一般問題

問:什麼是 AWS Transfer for SFTP?

答:AWS Transfer for SFTP (AWS SFTP) 是在 AWS 中託管的全受管服務,可透過 SFTP 直接將檔案傳入和傳出 Amazon S3。

問:什麼是 SFTP,以及其用途為何?

答:SFTP 代表 Secure Shell (SSH) 檔案傳輸協定,是一種用於在網際網路上安全傳輸資料的網路協定。此協定支援 SSH 的完整安全和身分驗證功能,並廣泛用於包括金融服務、醫療保健、零售和廣告等各種產業,以在業務合作夥伴之間交換資料。

問:為什麼應該使用 AWS SFTP?

答:如果您現在透過 SFTP 與第三方 (例如廠商、業務合作夥伴或客戶) 交換資料,並想在 AWS 中管理該資料以進行處理、分析和存檔,您便需要託管和管理自有的自訂 SFTP 服務。您需要投資在基礎設施的營運和管理上,修補伺服器,監控正常執行時間和可用性,以及建立一次性的機制來佈建使用者及稽核他們的活動。AWS SFTP 提供全受管 SFTP 服務來降低營運負擔,同時確保最終使用者的現有傳輸工作流程不受影響,進而解決上述種種挑戰。服務會將傳輸的檔案作為物件存放在 Amazon S3 儲存貯體中,以便您可以將其用作資料湖、處理或存檔工作流的一部分。

問:使用 AWS SFTP 有哪些優點?

答:AWS SFTP 提供全受管的高可用性 SFTP 服務,且具有自動擴展功能,讓您不必再管理 SFTP 的相關基礎設施。AWS SFTP 讓最終使用者的工作流程保持不變,而透過 SFTP 上傳和下載的資料則會存放在您的 Amazon S3 儲存貯體中。使用 Amazon S3 中的資料,您現在可以在符合合規要求的環境中,輕鬆地將此資料與各種 AWS 服務配合使用,進行資料處理、分析、機器學習及存檔。

問:如何使用 AWS SFTP?

答:只要 3 個簡單步驟,您就可以取得 AWS 的持久性及高可用性的「SFTP 伺服器」。首先,將您現有的 SFTP 主機名稱與 SFTP 伺服器端點建立關聯。然後,選取您的身分驗證身分供應商 (受服務管理或 Microsoft AD 這類目錄服務) 來設定您的使用者。最後,請選擇 S3 儲存貯體,並指派要存取的 IAM 角色。啟用服務端點、身分識別提供者及 S3 儲存貯體存取政策後,如果您的使用者存取的資料儲存在 S3 儲存貯體中,他們可以繼續使用其現有的用戶端和組態。

問:我的使用者可以透過此服務利用 FTP 或 FTP/S (FTP over SSL) 來傳輸檔案嗎?

答:不可以,您的使用者需要使用 SFTP 來傳輸檔案。大部分檔案傳輸用戶端都會提供 SFTP 選項,使用 AWS SFTP 傳輸檔案時需要選取此選項。

伺服器端點存取

問:我可以繼續使用我的公司網域名稱 (sftp.mydomainname.com) 做為 SFTP 端點嗎?

答:是。如果您已經有網域名稱,可使用 Amazon Route53 或任何 DNS 服務,將註冊網域的使用者流量路由到 AWS 的 SFTP 伺服器端點。 請參閱說明文件,了解 AWS SFTP 如何將 Amazon Route 53 用於自訂網域名稱

問:如果我沒有網域名稱,可以繼續使用此服務嗎?

答:可以。如果您沒有網域名稱,您的使用者可以透過 AWS SFTP 提供的主機名稱來存取您的伺服器端點。您也可以透過 Amazon Route 53 主控台或 API 註冊一個新網域,然後將這個新網域的流量路由到您的 SFTP 伺服器端點。

問:我可以使用已具備公開區域的網域嗎?

