’informations relatives à vos utilisateurs, telles que leur nom d'utilisateur. Vous pouvez utiliser la même stratégie de réduction de la portée pour tous vos utilisateurs afin de leur donner accès à des préfixes uniques dans votre compartiment en fonction de leur nom d'utilisateur. De plus, un nom d'utilisateur peut également être utilisé pour évaluer les mappages de répertoires logiques en fournissant un modèle standardisé sur la manière dont le contenu de votre compartiment S3 ou de vos systèmes de fichiers EFS est rendu visible à votre utilisateur. Pour plus d’informations, consultez la documentation sur autoriser l’accès aux groupes AD.

Q : Puis-je utiliser Microsoft AD comme option de fournisseur d'identité pour tous les protocoles pris en charge ?

R : Oui, vous pouvez utiliser Microsoft AD pour authentifier les utilisateurs concernant l'accès via SFTP, FTPS et FTP.

Q : Puis-je révoquer l'accès de groupes AD activés ?

R : Oui, vous pouvez révoquer l'accès au transfert de fichiers pour des groupes AD particuliers. Une fois révoqués, les membres des groupes AD ne pourront plus transférer de fichiers en utilisant leurs informations d'identification AD.

Q : Puis-je donner accès à des utilisateurs AD particuliers ou à tous les utilisateurs d'un répertoire ?

R : Non, nous prenons en charge uniquement le paramétrage de l’accès par groupes AD.

Q : Puis-je utiliser AD pour authentifier les utilisateurs en utilisant des clés SSH ?

R : Non, le support AWS Transfer Family pour Microsoft AD ne peut être utilisé que pour l'authentification par mot de passe. Pour combiner des modes d'authentification, utilisez l’option Custom Authorizer.

Q : Pourquoi utiliser le mode d'authentification personnalisée ?

R : Le mode personnalisé (authentification « BYO ») vous permet de tirer parti d'un fournisseur d'identité existant pour gérer vos utilisateurs finaux pour tous les types de protocoles (SFTP, FTPS et FTP), ce qui permet une migration facile et fluide de vos utilisateurs. Les informations d'identification peuvent être stockées dans le répertoire de votre entreprise ou dans un entrepôt de données d'identités interne, et vous pouvez les intégrer à des fins d'authentification des utilisateurs finaux. Les fournisseurs d'identité incluent Okta, Microsoft AzureAD, ou tout fournisseur d'identité personnalisé que vous pouvez utiliser dans le cadre d'un portail d'allocation global.

Q : Quelles sont les options disponibles pour intégrer mon fournisseur d'identité à un serveur AWS Transfer Family ?

R : Pour intégrer votre fournisseur d'identité à un serveur AWS Transfer Family, vous pouvez utiliser une fonction AWS Lambda ou un point de terminaison Amazon API Gateway. Utilisez Amazon API Gateway si vous avez besoin d'une API RESTful pour vous connecter à un fournisseur d'identité, ou bien si vous souhaitez utiliser AWS WAF pour ses fonctionnalités de restriction géographique et de limitation de vitesse. Consultez la documentation pour en savoir plus sur l'intégration de fournisseurs d'identité courants tels qu'AWS Cognito, Okta et AWS Secrets Manager.

Q : Puis-je appliquer des contrôles d'accès en fonction de l'adresse IP source du client ?

R : Oui. L'adresse IP source du client est transmise à votre fournisseur d'identité lorsque vous utilisez AWS Lambda ou API Gateway pour établir une connexion avec un fournisseur d'identité personnalisé. Cela vous permet d'autoriser, de refuser ou de limiter l'accès en fonction des adresses IP des clients. Ce processus permettra de garantir que vos données sont accessibles uniquement à partir d'adresses IP que vous avez spécifiées comme étant de confiance.

Q : Puis-je demander plusieurs méthodes d'authentification lorsque les utilisateurs tentent de se connecter à mon serveur SFTP ?

R : Oui. Vous avez la possibilité d'appliquer plusieurs méthodes d'authentification afin de fournir une couche de sécurité supplémentaire lors de l'accès à vos données via SFTP. Votre serveur SFTP peut être configuré pour exiger à la fois un mot de passe et une clé SSH, un mot de passe ou une clé SSH, uniquement un mot de passe, ou simplement une clé SSH. Veuillez consulter la documentation pour savoir comment activer les méthodes d'authentification multiples à l'aide de votre fournisseur d'identité client.

Q. Les utilisateurs anonymes sont-ils pris en charge ?

R : Non. Les utilisateurs anonymes ne sont pris en charge pour aucun protocole actuellement.

Q : AWS Transfer Family prend-il en charge AS2 Drummond Certified ?

R : Oui, le support AWS Transfer Family pour AS2 a reçu le sceau de certification officiel du Drummond Group AS2 Cloud. Les fonctionnalités AS2 d'AWS Transfer Family ont été minutieusement contrôlées en termes de sécurité et de compatibilité d'échange de messages avec quatorze autres solutions AS2 tierces. Consultez notre annonce pour en savoir plus.

Q : Comment puis-je identifier de manière unique mon partenaire commercial AS2 ?

R : Votre partenaire commercial est identifié de façon unique grâce à son identifiant AS2 (AS2 ID). De la même manière, votre partenaire commercial identifie vos messages grâce à votre identifiant AS2.

Q : Quelles sont les fonctions existantes d'AWS Transfer Family disponibles pour AS2 ? Quelles sont les fonctions non disponibles ?

R : Vous pouvez utiliser la prise en charge existante d'AWS Transfer Family pour Amazon S3, les fonctions réseaux (points de terminaison d'un VPC, groupes de sécurité et adresses IP Elastic) et les contrôles d'accès (AWS IAM) pour AS2, comme vous le feriez pour SFTP, FTPS et FTP. L'authentification des utilisateurs, les répertoires logiques, les bannières personnalisées et Amazon EFS en tant que back-end de stockage ne sont pas pris en charge par AS2.

Q : Qu'est-ce que la non-répudiation et pourquoi est-elle importante ?

