Geral

P: O que é o AWS Transfer for SFTP?

R: O AWS Transfer for SFTP (AWS SFTP) é um serviço totalmente gerenciado hospedado na AWS que permite transferir arquivos usando o SFTP diretamente do e para o Amazon S3.

P: O que é o SFTP e onde ele é usado?

R: SFTP significa Protocolo de Transferência de Arquivos do Secure Shell (SSH), um protocolo de rede usado para a transferência segura de dados pela Internet. O protocolo é compatível com funcionalidades completas de segurança e autenticação de SSH, e é amplamente usado para trocar dados entre parceiros comerciais em diversos setores, incluindo o de serviços financeiros, saúde, varejo e publicidade.

P: Por que eu devo usar o AWS SFTP?

R: Atualmente, se você usa o SFTP para trocar dados com terceiros, como fornecedores, parceiros comerciais ou clientes, e deseja gerenciar esses dados na AWS para processamento, análise e arquivamento, é necessário hospedar e gerenciar seus próprios serviços personalizados do SFTP. Isso requer que você invista na operação e no gerenciamento da infraestrutura, corrija servidores, monitore o tempo de atividade e a disponibilidade e crie mecanismos exclusivos para provisionar usuários e auditar as atividades deles. O AWS SFTP resolve esses desafios por meio de um serviço de SFTP totalmente gerenciado que pode reduzir o esforço operacional e preservar os fluxos de trabalho de transferência existentes para usuários finais. O serviço armazena os arquivos transferidos como objetos no bucket do Amazon S3, para que você possa usá-los como parte do fluxo de trabalho de data lake, processamento ou arquivamento.

P: Quais são os benefícios do uso do AWS SFTP?

R: O AWS SFTP oferece a você um serviço de SFTP totalmente gerenciado e de alta disponibilidade com recursos integrados de escalabilidade automática, eliminando a necessidade de gerenciar a infraestrutura relacionada ao SFTP. Com o AWS SFTP, os fluxos de trabalho dos usuários finais permanecem inalterados, enquanto os dados transferidos por upload e download por meio de SFTP são armazenados em um bucket do Amazon S3. Com os dados do Amazon S3, é possível usá-lo com diversos serviços do AWS de processamento e análise de dados, machine learning e arquivamento, em um ambiente que segue as exigências de conformidade.

P: Como faço para usar o AWS SFTP?

R: Siga três etapas simples para ter um "servidor SFTP" persistente e de alta disponibilidade na AWS. Primeiro, associe os nomes dos hosts do SFTP ao endpoint do servidor SFTP. Em seguida, configure os usuários selecionando o provedor de identidade para autenticação – Serviço Gerenciado ou serviço de diretório, como o Microsoft AD. Por fim, escolha os buckets S3 e atribua Funções do IAM para acesso. Depois que as políticas de acesso do endpoint, do provedor de identidade e do bucket do S3 estiverem habilitadas, seus usuários podem continuar a usar seus clientes e suas configurações existentes enquanto os dados que eles acessam estão armazenados em seu bucket do S3.

P: Meus usuários podem usar FTP ou FTP/S (FTP por SSL) para transferir arquivos usando este serviço?

R: Não, os usuários terão que usar o SFTP para transferir os arquivos. A maioria dos clientes de transferência de arquivos oferece o SFTP como uma opção que precisará ser selecionada ao transferir arquivos usando o AWS SFTP.

Acesso ao endpoint do servidor

P: Posso continuar a usar meu nome de domínio corporativo (sftp.meunomededominio.com) como meu endpoint SFTP?

R. Sim. Se você já tem um nome de domínio, pode usar o Amazon Route53 ou qualquer serviço de DNS para rotear o tráfego de usuários do domínio registrado para o endpoint do servidor SFTP na AWS. Consulte a documentação em Como o AWS SFTP usa o Amazon Route 53 para nomes de domínio personalizados.

P: Ainda poderei usar o serviço se eu não tiver um nome de domínio?

R: Sim, se você não tiver um nome de domínio, seus usuários poderão acessar o endpoint do servidor usando o nome do host fornecido pelo AWS SFTP. Como alternativa, você pode registrar um novo domínio usando o Console ou a API do Amazon Route 53 e rotear o tráfego deste novo domínio para o endpoint do servidor SFTP.

