一般問題

問:什麼是 AWS Transfer Family?

答:AWS Transfer Family 是 AWS Transfer for SFTP、AWS Transfer for FTPS 和 AWS Transfer for FTP 的總稱。AWS Transfer Family 提供檔案傳輸的全受管支援,可透過 SFTP、FTPS 和 FTP 將檔案直接傳入和傳出 Amazon S3 或 Amazon EFS。您可保留現有用於驗證、存取及防火牆的用戶端組態,無縫遷移檔案傳輸工作流程,無論是對客戶、合作夥伴及內部團隊,或其應用程式都不需要任何改變。

問:什麼是 SFTP?

答:SFTP 代表 Secure Shell (SSH) 檔案傳輸協定,是一種用於在網際網路上安全傳輸資料的網路協定。此協定支援 SSH 的完整安全和身分驗證功能,並廣泛用於包括金融服務、醫療保健、媒體娛樂、零售和廣告等各種產業,以在業務合作夥伴之間交換資料。

問:什麼是 FTP?

答:FTP 代表檔案傳輸協定,是一種用於傳輸資料的網路協定。FTP 使用獨立通道來控制及傳輸資料。控制通道在終止或無活動逾時前都會保持開啟狀態,資料通道則在傳輸期間保持作用中。FTP 使用明文且不支援流量加密。

問:什麼是 FTPS?

答:FTPS 代表 SSL 檔案傳輸通訊協定,為 FTP 的延伸。其使用 Transport Layer Security (TLS) 和 Secure Sockets Layer (SSL) 加密通訊協定加密流量。FTPS 能並行且獨立加密控制和資料通道連線。

問:為何應該使用 AWS Transfer Family?

答:如果您現在透過 SFTP、FTPS 或 FTP 等檔案傳輸通訊協定與第三方 (例如廠商、業務合作夥伴或客戶) 交換資料,並想在 AWS 中管理該資料以進行處理、分析和存檔,您便需要託管和管理自有的檔案傳輸服務。您需要投資在基礎架構的營運和管理、修補伺服器、監控正常執行時間和可用性,以及建立一次性的機制來佈建使用者及稽核他們的活動。AWS Transfer Family 為 SFTP、FTPS 和 FTP 提供全受管服務來降低營運負擔,同時確保最終使用者的現有傳輸工作流程不受影響,以此解決上述種種挑戰。 該服務會將傳輸的資料儲存為 Amazon S3 儲存貯體中的物件或 Amazon EFS 檔案系統中的檔案,讓您可以在資料湖中從這些物件擷取值,或者用於客戶關係管理 (CRM) 或企業資源計劃 (ERP) 工作流程,或用於在 AWS 中存檔。

問:使用 AWS Transfer Family 有哪些優點?

答:AWS Transfer Family 提供全受管的高可用性檔案傳輸服務,且具有自動調整規模功能,讓您不必再管理檔案傳輸的相關基礎架構。此服務讓最終使用者的工作流程保持不變,而透過所選通訊協定上傳和下載的資料則會存放在您的 Amazon S3 儲存貯體或 Amazon EFS 檔案系統中。使用 AWS 中的資料,您現在可以在符合合規要求的環境中,輕鬆地將此資料與各種 AWS 服務配合使用,進行資料處理、內容管理、分析、機器學習及封存。

問:如何使用 AWS Transfer Family?

答:只要 3 個簡單步驟,您便能得到可用於 SFTP、FTPS 和/或 FTP 隨時開啟的伺服器端點。首先,選擇要讓終端使用者連線至端點的通訊協定。接著,使用服務的內建身份驗證 (受管服務),或者整合 Microsoft Active Directory 或 LDAP (“BYO” 身份驗證) 等現有的身分供應商,為使用者進行設定。最後,選擇是否使用伺服器來存取 S3 儲存貯體或 EFS 檔案系統。啟用通訊協定、身分供應商及檔案系統存取權後,如果存取的資料存放在選擇的檔案系統中,則他們可以繼續使用其現有的 SFTP、FTPS 或 FTP 用戶端和組態。 

問:SFTP 和 FTPS 有什麼差別? 何時該用哪一個?

