一般問題

問:什麼是 AWS Transfer Family?

答:AWS Transfer Family 是 AWS Transfer for SFTP、AWS Transfer for FTPS 和 AWS Transfer for FTP 的總稱。AWS Transfer Family 提供檔案傳輸的全受管支援,可透過 SFTP、FTPS 和 FTP 將檔案直接傳入和傳出 Amazon S3。您可保留現有用於驗證、存取及防火牆的用戶端組態,無縫遷移檔案傳輸工作流程,無論是對客戶、合作夥伴及內部團隊,或其應用程式都不需要任何改變。

問:什麼是 SFTP?

答:SFTP 代表 Secure Shell (SSH) 檔案傳輸協定,是一種用於在網際網路上安全傳輸資料的網路協定。此協定支援 SSH 的完整安全和身分驗證功能,並廣泛用於包括金融服務、醫療保健、媒體娛樂、零售和廣告等各種產業,以在業務合作夥伴之間交換資料。

問:什麼是 FTP?

答:FTP 代表檔案傳輸協定,是一種用於傳輸資料的網路協定。FTP 使用獨立通道來控制及傳輸資料。控制通道在終止或無活動逾時前都會保持開啟狀態,資料通道則在傳輸期間保持作用中。FTP 使用明文且不支援流量加密。

問:什麼是 FTPS?

答:FTPS 代表 SSL 檔案傳輸通訊協定,為 FTP 的延伸。其使用 Transport Layer Security (TLS) 和 Secure Sockets Layer (SSL) 加密通訊協定加密流量。FTPS 能並行且獨立加密控制和資料通道連線。

問:為何應該使用 AWS Transfer Family?

答:如果您現在透過 SFTP、FTPS 或 FTP 等檔案傳輸通訊協定與第三方 (例如廠商、業務合作夥伴或客戶) 交換資料,並想在 AWS 中管理該資料以進行處理、分析和存檔,您便需要託管和管理自有的檔案傳輸服務。您需要投資在基礎架構的營運和管理、修補伺服器、監控正常執行時間和可用性,以及建立一次性的機制來佈建使用者及稽核他們的活動。AWS Transfer Family 為 SFTP、FTPS 和 FTP 提供全受管服務來降低營運負擔,同時確保最終使用者的現有傳輸工作流程不受影響,以此解決上述種種挑戰。該服務會將傳輸的檔案儲存為 Amazon S3 儲存貯體中的物件,讓您可以在資料湖中從這些物件擷取值,或者用於客戶關係管理 (CRM) 或企業資源計劃 (ERP) 工作流程,或用於在 AWS 中存檔。

問:使用 AWS Transfer Family 有哪些優點?

答:AWS Transfer Family 提供全受管的高可用性檔案傳輸服務,且具有自動擴展功能,讓您不必再管理檔案傳輸的相關基礎架構。此服務讓最終使用者的工作流程保持不變,而透過所選通訊協定上傳和下載的資料則會存放在您的 Amazon S3 儲存貯體中。使用 Amazon S3 中的資料,您現在可以在符合合規要求的環境中,輕鬆地將此資料與各種 AWS 服務配合使用,進行資料處理、分析、機器學習及存檔。

問:如何使用 AWS Transfer Family?

答:只要 3 個簡單步驟,您便能得到可用於 SFTP、FTPS 和/或 FTP 隨時開啟的伺服器端點。首先,選擇要讓終端使用者連線至端點的通訊協定。接著,整合用於驗證現有的 Microsoft Active Directory 或 LDAP 等身分供應商 (「BYO」驗證),為使用者進行設定。最後,指派 IAM 角色,提供 S3 儲存貯體的存取權限。啟用通訊協定、身分供應商及 S3 儲存貯體存取政策後,如果存取的資料儲存在 S3 儲存貯體中,他們可以繼續使用其現有的用戶端和組態。

問:SFTP 和 FTPS 有什麼差別? 何時該用哪一個?

答:FTPS 和 SFTP 皆可用於加密傳輸。但因為兩者為不同的通訊協定,因此會使用不同的用戶端和技術來提供用於傳輸命令和資料的加密通道。SFTP 是較新的通訊協定,使用單一通道於命令和資料,需要的連接埠開口數比 FTPS 少。

問:我的使用者是否可以透過此服務利用 SCP、HTTPS 或 AS2 傳輸檔案?

答:不可以,您的使用者需要使用 SFTP、FTPS 或 FTP 傳輸檔案。多數的檔案傳輸用戶端皆提供這些通訊協定作為選項,需在驗證期間選擇。

問:我的使用者可以繼續使用他們現有的檔案傳輸用戶端和應用程式嗎?

