一般問題

問:什麼是 AWS Transfer for SFTP?

答:AWS Transfer for SFTP (AWS SFTP) 是在 AWS 中託管的全受管服務,可透過 SFTP 直接將檔案傳入和傳出 Amazon S3。

問:什麼是 SFTP,以及其用途為何?

答:SFTP 代表 Secure Shell (SSH) 檔案傳輸協定,是一種用於在網際網路上安全傳輸資料的網路協定。此協定支援 SSH 的完整安全和身分驗證功能,並廣泛用於包括金融服務、醫療保健、媒體娛樂、零售和廣告等各種產業,以在業務合作夥伴之間交換資料。

問:為什麼應該使用 AWS SFTP?

答:如果您現在透過 SFTP 與第三方 (例如廠商、業務合作夥伴或客戶) 交換資料,並想在 AWS 中管理該資料以進行處理、分析和存檔,您便需要託管和管理自有的 SFTP 服務。您需要投資在基礎架構的營運和管理、修補伺服器、監控正常執行時間和可用性,以及建立一次性的機制來佈建使用者及稽核他們的活動。AWS SFTP 提供全受管 SFTP 服務來降低營運負擔,同時確保最終使用者的現有傳輸工作流程不受影響,以此解決上述種種挑戰。該服務會將傳輸的檔案儲存為 Amazon S3 儲存貯體中的物件,讓您可以在資料湖中從這些物件擷取值,或者用於客戶關係管理 (CRM) 或企業資源計劃 (ERP) 工作流程,或用於在 AWS 中存檔。

問:使用 AWS SFTP 有哪些優點?

答:AWS SFTP 提供全受管的高可用性 SFTP 服務,且具有自動擴展功能,讓您不必再管理 SFTP 的相關基礎架構。AWS SFTP 讓最終使用者的工作流程保持不變,而透過 SFTP 上傳和下載的資料則會存放在您的 Amazon S3 儲存貯體中。使用 Amazon S3 中的資料,您現在可以在符合合規要求的環境中,輕鬆地將此資料與各種 AWS 服務配合使用,進行資料處理、分析、機器學習及存檔。

問:如何使用 AWS SFTP?

答:只要 3 個簡單步驟,您就可以取得 AWS 的持久性及高可用性的「SFTP 伺服器」。首先,將您現有的 SFTP 主機名稱與 SFTP 伺服器端點建立關聯。然後,選取您的身分驗證身分供應商 (受服務管理或 Microsoft AD 這類目錄服務) 來設定您的使用者。最後,請選擇 S3 儲存貯體,並指派要存取的 IAM 角色。啟用服務端點、身分供應商及 S3 儲存貯體存取政策後,如果您的使用者存取的資料儲存在 S3 儲存貯體中,他們可以繼續使用其現有的用戶端和組態。

問:是否可使用 CloudFormation 自動部署 SFTP 伺服器和使用者?

答:可以的,您可以部署 CloudFormation 範本以自動建立 SFTP 伺服器和使用者,或者用於整合身分供應商。請參閱使用指南,了解如何使用 CloudFormation 範本中的 AWS Transfer for SFTP 資源

問:我的使用者是否可以透過此服務利用 SCP、FTP 或 FTP/S (FTP over SSL) 傳輸檔案?

答:不可以,您的使用者需要使用 SFTP 傳輸檔案。大部分檔案傳輸用戶端都會提供 SFTP 選項,使用 AWS SFTP 傳輸檔案時需要選取此選項。 

伺服器端點存取

問:是否可以使用我的公司網域名稱 (sftp.mycompanyname.com) 存取我的 SFTP 端點?

答:是。如果您已經有網域名稱,可使用 Amazon Route53 或任何 DNS 服務,將註冊網域的使用者流量路由到 AWS 的 SFTP 伺服器端點。 請參閱文件,了解 AWS SFTP 如何將 Amazon Route 53 用於自訂網域名稱

問:如果我沒有網域名稱,可以繼續使用此服務嗎?

答:可以。如果您沒有網域名稱,您的使用者可以透過 AWS SFTP 提供的主機名稱來存取您的伺服器端點。您也可以透過 Amazon Route 53 主控台或 API 註冊一個新網域,然後將這個新網域的流量路由到您的 SFTP 伺服器端點。

問:我可以使用已具備公開區域的網域嗎?

答:可以,您需要透過 CNAME 記錄將該網域對應至 SFTP 伺服器主機名稱。

問:建立伺服器後,AWS SFTP 伺服器的主機金鑰是否會變更?

答:否。在您刪除伺服器然後建立新的伺服器之前,您在建立伺服器時指派的伺服器主機金鑰都會保持不變。

問:是否可以從目前的 SFTP 主機匯入金鑰,讓使用者無需重新驗證工作階段資訊?