R : La non-répudiation, propre à AS2, vérifie que les messages sont échangés correctement entre deux parties. La non-répudiation dans AS2 est réalisée à l'aide de Message Disposition Notifications (MDN). Lorsqu'une notification MDN est demandée dans une transaction,elle garantit que l'expéditeur a envoyé le message, que le récepteur l'a bien reçu et que le message envoyé par l'expéditeur était le même que celui reçu par le destinataire.

Q : Quelles sont les étapes de la transmission de messages à l'aide du protocole AS2 ?

R : La transmission des messages comporte deux aspects : l'expéditeur et le destinataire. Une fois que l'expéditeur a déterminé le message à envoyer, celui-ci est signé (à l'aide de sa clé privée), chiffré (à l'aide du certificat du destinataire) et l'intégrité du message est calculée à l'aide d'un hachage. Ce message signé et chiffré est transmis au destinataire dans le réseau. Une fois le message reçu, il est déchiffré (à l'aide de la clé privée du destinataire), validé (à l'aide de la clé publique de l'expéditeur), puis traité et, si nécessaire, une notification Message Disposition Notifications (MDN) signée est envoyée à l'expéditeur pour accuser réception du message. Reportez-vous à la documentation sur la gestion par AS2 de la transmission des messages.

Q : Quelles sont les options disponibles pour la transmission des messages ?

R : La combinaison des options possibles est dictée par l'expéditeur. Ce dernier peut choisir de chiffrer les données uniquement ou de les signer uniquement (ou les deux), et de demander une notification Message Disposition Notifications (MDN). Si l'expéditeur choisit de demander une notification MDN, il peut demander qu'elle soit signée ou non. Le destinataire est tenu de respecter ces deux options.

Q : La demande de notifications Message Disposition Notifications (MDN) est-elle facultative ?

R : Oui. L'expéditeur peut choisir de demander une notification MDN, de demander une notification MDN signée ou non signée, et sélectionner les algorithmes de signature qui doivent être utilisés pour la signer.

Q : Prenez-vous en charge les notifications MDN synchrones (Sync) et asynchrones (Async) ? Quand dois-je utiliser ces options ?

R : Actuellement, nous prenons en charge les réponses MDN synchrones et asynchrones. Cela vous permet de répondre à vos partenaires commerciaux avec un MDN synchrone ou asynchrone après la réception d'un message AS2. Cela vous permet de répondre. Comme les notifications MDN synchrones sont envoyées sur le même canal de connexion que le message, elles sont beaucoup plus simples et constituent donc l'option recommandée. Si vous avez besoin de plus de temps pour traiter le message avant d'envoyer une notification MDN, les notifications MDN asynchrones sont préférables. Si vous avez besoin de demander et de recevoir des MDN asynchrones lors de l'envoi de messages à vos partenaires
commerciaux, veuillez nous contacter via AWS Support ou contacter votre responsable de compte.

Q : Comment puis-je suivre et rechercher les contenus et notifications MDN envoyés et reçus ?

R : AWS Transfer Family extrait les informations principales AS2 du contenu et des notifications MDN échangées et les stocke dans des fichiers JSON dans votre compartiment Amazon S3. Vous pouvez interroger ces fichiers JSON à l'aide de S3 Select ou Amazon Athena, ou indexer les fichiers à l'aide d'Amazon OpenSearch ou Amazon DocumentDB pour l'analyse.

Q : Puis-je archiver les notifications MDN reçues (en tant qu'expéditeur les ayant demandées) ?

R : Oui. Dès que vous recevez une notification MDN de votre partenaire commercial, le service la valide à l'aide de votre certificat et stocke le message dans votre compartiment Amazon S3. Vous pouvez choisir d'archiver le message en utilisant des politiques S3 Lifecycle.

Q : Comment indiquer à AWS Transfer Family qu'un message est prêt à être distribué au point de terminaison de mon partenaire commercial ?

R : Une fois que vos données sont prêtes à être distribuées, vous devez appeler une API fournie par le service, associer un connecteur pour nous informer qu'elles sont prêtes à être distribuées et nous fournir les informations du destinataire. Ainsi, le service peut envoyer le message au point de terminaison de votre partenaire commercial. Reportez-vous à la documentation sur les connecteurs pour envoyer des messages à votre partenaire commercial sur AS2.

Q : Puis-je isoler chacun de mes partenaires commerciaux pour utiliser des emplacements différents entrants et sortants pour les messages ?

R : Oui. Lorsque vous configurez le profil de votre partenaire commercial, vous pouvez utiliser des dossiers différents pour chacun d'eux.

Q : Puis-je utiliser les clés et les certificats existants de mon partenaire commercial avec mon point de terminaison AS2 AWS Transfer Family ?

R : Oui, vous pouvez importer les clés et les certificats existants de votre partenaire et gérer les renouvellements et les rotations. Reportez-vous à la documentation sur l'importation des certificats.

Q : Comment puis-je savoir quand les certificats de mon partenaire commercial expirent ?

R : En utilisant la console AWS Transfer Family, vous pouvez afficher un tableau de bord des certificats triés en fonction de leur date d'expiration. En outre, vous pouvez choisir de recevoir des notifications avant l'expiration des certificats, ce qui vous donne suffisamment de temps pour les renouveler et d'éviter ainsi toute interruption des opérations.

Q : Puis-je me connecter au serveur AS2 de mon partenaire commercial à l'aide d'adresses IP fixes ?

R : Non. À l'heure actuelle, nous ne prenons pas en charge la possibilité de se connecter au serveur AS2 de votre partenaire commercial à l'aide d'adresses IP fixes. Si vous avez besoin de vous connecter à votre partenaire commercial à l'aide
d'adresses IP fixes, veuillez nous contacter via AWS Support ou contacter votre responsable de compte. 

Q : Prenez-vous en charge AS3 et AS4 ?

R : Non. AWS Transfer Family ne fournit pas de support pour AS3 ou AS4 pour le moment.

Q : Que sont les flux gérés de traitement post-chargement ?

