Questions d'ordre général

Q : Qu’est-ce qu’AWS Transfer for SFTP ?

R : AWS Transfer for SFTP (AWS SFTP), est un service entièrement géré hébergé sur AWS qui permet le transfert de fichiers via SFTP directement à partir et vers Amazon S3.

Q : Qu’est-ce que SFTP et où est-il utilisé ?

R : SFTP signifie Secure Shell File Transfer Protocol, un protocole réseau utilisé pour le transfert sécurisé de données sur Internet. Le protocole prend en charge la sécurité complète et les fonctionnalités d'authentification de SSH, et est largement utilisé pour l'échange de données entre partenaires commerciaux dans des secteurs tels que les services financiers, les soins de santé, la vente au détail et la publicité.

Q : Pourquoi utiliser AWS SFTP ?

R : Dès maintenant, si vous utilisez SFTP pour échanger des données avec des tiers tels que vos fournisseurs ou vos partenaires commerciaux et souhaitez gérer ces données dans AWS à des fins de traitement, d'analyse et d'archivage, vous devez héberger et gérer votre propre service SFTP personnalisé. Cela nécessite que vous investissiez dans l'exploitation et la gestion de votre infrastructure, dans la correction des serveurs, dans la surveillance du temps de fonctionnement et de la disponibilité, et dans la création de mécanismes ponctuels pour provisionner les utilisateurs et surveiller leur activité. AWS SFTP résout ces problèmes en fournissant un service SFTP entièrement géré capable de réduire votre charge opérationnelle, tout en préservant vos flux de travail de transfert existants pour vos utilisateurs finaux. Le service stocke les fichiers transférés en tant qu'objets dans votre compartiment Amazon S3, afin que vous puissiez les utiliser dans le cadre d'un flux de travail de traitement, d'archivage ou d’un data lake.

Q : Quels sont les avantages de l'utilisation d’AWS SFTP ?

R : AWS SFTP vous fournit un service SFTP entièrement géré et hautement disponible, doté de fonctionnalités de dimensionnement automatique, vous évitant ainsi de devoir gérer une infrastructure liée à SFTP. Avec AWS SFTP, les flux de travail de vos utilisateurs finaux restent inchangés, et les données téléchargées en amont/aval via SFTP sont stockées dans votre compartiment Amazon S3. Vous pouvez désormais utiliser facilement les données stockées dans Amazon S3 grâce au large éventail de services AWS permettant l'analyse, le machine learning, l’archivage et le traitement des données, dans un environnement répondant à vos exigences de conformité.

Q : Comment utiliser AWS SFTP ?

R : En 3 étapes simples, vous pouvez obtenir un « serveur SFTP » persistant et hautement disponible dans AWS. Tout d’abord, vous associez votre nom d’hôte SFTP existant au point de terminaison du serveur SFTP. Ensuite, vous configurez vos utilisateurs en sélectionnant votre fournisseur d'identité pour l'authentification - Service géré ou un service d'annuaire comme Microsoft AD. Enfin, vous choisissez le(s) compartiment(s) S3 et assignez l’accès à des rôles IAM. Une fois les points de terminaison de service, le fournisseur d’identité et les politiques d’accès au compartiment S3 activés, vos utilisateurs peuvent continuer à utiliser leurs clients et configurations existants tandis que les données auxquelles ils accèdent sont stockées dans votre compartiment S3.

Q : Mes utilisateurs peuvent-ils utiliser FTP ou FTP/S (FTP sur SSL) pour transférer des fichiers à l'aide de ce service ?

R : Non, vos utilisateurs devront utiliser SFTP pour transférer des fichiers. La plupart des clients de transfert de fichiers proposent SFTP en tant qu'option devant être sélectionnée lors du transfert de fichiers à l'aide d'AWS SFTP.

Accès au point de terminaison de serveur

Q : Puis-je continuer à utiliser mon nom de domaine d'entreprise (sftp.mydomainname.com) comme point de terminaison SFTP ?