答:是。建立新伺服器或更新現有的伺服器時,可以提供 RSA 主機金鑰。最終使用者的用戶端會使用此金鑰來識別伺服器。 請參閱文件,了解如何利用 AWS CLI/SDK 上傳伺服器的主機金鑰

問:是否可將 SFTP 伺服器端點設定為僅能在 VPC 內存取?

答:可以。建立 SFTP 伺服器或更新現有伺服器時,您可以指定是要透過公有網路或在 VPC 內存取伺服器端點。如需詳細資訊,請參閱文件,了解如何使用 AWS PrivateLink 在 VPC 內建立 SFTP 伺服器端點

問:SFTP 用戶端是否可以使用固定 IP 地址存取 SFTP 伺服器的 VPC 端點?

答:是。您可以建立 SFTP 伺服器的 VPC 端點來啟用固定 IP。您可以在啟用彈性 IP 的情況下,在 VPC 內建立 Network Load Balancer (NLB),並將 SFTP 伺服器的 VPC 端點指定為其目標。相關聯的彈性 IP 能提供您一或多組不會變更的靜態 IP 地址。您的 SFTP 用戶端使用者可使用這些 IP 設定防火牆白名單。要進一步了解此設定,請參閱部落格文章 'Lift and Shift Migration of SFTP Servers to AWS'。

問:是否可篩選要存取 SFTP 伺服器 VPC 端點的傳入流量?

答:是。透過為 SFTP 伺服器使用 VPC 端點,您可以僅讓相同 VPC 內、您指定的其他 VPC 或內部部署環境中的用戶端,透過可延伸 VPC 的網路技術 (如 AWS Direct Connect、AWS VPN 或 VPC 對等) 進行存取。您可以建立面向網際網路的 NLB,並將其目標指定為 SFTP 伺服器的 VPC 端點,以便讓網際網路流量存取您的 VPC 端點。您可以在 VPC 中使用第三方防火牆或在子網路的網路存取控制清單 (NACL) 使用規則,依傳入來源 IP 地址限制存取權限。要進一步了解此設定,請參閱部落格文章 'Lift and Shift Migration of SFTP Servers to AWS'。

問:最終使用者需要將哪些 IP 範圍列入白名單,才能存取 SFTP 伺服器公有端點?

答:您的使用者需要將這裡發佈的 AWS IP 地址範圍列入白名單。如需有關取得最新 AWS IP 地址範圍的詳細資訊,請參閱相關文件。

問:SFTP 用戶端是否可以使用固定 IP 地址存取公有端點類型的 SFTP 伺服器?

答:不可以。固定 IP 地址通常用於防火牆白名單設定,目前尚不支援公有端點類型。

使用者身分驗證

問:我的使用者可以繼續使用他們現有的 SFTP 用戶端或傳輸應用程式嗎?

答:可以。任何現有的 SFTP 用戶端或 SFTP 傳輸應用程式皆可繼續與 AWS SFTP 搭配使用。常用 SFTP 用戶端的範例包括 WinSCP、FileZilla、CyberDuck 和 OpenSSH 用戶端。

問:此服務會用什麼方式驗證我的使用者身分?

答:此服務支援兩種身分驗證模式,一種是利用服務儲存和存取使用者的身分,另一種則是透過自訂的身分供應商來驗證。

服務管理驗證

問:如何使用服務管理驗證來驗證我的使用者?

答:如果您使用服務存放和存取使用者身分,可以使用 SSH 金鑰式身分驗證。

問:我可以為每個使用者上傳幾個 SSH 金鑰?

答:您最多可以為每個使用者上傳 10 個 SSH 金鑰。請注意,新增越多金鑰,登入時間會越長,因為伺服器將需要評估每個金鑰,直至找到相符金鑰,才會成功完成身分驗證。

問:服務管理驗證支援金鑰輪換嗎?

答:是。請參閱文件,了解如何使用此服務設定金鑰輪換的詳細資訊。

問:是否可以將服務管理的使用者鎖定到其指定的主目錄 (“chroot”)?

可以,當您新增使用者或更新現有的使用者時,可以選擇 “restricted” 核取方塊。這會將使用者用戶端的根目錄映射到 S3 儲存貯體中指派的主目錄位置,將其 “chrooting” 至該位置。 

問:是否可以使用服務管理驗證來驗證密碼?

答:不可以。SFTP 目前不支援在驗證服務中存放密碼。如果您需要 SFTP 的密碼驗證,請參閱部落格文章 'Enabling Password Authentication using Secrets Manager'。

問:是否支援匿名使用者?