R : Les flux de travail gérés par AWS Transfer Family vous permettent de créer, d'exécuter et de surveiller plus facilement le traitement post-chargement pour les transferts de fichiers via SFTP, FTPS et FTP. Grâce à cette fonction, vous pouvez gagner du temps avec l'automatisation à faible code pour coordonner toutes les tâches nécessaires telles que la copie, le marquage et le décryptage des fichiers. Vous pouvez également personnaliser la recherche de PII, de virus/logiciels malveillants ou d'autres erreurs, par exemple le format ou le type de fichier incorrect, ce qui vous permet de détecter rapidement les anomalies et de répondre à vos exigences de conformité.

Q : Pourquoi ai-je besoin de flux géré ?

R : Si vous avez besoin de traiter les fichiers que vous échangez avec vos partenaires d'entreprise, vous devez configurer une infrastructure pour exécuter du code personnalisé, de surveiller continuellement afin de détecter les erreurs et anomalies d'exécution et s'assurer que toutes les modifications et transformations de données sont auditées et journalisées. Par ailleurs, vous devez tenir compte des scénarios d'erreurs, tant techniques que métier, tout en veillant à ce que les modes de sécurité soient correctement déclenchés. Si vous avez des exigences en termes de traçabilité, vous devez tracer la lignée des données au fil de leur évolution dans les différents composants de votre système. Maintenir des composants distincts d'un flux de traitement des fichiers accapare le temps dédié aux tâches différentiées auxquelles vous devriez vous consacrer dans le cadre de votre activité. Les flux gérés simplifient la gestion de plusieurs tâches, et fournissent une solution standardisée de traitement des fichiers qui peut être reproduite au sein de votre organisation. Cette solution est dotée d'un système intégré de gestion d'exceptions et d'une fonction de traçabilité des fichiers pour chaque étape, afin de vous aider à répondre à vos exigences métier et juridiques.

Q : Quels sont les avantages de l'utilisation des flux gérés ?

R : Les flux gérés vous permettent de prétraiter facilement les données avant leur utilisation par vos applications en aval. Cela passe par l'orchestration des tâches de traitement de fichiers, par exemple le déplacement de fichiers vers des dossiers spécifiques à l'utilisateur, le chiffrement des fichiers en transit, l'analyse à des fins de détection de logiciels malveillants et l'étiquetage. Vous pouvez déployer des flux à l'aide de l'infrastructure en tant que code (IaC), ce qui vous permet de répliquer et de standardiser rapidement les tâches courantes de traitement de fichiers post-chargement qui couvrent plusieurs unités commerciales au sein de votre organisation. Vous pouvez avoir un contrôle granulaire en définissant des flux gérés qui ne sont déclenchés que sur des fichiers entièrement chargés, pour garantir le maintien de la qualité des données, et en définissant des flux gérés qui sont déclenchés pour des fichiers partiellement chargés, pour configurer le traitement des chargements incomplets. Le système intégré de gestion d'exceptions vous aide à réagir rapidement aux résultats de traitement des fichiers en cas d'erreurs ou d'exceptions dans l'exécution du flux, ce qui vous permet de maintenir vos contrats SLA métier et techniques, tout en vous offrant le contrôle des gestionnaires de pannes. Pour finir, chaque étape de flux génère des journaux détaillés, que vous pouvez auditer afin de tracer la lignée des données.

Q : Comment démarrer avec les flux ?

R : Pour commencer, configurez votre flux pour contenir des opérations comme la copie, l'étiquetage ainsi qu'une série d'actions pouvant inclure votre propre étape personnalisée dans une séquence d'étapes adaptée à vos exigences. Ensuite, mappez le flux à un serveur, de sorte qu'à l'arrivée du fichier, les actions spécifiées dans ce flux soient évaluées et déclenchées en temps réel. Pour en savoir plus sur, consultez la documentation, regardez cette démo sur comment démarrer avec les flux gérés ou déployez une plateforme de transfert de fichiers native cloud en vous référant à cet article de blog.

Q : Puis-je utiliser la même configuration de flux sur plusieurs serveurs ?

R : Oui. Le même flux peut être attribué à plusieurs serveurs, de manière à ce que vous puissiez facilement gérer et standardiser les configurations.

Q : Quelles actions puis-je entreprendre sur mes fichiers à l'aide de flux ?

R : Les actions courantes suivantes sont disponibles une fois que le serveur de transfert a reçu un fichier du client :

• Déchiffrement d'un fichier à l'aide des clés PGP. Consultez ce billet de blog sur le chiffrement et le déchiffrement de fichiers à l'aide de PGP.
• Déplacer ou copier des données de l'emplacement d'arrivée à celui d'utilisation.
• Supprimer le fichier original après archivage ou copie vers un nouvel emplacement.
• Étiqueter le fichier en fonction de son contenu, de façon qu'il puisse être indexé et recherché par les services en aval (S3 uniquement)
• Toute logique personnalisée de traitement de fichiers en incorporant votre propre fonction Lambda en tant qu'étape personnalisée à votre flux de travail. Par exemple, la vérification de la compatibilité du type de fichier, l'analyse des fichiers pour détecter les logiciels malveillants, la détection des données d’identification personnelle (PII) et l'extraction des métadonnées avant l'ingestion des fichiers dans votre analyse de données.

Q : Puis-je utiliser des flux de travail pour déchiffrer automatiquement des fichiers à l'aide de PGP ?

R : Oui. Vous pouvez utiliser une étape de flux de travail précréée et entièrement gérée pour le déchiffrement PGP des fichiers. Pour en savoir plus, consultez la documentation sur les flux de travail gérés et ce billet de blog sur le chiffrement et le déchiffrement de fichiers à l'aide de PGP.

Q : Puis-je sélectionner le fichier à traiter avant chaque étape de flux ?

R : Oui. Vous pouvez configurer une étape de flux afin de traiter soit le fichier initialement chargé soit le fichier de sortie provenant de l'étape de flux précédente. Cela vous permet d'automatiser facilement le déplacement et le renommage de vos fichiers après leur chargement dans Amazon S3. Par exemple, pour déplacer un fichier vers un autre emplacement à des fins d'archivage ou de conservation, configurez deux étapes de votre flux. La première étape consiste à copier le fichier vers un emplacement Amazon S3 différent, et la seconde à supprimer le fichier initialement chargé. Lisez la documentation pour en savoir plus sur la sélection d'un emplacement de fichiers pour les étapes de flux.

