AWS Transfer Family 伺服器應該使用哪種類型的端點?

2 分的閱讀內容
0

我想知道 AWS Transfer Family 伺服器必須使用的端點類型。

解決方法

檢閱下表以確定哪種 AWS Transfer Family 端點類型最適合您的使用案例:

端點類型公有端點具有內部存取功能的 Amazon Virtual Private Cloud (Amazon VPC) 端點具有網際網路對應存取功能的 VPC 端點VPC_ENDPOINT (已停用)
支援的通訊協定SFTPSFTP、FTP、FTPSSFTP、FTPSSFTP
存取從網際網路。此端點類型不需要 VPC 的任何特殊組態。從 VPC 及 VPC 連線環境,例如透過 AWS Direct Connect 或 VPN 的內部部署資料中心。透過網際網路以及從 VPC 及 VPC 連線環境,例如透過 AWS Direct Connect 或 VPN 的內部部署資料中心。從 VPC 及 VPC 連線環境,例如透過 AWS Direct Connect 或 VPN 的內部部署資料中心。
靜態 IP 地址您無法附加靜態 IP 地址。AWS 提供的 IP 地址可能會發生變化。附加到端點的私有 IP 地址不會變更。您可以將彈性 IP 地址附加到端點。這些可以是 AWS 擁有的 IP 地址或您自己的 IP 地址 (BYOIP)。附加到端點的彈性 IP 地址不會變更。附加到伺服器的私有 IP 地址也不會變更。附加到端點的私有 IP 地址不會變更。
來源 IP 允許清單此端點類型不支援按來源 IP 地址允許清單。端點可公開存取,並監聽通過連接埠 22 的流量。若要依來源 IP 地址允許存取,您可以使用附加到伺服器端點的安全群組,以及連結至端點所在子網路的網路存取控制清單 (network ACL)。若要依來源 IP 地址允許存取,您可以使用附加至伺服器端點的安全群組,以及連結至端點所在子網路的網路 ACL。若要依來源 IP 地址允許存取,您可以使用附加至伺服器端點的安全群組,以及連結至端點所在子網路的網路 ACL。
用戶端防火牆允許清單您必須允許伺服器的 DNS 名稱。由於 IP 地址可能會變更,因此請避免將 IP 地址用於用戶端防火牆允許清單。您可以允許端點的私有 IP 地址或 DNS 名稱。您可以允許伺服器的 DNS 名稱或連接到伺服器的彈性 IP 地址。您可以允許端點的私有 IP 地址或 DNS 名稱。

**注意:**VPC\ _ENDPOINT 端點類型現在已停用,無法用來建立新伺服器。如需詳細資訊,請參閱停止使用 VPC\ _ENDPOINT

請考慮下列選項來增加 AWS Transfer Family 伺服器的安全狀態:

  • 使用具有內部存取權的 VPC 端點,以便只有 VPC 或 VPC 連線環境 (例如透過 AWS Direct Connect 或 VPN 的內部部署資料中心) 內的用戶端才能存取伺服器。
  • 若要允許用戶端透過網際網路存取端點並保護您的伺服器,請使用具有網際網路對應存取權的 VPC 端點。然後,修改 VPC 的安全群組,以僅允許來自託管使用者用戶端的特定 IP 地址的流量。
  • 在具有內部存取權的 VPC 端點前面使用 Network Load Balancer。將負載平衡器的接聽程式連接埠從連接埠 22 變更為其他連接埠。這可以減少 (但不能消除) 連接埠掃描器及機器人偵測伺服器的風險,因為通訊埠 22 最常用於掃描。但是,如果您使用 Network Load Balancer,則無法使用安全群組來允許來源 IP 地址進行存取。
  • 如果您需要以密碼為基礎的驗證,並在伺服器使用自訂身分提供者,最佳實務是設定高強度密碼政策。最佳實務是,您的密碼政策防止使用者建立弱式密碼,並限制失敗的登入嘗試次數。

相關資訊

為您的伺服器建立網際網路對應的端點

如何在已啟用 SFTP 的 AWS Transfer Family 伺服器端點啟用彈性 IP 地址?

AWS 官方
AWS 官方已更新 2 年前