R : Oui. Si vous avez déjà un nom de domaine, vous pouvez utiliser Amazon Route53 ou tout service DNS pour acheminer le trafic de vos utilisateurs depuis votre domaine enregistré vers le point de terminaison du serveur SFTP dans AWS. Reportez-vous à la documentation sur Comment AWS SFTP utilise Amazon Route 53 pour les noms de domaine clients.

Q : Puis-je quand même utiliser le service si je n'ai pas de nom de domaine ?

R : Oui, si vous n’avez pas de nom de domaine, vos utilisateurs peuvent accéder au point de terminaison du serveur à l’aide du nom d’hôte fourni par AWS SFTP. Vous pouvez également enregistrer un nouveau domaine à l'aide de la console Amazon Route 53 ou de l'API et acheminer le trafic depuis ce nouveau domaine vers votre point de terminaison de serveur SFTP.

Q : Puis-je utiliser mon domaine ayant déjà une zone publique ?

R : Oui, vous devrez nommer (CNAME) le domaine par le nom d'hôte du serveur SFTP.

R : La clé d'hôte de mon serveur AWS SFTP sera-t-elle modifiée après la création du serveur ?

R : Non, elle ne sera pas modifiée tant que vous n’arrêtez pas ou ne supprimez pas le serveur. Tant que vous n’en créez pas une nouvelle ou que vous n’arrêtez pas le serveur, la clé d’hôte attribuée lors de la création du serveur demeure inchangée.

Q : Puis-je configurer mon point de terminaison de serveur SFTP de manière à ce qu'il soit accessible uniquement dans mon VPC ?

R : Oui. Lorsque vous installez un serveur SFTP ou que vous mettez à jour un serveur SFTP existant, vous pouvez spécifier si vous voulez que le point de terminaison de votre serveur soit accessible sur Internet public ou dans votre VPC. Reportez-vous à la documentation Création d’un point de terminaison du serveur SFTP dans votre VPC en utilisant AWS PrivateLink pour plus de détails.

Q : Mes clients SFTP peuvent-ils utiliser des adresses IP fixes pour accéder au point de terminaison d’un VPC de mon serveur SFTP ?

R : Oui, vous pouvez activer les IP fixes en vous basant sur le point de terminaison d’un VPC de votre serveur SFTP. Vous pouvez créer un équilibreur de charge du réseau (NLB) avec l'IP élastique activé, dans votre VPC et spécifier comme cible le point de terminaison d’un VPC de votre serveur SFTP. Les adresses IP élastiques associées vous donneront une ou plusieurs adresses IP statiques qui ne changeront pas. Ces adresses IP peuvent être utilisées à des fins de liste blanche de pare-feu par les utilisateurs de vos clients SFTP. Pour en savoir plus sur cette configuration, consultez la documentation relative à Network Load Balancer.

Q : Puis-je filtrer le trafic entrant pour accéder au point de terminaison d’un VPC de mon serveur SFTP ?

R : Oui. L'utilisation d'un point de terminaison d’un VPC sur votre serveur SFTP le rend accessible uniquement aux clients du même VPC, d'autres VPC que vous spécifiez ou dans des environnements sur site utilisant des technologies réseau qui étendent votre VPC telles que AWS Direct Connect, AWS VPN ou l’appairage VPC. Vous pouvez autoriser l'accès au trafic Internet à ce point de terminaison en créant une NLB et en spécifiant sa cible comme point de terminaison d'un VPC de votre serveur SFTP. Les pare-feu existants dans votre VPC ou les règles des listes de contrôle d'accès réseau (NACL) de votre sous-réseau peuvent restreindre l'accès par les adresses IP sources entrantes. Pour en savoir plus, consultez la documentation relative à Network Load Balancer.

Q : Mes clients SFTP peuvent-ils utiliser des adresses IP fixes pour accéder au point de terminaison de mon serveur SFTP ?

R : Non. Les adresses IP fixes généralement utilisées à des fins de liste blanche de pare-feu ne sont actuellement pas prises en charge par le point de terminaison public.