Q : Puis-je préserver le fichier initialement chargé, à des fins de conservation d'enregistrements ?

R : Oui. Avec les flux, vous pouvez créer plusieurs copies du fichier d'origine tout en préservant ce dernier à des fins de conservation d'enregistrements.

Q : Puis-je utiliser des flux pour acheminer dynamiquement des fichiers vers des dossiers Amazon S3 spécifiques à l'utilisateur ?

R : Oui. Vous pouvez utiliser le nom d'utilisateur comme une variable dans les étapes de copie de flux, ce qui vous permet d'acheminer dynamiquement les fichiers vers des dossiers spécifiques à l'utilisateur dans Amazon S3. Cette démarche élimine la nécessité de coder en dur l'emplacement de destination du dossier lors de la copie de fichiers, et automatise la création de dossiers spécifiques à l'utilisateur dans Amazon S3, vous permettant ainsi de mettre à l'échelle vos flux d'automatisation du traitement de fichiers. Consultez la documentation pour en savoir plus.

Q : Comment puis-je surveiller mes flux de travail ?

R : Veuillez consulter la section Surveillance pour obtenir plus de détails sur les fonctionnalités prises en charge pour la journalisation de l'activité de vos flux de travail gérés.

Q : Puis-je utiliser les flux de travail pour personnaliser les notifications de livraison de fichiers ?

R : Oui. Veuillez consulter ce billet de blog sur l'utilisation des flux de travail gérés pour les notifications de livraison de fichiers.

Q : J'utilise AWS Step Functions pour orchestrer les étapes de traitement de fichiers. En quoi les flux gérés d'AWS Transfer Family diffèrent-ils de la configuration actuelle de mes AWS Step Functions ?

R : AWS Step Functions est un service d'orchestration sans serveur qui vous permet de combiner AWS Lambda à d'autres services afin de définir l'exécution des applications métier en étapes simples. Pour exécuter des étapes de traitement de fichiers à l'aide d'AWS Step Functions, vous devez utiliser les fonctions AWS Lambda avec les déclencheurs d'événements Amazon S3 afin d'assembler vos propres flux de travail. Les flux de travail gérés fournissent un cadre qui permet d'orchestrer facilement une séquence linéaire de traitement et qui se distingue des solutions existantes à plusieurs titres : 1) vous pouvez définir de manière précise des flux de travail à exécuter uniquement sur des chargements de fichiers complets, ainsi que des flux de travail à exécuter uniquement sur des chargements de fichiers partiels ; 2) les flux de travail peuvent être déclenchés automatiquement pour S3 et EFS (ce qui ne génère pas d'événements post-chargement) ; 3) les flux de travail offrent des options intégrées et sans code pour le traitement courant des fichiers comme le déchiffrement PGP, et 4) les clients peuvent obtenir une visibilité de bout en bout sur leurs transferts de fichiers et traitements dans CloudWatch Logs.

Q : Les flux de travail peuvent-ils être déclenchés sur des chargements partiels ?

R : Oui. Vous pouvez définir des flux à déclencher sur des chargements de fichiers complets ou partiels.

Q : Puis-je déclencher des actions de flux basées sur l'échange de messages sur AS2 ?

R : Non. Actuellement, vous ne pouvez pas utiliser des flux gérés avec AS2.

Q : Puis-je déclencher des actions de flux sur les téléchargements des utilisateurs ?

R : Non. Le traitement peut être appelé uniquement à l'arrivée du fichier, à l'aide du point de terminaison entrant.

Q : Puis-je déclencher le même flux sur des lots de fichiers dans une session ?

R : Non. Pour le moment, les flux de travail traitent un fichier par exécution.

Q : Comment AWS Transfer Family communique-t-il avec Amazon S3 ?

R : Le transfert de données entre les serveurs d'AWS Transfer Family et Amazon S3 s'effectue sur les réseaux internes d'AWS et ne passe pas par l'Internet public. De ce fait, vous n'avez pas besoin d'utiliser AWS PrivateLink pour les données transférées du serveur AWS Transfer Family vers Amazon S3. Le service Transfer Family n'a pas besoin des points de terminaison AWS PrivateLink pour Amazon S3 afin d'empêcher le trafic de passer par l'Internet, et ne peut donc pas les utiliser pour communiquer avec les services de stockage. Tous ces points supposent que le service de stockage AWS et le serveur Transfer Family se trouvent dans la même région.

Q : Pourquoi dois-je fournir un rôle AWS IAM et comment est-il utilisé ?

R : AWS IAM est utilisé pour déterminer le niveau d'accès que vous souhaitez fournir à vos utilisateurs. Cela inclut les opérations que vous souhaitez activer sur leur client et les compartiments Amazon S3 auxquels ils ont accès, qu'il s'agisse de la totalité ou d'une partie du compartiment.

Q : Pourquoi dois-je fournir des informations sur le répertoire de base et comment sont-elles utilisées ?

R : Le répertoire de base que vous avez configuré pour votre utilisateur détermine son répertoire de connexion. Il s'agit du chemin de répertoire que le client de votre utilisateur utilisera dès qu'il aura été authentifié avec succès dans le serveur. Vous devez vous assurer que le rôle IAM fourni donne à l'utilisateur l'accès au répertoire de base.

Q : J'ai des centaines d'utilisateurs qui ont des paramètres d'accès similaires, mais à différentes parties de mon compartiment. Puis-je les configurer en utilisant le même rôle et la même stratégie IAM pour activer leur accès ?

R : Oui. Vous pouvez assigner un rôle IAM unique pour tous vos utilisateurs et utiliser des mappages logiques de répertoire qui spécifient les chemins absolus de compartiment Amazon S3 que vous souhaitez rendre visibles pour vos utilisateurs finaux et comment vous souhaitez que ces chemins leur soient présentés par leurs clients. Consultez l'article de blog sur la simplification de la structure AWS SFTP/FTPS/FTP avec les répertoires chroot et logiques.

Q : Comment les fichiers stockés dans mon compartiment Amazon S3 sont-ils transférés avec AWS Transfer ?

