写点什么

AWS Transfer for SFTP,适用于 Amazon S3 的完全托管式 SFTP 服务

  • 2019-10-15
  • 本文字数:2580 字

    阅读完需:约 8 分钟

AWS Transfer for SFTP,适用于 Amazon S3 的完全托管式 SFTP 服务

许多组织将 SFTP(安全文件传输协议)纳入长期建立的数据处理和合作伙伴集成工作流的一部分。虽然很容易因这些系统“老旧”而忽略它们,但事实上,它们非常有用,并将在相当长的一段时间内继续发挥作用。我们希望帮助客户以顺畅、不中断的方式将这些工作流迁移到云。


AWS Transfer for SFTP


今天,我们推出了 AWS Transfer for SFTP,一款完全托管、高度可用的 SFTP 服务。您只需创建服务器,设置用户账户,并将服务器与一个或多个 Amazon Simple Storage Service (S3) 存储桶相关联即可。您可以对用户身份、权限和密钥进行精细控制。您可以在 Transfer for SFTP 中创建用户,也可以使用现有的身份提供商。您还可以使用 IAM 策略来控制授予每个用户的访问权限级别。您还可以使用现有的 DNS 名称和 SSH 公钥,轻松迁移到 Transfer for SFTP。您的客户和合作伙伴将继续照常连接并进行传输,不会更改现有工作流。


您拥有底层 S3 存储桶的完整访问权限,并且可以使用许多不同的 S3 功能,包括生命周期策略、多个存储类、服务器端加密的多个选项和版本控制等等。您可以编写 AWS Lambda 函数来构建一个“智能”FTP 站点,传入文件上传成功后,就能对其进行处理,使用 Amazon Athena 就地查询文件,并轻松连接到现有数据注入过程。在出站端,您可以使用其他 AWS 服务生成报告、文档、清单、自定义软件版本等,然后将它们存储在 S3 中,以便控制对您的客户和合作伙伴进行的分发。


创建服务器


首先,我打开 AWS Transfer for SFTP 控制台并单击 Create server(创建服务器):



我可以让 Transfer for SFTP 管理用户名和密码,也可以通过 API Gateway 访问现有的 LDAP 或 Active Directory 身份提供程序。我可以使用 Amazon Route 53 DNS 别名或现有的主机名,还可以标记我的服务器。我从默认值开始,然后单击 Create server(创建服务器),实际创建我的 SFTP 服务器:



服务器启动并在几分钟内运行:



现在我可以添加一两个用户! 我选择服务器并单击添加用户,然后输入用户名,为其主目录选择 S3 存储桶(带有可选前缀),并选择一个 IAM 角色,为用户提供所需的存储桶访问权限。然后我粘贴 SSH 公钥(使用 ssh-keygen 创建),然后单击添加:



现在我已一切准备就绪。我从控制台检索服务器终端节点并发出我的第一个 sftp 命令:



这些文件立即显示在 S3 存储桶的 jeff/ 部分中:



我可以将一个 Lambda 函数附加到存储桶并执行我想要的任何类型的上传后处理操作。例如,我可以通过 Amazon Rekognition 运行所有上传的图像,并根据它包含的对象类型将它们路由到几个不同目的地之一,我可以通过 Amazon Comprehend 运行音频文件来执行语音转文本操作。


通过 IAM 实现全面控制


为了在演练中直奔正题,我的 IAM 角色使用了下面这个非常简单的策略:


{    "Version": "2012-10-17",    "Statement": [        {            "Effect": "Allow",            "Action": [                "s3:ListAllMyBuckets",                "s3:GetBucketLocation"            ],            "Resource": "*"        },        {            "Effect": "Allow",            "Action": "s3:ListBucket",            "Resource": "arn:aws:s3:::data-transfer-inbound"        },        {            "Effect": "Allow",            "Action": "s3:*",            "Resource": "arn:aws:s3:::data-transfer-inbound/jeff/*"        }    ]}
复制代码


如果我计划在同一台服务器上托管大量用户,我可以使用如下所示的范围缩小策略:


{    "Version": "2012-10-17",    "Statement": [        {            "Sid": "ListHomeDir",            "Effect": "Allow",            "Action": "s3:ListBucket",            "Resource": "arn:aws:s3:::${transfer:HomeBucket}"        },        {            "Sid": "AWSTransferRequirements",            "Effect": "Allow",            "Action": [                "s3:ListAllMyBuckets",                "s3:GetBucketLocation"            ],            "Resource": "*"        },        {            "Sid": "HomeDirObjectAccess",            "Effect": "Allow",            "Action": [                "s3:PutObject",                "s3:GetObject",                "s3:DeleteObjectVersion",                "s3:DeleteObject",                "s3:GetObjectVersion"            ],            "Resource": "arn:aws:s3:::${transfer:HomeDirectory}*"        }    ]}
复制代码