答:否。目前不支援匿名使用者。

自訂身分供應商

問:我可以利用現有的身分供應商來管理 SFTP 使用者嗎?

答:AWS SFTP 可讓您透過外掛程式使用現有的身分供應商,以便移轉已將其登入資料存放在公司目錄的使用者。Microsoft Active Directory (AD)、Lightweight Directory Access Protocol (LDAP) 或自訂身分供應商都屬於身分供應商。

問:如何開始整合我現有的身分供應商以用於使用者身分驗證?

答:建議您使用 AWS CloudFormation 範本,並提供身分驗證和存取的所需資訊,以便開始使用。若要進一步了解,請瀏覽自訂身分供應商網站。

問:透過自訂身份供應商設定使用者時,使用哪些資訊來啟用對使用者的存取?

答:使用者需提供用於驗證的使用者名稱和密碼 (或 SSH 金鑰),而存取儲存貯體則取決於 API 閘道提供的 AWS IAM 角色,以及用於查詢身分供應商的 Lambda。您還需要提供主目錄資訊,建議您將它們鎖定在指派的主資料夾,以增加安全性和可用性。請參閱此部落格文章,了解將自訂身分供應商與 AWS SFTP 搭配使用時,如何簡化最終使用者的體驗

問:為什麼需要提供 AWS IAM 角色?如何使用?

答:AWS IAM 用來決定您要為使用者提供的存取權限等級。包括您要在其用戶端上啟用的操作類型,以及使用者可以存取的 Amazon S3 儲存貯體 (可以是整個或部分儲存貯體)。

問:為什麼需要提供主目錄資訊?如何使用?

答:您為使用者設定的主目錄可決定他們的登入目錄。使用者登入 SFTP 伺服器後,他們的 SFTP 用戶端就會使用該目錄充當登陸目錄。您需要確保提供的 IAM 角色為使用者提供主目錄的存取權限。

問:我有 100 個擁有相似存取設定的使用者,但這些設定屬於儲存貯體的不同部分。是否可以只鎖定他們對指派主資料夾的存取權限?

答:是。您可以使用邏輯目錄映射,指定如何讓使用者看到 Amazon S3 儲存貯體絕對路徑。在身分供應商整合的 Lambda 函數中,您需要將 “Entry” 指定為 “/” (指定根目錄),並將 “Target” 指定為 S3 儲存貯體絕對位置,也就是它們的主目錄路徑。有可能需要使用範圍縮小政策,因為這種映射將會是最終使用者唯一能存取的 S3 儲存貯體位置。請參閱此部落格,了解如何使用 Chroot 和邏輯目錄簡化您的 AWS SFTP 結構

資料上傳與下載

問:存放在 Amazon S3 儲存貯體的檔案如何透過 AWS SFTP 傳輸?

答:透過 SFTP 傳輸的檔案會以物件形式存放在您的 Amazon S3 儲存貯體中,檔案與物件之間是一對一的映射關係,因此您可以透過 AWS 服務,以原生形式存取這些物件加以處理或分析。

問:存放在儲存貯體的 Amazon S3 物件會以什麼形式向我的使用者呈現?

答:成功驗證身分後,AWS SFTP 會根據使用者的登入資料,以檔案和目錄形式向您使用者的傳輸應用程式提供 Amazon S3 物件和資料夾。 您也可以指定邏輯目錄映射,以自訂向使用者顯示 S3 儲存貯體路徑的方式。

問:AWS SFTP 支援哪些檔案操作? 不支援哪些操作?

答:它支援建立、讀取、更新和刪除,以及檔案和目錄這些常見的 SFTP 命令。檔案是以個別物件的形式存放在 Amazon S3 儲存貯體中。目錄在 S3 中是使用與 S3 主控台相同的語法當做資料夾物件加以管理。目前不支援目錄重新命名操作、變更擁有權、許可和時間戳記,也不支援使用符號連接和硬連結。

問:我可以控制使用者能執行哪些操作嗎?

答:可以,您可以透過映射到其使用者名稱的 AWS IAM 角色,啟用/停用檔案操作。

問:可以讓 SFTP 使用者存取多個 Amazon S3 儲存貯體嗎?

答:是。如果在連接到您指派給使用者的 AWS IAM 角色的 IAM 政策中包含多個 S3 儲存貯體,他們就能夠存取。此外,您可以使用邏輯目錄映射,將多個 S3 儲存貯體中的資料夾作為單一命名空間呈現給使用者。請參閱這篇部落格文章,了解更多詳細資訊

問:可以使用 AWS A 帳戶建立伺服器,然後將 SFTP 使用者對應至 AWS B 帳戶擁有的 Amazon S3 儲存貯體嗎?