R : Les fichiers transférés via les protocoles pris en charge sont stockés en tant qu'objets dans votre compartiment Amazon S3. Un mappage un à un entre les fichiers et les objets permet un accès natif à ces objets à l'aide des services AWS pour le traitement ou l'analyse.

Q : Comment les objets Amazon S3 stockés dans mon compartiment sont-ils présentés à mes utilisateurs ?

R : Une fois l'authentification réussie, le service présente les objets et les dossiers Amazon S3 sous forme de fichiers et de répertoires aux applications de transfert de vos utilisateurs, en fonction des informations d'identification de vos utilisateurs.

Q : Quelles opérations de fichiers sont prises en charge ? Quelles opérations ne sont pas prises en charge ?

R : Les commandes courantes permettant de créer, lire, mettre à jour et supprimer des fichiers et des répertoires sont prises en charge. Les fichiers sont stockés en tant qu'objets individuels dans votre compartiment Amazon S3. Les répertoires sont gérés sous la forme d'objets de dossier dans S3, en utilisant la même syntaxe que la console S3.

Les opérations de changement de nom de répertoire, les opérations d'ajout, la modification des droits de propriété, des autorisations et des horodatages, ainsi que l'utilisation de liens symboliques et en dur ne sont pas prises en charge pour le moment.

Q : Puis-je contrôler les opérations que mes utilisateurs sont autorisés à effectuer ?

R : Oui, vous pouvez activer et désactiver les opérations de fichiers à l'aide du rôle AWS IAM que vous avez mappé à leur nom d'utilisateur. Consultez la documentation sur la création de politiques et de rôles IAM pour contrôler l'accès de vos utilisateurs finaux.

Q : Puis-je fournir à mes utilisateurs finaux l'accès à plus d'un compartiment Amazon S3 ?

R : Oui. Les compartiments auxquels votre utilisateur peut accéder sont déterminés par le rôle IAM AWS et les conditions générales à portée descendante en option que vous lui attribuez. Vous ne pouvez utiliser qu'un seul compartiment comme répertoire de base pour l'utilisateur.

Q : Puis-je utiliser des points d'accès S3 avec AWS Transfer Family pour simplifier l'accès des utilisateurs au jeu de données partagé ?

R : Oui. Vous pouvez utiliser des alias de points d'accès S3 avec AWS Transfer Family afin de fournir un accès granulaire à un grand ensemble de données sans avoir à gérer la moindre politique de compartiment. Les alias de points d'accès S3 combinés aux répertoires logiques d'AWS Transfer Family vous permettent de créer un contrôle d'accès précis pour différents services, applications et équipes, tout en réduisant les frais généraux de gestion des stratégies de compartiment. Pour en savoir plus et démarrer, consultez l'article de blog sur l'amélioration du contrôle d'accès aux données avec AWS Transfer Family et les points d'accès Amazon S3.

Q : Puis-je créer un serveur à l'aide du compte AWS A et mapper mes utilisateurs sur des compartiments Amazon S3 appartenant au compte AWS B ?

R : Oui. Vous pouvez utiliser l'interface de ligne de commande et l'API pour configurer l'accès croisé aux comptes entre votre serveur et les compartiments que vous voulez utiliser pour stocker les fichiers transférés via les protocoles pris en charge. Le menu déroulant Console n'affichera que les compartiments du compte A. De plus, vous devrez vérifier que le rôle attribué à l'utilisateur appartient bien au compte A.

Q : Puis-je automatiser le traitement d'un fichier une fois qu'il a été chargé vers Amazon S3 ?

R : Oui. Vous pouvez utiliser les flux gérés d'AWS Transfer Family pour créer, automatiser et contrôler le traitement des fichiers une fois que ces derniers sont chargés vers Amazon S3. Avec les flux gérés, vous pouvez prétraiter vos fichiers avant de les intégrer à votre système d'analytique et de traitement des données, et ce sans les frais liés à la gestion de votre propre code ou de votre propre infrastructure. Consultez la documentation pour en savoir plus sur les flux gérés d'AWS Transfer Family.

Q : Puis-je personnaliser des règles pour le traitement en fonction de l'utilisateur qui télécharge le fichier ?

R : Oui. Lorsque votre utilisateur télécharge un fichier, le nom d'utilisateur et l'identifiant de serveur du serveur utilisé pour le téléchargement est stocké comme partie intégrante des métadonnées de l'objet S3 associé. Vous pouvez utiliser ces informations pour le traitement post-téléchargement. Reportez-vous à la documentation sur les informations que vous utilisez pour le traitement post-téléchargement.

Q : Comment puis-je configurer mon système de fichiers EFS afin qu'il fonctionne avec AWS Transfer Family ?

R : Avant de configurer AWS Transfer Family pour un fonctionnement avec le système de fichiers Amazon EFS, vous devrez configurer la propriété des fichiers et des dossiers à l'aide des mêmes identités POSIX (identifiant utilisateur/identifiant de groupe) que vous prévoyez d'attribuer à vos utilisateurs AWS Transfer Family. Par ailleurs, si vous accédez aux systèmes de fichiers à partir d'un compte différent, les politiques de ressources doivent également être configurées sur votre système de fichiers afin d'autoriser l'accès entre comptes. Reportez-vous à cet article de blog pour obtenir des instructions étape par étape sur l'utilisation d'AWS Transfer Family avec EFS.

Q : Comment AWS Transfer Family communique-t-il avec Amazon EFS ?

R : Le transfert de données entre les serveurs d'AWS Transfer Family et Amazon EFS s'effectue sur les réseaux internes d'AWS et ne passe pas par l'Internet public. En conséquence, vous n'avez pas besoin d'utiliser AWS PrivateLink pour les données transférées du serveur AWS Transfer Family vers Amazon EFS. Le service Transfer Family n'a pas besoin des points de terminaison AWS PrivateLink pour Amazon EFS afin d'empêcher le trafic de passer par l'Internet et, ne peut donc pas les utiliser pour communiquer avec les services de stockage. Tous ces points supposent que le service de stockage AWS et le serveur Transfer Family se trouvent dans la même région.