在评估范围缩小策略时,{transfer:HomeDirectory} 策略变量将设置为每个用户对应的值;这允许我使用针对每个用户适当定制的相同策略。


注意事项


关于 AWS Transfer for SFTP,请记住以下几点:


程序化访问 – 还提供了一整套 API 和 CLI 命令。例如,我可以使用一个简单的命令创建服务器:


$ aws transfer create-server --identity-provider-type SERVICE_MANAGED -------------------------------------|           CreateServer            |+-----------+-----------------------+|  ServerId |  s-b445dcff7f164c73a  |+-----------+-----------------------+
复制代码


还有许多其他命令,包括 list-servers、start-server、stop-server、create-user 和 list-users。


CloudWatch – 每个服务器都可以选择将详细的访问日志发送到 Amazon CloudWatch。一个单独的日志流用于每个 SFTP 会话,还有一个日志流用于身份验证错误:



备用身份提供程序 – 我向您展示了上面的内置用户管理。您还可以访问使用现有 LDAP 或 Active Directory 的备用身份提供程序。


定价 – 您需要按小时为每台运行的服务器支付费用,并按 GB 为上传和下载的数据支付费用。


现已推出


AWS Transfer for SFTP 现已面向以下区域推出:美国东部(弗吉尼亚北部)、美国东部(俄亥俄)、美国西部(俄勒冈)、美国西部(加利福尼亚北部)、加拿大(中部)、欧洲(爱尔兰)、欧洲(巴黎)、欧洲(法兰克福)、欧洲(伦敦)、亚太地区(东京)、亚太地区(新加坡)、亚太地区(悉尼)以及亚太地区(首尔)。


– Jeff;


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/新增功能-aws-transfer-for-sftp-适用于-amazon-s3-的完全托管式-sftp-服务/


2019-10-15 14:341169
用户头像

发布了 1912 篇内容, 共 147.9 次阅读, 收获喜欢 81 次。

关注

评论

发布
暂无评论
发现更多内容

在FL Studio中如何混音你的鼓组采样与旋律采样

奈奈的杂社

经验分享 知识分享

低代码行业涌出大量玩家,企业该如何做出选择?

优秀

低代码

浪潮云“1231”业务战略正式发布 “分布式云+”行动计划首次亮相

云计算

数据线索梳理

顿晓

数据 5月日更

Java岗面试攻略分享,阿里的offer真的不难拿

Java架构师迁哥

记一次java读取matlab数据方式

Lazy

Java 后端 matlab 脑科学软件工程

开源十问, 社区新人快速上手指南

DT极客

【得物技术】浅谈本地缓存与分布式缓存

得物技术

缓存 测试 质量 本地缓存 分布式缓存

Webrtc 屏幕共享

融云 RongCloud

Docker网络学习第五篇-基础网络模式

Lazy

Docker

5G Capital一年,“首都标准”初现

脑极体

cornerstone 基础概念篇(二)

Lazy

大前端 脑科学 脑科学软件工程 脑影像

DICOM图像中灰度理解

Lazy

脑科学 脑科学软件工程 脑影像

这份Github下载量高达76.9W次的《Java系列面试宝典》,足以吊打各个大厂面试官!

Java架构之路

Java 程序员 架构 面试 编程语言

容器Pod语系修改

ilinux

谈谈企业的成本

石云升

创业 职场经验 5月日更

C++ & Linux 后端:进BAT的学习路线

赖猫

c++ Linux 后端 服务器端开发

如何设计高效的HBase数据模型

Jowin

HBase

阿里技术官最新总结12W字JAVA面试宝典,吊打面试官的硬核法宝!

Java架构之路

Java 程序员 架构 面试 编程语言

研发知识:MDD、MDF是什么?

paraboy1

从一线城市回到三四线城市的第一个月

布衣骇客

生活,随想 个人总结

打字员为什么要去看商业模式

ES_her0

5月日更

飞书悄然开辟新战线,协同办公之外另有新动作?

ToB行业头条

飞书 协同办公

cornerstone 基础概念篇(一)

Lazy

cornerstone 脑科学 脑科学软件工程 脑影像

阿里内网流传的9w字图解网络(全彩版)GitHub现已下载量过百万

Java架构之路

Java 程序员 架构 面试 编程语言

看完了蚂蚁金服年薪180万的大佬扔给我的“Java成长笔记”,差距不止一点点

Java 程序员 架构 面试 计算机

为什么突然谁都能造车了?

白洞计划

Flutter Tab

Geek_7e907c

Flutter

Geek_7e907c

中国信创生态系列报道|融云CEO韩迎:坚持双轮驱动,信创未来大有可为

融云 RongCloud

c++的并发操作(多线程)

赖猫

c++ Linux 多线程 服务端 并发

AWS Transfer for SFTP,适用于 Amazon S3 的完全托管式 SFTP 服务_语言 & 开发_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章