If you’re experiencing issues with your AWS services, then please refer to the AWS Health Dashboard. You can find the overall status of ongoing outages, the health of AWS services, and the latest updates from AWS engineers.
我的 AWS Transfer Family 伺服器適合使用哪種類型的端點?
2 分的閱讀內容
0
我想知道我的 AWS Transfer Family 伺服器應該使用哪種類型的端點。
解決方法
| 端點類型 | 公有端點 | 具有內部存取功能的 Amazon VPC 端點 | 具有網際網路存取功能的 Amazon VPC 端點 |
| 支援的通訊協定 | SFTP | SFTP、FTP、FTPS | SFTP、FTPS |
| 存取 | 您可以透過網際網路存取公有端點。您不需要在 Amazon Virtual Private Cloud (Amazon VPC) 中進行特殊組態。 | 您可以在 VPC 及與 VPC 連線的環境中存取 VPC 端點,例如透過 AWS Direct Connect 或 VPN 的內部部署資料中心。 | 您可以透過網際網路,以及在 VPC 和與 VPC 連線的環境中存取 VPC 端點,例如透過 AWS Direct Connect 或 VPN 的內部部署資料中心。 |
| 靜態 IP 位址 | 您無法附加靜態 IP 位址。AWS 提供的 IP 地址可能會發生變化。 | 端點的私有 IP 位址不會變更。 | 您可以將彈性 IP 位址附加至端點,例如 AWS 擁有的 IP 位址或您自己的 IP 位址 (BYOIP)。端點的彈性 IP 位址不會變更。伺服器的私有 IP 位址也不會變更。 |
| 來源 IP 允許清單 | 公有端點不支援依來源 IP 位址設定允許清單。公有端點可公開存取,並在連接埠 22 上接聽流量。 | 使用附加至伺服器端點的安全群組,以及附加至端點子網路的網路存取控制清單 (網路 ACL)。 | 使用伺服器端點所包含的安全群組,以及附加至包含端點之子網路的網路 ACL。 |
| 用戶端防火牆允許清單 | 您必須允許伺服器的 DNS 名稱。由於 IP 位址可能會變更,最佳實務是不要在用戶端防火牆允許清單中使用 IP 位址。 | 您可以允許私有 IP 位址或端點的 DNS 名稱。 | 您可以允許伺服器的 DNS 名稱,或附加至伺服器的彈性 IP 位址。 |
注意:VPC_ENDPOINT 端點類型已停止使用。您無法使用此端點類型建立新的伺服器。
為了提升 AWS Transfer Family 伺服器的安全性,請採取下列動作:
- 使用具有內部存取的 VPC 端點,讓伺服器僅能由 VPC 或與 VPC 連線的環境中的用戶端存取。
- 若要允許用戶端透過網際網路存取端點並保護您的伺服器,請使用具有網際網路存取的 VPC 端點。接著,修改 VPC 的安全群組,僅允許來自託管使用者用戶端之特定位址的流量。
- 在具有內部存取權的 VPC 端點前方使用 Network Load Balancer。將負載平衡器的接聽程式連接埠從 22 變更為其他連接埠,讓連接埠掃描器和機器人更難探測您的伺服器。對於 SFTP 伺服器,AWS Transfer Family 支援自訂連接埠 2222、22000 和 2223,而不需要設定 Network Load Balancer。
**注意:**若您使用 Network Load Balancer,則無法使用安全群組允許來自來源 IP 位址的存取。
重要:請勿在 AWS Transfer Family 伺服器前方放置 Network Load Balancer 和 NAT Gateway - 若您需要以密碼為基礎的驗證,且伺服器使用自訂身分提供者,請強制實施強式密碼政策。要求使用者建立安全的密碼,並限制登入失敗的次數。
相關資訊
- 語言
- 中文 (繁體)
AWS 官方已更新 4 個月前
沒有評論