答:FTPS 和 SFTP 皆可用於加密傳輸。但因為兩者為不同的通訊協定,因此會使用不同的用戶端和技術來提供用於傳輸命令和資料的加密通道。SFTP 是較新的通訊協定,使用單一通道於命令和資料,需要的連接埠開口數比 FTPS 少。

問:我的使用者可以繼續使用他們現有的檔案傳輸用戶端和應用程式嗎?

答,可以,只要您為所選的通訊協定啟用端點,便能繼續使用任何現有的檔案傳輸用戶端應用程式。常用用戶端的範例包括 WinSCP、FileZilla、CyberDuck、lftp 和 OpenSSH 用戶端。 

問:是否可使用 CloudFormation 自動部署伺服器和使用者?

答:可以的,您可以部署 CloudFormation 範本以自動建立伺服器和使用者,或者用於整合身分供應商。請參閱使用指南,了解如何使用 CloudFormation 範本中的 AWS Transfer 資源

問:我的使用者是否可以透過此服務利用 SCP、HTTPS 或 AS2 傳輸檔案?

答:不可以,您的使用者需要使用 SFTP、FTPS 或 FTP 傳輸檔案。多數的檔案傳輸用戶端皆提供這些通訊協定作為選項,需在驗證期間選擇。請透過 AWS Support 或 AWS 客戶團隊告訴我們您希望我們提供支援的任何特定通訊協定。

伺服器端點選項

問:是否可以使用我的公司網域名稱 (sftp.mycompanyname.com) 存取我的端點?

答:是。如果您已經有網域名稱,可使用 Amazon Route 53 或任何 DNS 服務,將註冊網域的使用者流量路由到 AWS 的伺服器端點。請參閱文件,了解 AWS Transfer Family 如何將 Amazon Route 53 用於自訂網域名稱 (僅適用於網際網路對應端點)。

問:如果我沒有網域名稱,可以繼續使用此服務嗎?

答:可以。如果您沒有網域名稱,您的使用者可以透過服務提供的主機名稱來存取您的端點。您也可以透過 Amazon Route 53 主控台或 API 註冊一個新網域,然後將這個新網域的流量路由到服務提供的端點主機名稱。

問:我可以使用已具備公開區域的網域嗎?

答:可以,您需要透過 CNAME 記錄將該網域對應至服務提供的端點主機名稱。

問:是否可將伺服器設定為僅能在 VPC 內存取資源?

答:是。建立伺服器或更新現有伺服器時,您可以指定端點是要透過公有網路存取或在 VPC 內託管。透過為伺服器使用 VPC 託管端點,您可以限制僅讓相同 VPC 內、您指定的其他 VPC 或內部部署環境中的用戶端,透過可延伸 VPC 的網路技術 (如 AWS Direct Connect、AWS VPN 或 VPC 對等) 進行存取。您可以使用子網路「網路存取控制清單 (NACL)」或「安全群組」進一步限制對 VPC 內特定子網路中的資源的存取權。如需詳細資訊,請參閱文件,了解如何使用 AWS PrivateLink 在 VPC 內建立伺服器端點

問:能否在網際網路對應端點使用 FTP?

否,啟用 FTP 時只能使用 VPC 託管端點的網際網路存取選項。如果流量需要周遊公有網路,便應使用 SFTP 或 FTPS 等加密通訊協定。

問:如果我需要使用 FTP 周遊公有網路,該怎麼辦?

服務不允許在公有網路使用 FTP,因為當您建立為 FTP 啟用的伺服器時,伺服器端點只能供 VPC 內的資源存取。如果需要使用 FTP 透過公有網際網路交換資料,可在伺服器的 VPC 端點前放置網際網路對應的 Network Load Balancer (NLB)。

問:是否可以在沒有 VPC 的情況下使用 FTP?

不可。需有 VPC 才能託管 FTP 伺服器端點。請參閱 CloudFormation 範本文件,了解如何在建立伺服器期間自動建立用於託管端點的 VPC 資源。

問:我的最終使用者是否可以使用固定 IP 地址以白名單方式存取其防火牆中我的伺服器的端點?