答:可以,您需要透過 CNAME 記錄將該網域對應至 SFTP 伺服器主機名稱。

問:建立伺服器後,AWS SFTP 伺服器的主機金鑰是否將變更?

答:不會 - 如果您從未停止或刪除伺服器。在您停止及啟動伺服器,或是建立新伺服器之前,您在建立伺服器時指派的伺服器主機金鑰都會保持不變。

問:可以將 SFTP 伺服器端點設定為僅可在 VPC 內存取嗎?

答:可以。建立 SFTP 伺服器或更新現有伺服器時,您可以指定是要透過公有網路或在 VPC 內存取伺服器端點。如需詳細資訊,請參閱說明文件,了解如何使用 AWS PrivateLink 在 VPC 內建立 SFTP 伺服器端點

問:SFTP 用戶端可以使用固定 IP 地址存取 SFTP 伺服器的 VPC 端點嗎?

答:可以,您可以建立 SFTP 伺服器的 VPC 端點來啟用固定 IP。您可以在啟用彈性 IP 的情況下,在 VPC 內建立網路負載平衡器 (NLB),並將 SFTP 伺服器的 VPC 端點指定為其目標。相關聯的彈性 IP 能提供您一或多組不會變更的靜態 IP 地址。您的 SFTP 用戶端使用者可使用這些 IP 設定防火牆白名單。若要進一步了解這項設定,請參閱網路負載平衡器文件

問:可以篩選要存取 SFTP 伺服器 VPC 端點的傳入流量嗎?

答:可以。為 SFTP 伺服器使用 VPC 端點,能僅讓相同 VPC、您指定的其他 VPC 或內部部署環境中的用戶端,透過可延伸 VPC 的網路技術 (如 AWS Direct Connect、AWS VPN 或 VPC 對等) 加以存取。您可以建立 NLB 並將其目標指定為 SFTP 伺服器的 VPC 端點,允許網際網路流量存取此端點。VPC 中現有防火牆或子網路網路存取控制清單 (NACL) 中的規則,可依傳入來源 IP 地址限制存取權限。若要進一步了解這項設定,請參閱網路負載平衡器文件

問:SFTP 用戶端可以透過固定 IP 地址存取公有 SFTP 伺服器端點嗎?

答:不可以。固定 IP 地址通常用於防火牆白名單設定,目前公有端點尚不支援。

問:最終使用者需要將哪些 IP 範圍列入白名單,才能存取 SFTP 伺服器公有端點?

答:您的使用者需要將這裡發佈的 AWS IP 地址範圍列入白名單。如需有關取得最新 AWS IP 地址範圍的詳細資訊,請參閱文件。 

 

 

使用者身分驗證

問:我的使用者可以繼續使用他們現有的 SFTP 用戶端或傳輸應用程式嗎?

答:可以。任何現有的 SFTP 用戶端或 SFTP 傳輸應用程式皆可繼續與 AWS SFTP 搭配使用。常用 SFTP 用戶端的範例包括 WinSCP、FileZilla、CyberDuck 和 OpenSSH 用戶端。

問:此服務會用什麼方式驗證我的使用者身分?

答:此服務支援兩種身分驗證模式,一種是利用服務儲存和存取使用者的身分,另一種則是透過自訂的身分供應商來驗證。

服務管理驗證

問:如何使用服務管理驗證?

答:如果您使用服務來儲存及存取使用者的身分,您可以使用金鑰式身分驗證。

問:我可以為每個使用者上傳幾個 SSH 金鑰?

答:您最多可以為每個使用者上傳 10 個 SSH 金鑰。請注意,新增越多金鑰,登入時間會越長,因為伺服器將需要評估每個金鑰,直至找到相符金鑰,才會成功完成身分驗證。

問:服務管理驗證支援金鑰輪換嗎?

答:是。請參閱文件,了解使用此服務設定金鑰輪換的詳細資訊。

問:我可以使用服務管理驗證來驗證密碼嗎?

