Quel type de point de terminaison dois-je utiliser pour mon serveur AWS Transfer Family ?
Lecture de 5 minute(s)
0
Je veux connaître le type de point de terminaison que je dois utiliser pour mon serveur AWS Transfer Family.
Résolution
Consultez le tableau suivant pour déterminer le type de point de terminaison AWS Transfer Family qui convient le mieux à votre cas d'utilisation :
| Type de point de terminaison | Point de terminaison public | Point de terminaison Amazon Virtual Private Cloud (Amazon VPC) avec accès interne | Point de terminaison d'un VPC accessible via Internet | VPC_ENDPOINT (OBSOLÈTE) |
| Protocoles pris en charge | SFTP | SFTP, FTP, FTPS | SFTP, FTPS | SFTP |
| Accès | Depuis Internet. Ce type de point de terminaison ne nécessite aucune configuration spéciale dans votre VPC. | Depuis un VPC et des environnements connectés à un VPC, comme un centre de données sur site via AWS Direct Connect ou VPN. | Sur Internet et depuis des environnements VPC et connectés au VPC, tels qu'un centre de données sur site via AWS Direct Connect ou VPN. | Depuis un VPC et des environnements connectés à un VPC, comme un centre de données sur site via AWS Direct Connect ou VPN. |
| Adresse IP statique | Vous ne pouvez pas attacher une adresse IP statique. AWS fournit des adresses IP susceptibles d'être modifiées. | Les adresses IP privées attachées au point de terminaison ne changent pas. | Vous pouvez attacher des adresses IP Elastic au point de terminaison. Ces adresses IP peuvent être des adresses IP AWS ou vos propres adresses IP (BYOIP). Les adresses IP Elastic attachées au point de terminaison ne changent pas. Les adresses IP privées attachées au serveur ne changent pas. | Les adresses IP privées attachées au point de terminaison ne changent pas. |
| Liste d'autorisation IP source | Ce type de point de terminaison ne prend pas en charge les listes d'autorisation par adresses IP source. Le point de terminaison est accessible publiquement et écoute le trafic sur le port 22. | Pour autoriser l'accès par adresse IP source, vous pouvez utiliser des groupes de sécurité attachés aux points de terminaison du serveur et aux listes de contrôle d'accès réseau (ACL réseau) attachées au sous-réseau dans lequel se trouve le point de terminaison. | Pour autoriser l'accès par adresse IP source, vous pouvez utiliser des groupes de sécurité attachés aux points de terminaison du serveur et aux listes ACL réseau attachées au sous-réseau dans lequel se trouve le point de terminaison. | Pour autoriser l'accès par adresse IP source, vous pouvez utiliser des groupes de sécurité attachés aux points de terminaison du serveur et aux listes ACL réseau attachées au sous-réseau dans lequel se trouve le point de terminaison. |
| Liste d'autorisation du pare-feu client | Vous devez autoriser le nom DNS du serveur. Étant donné que les adresses IP sont susceptibles d'être modifiées, évitez d'utiliser des adresses IP pour votre liste d'autorisation de pare-feu client. | Vous pouvez autoriser les adresses IP privées ou le nom DNS des points de terminaison. | Vous pouvez autoriser le nom DNS du serveur ou les adresses IP Elastic attachées au serveur. | Vous pouvez autoriser les adresses IP privées ou le nom DNS des points de terminaison. |
Remarque : le type de point de terminaison VPC_ENDPOINT est désormais obsolète et ne peut pas être utilisé pour créer de nouveaux serveurs. Consultez la section Interruption de l'utilisation de VPC_ENDPOINT pour en savoir plus.
Veuillez prendre en compte les options suivantes afin de renforcer la posture de sécurité de votre serveur AWS Transfer Family :
- Utilisez un point de terminaison d'un VPC avec accès interne, afin que le serveur soit accessible uniquement aux clients au sein de votre VPC ou des environnements connectés au VPC comme un centre de données sur site via AWS Direct Connect ou VPN.
- Pour permettre aux clients d'accéder au point de terminaison via Internet et de protéger votre serveur, utilisez un point de terminaison d'un VPC avec un accès accessible sur Internet. Ensuite, modifiez les groupes de sécurité du VPC pour autoriser le trafic uniquement à partir de certaines adresses IP qui hébergent les clients de vos utilisateurs.
- Utilisez un Network Load Balancer devant un point de terminaison d'un VPC avec accès interne. Modifiez le port d'écouteur sur l'équilibreur de charge du port 22 vers un autre port. Cela peut réduire sans pour autant éliminer le risque que des analyseurs de ports et des robots analysent votre serveur. En effet, le port 22 est le plus couramment utilisé pour l'analyse. Toutefois, si vous utilisez un dispositif d'équilibrage de charge de réseau, vous ne pouvez pas utiliser de groupes de sécurité pour autoriser l'accès à partir d'adresses IP source.
- Si vous avez besoin d'une authentification basée sur un mot de passe et que vous utilisez un fournisseur d'identité personnalisé avec votre serveur, une bonne pratique consiste à définir une stratégie de mot de passe agressive. Il est recommandé que votre politique de mot de passe empêche les utilisateurs de créer des mots de passe faibles et limite le nombre de tentatives de connexion infructueuses.
Informations connexes
Créer un point de terminaison connecté à Internet pour votre serveur
AWS OFFICIELA mis à jour il y a 3 ans
Aucun commentaire
Contenus pertinents
- demandé il y a un an
- demandé il y a 9 mois
- demandé il y a un an
- AWS OFFICIELA mis à jour il y a 6 mois
- AWS OFFICIELA mis à jour il y a 3 ans
- AWS OFFICIELA mis à jour il y a 7 mois