P: Posso usar meu domínio que já tem uma zona pública?

R: Sim, você precisará criar um CNAME de domínio para o nome de host do servidor SFTP.

P: A minha chave de host do servidor AWS SFTP mudará depois que eu criar o servidor?

R: Não, exceto se você interromper ou excluir o servidor. A chave de host do servidor atribuída no momento de criação do servidor continua sendo a mesma até você interromper e iniciar o servidor ou criar um novo.

P: Posso configurar o endpoint do servidor SFTP para ser acessível somente na VPC?

R: Sim. Quando você cria um servidor STP ou atualiza um existente, você tem a opção de especificar se quer que o endpoint do servidor seja acessível na Internet pública ou na VPC. Consulte a documentação em Criação do endpoint do servidor SFTP dentro da VPC usando o AWS PrivateLink, para obter detalhes.

P: Meus clientes do SFTP podem usar endereços IP fixos para acessar o VPC endpoint do meu servidor SFTP?

R: Sim, você pode ativar IPs fixos criando no VPC endpoint do seu servidor SFTP. Você pode criar um Network Load Balancer (NLB) IP elástico ativado, na sua VPC, e especificar o VPC endpoint do seu servidor SFTP como alvo. Os IPs elásticos associados lhe darão um ou mais endereços IP estáticos que não mudarão. Esses IPs podem ser usados para fins de permissão de firewall pelos usuários dos clientes SFTP. Para saber mais sobre essa configuração, acesse a documentação do Network Load Balancer.

P: Posso filtrar tráfego de entrada para acessar o VPC endpoint do meu servidor SFTPt?

R: Sim. O uso de um VPC para seu servidor SFTP o torna acessível somente a clientes dentro da mesma VPC, em outras VPCs que você especificar ou em ambientes locais usando tecnologias de rede que estendam sua VPC, como o AWS Direct Connect, o AWS VPN, ou emparelhamento da VPC. Você pode permitir acesso ao tráfego da Internet a esse endpoint criando um NLB e especificando seu alvo como o VPC endpoint do servidor SFTP. Firewalls existentes na sua VPC ou nas Listas de controle de acesso de rede (NACL) podem restringir o acesso por endereços IP de origem de entrada. Para saber mais sobre essa configuração, consulte a documentação do Network Load Balancer.

P: Meus clientes do SFTP podem usar endereços IP fixos para acessar o endpoint público do meu servidor SFTP?

R: Não. Endereços IP fixos que são geralmente usados para permissões de firewall atualmente não são suportados no endpoint público.

P: Que intervalos de IP meus usuários finais precisam aprovar para acessar o endpoint público do meu servidor SFTP?

R: Seus usuários precisam aprovar os intervalos de endereço IP da AWS listados aqui. Consulte a documentação para saber mais detalhes sobre como manter os intervalos de endereço IP da AWS atualizados. 

 

 

Autenticação de usuários

P: Meus usuários podem continuar usando os clientes de SFTP ou aplicativos de transferências existentes?

R: Sim, qualquer cliente de SFTP ou aplicativo de transferência de SFTP existente continuará a funcionar com o AWS SFTP. Entre os exemplos de clientes de SFTP normalmente usados estão WinSCP, FileZilla, CyberDuck e OpenSSH.

P: Como o serviço autentica meus usuários?

R: O serviço oferece suporte a dois modos de autenticação, usando o serviço para armazenar e acessar identidades de usuário e usando um provedor de identidade personalizado.

Autenticação gerenciada de serviços

P: Como faço para usar a autenticação gerenciada de serviços?

R: Você pode usar a autenticação baseada em chave se estiver usando o serviço para armazenar e acessar identidades de usuário.

P: Quantas chaves SSH posso carregar por usuário?

R: Você pode carregar até dez chaves SSH por usuário. Um número maior de chaves aumentará o tempo de login, uma vez que o servidor precisará avaliar cada uma delas até encontrar a correspondência para uma autenticação bem-sucedida.

P: A mudança da chave está disponível para a autenticação gerenciada de serviços?

R: Sim. Consulte a documentação para obter detalhes sobre como configurar a mudança da chave usando o serviço

P: Posso usar a autenticação gerenciada de serviços para a autenticação de senha?