答:不可以,目前不支援將密碼儲存在驗證服務中。如果您需要密碼驗證,請參閱我們的文件,並使用替代的身分供應商 (例如 AWS SimpleAD 或 Secrets Manager) 下載支援此功能的範本。

問:是否支援匿名使用者?

答:否,目前不支援匿名使用者。

問:我可以從目前的 SFTP 主機匯入金鑰,讓使用者無需重新驗證工作階段資訊嗎?

答:不可以,我們目前不支援將現有的主機金鑰匯入到服務中。

自訂身分供應商

問:我可以利用現有的身分供應商來管理 SFTP 使用者嗎?

答:AWS SFTP 可讓您透過外掛程式使用現有的身分供應商,以便輕鬆移轉已將其登入資料儲存在公司目錄的使用者。Microsoft Active Directory (AD)、Lightweight Directory Access Protocol (LDAP) 或任何自訂的身分供應商都屬於身分供應商。

問:如何開始整合我現有的身分供應商以用於使用者身分驗證?

答:建議您使用 AWS CloudFormation 範本,並提供身分驗證和存取的所需資訊,以便開始使用。若要進一步了解,請造訪自訂身分供應商的網站。

問:設定使用者時,我需要提供哪些資訊才能啟用存取權限?

答:無論選擇哪種身分供應商類型,您都需要提供使用者名稱、AWS IAM 角色和主目錄資訊。如果您使用服務來儲存及存取使用者身分,您還需要提供 SSH 金鑰。

問:為什麼我需要提供 AWS IAM 角色?如何使用?

答:AWS IAM 可決定您要為使用者提供的存取權限等級,包括您要在其用戶端上啟用的操作類型,以及使用者可以存取的 Amazon S3 儲存貯體 (可以是整個或部分儲存貯體)。

問:為什麼需要提供主目錄資訊?如何使用?

答:您為使用者設定的主目錄可決定他們的登入目錄。使用者登入 SFTP 伺服器後,他們的 SFTP 用戶端就會使用該目錄充當登陸目錄。您需要確保提供的 IAM 角色為使用者提供主目錄的存取權限。

問:我們有 100 個擁有相似存取設定的使用者,但這些設定屬於儲存貯體的不同部分。我可以使用同一個 IAM 角色和原則加以設定,以啟用他們的存取權限嗎?

答:可以,如果您要為各個使用者提供相似的存取權限,又想要根據他們的使用者名稱劃分至 Amazon S3 儲存貯體的不同分區,您可以使用較少的 IAM 角色和原則來完成相關設定。請參閱文件,進一步了解如何透過即時原則變數評估來限定存取權限。

資料上傳與下載

問:存放在 Amazon S3 儲存貯體的檔案如何透過 AWS SFTP 傳輸?

答:透過 SFTP 傳輸的檔案會以物件形式存放在您的 Amazon S3 儲存貯體中,檔案與物件之間是一對一的映射關係,因此您可以透過 AWS 服務,以原生形式存取這些物件加以處理或分析。

問:存放在儲存貯體的 Amazon S3 物件會以什麼形式向我的使用者呈現?

答:身分驗證成功後,AWS SFTP 會根據使用者的登入資料,向您使用者的傳輸應用程式提供 Amazon S3 物件和資料夾,做為檔案和目錄。

問:AWS SFTP 支援哪些檔案操作? 不支援哪些操作?

答:它支援建立、讀取、更新和刪除,以及檔案和目錄這些常見的 SFTP 命令。檔案是以個別物件的形式存放在 Amazon S3 儲存貯體中。目錄在 S3 中是使用與 S3 主控台相同的語法,以資料夾物件的形式來管理。目前不支援目錄重新命名操作、符號連結和硬式連結。

問:我可以控制使用能執行哪些操作嗎?

