AWS USDT代付 | Payment 解决方案亚马逊AWS官方博客
AWS Transfer Family SFTP 连接器现支持基于 VPC 的连接
许多组织将安全文件传输协议(SFTP)作为交换关键业务数据的行业标准。以往,要安全连接私有 SFTP 服务器,需要自定义基础设施、手动编写脚本,或者向公共互联网暴露端点。
如今,AWS Transfer Family SFTP 连接器已支持通过 Amazon Virtual Private Cloud(Amazon VPC)环境连接远程 SFTP 服务器。您可以在 Amazon Simple Storage Service(Amazon S3)与私有或公有 SFTP 服务器之间传输文件,同时应用 VPC 中已配置的安全控制策略与网络设置。此功能可帮助您整合本地环境、合作伙伴托管私有服务器或面向互联网端点的数据来源,且具备 Amazon Web Services(AWS)完全托管式服务所具有的运维简便性。
**以下是主要增强功能: SFTP 连接器的新功能
连接私有 SFTP 服务器:SFTP 连接器现在可以访问仅在您的 AWS VPC 连接范围内可见的端点,包括托管在您的 VPC 或共享 VPC 中的服务器、通过 AWS Direct Connect 连接的本地系统,以及通过 VPN 隧道连接的合作伙伴托管服务器。 安全性与合规性:所有文件传输均通过 VPC 中已应用的安全控制策略(如 AWS Network Firewall 或集中式入站/出站检测)进行路由。私有 SFTP 服务器始终保持私密状态,无需向互联网暴露。您还可提供静态弹性 IP 或自带 IP(BYOIP),以满足合作伙伴的允许列表要求。 性能与简便性:通过使用 NAT 网关、AWS Direct Connect 或 VPN 连接等自有网络资源,连接器可以利用更高的带宽能力来处理大规模传输。只需几分钟,即可通过 AWS 管理控制台、AWS 命令行界面(AWS CLI)或 AWS SDK 配置连接器,无需构建自定义脚本或使用第三方工具。 SFTP 连接器通过 Amazon VPC Lattice 资源建立基于 VPC 的安全连接。 关键结构包括 基于 VPC 的 SFTP 连接的工作原理
资源配置和 资源网关**。资源配置代表目标 SFTP 服务器,需通过私有 IP 地址或公有 DNS 名称指定。资源网关为 SFTP 连接器提供访问这些配置的权限,使文件传输能通过 VPC 及其安全控制策略进行。
下方的架构图描述了 Amazon S3 与远程 SFTP 服务器之间的流量流动情况。如架构所示,流量从 Amazon S3 经 SFTP 连接器进入您的 VPC。资源网关是处理连接器到 VPC 资源的入站连接的入口点。出站流量通过已配置的出站路径路由,对公共服务器使用带弹性 IP 的 Amazon VPC NAT 网关,对私有服务器使用 AWS Direct Connect 和 VPN 连接。您可以使用 VPC CIDR 范围内的现有 IP 地址,从而简化合作伙伴服务器的允许列表。VPC 中的集中式防火墙可以执行安全策略,客户自有 NAT 网关则可以为大规模传输提供更高的带宽。
**借助此功能,开发人员和 IT 管理员可以简化工作流程,同时满足各种场景下的安全性和合规性要求: 何时使用此特征
混合环境:通过 AWS Direct Connect 或 AWS Site-to-Site VPN 在 Amazon S3 与本地 SFTP 服务器之间传输文件,无需向互联网暴露端点。 合作伙伴集成:连接业务合作伙伴的 SFTP 服务器,这些服务器只能通过私有 VPN 隧道或共享 VPC 进行访问。这就无需构建自定义脚本或管理第三方工具,从而降低运维复杂度。 受监管行业:通过 VPC 中的集中式防火墙与检测点路由文件传输,以遵守金融服务、政府或医疗行业的安全要求。 高吞吐量传输:使用 NAT 网关、AWS Direct Connect 或带弹性 IP/BYOIP 的 VPN 连接等自有网络配置,处理大规模、高带宽传输,同时保留已在合作伙伴白名单中的 IP 地址。 统一文件传输解决方案:将 Transfer Family 标准化用于内部与外部 SFTP 连接,从而减少文件传输工具之间的碎片化。 要开始通过我的 VPC 环境使用 SFTP 连接器传输文件,我需要执行以下步骤: 使用 SFTP 连接器开始构建
首先,配置 VPC Lattice 资源。在 Amazon VPC 控制台导航窗格中的
PrivateLink 和 Lattice 下 ,依次选择 资源网关和 创建资源网关,以创建一个作为 VPC 入口点的网关。接下来,在导航窗格的 PrivateLink 和 Lattice 下,依次选择 资源配置和 创建资源配置,为目标 SFTP 服务器创建配置。需指定私有 IP 地址或公有 DNS 名称,以及端口(通常为 22)。
然后,配置 AWS Identity and Access Management(IAM)权限。确保用于创建连接器的 IAM 角色拥有
transfer:* 权限,以及 VPC Lattice 权限(
vpc-lattice:CreateServiceNetworkResourceAssociation、
vpc-lattice:GetResourceConfiguration、
vpc-lattice:AssociateViaAWSService)。更新 IAM 角色的信任策略,将
transfer.amazonaws.com 指定为可信主体。这样,AWS Transfer Family 就能在创建和管理 SFTP 连接器时代入该角色。
之后,通过 AWS Transfer Family 控制台创建 SFTP 连接器。选择
SFTP 连接器,然后选择 创建 SFTP 连接器。在 连接器配置部分,选择 VPC Lattice 作为出站类型,然后提供 资源配置的 Amazon 资源名称(ARN)、 访问角色和 连接器凭证。还可根据需要包括可信主机密钥以增强安全性,或者在 SFTP 服务器使用非标准端口时覆盖默认端口。
接下来,测试连接。在
操作菜单上,选择 测试连接以确认连接器可以到达目标 SFTP 服务器。
最后,在连接器状态为
ACTIVE 后,可通过调用 Transfer Family API(如
StartDirectoryListing、
StartFileTransfer、
StartRemoteDelete 或
StartRemoteMove),以编程方式与远程 SFTP 服务器进行文件操作。所有流量均通过您配置的资源(如 NAT 网关、AWS Direct Connect 或 VPN 连接)及您的 IP 地址和安全控制策略路由至 VPC。
有关完整选项与高级工作流程的信息,请参阅 AWS Transfer Family 文档。
__现已推出__
具有基于 VPC 的连接的 SFTP 连接器现已在 21 个 AWS 区域可用。查看按区域划分的 AWS 服务,了解最新受支持的 AWS 区域。现在,您可以使用 NAT 网关、弹性 IP 和网络防火墙等自有 VPC 资源,将 AWS Transfer Family SFTP 连接器安全连接到私有服务器、本地服务器或面向互联网的服务器。
— Betty
|
AWS 架构师中心: 云端创新的引领者
探索 AWS 架构师中心,获取经实战验证的最佳实践与架构指南,助您高效构建安全、可靠的云上应用