答,可以,只要您為所選的通訊協定啟用端點,便能繼續使用任何現有的檔案傳輸用戶端應用程式。常用用戶端的範例包括 WinSCP、FileZilla、CyberDuck、lftp 和 OpenSSH 用戶端。 

問:是否可使用 CloudFormation 自動部署伺服器和使用者?

答:可以的,您可以部署 CloudFormation 範本以自動建立伺服器和使用者,或者用於整合身分供應商。請參閱使用指南,了解如何使用 CloudFormation 範本中的 AWS Transfer 資源

伺服器端點選項

問:是否可以使用我的公司網域名稱 (sftp.mycompanyname.com) 存取我的端點?

答:是。如果您已經有網域名稱,可使用 Amazon Route53 或任何 DNS 服務,將註冊網域的使用者流量路由到 AWS 的伺服器端點。請參閱文件,了解 AWS Transfer Family 如何將 Amazon Route 53 用於自訂網域名稱 (僅適用於網際網路對應端點)。

問:如果我沒有網域名稱,可以繼續使用此服務嗎?

答:可以。如果您沒有網域名稱,您的使用者可以透過服務提供的主機名稱來存取您的端點。您也可以透過 Amazon Route 53 主控台或 API 註冊一個新網域,然後將這個新網域的流量路由到服務提供的端點主機名稱。

問:我可以使用已具備公開區域的網域嗎?

答:可以,您需要透過 CNAME 記錄將該網域對應至服務提供的端點主機名稱。

問:是否可將伺服器設定為僅能在 VPC 內存取資源?

答:是。建立伺服器或更新現有伺服器時,您可以指定端點是要透過公有網路存取或在 VPC 內託管。透過為伺服器使用 VPC 託管端點,您可以限制僅讓相同 VPC 內、您指定的其他 VPC 或內部部署環境中的用戶端,透過可延伸 VPC 的網路技術 (如 AWS Direct Connect、AWS VPN 或 VPC 對等) 進行存取。您可以使用子網路「網路存取控制清單 (NACL)」或端點「安全群組」進一步限制對 VPC 內特定子網路中的資源的存取權。如需詳細資訊,請參閱文件,了解如何使用 AWS PrivateLink 在 VPC 內建立伺服器端點

問:能否在網際網路對應端點使用 FTP?

否,啟用 FTP 時只能使用 VPC 託管端點的網際網路存取選項。如果流量需要周遊公有網路,便應使用 SFTP 或 FTPS 等加密通訊協定。

問:如果我需要使用 FTP 周遊公有網路,該怎麼辦?

服務不允許在公有網路使用 FTP,因為當您建立為 FTP 啟用的伺服器時,伺服器端點只能供 VPC 內的資源存取。如果需要使用 FTP 透過公有網際網路交換資料,可在伺服器的 VPC 端點前放置網際網路對應的網路負載平衡器 (NLB)。

問:是否可以在沒有 VPC 的情況下使用 FTP?

不可。需有 VPC 才能託管 FTP 伺服器端點。請參閱 CloudFormation 範本文件,了解如何在建立伺服器期間自動建立用於託管端點的 VPC 資源。

問:我的最終使用者是否可以使用固定 IP 地址以白名單方式存取其防火牆中我的伺服器的端點?

答:是。您可以為您的伺服器端點啟用固定 IP,方法是為您的伺服器選取 VPC 託管端點並選擇網際網路對應選項。如此您便能將彈性 IP (包含 BYO IP) 直接附加至指派為端點 IP 位址的端點。請參閱在 VPC 內建立伺服器端點文件中的「建立網際網路對應端點」章節。

問:是否可以依最終使用者的來源 IP 地址限制傳入流量?

答:是。您可以將「安全群組」連接至伺服器的 VPC 端點,此端點將控制伺服器的傳入流量。請參閱在 VPC 內建立伺服器端點文件中的「建立網際網路對應端點」章節。

問:終端使用者是否可以使用固定 IP 地址存取公有端點類型的伺服器?

答:不可以。固定 IP 地址通常用於防火牆白名單設定,目前尚不支援公有端點類型。

問:最終使用者需要將哪些 IP 範圍列入白名單,才能存取 SFTP 伺服器公有端點類型?

答:如果您使用的是公有端點類型,您的使用者需要將這裡發佈的 AWS IP 地址範圍列入白名單。如需有關取得最新 AWS IP 地址範圍的詳細資訊,請參閱相關文件。

問:建立伺服器後,AWS Transfer for SFTP 伺服器的主機金鑰是否會變更?