答:是。您可以為您的伺服器端點啟用固定 IP,方法是為您的伺服器選取 VPC 託管端點並選擇網際網路對應選項。如此您便能將彈性 IP (包含 BYO IP) 直接附加至指派為端點 IP 位址的端點。請參閱在 VPC 內建立伺服器端點文件中的「建立網際網路對應端點」章節。

問:是否可以依最終使用者的來源 IP 地址限制傳入流量?

答:是。您可以將「安全群組」連接至伺服器的 VPC 端點,此端點將控制伺服器的傳入流量。 如需有關使用 VPC 託管端點透過列出最終使用者來源 IP 允許清單,以確保安全存取伺服器的資訊,請參閱此部落格文章。如果您使用 API 閘道整合身分管理系統,還可以使用 AWS WAF 來設定透過最終使用者來源 IP 地址進行存取的允許、封鎖或速率限制。

問:是否可以在共享的 VPC 環境中託管伺服器的端點?

答:是。您可以在對 AWS 環境進行區隔時通常使用的共享 VPC 環境來部署伺服器端點,使用 AWS Landing Zone 等工具來實現安全性、成本監控和可擴展性。如需有關透過 AWS Transfer Family 在共享 VPC 環境中使用 VPC 託管端點的資訊,請參閱此部落格文章

問:最終使用者的用戶端連線至伺服器端點時,我是否可以選擇使用哪種加密演算法?

答:是,您可以選擇三種安全政策之一來控制將由伺服器端點指示的加密演算法:Transfer-Security-Policy-2018-11 (預設)、Transfer-Security-Policy-2020-06 (限制 – 不使用 SHA-1 演算法) 和Transfer-FIPS-2020-06 (FIPS 合規算法)。若最終使用者的檔案傳輸用戶端嘗試連線至伺服器,則僅使用政策中指定的演算法來協商連線。請參閱有關預先定義安全政策的文件。

問:終端使用者是否可以使用固定 IP 地址存取公有端點類型的伺服器?

答:不可以。固定 IP 地址通常用於防火牆白名單設定,目前尚不支援公有端點類型。 使用 VPC 託管的端點為端點指派靜態 IP 地址。

問:最終使用者需要將哪些 IP 範圍列入白名單,才能存取 SFTP 伺服器公有端點類型?

答:如果您使用的是公有端點類型,您的使用者需要將這裡發佈的 AWS IP 地址範圍列入白名單。如需有關取得最新 AWS IP 地址範圍的詳細資訊,請參閱相關文件。

問:建立伺服器後,AWS Transfer for SFTP 伺服器的主機金鑰是否會變更?

答:否。在您刪除伺服器然後建立新的伺服器之前,您在建立伺服器時指派的伺服器主機金鑰都會保持不變。

問:是否可以從目前的 SFTP 伺服器匯入金鑰,讓使用者無需重新驗證工作階段資訊?

答:是。建立新伺服器或更新現有的伺服器時,可以提供 RSA 主機金鑰。最終使用者的用戶端會使用此金鑰來識別伺服器。請參閱文件,了解如何利用 AWS CLI/SDK 上傳伺服器的主機金鑰

問:終端使用者的 FTPS 用戶端如何驗證我的 FTPS 伺服器的身分?

答:啟用 FTPS 存取時,您需要提供 Amazon Certificate Manager (ACM) 的憑證。此憑證可供終端使用者用來驗證 FTPS 伺服器的身分。請參閱關於請求新憑證將現有憑證匯入 ACM 的 ACM 文件。

問:是否支援 FTPS 和 FTP 的主動和被動模式?

答:我們僅支援被動模式,能讓終端使用者的用戶端初始化與伺服器的連線。被動模式需要用戶端側開啟較少的連接埠,因此伺服器端點與受保護防火牆後方的終端使用者的相容性更高。

問:是否支援顯式和隱式的 FTPS 模式?

答:我們僅支援顯式的 FTPS 模式。

多重通訊協定存取

問:能否在同一個端點上啟用多重通訊協定?