Q : Quelles plages d'adresses les utilisateurs finaux doivent-ils ajouter à la liste blanche pour pouvoir accéder au point de terminaison de mon serveur SFTP ?

R : Vos utilisateurs devront ajouter à la liste blanche les plages d'adresses AWS IP publiées ici. Reportez-vous à la documentation pour savoir comment maintenir les plages d'adresses IP AWS à jour. 

 

 

Authentification de l'utilisateur

Q : Mes utilisateurs peuvent-ils continuer à utiliser leurs clients SFTP existants ou à transférer des applications ?

R : Oui, tout client SFTP existant ou application de transfert SFTP continuera à fonctionner avec AWS SFTP. Des exemples de clients SFTP couramment utilisés sont les clients WinSCP, FileZilla, CyberDuck et OpenSSH.

Q : Comment le service authentifie-t-il mes utilisateurs ?

R : Le service prend en charge deux modes d'authentification: l’utilisation du service pour stocker et accéder aux identités d'utilisateur et l’utilisation d’un fournisseur d'identité personnalisé.

Authentification gérée par un service

Q : Comment puis-je utiliser l’authentification gérée par un service ?

R : Vous pouvez utiliser une authentification basée sur une clé si vous utilisez le service pour stocker et accéder aux identités des utilisateurs.

Q : Combien de clés SSH puis-je utiliser par utilisateur ?

R : Vous pouvez télécharger jusqu’à 10 clés SSH par utilisateur. Notez que l'ajout de clés augmente la durée de connexion car le serveur évaluera chacune d'entre elles jusqu'à ce qu'une correspondance soit trouvée pour une authentification réussie.

Q : La rotation de clé est-elle prise en charge pour l'authentification gérée par le service ?

R : Oui. Reportez-vous à la documentation pour savoir comment configurer la rotation de clé à l'aide du service

Q : Puis-je utiliser l'authentification gérée par le service pour l'authentification par mot de passe ?

R : Non, le stockage des mots de passe dans le service pour l'authentification n'est pas pris en charge pour le moment. Si vous avez besoin d'une authentification par mot de passe, consultez notre documentation pour télécharger les modèles qui la prennent en charge à l'aide d'un autre fournisseur d'identité, tel que AWS SimpleAD ou Secrets Manager.

Q : Les utilisateurs anonymes sont-ils pris en charge ?

R : Non, les utilisateurs anonymes ne sont pas pris en charge pour le moment.

Q : Puis-je importer des clés de mon hôte SFTP actuel afin que mes utilisateurs n'aient pas à revérifier les informations de session ?

R : Non, nous ne prenons actuellement pas en charge l'importation de clés d'hôte existantes dans le service.

Fournisseur d’identité personnalisé

Q : Puis-je utiliser mon fournisseur d'identité existant pour gérer mes utilisateurs SFTP ?

R : AWS SFTP vous permet de brancher votre fournisseur d'identité existant afin que vous puissiez facilement migrer vos utilisateurs dont les informations d'identification sont stockées dans votre répertoire d'entreprise. Les exemples de fournisseurs d'identité incluent Microsoft Active Directory (AD), Lightweight Directory Access Protocol (LDAP) ou tout fournisseur d'identité personnalisé.

Q : Comment puis-je intégrer mon fournisseur d'identité existant pour l'authentification des utilisateurs ?

R : Pour commencer, nous vous recommandons d'utiliser le modèle AWS CloudFormation et de fournir les informations nécessaires à l'authentification et à l'accès des utilisateurs. Visitez le site Web sur les fournisseurs d'identité personnalisés pour en savoir plus.

Q : Lors de la configuration de mon utilisateur, quelles informations dois-je fournir pour activer l'accès ?

R : Quel que soit le type de fournisseur d'identité, vous devrez fournir un nom d'utilisateur, un rôle AWS IAM et des informations sur le répertoire de base. Si vous utilisez le service pour stocker et accéder aux identités des utilisateurs, vous devrez aussi fournir une clé SSH.

Q : Pourquoi dois-je fournir un rôle AWS IAM et comment est-il utilisé ?

