一般問題

問:什麼是 AWS Transfer for SFTP?

答:AWS Transfer for SFTP (AWS SFTP) 是在 AWS 中託管的全受管服務,可透過 SFTP 直接將檔案傳入和傳出 Amazon S3。

問:什麼是 SFTP,以及其用途為何?

答:SFTP 代表 Secure Shell 檔案傳輸協定,是一種用於在網際網路上安全傳輸資料的網路協定。此協定支援 SSH 的完整安全和身分驗證功能,並廣泛用於包括金融服務、醫療保健、零售和廣告等各種產業,以利業務合作夥伴之間互相交換資料。

問:為什麼應該使用 AWS SFTP?

答:如果您現在透過 SFTP 與第三方使用者 (例如您的廠商或業務合作夥伴) 交換資料,以便在 AWS 處理、分析和存檔這些資料,您便需要在現場部署或雲端中託管和管理自有的自訂 SFTP 服務。您需要投資在基礎設施的營運和管理上,還需要監控正常執行時間和可用性,以及建立一次性的機制來佈建使用者及稽核他們的活動。AWS Transfer 能在 AWS 中提供全受管服務,讓您可以透過 SFTP 將傳輸的資料移至 AWS,同時確保所有最終使用者的現有傳輸工作流程不受影響,進而解決上述種種挑戰。

問:使用 AWS SFTP 有哪些優點?

答:AWS SFTP 提供全受管的高可用性 SFTP 服務,且內建擴展功能,讓您不必再管理 SFTP 的相關基礎設施。AWS Transfer 讓最終使用者的工作流程保持不變,而透過 SFTP 上傳和下載的資料則會存放在您的 Amazon S3 儲存貯體中。由於資料存放在 Amazon S3 中,您現在便可以輕鬆將資料整合至採用各種 AWS 服務的工作負載,以便執行資料處理分析和 Machine Learning;或是將這些資料儲存及永久存檔,以符合您的合規要求。

問:如何使用 AWS SFTP?

答:只要 3 個簡單步驟,您就可以取得 AWS 的持久性及高可用性的「SFTP 伺服器」。首先,將您現有的 SFTP 主機名稱與 SFTP 伺服器端點建立關聯。然後,選取您的身分驗證身分供應商 (受服務管理或 Microsoft AD 這類目錄服務) 來設定您的使用者。最後,請選擇 S3 儲存貯體,並指派要存取的 IAM 角色。啟用服務端點、身分識別提供者及 S3 儲存貯體存取政策後,如果您的使用者存取的資料儲存在 S3 儲存貯體中,他們可以繼續使用其現有的用戶端和組態。

問:我的使用者可以透過此服務利用 FTP 或 FTP/S (FTP over SSL) 來傳輸檔案嗎?

答:不可以,您的使用者需要使用 SFTP 來傳輸檔案。大部分檔案傳輸用戶端都會提供 SFTP 選項,使用 AWS SFTP 傳輸檔案時需要選取此選項。

伺服器端點存取

問:我可以繼續使用我的公司網域名稱 (sftp.mydomainname.com) 做為 SFTP 端點嗎?

答:是。如果您已經有網域名稱,您可以使用 Amazon Route53 或任何 DNS 服務,將註冊網域的使用者流量路由到 AWS 的 SFTP 伺服器端點。

問:如果我沒有網域名稱,可以繼續使用此服務嗎?

答:可以。如果您沒有網域名稱,您的使用者可以透過 AWS SFTP 提供的主機名稱來存取您的伺服器端點。您也可以透過 Amazon Route 53 主控台或 API 註冊一個新網域,然後將這個新網域的流量路由到您的 SFTP 伺服器端點。

問:我可以使用已具備公開區域的網域嗎?

答:可以,您需要透過 CNAME 記錄將該網域對應至 SFTP 伺服器主機名稱。

問:我可以透過固定 IP 位址存取 SFTP 伺服器端點嗎?