答:是。在設定期間,您可選擇要讓用戶端連線至端點的通訊協定。伺服器主機名稱和身分供應商會在所選的通訊協定之間共用。只要該端點託管在 VPC 內且您正使用自訂身分供應商,您也同樣可將 FTP/FTPS 支援新增至現有的 AWS Transfer for SFTP 伺服器端點。

問:如何決定何時應該為各通訊協定建立獨立的伺服器端點,何時應該為多個通訊協定啟用相同的端點?

答:需要使用 FTP (只有在 VPC 內存取時支援) 時,也需要透過網際網路支援 SFTP 或 FTPS 時,您需要為 FTP 建立獨立的伺服器端點。想使用相同的端點主機名稱和 IP 位址讓用戶端透過多重通訊協定連線時,可將相同的端點用於多個通訊協定。此外,如果想讓 SFTP 和 FTPS 共用相同的憑證,您可設定並使用單一身分供應商來驗證透過任一通訊協定連線的用戶端。

問:是否可以設定相同的終端使用者透過多個通訊協定存取端點?

可以,您可提供透過多個通訊協定的相同使用者存取,前提是您的身分供應商已設定通訊協定的專用憑證。如果已啟用 FTP,建立為 FTP 保留獨立憑證。請參閱關於為 FTP 設定獨立憑證的文件。

問:為何應該為 FTP 使用者保留獨立憑證?

與 SFTP 和 FTPS 不同,FTP 以明文傳輸憑證。建議將 FTP 憑證與 SFTP 或 FTPS 隔離,因為要是不經意地共用或曝光了 FTP 憑證,使用 SFTP 或 FTPS 的工作負載仍可維持安全狀態。

身份驗證模式

問:此服務會用什麼方式驗證使用者身分?

答:服務支援兩種身分驗證模式:服務管理驗證,使用者身分儲存在服務內,以及自訂驗證 (BYO),可讓您整合所選的身分供應商。服務管理驗證僅支援於啟用 SFTP 的伺服器端點。

問:如何使用服務管理驗證來驗證我的使用者?

答:您可用服務管理驗證,使用 SSH 金鑰驗證 SFTP 使用者。

問:我可以為每個 SFTP 使用者上傳幾個 SSH 金鑰?

答:您最多可以為每個使用者上傳 10 個 SSH 金鑰。

問:服務管理驗證支援 SSH 金鑰輪換嗎?

答:是。請參閱文件,了解如何為 SFTP 使用者設定金鑰輪換的詳細資訊。

問:是否可以使用服務管理驗證來驗證密碼?

答:不可以。目前不支援在驗證服務中存放密碼。如果您需要密碼驗證,請參閱 Enabling Password Authentication using Secrets Manager 此部落格中所述的架構。

問:為何應該使用自訂驗證模式?

答:自訂驗證模式 (「BYO」驗證) 可讓您利用現有的身分供應商管理所有通訊協定類型 (SFTP、FTPS 和 FTP) 的終端使用者,輕鬆無縫地移轉您的使用者。憑證可存放在企業目錄或內部的身分資料存放區,您可針對終端使用者驗證之目的進行整合。身分供應商的例子包括有 Microsoft Active Directory (AD)、Lightweight Directory Access Protocol (LDAP),或您在整個佈建入口網站中使用的任何自訂身分供應商。

問:如何開始為自訂驗證整合我現有的身分供應商?

答:可用使用指南中的 AWS CloudFormation 範本,並提供身分驗證和存取的所需資訊,以便開始使用。若要進一步了解,請瀏覽自訂身分供應商網站。

問:是否支援匿名使用者?

答:否。目前任何通訊協定皆不支援匿名使用者。

問:透過自訂身分供應商設定使用者時,使用哪些資訊來啟用對使用者的存取?

答:使用者需提供用於驗證的使用者名稱和密碼 (或 SSH 金鑰),而存取儲存貯體則取決於 API 閘道提供的 AWS IAM 角色,以及用於查詢身分供應商的 Lambda。您還需要提供主目錄資訊,建議您將它們鎖定在指派的主資料夾,以增加安全性和可用性。請參閱此部落格文章,了解將自訂身分供應商與 AWS SFTP 搭配使用時,如何簡化最終使用者的體驗。

Amazon S3 Access

問:為什麼我需要提供 AWS IAM 角色?如何使用?