R : AWS IAM est utilisé pour déterminer le niveau d'accès que vous souhaitez fournir à vos utilisateurs. Cela inclut les opérations que vous souhaitez activer sur leur client et les compartiments Amazon S3 auxquels ils ont accès, qu’il s’agisse de la totalité ou d’une partie du compartiment.

Q : Pourquoi dois-je fournir des informations sur le répertoire de base et comment sont-elles utilisées ?

R : Le répertoire de base que vous avez configuré pour votre utilisateur détermine son répertoire de connexion. Dès que votre utilisateur se connectera au serveur SFTP, il obtiendra le chemin d'accès au répertoire que son client SFTP utilisera comme répertoire d'arrivée. Vous devez vous assurer que le rôle IAM fourni donne à l'utilisateur un accès au répertoire de base.

Q : J'ai des centaines d'utilisateurs qui ont des paramètres d'accès similaires, mais à différentes parties de mon compartiment. Puis-je les configurer en utilisant le même rôle et la même stratégie IAM pour activer leur accès ?

R : Oui, lorsque vous souhaitez fournir un accès similaire à vos utilisateurs, mais à différentes partitions de votre compartiment Amazon S3 selon leur nom d'utilisateur, vous pouvez le faire avec moins de règles et de rôles IAM. Consultez la documentation pour en savoir plus sur la réduction de l'accès via une évaluation en temps réel des variables de stratégie.

Téléchargements de données

Q : Comment les fichiers stockés dans mon compartiment Amazon S3 sont-ils transférés avec AWS SFTP ?

R : Les fichiers transférés via SFTP sont stockés en tant qu'objets dans votre compartiment Amazon S3. Un mappage un à un entre les fichiers et les objets permet un accès natif à ces objets à l'aide des services AWS pour le traitement ou l'analyse.

Q : Comment les objets Amazon S3 stockés dans mon compartiment sont-ils présentés à mes utilisateurs ?

R : Une fois l'authentification réussie, AWS SFTP présente les objets et les dossiers Amazon S3 sous forme de fichiers et de répertoires aux applications de transfert de vos utilisateurs, en fonction des informations d'identification de vos utilisateurs.

Q : Quelles opérations de fichiers sont prises en charge par AWS SFTP ? Quelles opérations ne sont pas prises en charge ?

R : Les commandes SFTP courantes permettant de créer, lire, mettre à jour et supprimer des fichiers et des répertoires sont prises en charge. Les fichiers sont stockés en tant qu'objets individuels dans votre compartiment Amazon S3. Les répertoires sont gérés sous la forme d'objets de dossier dans S3, en utilisant la même syntaxe que la console S3. Les opérations de modification du nom du répertoire, les liens symboliques et les liens durs ne sont actuellement pas pris en charge...

Q : Puis-je contrôler les opérations que mes utilisateurs sont autorisés à effectuer ?

R : Oui, vous pouvez activer et désactiver les opérations sur les fichiers à l'aide du rôle AWS IAM que vous avez mappé à leur nom d'utilisateur.

Q : Puis-je fournir à mes utilisateurs SFTP l'accès à plus d'un compartiment Amazon S3 ?

R : Oui. Le(s) compartiment(s) auquel (auxquels) votre utilisateur peut accéder est (sont) déterminé(s) par le rôle IAM de l'AWS et les conditions générales à portée descendante en option que vous lui attribuez. Vous ne pouvez utiliser qu'un seul compartiment comme répertoire de base pour l'utilisateur.

Q : Puis-je créer un serveur à l'aide du compte AWS A et mapper mes utilisateurs SFTP sur des compartiments Amazon S3 appartenant au compte AWS B ?

R : Oui. Vous pouvez utiliser l'interface de ligne de commande et l'API pour configurer l'accès aux comptes croisés entre votre serveur et les compartiments que vous voulez utiliser pour SFTP. Le menu déroulant Console n'affichera que les compartiments du compte A. De plus, vous devrez vérifier que le rôle attribué à l'utilisateur appartient bien au compte A.