答:不可以。目前並不支援通常用於防火牆白名單設定的固定 IP 位址。

 

使用者身分驗證

問:我的使用者可以繼續使用他們現有的 SFTP 用戶端或傳輸應用程式嗎?

答:可以。任何現有的 SFTP 用戶端或 SFTP 傳輸應用程式皆可繼續與 AWS SFTP 搭配使用。常用 SFTP 用戶端的範例包括 WinSCP、FileZilla、CyberDuck 和 OpenSSH 用戶端。

問:此服務會用什麼方式驗證我的使用者身分?
答:此服務支援兩種身分驗證模式,一種是利用服務儲存和存取使用者的身分,另一種則是透過自訂的身分供應商來驗證。

服務管理驗證

問:如何使用服務管理驗證?

答:如果您使用服務來儲存和存取使用者的身分,您可以使用金鑰式身分驗證。

問:我可以為每個使用者上傳幾個 SSH 金鑰?

答:您最多可以為每個使用者上傳 10 個 SSH 金鑰。請注意,新增越多金鑰,登入時間會越長,因為伺服器將需要評估每個金鑰,直至找到相符金鑰,才會成功完成身分驗證。

問:服務管理驗證支援金鑰輪換嗎?

答:是。請參閱文件以了解使用此服務設定金鑰輪換的詳細資訊

問:我可以使用服務管理驗證來進行密碼驗證嗎?

答:不可以,目前不支援將密碼儲存在驗證服務中。如果您需要密碼驗證,請參閱我們的文件,並使用替代的身分供應商 (例如 AWS SimpleAD 或 Secrets Manager) 下載支援此功能的範本。

問:是否支援匿名使用者?

答:否,目前不支援匿名使用者。

問:我可以從目前的 SFTP 主機匯入金鑰,讓使用者無需重新驗證工作階段資訊嗎?

答:不可以,我們目前不支援將現有的主機金鑰匯入到服務中。

自訂身分供應商

問:我可以利用現有的身分供應商來管理 SFTP 使用者嗎?

答:AWS SFTP 可讓您透過外掛程式使用現有的身分供應商,以便輕鬆移轉已將其登入資料儲存在公司目錄的使用者。Microsoft Active Directory (AD)、Lightweight Directory Access Protocol (LDAP) 或任何自訂的身分供應商都屬於身分供應商。

問:如何開始整合我現有的身分供應商以用於使用者身分驗證?

答:我們建議您使用 AWS CloudFormation 範本,並提供身分驗證和存取的所需資訊以開始使用。若要進一步了解,請造訪自訂身分供應商的網站。

問:設定使用者時,我需要提供哪些資訊才能啟用存取權限?

答:無論選擇哪種身分供應商類型,您都需要提供使用者名稱、AWS IAM 角色和主目錄資訊。如果您使用服務來儲存和存取使用者的身分,您還需要提供 SSH 金鑰。

問:為什麼我需要提供 AWS IAM 角色,以及其運用方式為何?

答:AWS IAM 用於決定您要為使用者提供的存取權限等級,包括您要在他們用戶端上啟用的操作類型,以及他們可以存取的 Amazon S3 儲存貯體 (可以是整個或部分儲存貯體)。

問:為什麼需要提供主目錄資訊,以及其運用方式為何?

答:您為使用者設定的主目錄決定了他們的登入目錄。使用者登入 SFTP 伺服器後,他們的 SFTP 用戶端就會使用該目錄充當登陸目錄。您必須確定提供的 IAM 角色為使用者提供主目錄的存取權限。

問:我們有 100 個擁有相似存取設定的使用者,但這些設定屬於儲存貯體的不同部分。我可以使用同一個 IAM 角色和原則進行設定以啟用他們的存取權限嗎?

