我想知道 AWS Transfer Family 伺服器必須使用的端點類型。
解決方法
檢閱下表以確定哪種 AWS Transfer Family 端點類型最適合您的使用案例:
| | | | |
---|
端點類型 | 公有端點 | 具有內部存取功能的 Amazon Virtual Private Cloud (Amazon VPC) 端點 | 具有網際網路對應存取功能的 VPC 端點 | VPC_ENDPOINT (已停用) |
支援的通訊協定 | SFTP | SFTP、FTP、FTPS | SFTP、FTPS | SFTP |
存取 | 從網際網路。此端點類型不需要 VPC 的任何特殊組態。 | 從 VPC 及 VPC 連線環境,例如透過 AWS Direct Connect 或 VPN 的內部部署資料中心。 | 透過網際網路以及從 VPC 及 VPC 連線環境,例如透過 AWS Direct Connect 或 VPN 的內部部署資料中心。 | 從 VPC 及 VPC 連線環境,例如透過 AWS Direct Connect 或 VPN 的內部部署資料中心。 |
靜態 IP 地址 | 您無法附加靜態 IP 地址。AWS 提供的 IP 地址可能會發生變化。 | 附加到端點的私有 IP 地址不會變更。 | 您可以將彈性 IP 地址附加到端點。這些可以是 AWS 擁有的 IP 地址或您自己的 IP 地址 (BYOIP)。附加到端點的彈性 IP 地址不會變更。附加到伺服器的私有 IP 地址也不會變更。 | 附加到端點的私有 IP 地址不會變更。 |
來源 IP 允許清單 | 此端點類型不支援按來源 IP 地址允許清單。端點可公開存取,並監聽通過連接埠 22 的流量。 | 若要依來源 IP 地址允許存取,您可以使用附加到伺服器端點的安全群組,以及連結至端點所在子網路的網路存取控制清單 (network ACL)。 | 若要依來源 IP 地址允許存取,您可以使用附加至伺服器端點的安全群組,以及連結至端點所在子網路的網路 ACL。 | 若要依來源 IP 地址允許存取,您可以使用附加至伺服器端點的安全群組,以及連結至端點所在子網路的網路 ACL。 |
用戶端防火牆允許清單 | 您必須允許伺服器的 DNS 名稱。由於 IP 地址可能會變更,因此請避免將 IP 地址用於用戶端防火牆允許清單。 | 您可以允許端點的私有 IP 地址或 DNS 名稱。 | 您可以允許伺服器的 DNS 名稱或連接到伺服器的彈性 IP 地址。 | 您可以允許端點的私有 IP 地址或 DNS 名稱。 |
**注意:**VPC\ _ENDPOINT 端點類型現在已停用,無法用來建立新伺服器。如需詳細資訊,請參閱停止使用 VPC\ _ENDPOINT。
請考慮下列選項來增加 AWS Transfer Family 伺服器的安全狀態:
- 使用具有內部存取權的 VPC 端點,以便只有 VPC 或 VPC 連線環境 (例如透過 AWS Direct Connect 或 VPN 的內部部署資料中心) 內的用戶端才能存取伺服器。
- 若要允許用戶端透過網際網路存取端點並保護您的伺服器,請使用具有網際網路對應存取權的 VPC 端點。然後,修改 VPC 的安全群組,以僅允許來自託管使用者用戶端的特定 IP 地址的流量。
- 在具有內部存取權的 VPC 端點前面使用 Network Load Balancer。將負載平衡器的接聽程式連接埠從連接埠 22 變更為其他連接埠。這可以減少 (但不能消除) 連接埠掃描器及機器人偵測伺服器的風險,因為通訊埠 22 最常用於掃描。但是,如果您使用 Network Load Balancer,則無法使用安全群組來允許來源 IP 地址進行存取。
- 如果您需要以密碼為基礎的驗證,並在伺服器使用自訂身分提供者,最佳實務是設定高強度密碼政策。最佳實務是,您的密碼政策防止使用者建立弱式密碼,並限制失敗的登入嘗試次數。
相關資訊
為您的伺服器建立網際網路對應的端點
如何在已啟用 SFTP 的 AWS Transfer Family 伺服器端點啟用彈性 IP 地址?