Q : Comment savoir quel utilisateur SFTP a téléchargé un fichier ?
R : Vous pouvez utiliser Amazon CloudWatch pour afficher l’activité de vos utilisateurs SFTP. Consultez la documentation pour en savoir plus sur l'activation de la journalisation Amazon CloudWatch.

Q : Puis-je automatiser le traitement d'un fichier une fois qu'il a été téléchargé sur Amazon S3 ?
R : Oui, vous pouvez utiliser les événements Amazon S3 pour automatiser le traitement des fichiers téléchargés à l'aide d'un large éventail de services AWS, comme les requêtes, l'analyse, le machine learning et plus encore. Consultez la documentation pour en savoir plus sur les exemples courants de traitement post-téléchargement à l'aide de Lambda avec Amazon S3.

 

Sécurité et conformité

Q : Mes données sont-elles sécurisées pendant le transit ?

R : Oui, la sécurité sous-jacente du protocole SFTP transfère les commandes et les données de fichiers via un tunnel sécurisé chiffré.

Q : Quelles sont mes options pour chiffrer les données inactives transférées à l'aide d'AWS SFTP ?

R : Vous pouvez choisir de chiffrer les fichiers stockés dans votre compartiment à l'aide du chiffrement côté serveur d’Amazon S3 (SSE-S3) ou d'Amazon KMS (SSE-KMS).

Q : Quels sont programmes de conformité pris en charge par AWS SFTP ?

R : AWS SFTP est conforme aux normes PCI-DSS et GDPR et est éligible à la norme HIPAA.

Q : Comment le service assure-t-il l'intégrité des fichiers téléchargés ?

R : Tous les fichiers téléchargés via le serveur SFTP sont vérifiés en comparant le total de contrôle MD5 du fichier pré et post-téléchargement.

Q : Comment puis-je surveiller l’utilisation et suivre l’activité de mes utilisateurs ?

R : Vous pouvez utiliser Amazon CloudWatch pour afficher l’activité de vos utilisateurs SFTP. Consultez la documentation pour en savoir plus sur l'activation de la journalisation Amazon CloudWatch.

 

Facturation

Q : De quoi se compose ma facture lorsque j'utilise AWS SFTP ?

R : Avec AWS SFTP, vous payez uniquement pour les ressources que vous utilisez. Vous avez des frais horaires pour le point de terminaison du serveur SFTP, ainsi que pour le téléchargement des données SFTP. La tarification couvre un service SFTP entièrement géré et hautement disponible, qui évolue automatiquement en temps réel en fonction de la demande de votre charge de travail. Veuillez vous reporter à la page des tarifs AWS SFTP pour plus de détails.

Q : Comment suis-je facturé pour mon serveur AWS SFTP ?

R : Vous êtes facturé sur une base horaire à partir du moment où vous créez et configurez votre serveur SFTP, qui est provisionné pour votre utilisation spécifique, jusqu'au moment où vous supprimez le serveur. Vous êtes également facturé en fonction de la quantité de données chargées et téléchargées via votre serveur SFTP. Veuillez vous reporter à la page des tarifs AWS SFTP pour plus de détails.

Q : J'ai arrêté mon serveur. Est-ce que je serai facturé même s’il est arrêté ?

R : Oui, arrêter le serveur, à l'aide de la console ou en exécutant la commande CLI « stop-server », ou encore la commande API « StopServer », n'a aucune incidence sur la facturation. Vous êtes facturé sur une base horaire à partir du moment où vous créez et configurez votre serveur SFTP, qui est provisionné pour votre utilisation spécifique, jusqu'au moment où vous supprimez le serveur.

Product-Page_Standard-Icons_01_Product-Features_SqInk
En savoir plus sur la tarification

AWS SFTP fournit un service entièrement géré, réduisant vos coûts opérationnels liés à l'exécution des services de transfert de fichiers.

En savoir plus 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Créer gratuitement un compte

Obtenez un accès instantané à l'offre gratuite d'AWS. 

S'inscrire 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Commencez à créer sur la console

Commencez à créer avec AWS SFTP dans la console AWS.

Se connecter