R: Não, atualmente não há suporte para o armazenamento de senhas no serviço para autenticação. Se precisar autenticar uma senha, acesse nossa documentação para baixar os modelos compatíveis com essa opção, usando um provedor de identidade alternativa, como o AWS SimpleAD ou o Secrets Manager.

P: Há suporte para usuários anônimos?

R: Não, atualmente não há suporte para usuários anônimos.

P: Posso importar chaves de meu host SFTP atual, para que meus usuários não tenham que verificar novamente as informações da sessão?

R: Não, atualmente não há suporte para a importação de chaves de host existentes para o serviço.

Provedor de identidade personalizada

P: Posso aproveitar meu provedor de identidade existente para gerenciar meus usuários de SFTP?

R: O AWS SFTP permite conectar seu provedor de identidade existente para que você possa migrar com facilidade usuários com credenciais armazenadas no diretório corporativo. Os exemplos de provedores de identidade incluem o Microsoft Active Directory (AD), o Lightweight Directory Access Protocol (LDAP) ou qualquer outro provedor de identidade personalizada.

P: Como faço para começar a integrar meu provedor de identidade existente para autenticação de usuário?

R: Para começar, recomendamos usar o modelo do AWS CloudFormation e fornecer as informações necessárias para o acesso e a autenticação de usuários. Acesse o site em provedores de identidade personalizados para saber mais.

P: Ao configurar meu usuário, de quais informações preciso para permitir o acesso?

R: Independentemente do tipo de provedor de identidade, você terá que fornecer um nome de usuário, a Função do IAM da AWS e as informações do diretório inicial. R: Se você usar o serviço para armazenar e acessar identidades, também será preciso fornecer uma chave SSH.

P: Por que preciso fornecer uma Função do IAM da AWS e como ela deve ser usada?

R: O IAM da AWS é usado para determinar o nível de acesso que você deseja fornecer aos usuários. Isso inclui quais operações você deseja habilitar nos clientes deles e a quais buckets do Amazon S3 eles terão acesso: se a todo o bucket ou a partes dele.

P: Por que preciso fornecer informações do diretório inicial e como ele é usado?

R: O diretório inicial configurado para os usuários determina o diretório de login deles. Assim que o usuário fizer o login no servidor SFTP, esse caminho de diretório será usado pelo cliente SFTP como diretório inicial. Você precisa verificar se a Função do IAM informada permite que o usuário acesse o diretório inicial.

P: Tenho centenas de usuários com configurações de acesso similares, mas a diferentes partes do bucket. Posso configurá-los usando a mesma política e Função do IAM para permitir o acesso deles?

R: Sim, quando você quiser fornecer acesso similar para seus usuários a diferentes partes do bucket do Amazon S3 com base no nome de usuário deles, será preciso fazê-lo usando as mesmas políticas e Funções do IAM. Acesse a documentação para saber mais sobre como restringir o acesso pela avaliação das variáveis da política em tempo real.

Downloads e uploads de dados

P: Como os arquivos são armazenados em meu bucket do Amazon S3 transferido usando o AWS SFTP?

R: Os arquivos transferidos pelo SFTP são armazenados como objetos no bucket do Amazon S3, e há um mapeamento individual entre os arquivos e os objetos, permitindo acesso nativo a esses objetos, usando os serviços da AWS para processamento ou análise.

P: Como os objetos do Amazon S3 armazenados no bucket são apresentados aos usuários?

R: Após fazer a autenticação com sucesso, com base nas credenciais de usuário, o AWS SFTP apresenta os objetos e as pastas do Amazon S3 como arquivos e diretórios para os aplicativos de transferência dos usuários.

P: Quais operações de arquivos são permitidas pelo AWS SFTP? Quais operações não são permitidas?

R: Os comandos comuns do SFTP para criar, ler, atualizar e excluir arquivos e diretórios são permitidos. Os arquivos são armazenados como objetos individuais no bucket do Amazon S3. Os diretórios são gerenciados como objetos de pasta no S3, usando a mesma sintaxe do console do S3. Operações de renomear diretórios, links simbólicos e hard links não têm suporte no momento.

P: Posso controlar quais operações meus usuários podem realizar?

R: Sim, você pode ativar/desativar operações de arquivos usando a função do IAM da AWS que você mapeou para o nome de usuário deles.

P: Posso fornecer aos usuários do meu SFTP acesso a mais de um bucket do Amazon S3?