答:否。在您刪除伺服器然後建立新的伺服器之前,您在建立伺服器時指派的伺服器主機金鑰都會保持不變。

問:是否可以從目前的 SFTP 伺服器匯入金鑰,讓使用者無需重新驗證工作階段資訊?

答:是。建立新伺服器或更新現有的伺服器時,可以提供 RSA 主機金鑰。最終使用者的用戶端會使用此金鑰來識別伺服器。請參閱文件,了解如何利用 AWS CLI/SDK 上傳伺服器的主機金鑰

問:終端使用者的 FTPS 用戶端如何驗證我的 FTPS 伺服器的身分?

答:啟用 FTPS 存取時,您需要提供 Amazon Certificate Manager (ACM) 的憑證。此憑證可供終端使用者用來驗證 FTPS 伺服器的身分。請參閱關於請求新憑證將現有憑證匯入 ACM 的 ACM 文件。

問:是否支援 FTPS 和 FTP 的主動和被動模式?

答:我們僅支援被動模式,能讓終端使用者的用戶端初始化與伺服器的連線。被動模式需要用戶端側開啟較少的連接埠,因此伺服器端點與受保護防火牆後方的終端使用者的相容性更高。

問:是否支援顯式和隱式的 FTPS 模式?

答:我們僅支援顯式的 FTPS 模式。

多重通訊協定存取

問:能否在同一個端點上啟用多重通訊協定?

答:是。在設定期間,您可選擇要讓用戶端連線至端點的通訊協定。伺服器主機名稱和身分供應商會在所選的通訊協定之間共用。只要該端點託管在 VPC 內且您正使用自訂身分供應商,您也同樣可將 FTP/FTPS 支援新增至現有的 AWS Transfer for SFTP 伺服器端點。

問:如何決定何時應該為各通訊協定建立獨立的伺服器端點,何時應該為多個通訊協定啟用相同的端點?

答:需要使用 FTP (只有在 VPC 內存取時支援) 時,也需要透過網際網路支援 SFTP 或 FTPS 時,您需要為 FTP 建立獨立的伺服器端點。想使用相同的端點主機名稱和 IP 位址讓用戶端透過多重通訊協定連線時,可將相同的端點用於多個通訊協定。此外,如果想讓 SFTP 和 FTPS 共用相同的憑證,您可設定並使用單一身分供應商來驗證透過任一通訊協定連線的用戶端。

問:是否可以設定相同的終端使用者透過多個通訊協定存取端點?

可以,您可提供透過多個通訊協定的相同使用者存取,前提是您的身分供應商已設定通訊協定的專用憑證。如果已啟用 FTP,建立為 FTP 保留獨立憑證。請參閱關於為 FTP 設定獨立憑證的文件。

問:為何應該為 FTP 使用者保留獨立憑證?

與 SFTP 和 FTPS 不同,FTP 以明文傳輸憑證。建議將 FTP 憑證與 SFTP 或 FTPS 隔離,因為要是不經意地共用或曝光了 FTP 憑證,使用 SFTP 或 FTPS 的工作負載仍可維持安全狀態。

身份驗證模式

問:此服務會用什麼方式驗證使用者身分?

答:服務支援兩種身分驗證模式:服務管理驗證,使用者身分儲存在服務內,以及自訂驗證 (BYO),可讓您整合所選的身分供應商。服務管理驗證僅支援於啟用 SFTP 的伺服器端點。

問:如何使用服務管理驗證來驗證我的使用者?

答:您可用服務管理驗證,使用 SSH 金鑰驗證 SFTP 使用者。

問:我可以為每個 SFTP 使用者上傳幾個 SSH 金鑰?

答:您最多可以為每個使用者上傳 10 個 SSH 金鑰。

問:服務管理驗證支援 SSH 金鑰輪換嗎?

答:是。請參閱文件,了解如何為 SFTP 使用者設定金鑰輪換的詳細資訊。

問:是否可以使用服務管理驗證來驗證密碼?

答:不可以。目前不支援在驗證服務中存放密碼。如果您需要密碼驗證,請參閱 Enabling Password Authentication using Secrets Manager 此貼文中所述的架構。

問:為何應該使用自訂驗證模式?