答:可以,您可以透過映射到其使用者名稱的 AWS IAM 角色,啟用/停用檔案操作。

問:可以讓 SFTP 使用者存取多個 Amazon S3 儲存貯體嗎?

答:可以。使用者可存取的儲存貯體取決於 AWS IAM 角色,以及您指派給該使用者的選用範圍縮小原則。您只能使用單一儲存貯體做為使用者的主目錄。

問:可以使用 AWS A 帳戶建立伺服器,然後將 SFTP 使用者對應至 AWS B 帳戶擁有的 Amazon S3 儲存貯體嗎?

答:可以。您可以使用 CLI 和 API,設定伺服器和 SFTP 儲存貯體之間的跨帳戶存取權限。「主控台」下拉式功能表只會列出 A 帳戶的儲存貯體。此外,您必須確認指派給使用者的角色屬於 A 帳戶。

問:如何得知哪個 SFTP 使用者上傳了檔案?
答:您可以使用 Amazon CloudWatch 檢視 SFTP 使用者的活動。請參閱文件,以進一步了解如何啟用 Amazon CloudWatch 記錄。

問:我可以在檔案上傳到 Amazon S3 之後自動化處理檔案嗎?
答:可以,您可以使用 Amazon S3 事件來自動化處理已上傳的檔案,這些檔案會採用各種 AWS 服務執行查詢、分析和機器學習等工作。請參閱文件,以進一步了解使用 Lambda with Amazon S3 進行文章上傳處理的常見範例。

 

安全與合規

問:我的資料在傳輸過程中安全嗎?

答:安全,SFTP 協定的基礎安全措施會透過安全的加密通道傳輸命令和檔案資料。

問:有哪些選項可以加密使用 AWS SFTP 傳輸的靜態資料?

答:您可以選擇使用 Amazon S3 伺服器端加密 (SSE-S3) 或 Amazon KMS (SSE-KMS) 加密存放在儲存貯體的檔案。

問:AWS SFTP 支援哪些合規計劃?

答:AWS SFTP 是一項 PCI-DSS 和 GDPR 合規服務,而且符合 HIPAA 資格。

問:此服務如何確保上傳檔案的完整無缺?

答:此服務會對比檔案上傳前後的 MD5 檢查總和,驗證所有透過 SFTP 伺服器上傳的檔案。

問:如何監控用量並追蹤使用者的活動?

答:您可以使用 Amazon CloudWatch 檢視 SFTP 使用者的活動。請參閱文件,以進一步了解如何啟用 Amazon CloudWatch 記錄。

 

計費

問:使用 AWS SFTP 時需要支付多少費用?

答:您需要支付 AWS SFTP 實際使用的資源,包括 SFTP 伺服器端點的小時費用,以及 SFTP 資料上傳與下載的費用。定價涵蓋可根據工作負載需求即時自動擴展的全受管、高可用的 SFTP 服務費用。如需詳細資訊,請參閱 AWS SFTP 定價頁面

問:AWS SFTP 伺服器如何計費?

答:從您建立並設定 SFTP 伺服器 (專供您使用而佈建) 開始按小時計費,直到您刪除伺服器為止。亦根據透過 SFTP 伺服器上傳與下載的資料量計費。如需詳細資訊,請參閱 AWS SFTP 定價頁面

問:我已停止伺服器。是否會對停止的伺服器計費?

答:是,透過使用主控台或者執行 “stop-server” CLI 命令或 “StopServer” API 命令停止伺服器不會影響計費。從您建立並設定 SFTP 伺服器 (專供您使用而佈建) 開始按小時計費,直到您刪除伺服器為止。

Product-Page_Standard-Icons_01_Product-Features_SqInk
進一步了解定價

AWS SFTP 提供全受管服務,可降低您在執行檔案傳輸服務時的營運成本。

進一步了解 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
Product-Page_Standard-Icons_03_Start-Building_SqInk
開始在主控台進行建置

開始在 AWS 主控台中使用 AWS SFTP 進行建置。

登入