答:AWS IAM 用來決定您要為使用者提供的存取權限等級。包括您要在其用戶端上啟用的操作類型,以及使用者可以存取的 Amazon S3 儲存貯體 (可以是整個或部分儲存貯體)。

問:為什麼需要提供主目錄資訊?如何使用?

您為使用者設定的主目錄可決定他們的登入目錄。包括可以是目錄路徑,使用者成功驗證進入伺服器後,使用者用戶端便會將其放入該路徑。您需要確保提供的 IAM 角色為使用者提供主目錄的存取權限。

問:我們有 100 個擁有相似存取設定的使用者,但這些設定屬於儲存貯體的不同部分。我可以使用同一個 IAM 角色和原則加以設定,以啟用他們的存取權限嗎?

是。您可為所有使用者指派單一 IAM 角色,並使用邏輯目錄映射,指定要將哪個絕對 Amazon S3 儲存貯體路徑開放給終端使用者查看,以及要以什麼形式透過用戶端使用者呈現這些路徑。請參閱此部落格,了解如何使用 Chroot 和邏輯目錄簡化您的 AWS SFTP/FTPS/FTP 結構

問:存放在 Amazon S3 儲存貯體的檔案如何透過 AWS Transfer 傳輸?

透過支援的通訊協定傳輸的檔案會以物件形式存放在您的 Amazon S3 儲存貯體中,檔案與物件之間是一對一的映射關係,因此您可以透過 AWS 服務,以原生形式存取這些物件加以處理或分析。

問:存放在儲存貯體的 Amazon S3 物件會以什麼形式向我的使用者呈現?

成功驗證身分後,服務會根據使用者的登入資料,以檔案和目錄形式向您使用者的傳輸應用程式提供 Amazon S3 物件和資料夾。

問:支援哪些檔案操作? 不支援哪些操作?

答:它支援建立、讀取、更新和刪除,以及檔案和目錄這些常見的命令。檔案是以個別物件的形式存放在 Amazon S3 儲存貯體中。目錄在 S3 中是使用與 S3 主控台相同的語法當做資料夾物件加以管理。

目前不支援目錄重新命名操作、附加操作、變更擁有權、許可和時間戳記,也不支援使用符號連接和硬連結。

問:我可以控制使用者能執行哪些操作嗎?

答:可以,您可以透過映射到其使用者名稱的 AWS IAM 角色,啟用/停用檔案操作。請參閱關於建立 IAM 政策和角色以控制終端使用者存取的文件。

問:可以讓終端使用者存取多個 Amazon S3 儲存貯體嗎?

答:是。使用者可存取的儲存貯體取決於 AWS IAM 角色,以及您指派給該使用者的選用範圍縮小原則。您只能使用單一儲存貯體做為使用者的主目錄。

問:可以使用 AWS A 帳戶建立伺服器,然後將使用者對應至 AWS B 帳戶擁有的 Amazon S3 儲存貯體嗎?

答:可以。您可以使用 CLI 和 API,設定伺服器和想用來儲存透過支援通訊協定傳輸之檔案的儲存貯體之間的跨帳戶存取權限。「主控台」下拉式功能表只會列出 A 帳戶的儲存貯體。此外,您必須確認指派給使用者的角色屬於 A 帳戶。

問:我可以在檔案上傳到 Amazon S3 之後自動處理檔案嗎?

答:可以,您可以使用 Amazon S3 事件自動進行上傳後處理,透過各種 AWS 服務執行查詢、分析和機器學習等工作。請參閱文件,進一步了解搭配使用 Lambda 與 Amazon S3 進行上傳後處理的常見範例。

問:我可以依照上傳檔案的使用者自訂處理規則嗎?

答:可以。使用者上傳檔案時,用於上傳的伺服器的使用者名稱和伺服器 ID 會儲存在相關 S3 物件的中繼資料內作為一部分。您可將此資訊用於上傳後處理。 請參閱相關文件,了解用於上傳後處理的資訊

Amazon EFS Access

問:如何設定 EFS 檔案系統,以便與 AWS Transfer Family 搭配使用?