答:可以。您可以使用 CLI 和 API,設定伺服器和 SFTP 儲存貯體之間的跨帳戶存取權限。「主控台」下拉式功能表只會列出 A 帳戶的儲存貯體。此外,您必須確認指派給使用者的角色屬於 A 帳戶。

問:如何得知哪個 SFTP 使用者上傳了檔案?

答:您可以使用 Amazon CloudWatch 檢視 SFTP 使用者的活動。請參閱文件,進一步了解如何啟用 Amazon CloudWatch 記錄。

問:我可以在檔案上傳到 Amazon S3 之後自動處理檔案嗎?

答:可以,您可以使用 Amazon S3 事件自動處理已上傳的檔案,透過各種 AWS 服務執行查詢、分析和機器學習等工作。請參閱文件,進一步了解搭配使用 Lambda 與 Amazon S3 進行上傳後處理的常見範例。

問:是否可以查看使用 AWS SFTP 伺服器上傳和下載了多少資料?

答:可以,使用伺服器上傳和下載的資料會作為 Amazon CloudWatch 中的指標進行追蹤。請瀏覽文件,查看可以追蹤和監控的指標

安全與合規

問:我的資料在傳輸過程中安全嗎?

答:安全,SFTP 協定的基礎安全措施會透過安全的加密通道傳輸命令和檔案資料。

問:有哪些選項可以加密使用 AWS SFTP 傳輸的靜態資料?

答:您可以選擇使用 Amazon S3 伺服器端加密 (SSE-S3) 或 Amazon KMS (SSE-KMS) 加密存放在儲存貯體的檔案。

問:AWS SFTP 支援哪些合規計劃?

答:AWS SFTP 是一項 PCI-DSS 和 GDPR 合規服務,而且符合 HIPAA 資格。 AWS SFTP 也符合 SOC 1、2 和 3 的相關規定。進一步了解合規計劃的 AWS 服務範圍

問:AWS SFTP 是否符合 FISMA 法規?

答:AWS 東部/西部和 GovCloud (US) 區域皆符合法規。FedRAMP 授權針對這兩個區域授予 FedRAMP Moderate 和 FedRAMP High,即證明其合規性。我們每年都會進行評估來證明合規性,並在系統安全計劃記錄範圍內 NIST SP 800-53 控制的合規性。Artifact 提供範本以及我們的客戶責任矩陣 (CRM),它詳細說明根據 FedRAMP 的規定,我們必須滿足這些 NIST 控制的責任。您可以透過東部/西部和 GovCloud AWS 帳戶可存取的管理主控台使用 Artifact。如果您對此主題還有其他疑問,請查閱主控台

問:此服務如何確保上傳檔案的完整性?

答:此服務會對比檔案上傳前後的 MD5 檢查總和,驗證所有透過 SFTP 伺服器上傳的檔案。

問:如何監控用量並追蹤使用者的活動?

答:您可以使用 Amazon CloudWatch 檢視 SFTP 使用者的活動。請參閱文件,進一步了解如何啟用 Amazon CloudWatch 記錄。 另外,您可以在 AWS CloudTrail 中查看代替使用者發出的 Amazon S3 API 呼叫記錄。

計費

問:使用 AWS SFTP 時需要支付多少費用?

答:您需要支付 AWS SFTP 實際使用的資源,包括 SFTP 伺服器端點的小時費用,以及 SFTP 資料上傳與下載的費用。定價涵蓋可根據工作負載需求即時自動擴展的全受管、高可用的 SFTP 服務費用。如需詳細資訊,請參閱 AWS SFTP 定價頁面

問:AWS SFTP 伺服器如何計費?

答:從您建立並設定 SFTP 伺服器 (專供您使用而佈建) 開始按小時計費,直到您刪除伺服器為止。亦根據透過 SFTP 伺服器上傳與下載的資料量計費。如需詳細資訊,請參閱 AWS SFTP 定價頁面

問:我已停止伺服器。是否會對停止的伺服器計費?

答:是,透過使用主控台或者執行 “stop-server” CLI 命令或 “StopServer” API 命令停止伺服器不會影響計費。從您建立並設定 SFTP 伺服器 (專供您使用而佈建) 開始按小時計費,直到您刪除伺服器為止。

進一步了解 SFTP 定價
進一步了解定價

AWS SFTP 提供全受管服務,可降低您在執行檔案傳輸服務時的營運成本。

進一步了解 
註冊免費的 AWS 帳戶
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
開始使用 SFTP 進行建置
開始在主控台進行建置

開始在 AWS 主控台中使用 AWS SFTP 進行建置。

登入