R: Sim. O(s) bucket(s) que seu usuário pode acessar é(são) determinados pela Função do IAM da AWS e pela política de redução do escopo que você atribuir para este usuário. Você só pode usar um único bucket como diretório inicial para o usuário.

P: Posso criar um servidor usando a conta A da AWS e mapear meus usuários do SFTP em buckets do Amazon S3 pertencentes à conta B da AWS?

R: Sim. Você pode usar a ILC e a API para configurar o acesso entre contas entre seu servidor e os buckets que você quer usar para SFTP. A lista suspensa do Console só mostrará buckets da Conta A. Além disso, você terá de se certificar de que a função que está sendo atribuída ao usuário pertence à conta A.

P: Como faço para saber qual usuário do SFTP carregou um arquivo?
R: Você pode usar o Amazon CloudWatch para visualizar as atividades dos usuários do SFTP. Acesse a documentação para saber mais sobre como ativar o registro no Amazon CloudWatch.

P: Posso automatizar o processamento de um arquivo depois que ele for carregado para o Amazon S3?
R: Sim, você pode usar os eventos do Amazon S3 para automatizar o processamento dos arquivos carregados usando uma ampla série de serviços da AWS para consulta, análise, machine learning e muito mais. Acesse a documentação para saber mais sobre exemplos comuns do processamento de carregamento de publicações usando o Lambda com o Amazon S3.

 

Segurança e conformidade

P: Meus dados estarão seguros enquanto estiverem em trânsito?

R: Sim, a segurança subjacente do protocolo SFTP transfere comandos e dados de arquivos por meio de um túnel seguro e criptografado.

P: Quais são as minhas opções para criptografar dados ociosos transferidos por meio do AWS SFTP?

R: Você pode criptografar arquivos armazenados no bucket usando a Criptografia do Lado do Servidor (SSE-S3) do Amazon S3 ou o Amazon KMS (SSE-KMS).

P: Com quais programas de conformidade o AWS SFTP é compatível?

R: O AWS SFTP é compatível com PCI-DSS e GDPR, e se qualifica para a HIPAA.

P: Como o serviço garante a integridade dos arquivos carregados?

R: Todos os arquivos carregados pelo servidor SFTP são verificados pela comparação da soma de verificação MD5 pré e pós-carregamento do arquivo.

P: Como posso monitorar o uso e rastrear as atividades dos usuários?

R: Você pode usar o Amazon CloudWatch para visualizar as atividades dos usuários do SFTP. Acesse a documentação para saber mais sobre como ativar o registro no Amazon CloudWatch.

Faturamento

P: Pelo que estou pagando quando uso o AWS SFTP?

R: Você paga apenas pelos recursos usados com o AWS SFTP. Isso inclui uma cobrança por hora pelo endpoint do servidor SFTP, além de cobranças pelo upload e download de dados do SFTP. O preço cobre um serviço SFTP totalmente gerenciado e altamente disponível com Auto Scaling em tempo real baseado nas demandas de carga de trabalho. Consulte a página de definição de preço do AWS SFTP para ver mais detalhes.

P: Como serei cobrado pelo servidor AWS SFTP?

R: Você é cobrado por hora a partir do momento em que cria e configura o servidor SFTP, que é provisionado para uso exclusivo seu, até o momento em que excluir o servidor. Você também é cobrado pelo volume do upload e download de dados feitos por meio do servidor SFTP. Consulte a página de definição de preço do AWS SFTP para ver mais detalhes.

P: Interrompi meu servidor. Eu serei cobrado pelo tempo em que o servidor ficar interrompido?

R: Sim, interromper o servidor, seja usando o console ou executando o comando CLI “stop-server” ou o comando da API “StopServer”, não afeta o faturamento. Você é cobrado por hora a partir do momento em que cria e configura o servidor SFTP, que é provisionado para uso exclusivo seu, até o momento em que exclui o servidor.

Saiba mais sobre a definição de preço de SFTP
Saiba mais sobre a definição de preço

O AWS SFTP oferece um serviço totalmente gerenciado, reduzindo os cursos operacionais para executar os serviços de transferência de arquivos.

Saiba mais 
Cadastre-se para obter uma conta gratuita da AWS
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS. 

Cadastrar-se 
Comece a criar com o SFTP
Comece a criar no console

Comece a criar com o AWS SFTP no Console AWS.

Faça login