答:在設定 AWS Transfer Family 以便與 Amazon EFS 檔案系統搭配使用之前,您需要使用計劃指派給 AWS Transfer Family 使用者的相同 POSIX 身分 (使用者 ID/群組 ID),來設定檔案和資料夾的擁有權。此外,如果您要存取不同帳戶中的檔案系統,還必須在檔案系統上設定資源政策,以啟用跨帳戶存取。

問:如何為我的使用者提供在檔案系統上傳/下載檔案的存取權?

答:Amazon EFS 使用由作業系統使用者 ID、群組 ID 和次要群組 ID 組成的 POSIX ID,來控制對檔案系統的存取。在 AWS Transfer Family 主控台/CLI/API 中設定使用者時,您需要指定使用者名稱、使用者的 POSIX 組態和 IAM 角色才能存取 EFS 檔案系統。您還需要指定 EFS 檔案系統 ID,可以選擇指定該檔案系統中的目錄作為使用者的登陸目錄。您的 AWS Transfer Family 使用者透過其檔案傳輸用戶端成功進行身份驗證後,他們將被直接置於指定的主目錄或指定 EFS 檔案系統的根目錄。他們的作業系統 POSIX ID 將套用至透過其檔案傳輸用戶端發出的所有請求。作為 EFS 管理員,您需要確保您的 AWS Transfer Family 使用者要存取的檔案和目錄歸屬於 EFS 檔案系統中其對應的 POSIX ID。請參閱相關文件,進一步了解有關在 EFS 中設定子目錄擁有權的資訊

問:如何透過存放在我的 Amazon EFS 檔案系統中的通訊協定來傳輸檔案?

答:透過啟用的通訊協定傳輸的檔案直接存放在您的 Amazon EFS 檔案系統中,並且可透過標準檔案系統界面,或者可存取 Amazon EFS 檔案系統的 AWS 服務進行存取。

問:使用 Amazon S3 和 Amazon EFS 時,透過通訊協定可支援哪些檔案操作?

答:支援透過 SFTP/FTPS/FTP 命令建立、讀取、更新和刪除檔案、目錄和符號連結。如需有關 EFS 以及 S3 的支援命令,請參閱下表。

命令 Amazon S3 Amazon EFS
     cd 支援 支援
     ls/dir 支援 支援
     pwd 支援 支援
     put 支援 支援
     get 支援 支援,包括解析符號連結
     rename 支援1 支援
     chown 不支援 支援2
     chmod 不支援 支援2
     chgrp 不支援 支援3
     ln -s/symlink 不支援 不支援
     mkdir 支援 支援
     rm/delete 支援 支援
     rmdir 支援4 支援
     chmtime 不支援 支援

1 僅支援檔案重新命名。不支援目錄重新命名和檔案重新命名來覆寫現有檔案。

2 只有根使用者,即 uid=0 的使用者才能變更檔案和目錄的擁有權和許可。

3 支援根使用者,例如 uid=0 或檔案擁有者,僅可將檔案群組變更為其次要群組之一。

4 僅支援非空資料夾。

問:如何控制使用者可以存取哪些檔案和資料夾,以及他們可以執行和不允許執行的操作?

答:您為 AWS Transfer Family 使用者提供的 IAM 政策將確定其是否對檔案系統具有唯讀、讀寫和根存取權。此外,作為檔案系統管理員,您可以使用其使用者 ID 和群組 ID,設定擁有權以及授予對檔案系統中檔案和目錄的存取權。這既適用於存放在服務 (受管服務) 中的使用者,也適用於存放在身分管理系統 (“BYO Auth”) 中的使用者。

問:是否可以限制每個使用者存取檔案系統中的不同目錄,並且只能存取那些目錄中的檔案?

答:是,在設定使用者時,可以為每個使用者指定不同的檔案系統和目錄。成功進行身分認證後,EFS 將針對使用啟用的通訊協定提出的每個檔案系統請求強制執行一個目錄。

問:是否可以隱藏檔案系統的名稱以免暴露給我的使用者?