Q : Comment puis-je fournir un accès à mes utilisateurs pour le chargement/téléchargement vers/depuis mes systèmes de fichiers ?

R : Pour contrôler l'accès à un système de fichiers, Amazon EFS utilise des identifiants POSIX, composés d'un identifiant utilisateur de système d'exploitation, d'un identifiant de groupe et d'un identifiant de groupe secondaire. Lors de la configuration de votre utilisateur dans la console/CLI/API d'AWS Transfer Family, vous devrez spécifier le nom d'utilisateur, la configuration POSIX de l'utilisateur et le rôle IAM pour accéder au système de fichiers EFS. Vous devrez aussi spécifier un identifiant de système de fichiers EFS et, si vous le souhaitez, un répertoire au sein de ce système de fichiers, qui servira de répertoire d'arrivée pour l'utilisateur. Lorsque l'utilisateur AWS Transfer Family s'authentifie avec succès à l'aide de son client de transfert de fichiers, il se trouvera directement dans le répertoire de départ spécifié, ou à la racine du système de fichiers EFS spécifié. Son identifiant POSIX de système d'exploitation sera appliqué à toutes les requêtes effectuées via son client de transfert de fichiers. En tant qu'administrateur EFS, vous devrez vous assurer que les fichiers et les répertoires auxquels vous souhaitez que vos utilisateurs AWS Transfer Family accèdent sont associés à leurs identifiants POSIX correspondants dans votre système de fichiers EFS. Reportez-vous à la documentation pour en savoir plus sur la configuration de la propriété des sous-répertoires dans EFS. Il convient de noter que Transfer Family ne prend pas en charge les points d'accès si vous utilisez Amazon EFS pour le stockage.  

Q : Comment les fichiers transférés via les protocoles sont-ils stockés dans mes systèmes de fichiers Amazon EFS ?

R : Les fichiers transférés via les protocoles autorisés sont stockés directement dans vos systèmes de fichiers Amazon EFS et seront accessibles via une interface de système de fichiers standard ou à partir des services AWS qui peuvent accéder aux systèmes de fichiers Amazon EFS.

Q : Quelles opérations de fichiers sont prises en charge via les protocoles lors de l'utilisation d'Amazon S3 et d'Amazon EFS ?

R : Les commandes SFTP/FTPS/FTP permettant de créer, lire, mettre à jour et supprimer des fichiers, des répertoires et des liens symboliques sont prises en charge. Reportez-vous au tableau ci-dessous pour découvrir les commandes prises en charge pour EFS et S3.

1 Seul le renommage de fichiers est pris en charge. Le renommage de répertoires ou le renommage de fichiers pour écraser des fichiers existants ne sont pas pris en charge.

2 Seuls les utilisateurs racine (c.-à-d. ceux dont l'uid=0) peuvent modifier la propriété et les autorisations de fichiers et de répertoires.

3 Prise en charge pour les utilisateurs racine (c.-à-d. uid=0) ou pour le propriétaire du fichier, qui peut uniquement modifier le groupe d'un fichier en choisissant un de ses groupes secondaires.

4 Prise en charge uniquement pour les dossiers non vides.

Q : Comment puis-je contrôler les fichiers et dossiers auxquels les utilisateurs ont accès, ainsi que les opérations que ces derniers sont autorisés ou non à effectuer ?

R : La politique IAM que vous fournissez pour l'utilisateur AWS Transfer Family détermine s'il bénéficie d'un accès racine, en lecture seule ou en lecture et écriture à votre système de fichiers. Par ailleurs, en tant qu'administrateur de système de fichiers, vous pouvez définir la propriété des fichiers et des répertoires et y accorder l'accès au sein de votre système de fichiers à l'aide d'identifiants utilisateur et d'identifiants de groupe. Cela s'applique aux utilisateurs stockés au sein du service (gérés par le service), mais aussi à ceux stockés au sein de votre système de gestion des identités (authentification « BYO »).

Q : Puis-je définir des restrictions afin que chacun de mes utilisateurs ait accès à des répertoires différents au sein de mon système de fichiers et n'ait accès qu'aux fichiers présents au sein de ces répertoires ?

R : Oui. Lorsque vous configurez des utilisateurs, vous pouvez spécifier des systèmes de fichiers et des répertoires différents pour chacun d'entre eux. Lorsque l'authentification est réussie, EFS applique un répertoire pour chaque demande de système de fichiers effectuée à l'aide des protocoles activés.

Q : Puis-je masquer le nom du système de fichiers afin qu'il n'apparaisse pas pour l'utilisateur ?

R : Oui. Grâce aux mappages de répertoires logiques d'AWS Transfer Family, vous pouvez empêcher l'utilisateur final de voir les répertoires dans votre système de fichiers en mappant des chemins absolus aux noms de chemin visibles pour l'utilisateur final. Cela vous permet aussi d'effectuer un « chroot » de l'utilisateur vers le répertoire de départ que vous lui avez attribué.

Q : Les liens symboliques sont-ils pris en charge ?

R : Oui. Si des liens symboliques sont présents dans les répertoires accessibles à l'utilisateur et que ce dernier essaie d'y accéder, les liens seront résolus vers les cibles correspondantes. Les liens symboliques ne sont pas pris en charge lorsque vous utilisez le mappage de répertoire logique pour configurer l'accès des utilisateurs.

Q : Puis-je fournir un accès utilisateur SFTP/FTPS/FTP individuel à plus d'un système de fichiers ?

R : Oui. Lorsque vous configurez un utilisateur AWS Transfer Family, vous pouvez spécifier un ou plusieurs systèmes de fichiers dans la politique IAM que vous fournissez dans le cadre cette configuration afin de donner à l'utilisateur accès à plusieurs systèmes de fichiers.

Q : Avec quels systèmes d'exploitation puis-je accéder à mes systèmes de fichiers EFS via AWS Transfer Family ?

R : Vous pouvez utiliser les clients et applications conçus pour Microsoft Windows, Linux, macOS ou tout autre système d'exploitation prenant en charge les protocoles SFTP/FTPS/FTP pour télécharger et accéder aux fichiers stockés dans vos systèmes de fichiers EFS. Configurez simplement le serveur et l'utilisateur avec les autorisations appropriées pour le système de fichiers EFS afin d'accéder au système de fichiers sur l'ensemble des systèmes d'exploitation.