答:可以,如果您要為各個使用者提供相似的存取權限,又想要根據他們的使用者名稱劃分至 Amazon S3 儲存貯體的不同分區,您可以使用較少的 IAM 角色和原則來完成相關設定。請參閱文件,進一步了解如何透過即時原則變數評估來限定存取權限。

資料上傳與下載

問:存放在 Amazon S3 儲存貯體的檔案如何透過 AWS SFTP 傳輸?

答:透過 SFTP 傳輸的檔案會以物件形式存放在您的 Amazon S3 儲存貯體中,檔案與物件之間是一對一的映射關係,因此可以透過 AWS 服務原生存取這些物件以執行處理或分析。

問:存放在儲存貯體的 Amazon S3 物件會以什麼形式向我的使用者呈現?

答:身分驗證成功後,AWS SFTP 會根據使用者的登入資料,向您使用者的傳輸應用程式提供 Amazon S3 物件和資料夾,做為檔案和目錄。

問:AWS SFTP 支援哪些檔案操作? 另外,它不支援哪些操作?

答:它支援建立、讀取、更新和刪除,以及檔案和目錄這些常見的 SFTP 命令。檔案是以個別物件的形式存放在 Amazon S3 儲存貯體中。目錄在 S3 中是使用與 S3 主控台相同的語法當做資料夾物件加以管理。目前不支援符號連結和硬式連結。

問:我可以控制使用者能執行的操作嗎?

答:可以,您可以透過已映射到其使用者名稱的 AWS IAM 角色,以啟用/停用檔案操作。

問:如何得知哪個 SFTP 使用者上傳了檔案?
答:您可以使用 Amazon CloudWatch 來檢視您的 SFTP 使用者活動。請參閱文件,以進一步了解如何啟用 Amazon CloudWatch 記錄。

問:我可以在檔案上傳到 Amazon S3 之後自動化處理檔案嗎?
答:可以,您可以使用 Amazon S3 事件來自動化處理已上傳的檔案,這些檔案會採用各種 AWS 服務執行查詢、分析和機器學習等工作。請參閱文件,以進一步了解使用 Lambda with Amazon S3 進行文章上傳處理的常見範例。

 

 

安全與合規

問:我的資料在傳輸過程中安全嗎?

答:安全,SFTP 協定的基礎安全措施會透過安全的加密通道傳輸命令和檔案資料。

問:有哪些選項可以加密使用此靜態服務傳輸的檔案?

答:您可以選擇加密存放在儲存貯體的檔案,以及加密透過 Amazon S3 伺服器端  加密 (SSE-S3) 或使用 Amazon KMS (SSE-KMS) 方式傳輸的檔案。

問:AWS SFTP 支援哪些合規計劃?

答:AWS SFTP 是一項 PCI-DSS 和 GDPR 合規服務,而且符合 HIPAA 資格。

問:此服務如何確保上傳檔案的完整性?

答:此服務會對比檔案上傳前後的 MD5 檢查總和,以驗證所有透過 SFTP 伺服器上傳的檔案。

問:如何監控用量並追蹤使用者的活動?

答:您可以使用 Amazon CloudWatch 來檢視您的 SFTP 使用者活動。請參閱文件,以進一步了解如何啟用 Amazon CloudWatch 記錄。

 

計費

問:使用 AWS SFTP 成本為何?

答:您需要支付 AWS SFTP 實際使用的資源,包括 SFTP 伺服器端點以及 SFTP 資料上傳與下載。有關其他詳細資訊,請參閱定價頁面

問:伺服器端點如何計費?

答:建立伺服器時,您會取得 AWS 的全受管高可用性 SETP 端點。我們會從您建立伺服器開始收費,直到您刪除伺服器為止。

Product-Page_Standard-Icons_01_Product-Features_SqInk
進一步了解定價

AWS SFTP 提供全受管服務,可降低您在執行檔案傳輸服務時的營運成本。

進一步了解 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
Product-Page_Standard-Icons_03_Start-Building_SqInk
開始在主控台進行建置

開始在 AWS 主控台中使用 AWS SFTP 進行建置。

登入