答:是,您可以使用 AWS Transfer Family 的邏輯目錄映射,透過將絕對路徑映射至最終使用者可見的路徑名稱,來限制最終使用者在檔案系統中的目錄檢視。這還包括能夠將使用者 “chroot” 至其指定的主目錄。

問:是否支援符號連結?

答:是,如果您的使用者可存取的目錄中存在符號連結,且您的使用者嘗試存取它們,則這些連結將被解析為其目標。若您使用邏輯目錄映射來設定使用者的存取權,則不支援符號連結。

問:是否可以為個別 SFTP/FTPS/FTP 使用者提供多個檔案系統的存取權?

答:是,在您設定 AWS Transfer Family 使用者時,可以在您提供的 IAM 政策中指定一個或多個檔案系統,作為使用者設定的一部分,以授予對多個檔案系統的存取權。

問:可以使用哪些作業系統以透過 AWS Transfer Family 存取 EFS 檔案系統?

答:您可以使用針對 Microsoft Windows、Linux、macOS 或支援 SFTP/FTPS/FTP 的任何作業系統建置的用戶端和應用程式,以上傳和存取存放在 EFS 檔案系統中的檔案。只需為伺服器和使用者設定存取 EFS 檔案系統的適當許可,即可跨所有作業系統存取該檔案系統。

問:如何得知哪個使用者上傳了檔案?

答:若是新檔案,與上傳檔案的使用者關聯的 POSIX 使用者 ID 將被設定為 EFS 檔案系統中檔案的擁有者。此外,您可以使用 Amazon CloudWatch 追蹤使用者的活動,即檔案建立、更新、刪除和讀取操作。請瀏覽文件,進一步了解如何啟用 Amazon CloudWatch 記錄

問:是否可以查看透過啟用的通訊協定上傳和下載了多少資料?

答:是,使用伺服器上傳和下載的資料指標將發佈到 AWS Transfer Family 命名空間內的 Amazon CloudWatch。請瀏覽文件,查看可以追蹤和監控的指標

問:是否可以使用 AWS Transfer Family 存取另一個帳戶中的檔案系統?

答:是。您可以使用 CLI 和 API 來設定 AWS Transfer Family 資源與 EFS 檔案系統間的跨帳戶存取。AWS Transfer Family 主控台將僅列出同一帳戶中的檔案系統。此外,您需要確定指派給使用者的 IAM 角色,以存取屬於帳戶 A 的檔案系統。

問:如果我的 EFS 檔案系統沒有為跨帳戶存取啟用適當的政策會怎樣?

答:如果您設定 AWS Transfer Family 伺服器以存取未啟用跨帳戶存取的跨帳戶 EFS 文件系統,將會拒絕您的 SFTP/FTP/FTPS 使用者存取檔案系統。如果您在伺服器上啟用了 CloudWatch 日誌記錄,則跨帳戶存取錯誤會記錄到您的 CloudWatch Logs 中。

問:是否可以使用 AWS Transfer Family 存取其他 AWS 區域中的 EFS 檔案系統?

答:否,您只能使用 AWS Transfer Family 存取同一 AWS 區域中的 EFS 檔案系統。

問:是否可以對所有 EFS 儲存類別使用 AWS Transfer Family?

答:是。您可以使用 AWS Transfer 將檔案寫入 EFS 並設定 EFS 生命週期管理,以將設定時間類未存取的檔案移轉至「不常存取 (IA)」儲存類別。

問:我的應用程式是否可以使用 SFTP/FTPS/FTP 同時從相同的檔案讀寫資料?

答︰是,Amazon EFS 提供檔案系統界面、檔案系統存取語意 (例如,高一致性和檔案鎖定),以及最多可讓數千個 NFS/SFTP/FTPS/FTP 用戶端同時存取的儲存。

問:若我使用 AWS Transfer Family 存取檔案系統,是否會耗用我的 EFS 高載積分?