Q : Comment puis-je automatiser et contrôler les étapes de traitement de fichier après le chargement de mon fichier vers EFS ?

R : Vous pouvez créer des flux de travail gérés AWS Transfer Family pour déclencher automatiquement le traitement de fichier après son chargement sur EFS. Vous pouvez configurer les flux qui contiennent le chiffrement, l'étiquetage, le texte ou toute autre étape de traitement personnalisée que vous souhaitez exécuter sur le fichier en fonction de vos exigences métier. Consultez la documentation sur les flux de travail gérés d'AWS Transfer Family pour en savoir plus.

Q : Comment savoir quel utilisateur a chargé un fichier sur EFS ?

R : Pour les nouveaux fichiers, l'identifiant utilisateur POSIX associé à l'utilisateur transférant le fichier sera défini comme propriétaire du fichier dans votre système de fichiers EFS. Par ailleurs, avec Amazon CloudWatch, vous pouvez suivre les activités des utilisateurs relatives à la création, la mise à jour, la suppression et la lecture de fichiers. Consultez la documentation pour en savoir plus sur l'activation de la journalisation Amazon CloudWatch.

Q : Puis-je utiliser AWS Transfer Family pour accéder à un système de fichiers dans un autre compte ?

R : Oui. Avec la CLI et l'API, vous pouvez configurer l'accès entre comptes entre vos ressources AWS Transfer Family et vos systèmes de fichiers EFS. La console AWS Transfer Family ne répertoriera que les systèmes de fichiers dans le même compte. Par ailleurs, vous devrez vous assurer que le rôle IAM attribué à l'utilisateur pour accéder au système de fichiers appartient au compte A.

Q : Que se passe-t-il si les bonnes politiques pour l'accès entre comptes ne sont pas activées pour mon système de fichiers EFS ?

R : Si vous configurez un serveur AWS Transfer Family afin qu'il accède à un système de fichiers EFS pour lequel l'accès entre comptes n'est pas activé, l'accès des utilisateurs SFTP/FTP/FTPS au système de fichiers sera refusé. Si la journalisation CloudWatch est activée sur votre serveur, les erreurs d'accès entre comptes seront consignées dans CloudWatch Logs.

Q : Puis-je utiliser AWS Transfer Family pour accéder à un système de fichiers EFS dans une autre région AWS ?

R : Non. AWS Transfer Family vous permet d'accéder uniquement aux systèmes de fichiers EFS situés dans la même région AWS.

Q : Puis-je utiliser AWS Transfer Family avec toutes les classes de stockage EFS ?

R : Oui. Vous pouvez utiliser AWS Transfer pour écrire des fichiers vers EFS et configurer EFS Lifecycle Management pour faire migrer les fichiers qui n'ont pas été utilisés depuis un certain temps vers la classe de stockage avec accès peu fréquent.

Q : Mes applications peuvent-elles se servir des protocoles SFTP/FTPS/FTP pour écrire et lire simultanément des données dans le même fichier ?

R : Oui. Amazon EFS fournit une interface de système de fichiers, une sémantique d'accès de système de fichiers (par ex. : forte cohérence des données et verrouillage des fichiers) et un stockage auquel peuvent accéder simultanément des milliers de clients NFS/SFTP/FTPS/FTP.

Q : Mes crédits de transmission en rafales EFS sont-ils consommés lorsque j'accède à mes systèmes de fichiers à l'aide d'AWS Transfer Family ?

R : Oui. L'accès à vos systèmes de fichiers EFS à l'aide de vos serveurs AWS Transfer Family consomme vos crédits de transmission en rafales EFS, quel que soit le mode de débit. Consultez la documentation sur les modes de performances et de débits disponibles et découvrez des conseils utiles en matière de performances.

Q :Quels protocoles utiliser pour sécuriser les données en transit sur un réseau public ?

R : Vous pouvez utiliser SFTP ou FTPS pour des transferts sécurisés sur les réseaux publics. Compte tenu de la sécurité sous-jacente des protocoles basés sur les algorithmes cryptographiques SSH et TLS, les données et les commandes sont transférées via un canal sécurisé et crypté.

Q : Quelles sont les options de chiffrement de données au repos disponibles ?

R : Vous pouvez choisir de chiffrer les fichiers stockés dans votre compartiment à l'aide d'Amazon KMS (SSE-KMS) ou du chiffrement côté serveur d'Amazon S3 (SSE-S3). Pour le chiffrement au repos des fichiers stockés dans EFS, vous avez le choix entre une clé CMK gérée par AWS et une clé CMK gérée par le client. Consultez la documentation pour en savoir plus sur les options de chiffrement au repos des données et métadonnées de fichiers à l'aide d'Amazon EFS.

Q : Quels sont les programmes de conformité pris en charge par AWS Transfer Family ?

R : L'AWS Transfer Family est conforme à la norme PCI-DSS, au RGPD, au FedRAMP et aux SOC 1, 2 et 3. Le service respecte également l'HIPAA. Apprenez-en davantage sur les services concernés par les programmes de conformité.

Q : L'AWS Transfer Family est-elle conforme à la loi FISMA ?

R : Les régions AWS USA Est, USA Ouest et GovCloud (US) sont conformes à la loi FISMA. Lorsque l'AWS Transfer Family est autorisée pour FedRAMP, elle sera conforme à la loi FISMA dans les régions concernées. L'autorisation FedRAMP pour ces deux régions pour FedRAMP Moderate et FedRAMP High démontre cette conformité. Cette conformité s’appuie sur des évaluations annuelles et la documentation des contrôles NIST SP 800-53 en vigueur dans nos plans de sécurité système. Des modèles sont disponibles sur Artifact avec notre matrice de responsabilité client (CRM) qui démontre, de manière détaillée, notre engagement à respecter ces contrôles NIST tel que l’exige FedRAMP. Artifact est disponible via la console de gestion, accessible par un compte AWS pour les régions USA Est, USA Ouest et GovCloud. Si vous avez d'autres questions sur ce sujet, veuillez consulter la console.