答:自訂驗證模式 (「BYO」驗證) 可讓您利用現有的身分供應商管理所有通訊協定類型 (SFTP、FTPS 和 FTP) 的終端使用者,輕鬆無縫地移轉您的使用者。憑證可存放在企業目錄或內部的身分資料存放區,您可針對終端使用者驗證之目的進行整合。身分供應商的例子包括有 Microsoft Active Directory (AD)、Lightweight Directory Access Protocol (LDAP),或您在整個佈建入口網站中使用的任何自訂身分供應商。

問:如何開始為自訂驗證整合我現有的身分供應商?

答:可用使用指南中的 AWS CloudFormation 範本,並提供身分驗證和存取的所需資訊,以便開始使用。若要進一步了解,請瀏覽自訂身分供應商網站。

問:是否支援匿名使用者?

答:否。目前任何通訊協定皆不支援匿名使用者。

問:透過自訂身分供應商設定使用者時,使用哪些資訊來啟用對使用者的存取?

答:使用者需提供用於驗證的使用者名稱和密碼 (或 SSH 金鑰),而存取儲存貯體則取決於 API 閘道提供的 AWS IAM 角色,以及用於查詢身分供應商的 Lambda。您還需要提供主目錄資訊,建議您將它們鎖定在指派的主資料夾,以增加安全性和可用性。請參閱此部落格文章,了解將自訂身分供應商與 AWS SFTP 搭配使用時,如何簡化最終使用者的體驗

使用者存取權限

問:為什麼我需要提供 AWS IAM 角色?如何使用?

答:AWS IAM 用來決定您要為使用者提供的存取權限等級。包括您要在其用戶端上啟用的操作類型,以及使用者可以存取的 Amazon S3 儲存貯體 (可以是整個或部分儲存貯體)。

問:為什麼需要提供主目錄資訊?如何使用?

您為使用者設定的主目錄可決定他們的登入目錄。包括可以是目錄路徑,使用者成功驗證進入伺服器後,使用者用戶端便會將其放入該路徑。您需要確保提供的 IAM 角色為使用者提供主目錄的存取權限。

問:我們有 100 個擁有相似存取設定的使用者,但這些設定屬於儲存貯體的不同部分。我可以使用同一個 IAM 角色和原則加以設定,以啟用他們的存取權限嗎?

是。您可為所有使用者指派單一 IAM 角色,並使用邏輯目錄映射,指定要將哪個絕對 Amazon S3 儲存貯體路徑開放給終端使用者查看,以及要以什麼形式透過用戶端使用者呈現這些路徑。請參閱此部落格,了解如何使用 Chroot 和邏輯目錄簡化您的 AWS SFTP/FTPS/FTP 結構

問:存放在 Amazon S3 儲存貯體的檔案如何透過 AWS Transfer 傳輸?

透過支援的通訊協定傳輸的檔案會以物件形式存放在您的 Amazon S3 儲存貯體中,檔案與物件之間是一對一的映射關係,因此您可以透過 AWS 服務,以原生形式存取這些物件加以處理或分析。

問:存放在儲存貯體的 Amazon S3 物件會以什麼形式向我的使用者呈現?

成功驗證身分後,服務會根據使用者的登入資料,以檔案和目錄形式向您使用者的傳輸應用程式提供 Amazon S3 物件和資料夾。

問:支援哪些檔案操作? 不支援哪些操作?

答:它支援建立、讀取、更新和刪除,以及檔案和目錄這些常見的命令。檔案是以個別物件的形式存放在 Amazon S3 儲存貯體中。目錄在 S3 中是使用與 S3 主控台相同的語法當做資料夾物件加以管理。

目前不支援目錄重新命名操作、附加操作、變更擁有權、許可和時間戳記,也不支援使用符號連接和硬連結。

問:我可以控制使用者能執行哪些操作嗎?

答:可以,您可以透過映射到其使用者名稱的 AWS IAM 角色,啟用/停用檔案操作。請參閱關於建立 IAM 政策和角色以控制終端使用者存取的文件。

問:可以讓終端使用者存取多個 Amazon S3 儲存貯體嗎?

答:是。使用者可存取的儲存貯體取決於 AWS IAM 角色,以及您指派給該使用者的選用範圍縮小原則。您只能使用單一儲存貯體做為使用者的主目錄。

問:可以使用 AWS A 帳戶建立伺服器,然後將使用者對應至 AWS B 帳戶擁有的 Amazon S3 儲存貯體嗎?

答:可以。您可以使用 CLI 和 API,設定伺服器和想用來儲存透過支援通訊協定傳輸之檔案的儲存貯體之間的跨帳戶存取權限。「主控台」下拉式功能表只會列出 A 帳戶的儲存貯體。此外,您必須確認指派給使用者的角色屬於 A 帳戶。

問:我可以在檔案上傳到 Amazon S3 之後自動處理檔案嗎?