答:是。不管輸送量模式如何,使用 AWS Transfer Family 伺服器存取 EFS 檔案系統都會耗用您的 EFS 高載積分。 請參閱相關文件,了解可用的效能和輸送量模式,以及查看一些實用的效能提示

安全與合規

問:透過公有網路傳輸時,我該使用哪一個通訊協定來保護資料?

應使用 SFTP 或 FTPS 任一來保護透過公有網路的傳輸。由於依 SSH 和 TLS 加密演算法使通訊協定具有基本安全性,資料和命令會透過安全的加密通道傳輸。

問:我有哪些加密靜態資料的選項?

答:您可以選擇使用 Amazon S3 伺服器端加密 (SSE-S3) 或 Amazon KMS (SSE-KMS) 加密存放在儲存貯體的檔案。 對於存放在 EFS 中的檔案,您可以選擇 AWS 或客戶受管 CMK 對檔案進行靜態加密。如需使用 Amazon EFS 對檔案資料和中繼資料進行靜態加密選項的詳細資訊,請參閱文件。

問:AWS Transfer Family 支援哪些合規計劃?

答:AWS Transfer Family 是一項 PCI-DSS 和 GDPR 合規服務,而且符合 HIPAA 資格。此服務也符合 SOC 1、2 和 3 的相關規定。進一步了解合規計劃的 AWS 服務範圍

問:AWS Transfer Family 是否符合 FISMA 法規?

答:AWS 東部/西部和 GovCloud (US) 區域皆符合法規。FedRAMP 授權針對這兩個區域授予 FedRAMP Moderate 和 FedRAMP High,即證明其合規性。我們每年都會進行評估來證明合規性,並在系統安全計劃記錄範圍內 NIST SP 800-53 控制的合規性。Artifact 提供範本以及我們的客戶責任矩陣 (CRM),它詳細說明根據 FedRAMP 的規定,我們必須滿足這些 NIST 控制的責任。您可以透過東部/西部和 GovCloud AWS 帳戶可存取的管理主控台使用 Artifact。如果您對此主題還有其他疑問,請查閱主控台

問:此服務如何確保上傳檔案的完整性?

答:此服務會對比檔案上傳前後的 MD5 檢查總和,驗證透過服務上傳的檔案。

問:如何監控終端使用者的活動?

答:您可用 Amazon CloudWatch 監控終端使用者的活動,使用 AWS CloudTrail 存取伺服器為服務終端使用者的資料要求而叫用的所有 S3 API 操作記錄。請參閱文件,進一步了解如何啟用 Amazon CloudWatch 和 AWS CloudTrail 記錄。

問:如何追蹤透過通訊協定上傳和下載的資料量?

答:您可用 Amazon CloudWatch Metrics 監控及追蹤使用者透過所選通訊協定上傳及下載的資料。如要進一步了解使用 Amazon CloudWatch 指標,請瀏覽文件

計費

問:使用服務如何計費?

您需為存取端點啟用的每個通訊協定支付小時費用,從建立及設定伺服器端點時起,直到刪除為止。亦根據透過 SFTP、FTPS 或 FTP 上傳及下載的資料量計費。有關其他詳細資訊,請參閱定價頁面

問:如果多個通訊協定使用相同的伺服器端點,或各通訊協定使用不同的端點,計費方式是否不同?

答:不,您需為啟用的每個通訊協定支付小時費用,並為各通訊協定傳輸的資料量付費,無論多個通訊協定是否啟用相同的端點或各通訊協定使用不同的端點。

問:我已停止伺服器。是否會對停止的伺服器計費?

答:是,透過使用主控台或者執行 “stop-server” CLI 命令或 “StopServer” API 命令停止伺服器不會影響計費。您需支付小時費用,從建立伺服器端點及設定透過一或多個通訊協定的存取時起,直到刪除為止。

進一步了解 SFTP 定價
進一步了解定價

AWS Transfer Family 提供全受管服務,可降低您在執行檔案傳輸服務時的營運成本。

進一步了解 
註冊免費的 AWS 帳戶
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
開始使用 SFTP 進行建置
開始在主控台進行建置

開始在 AWS 管理主控台建立您的 SFTP、FTPS 和 FTP 服務。

登入