Q : Comment le service assure-t-il l'intégrité des fichiers téléchargés ?

R : Tous les fichiers téléchargés via les services sont vérifiés en comparant le total de contrôle MD5 pré et post-chargement du fichier.

Q: Quelles sont mes options pour chiffrer/déchiffrer les fichiers pour le transfert ?

R : Vous pouvez utiliser les flux de travail gérés par l'AWS Transfer Family pour décrypter automatiquement les fichiers téléchargés vers votre ressource AWS Transfer Family à l'aide de clés PGP. Pour plus d'informations, consultez la documentation sur les flux de travail gérés. Si vous recherchez une assistance en matière de chiffrement PGP, contactez-nous via AWS Support ou via votre équipe de compte AWS.

Q : Comment puis-je surveiller mes utilisateurs finaux et leurs activités de transfert de fichiers ?

R : Vous pouvez surveiller vos utilisateurs finaux et leurs activités de transfert de fichiers à l'aide de journaux au format JSON envoyés à Amazon CloudWatch. Dans CloudWatch, vous pouvez analyser et interroger vos journaux à l'aide de CloudWatch Log Insights, qui détecte automatiquement les champs au format JSON. Vous pouvez également suivre les principaux utilisateurs, le nombre total d'utilisateurs uniques et leur utilisation continue avec CloudWatch Contributor Insights. Nous fournissons également des métriques et des graphiques CloudWatch prédéfinis auxquels vous pouvez accéder dans la console de gestion AWS Transfer Family. Consultez la documentation pour en savoir plus.

Q : Puis-je créer des métriques consolidées pour suivre les utilisateurs et l'activité de transfert de fichiers sur plusieurs serveurs ?

R : Oui. Vous pouvez combiner les flux de journaux provenant de plusieurs serveurs AWS Transfer Family dans un seul groupe de journaux CloudWatch. Cela vous permet de créer des métriques et des visualisations de journaux consolidées.
Celles-ci peuvent être ajoutées aux tableaux de bord CloudWatch pour suivre l'utilisation et les performances des serveurs.

Q : Comment puis-je surveiller mes flux de travail ?

R : Les exécutions des flux de travail peuvent être surveillées à l'aide des métriques AWS CloudWatch, notamment le nombre total d'exécutions de flux de travail, d'exécutions ayant réussi et d'exécutions ayant échoué. Avec la console de gestion AWS, vous pouvez aussi rechercher et afficher en temps réel le statut de progression des exécutions de flux de travail en cours. Utilisez CloudWatch Logs pour obtenir une journalisation détaillée des exécutions de flux de travail.

Q : Quels types de notifications relatives aux flux de travail puis-je recevoir ?

R : Vous pouvez utiliser l'étape de traitement personnalisé pour déclencher des notifications vers EventBridge ou Simple Notification Service (SNS), et être averti lorsque le traitement de fichier est achevé. En outre, vous pouvez également utiliser CloudWatch Logs depuis les exécutions Lambda pour recevoir des notifications.

Q : Puis-je envoyer une notification si une vérification de validation de fichier de flux de travail échoue ?

R : Oui. Si une vérification de validation d'un fichier échoue par rapport aux étapes de validation de flux de travail préconfigurées, vous pouvez utiliser le gestionnaire d'exception pour invoquer votre système de surveillance ou les membres de votre équipe par le biais d'une rubrique Amazon SNS.

Q : Quel est le format des journaux d'AWS Transfer Family ?

R : AWS Transfer Family fournit des journaux au format JSON pour toutes les ressources (y compris les serveurs, les connecteurs et les flux de travail) et tous les protocoles, y compris SFTP, FTPS, FTP et AS2.

Q : Comment s’effectue la facturation du service ?

R : Vous êtes facturé sur une base horaire pour chacun des protocoles activés, à partir du moment où vous créez et configurez votre point de terminaison de serveur, jusqu'au moment où vous le supprimez. Vous êtes également facturé en fonction de la quantité de données téléchargées en amont et en aval via SFTP, FTPS ou FTP, du nombre de messages échangés via AS2 et de la quantité de données traitées à l'aide de l'étape du flux de travail Décryptage. Reportez-vous à la page de tarification pour plus d'informations

Q : Ma facture sera-t-elle différente selon que j’utilise le même point de terminaison de serveur pour plusieurs protocoles ou différents points de terminaison pour chaque protocole ?

R : Non, vous êtes facturé de l’heure pour chacun des protocoles que vous avez activés et pour la quantité de données transférées via chacun des protocoles, et ce indépendamment du fait que vous ayez activé le même point de terminaison pour plusieurs protocoles ou que vous utilisiez différents points de terminaison pour chacun des protocoles.

Q : J'ai arrêté mon serveur. Est-ce que je serai facturé même s’il est arrêté ?

R : Oui, arrêter le serveur, à l'aide de la console ou en exécutant la commande CLI « stop-server », ou encore la commande API « StopServer », n'a aucune incidence sur la facturation. Vous êtes facturé sur une base horaire, de l'heure de création du point de terminaison de votre serveur et de configuration de l'accès audit point sur un ou plusieurs protocoles jusqu'à l'heure de sa suppression.

Q : Comment suis-je facturé pour l'utilisation des flux gérés ?

R : L'étape du flux de travail Décryptage vous est facturée en fonction de la quantité de données que vous décryptez à l'aide des clés PGP. Il n'y a pas d'autres frais supplémentaires pour l'utilisation des flux de travail gérés. Selon la configuration de votre flux de travail, vous êtes également facturé pour l'utilisation d'Amazon S3, Amazon EFS, AWS Secrets Manager et AWS Lambda.

Q : L'utilisation des connecteurs SFTP est-elle facturée à un taux horaire ?

R : Non, il n'y a pas de facturation horaire pour les connecteurs SFTP. Vous êtes facturé en fonction de la quantité de données que vous envoyez ou récupérez à l'aide de connecteurs. En outre, vous êtes facturé pour chaque chemin de fichier que vous fournissez lors d'un appel d'API StartFileTransfer.