答:可以,您可以使用 Amazon S3 事件自動進行上傳後處理,透過各種 AWS 服務執行查詢、分析和機器學習等工作。請參閱文件,進一步了解搭配使用 Lambda 與 Amazon S3 進行上傳後處理的常見範例。

問:我可以依照上傳檔案的使用者自訂處理規則嗎?

答:可以。使用者上傳檔案時,用於上傳的伺服器的使用者名稱和伺服器 ID 會儲存在相關 S3 物件的中繼資料內作為一部分。您可將此資訊用於上傳後處理。

安全與合規

問:透過公有網路傳輸時,我該使用哪一個通訊協定來保護資料?

應使用 SFTP 或 FTPS 任一來保護透過公有網路的傳輸。由於依 SSH 和 TLS 加密演算法使通訊協定具有基本安全性,資料和命令會透過安全的加密通道傳輸。

問:我有哪些加密靜態資料的選項?

答:您可以選擇使用 Amazon S3 伺服器端加密 (SSE-S3) 或 Amazon KMS (SSE-KMS) 加密存放在儲存貯體的檔案。

問:AWS Transfer Family 支援哪些合規計劃?

答:AWS Transfer Family 是一項 PCI-DSS 和 GDPR 合規服務,而且符合 HIPAA 資格。此服務也符合 SOC 1、2 和 3 的相關規定。進一步了解合規計劃的 AWS 服務範圍

問:AWS Transfer Family 是否符合 FISMA 法規?

答:AWS 東部/西部和 GovCloud (US) 區域皆符合法規。FedRAMP 授權針對這兩個區域授予 FedRAMP Moderate 和 FedRAMP High,即證明其合規性。我們每年都會進行評估來證明合規性,並在系統安全計劃記錄範圍內 NIST SP 800-53 控制的合規性。Artifact 提供範本以及我們的客戶責任矩陣 (CRM),它詳細說明根據 FedRAMP 的規定,我們必須滿足這些 NIST 控制的責任。您可以透過東部/西部和 GovCloud AWS 帳戶可存取的管理主控台使用 Artifact。如果您對此主題還有其他疑問,請查閱主控台

問:此服務如何確保上傳檔案的完整性?

答:此服務會對比檔案上傳前後的 MD5 檢查總和,驗證透過服務上傳的檔案。

問:如何監控終端使用者的活動?

答:您可用 Amazon CloudWatch 監控終端使用者的活動,使用 AWS CloudTrail 存取伺服器為服務終端使用者的資料要求而叫用的所有 S3 API 操作記錄。請參閱文件,進一步了解如何啟用 Amazon CloudWatch 和 AWS CloudTrail 記錄。

問:如何追蹤透過通訊協定上傳和下載的資料量?

答:您可用 Amazon CloudWatch Metrics 監控及追蹤使用者透過所選通訊協定上傳及下載的資料。如要進一步了解使用 Amazon CloudWatch 指標,請瀏覽文件

計費

問:使用服務如何計費?

您需為存取端點啟用的每個通訊協定支付小時費用,從建立及設定伺服器端點時起,直到刪除為止。亦根據透過 SFTP、FTPS 或 FTP 上傳及下載的資料量計費。有關其他詳細資訊,請參閱定價頁面

問:如果多個通訊協定使用相同的伺服器端點,或各通訊協定使用不同的端點,計費方式是否不同?

答:不,您需為啟用的每個通訊協定支付小時費用,並為各通訊協定傳輸的資料量付費,無論多個通訊協定是否啟用相同的端點或各通訊協定使用不同的端點。

問:我已停止伺服器。是否會對停止的伺服器計費?

答:是,透過使用主控台或者執行 “stop-server” CLI 命令或 “StopServer” API 命令停止伺服器不會影響計費。您需支付小時費用,從建立伺服器端點及設定透過一或多個通訊協定的存取時起,直到刪除為止。

進一步了解 SFTP 定價
進一步了解定價

AWS Transfer Family 提供全受管服務,可降低您在執行檔案傳輸服務時的營運成本。

進一步了解 
註冊免費的 AWS 帳戶
註冊免費帳戶

立即存取 AWS 免費方案 

註冊 
開始使用 SFTP 進行建置
開始在主控台進行建置

開始在 AWS 管理主控台建立您的 SFTP、FTPS 和 FTP 服務。

登入