技术六处三部 工程师TonyChen
© 2023, AWS Transfer Family Amazon Web Services Inc. 或其合作夥伴。保留所有权利。
传输资料是一项需要高度安全以及严格监控的项目,AWS对於需要在Amazon S3 及Amazon EFS上存储资料及档案的使用者提供了一项安全及方便的传输服务,AWS Transfer Family。同时可依客户使用习惯如:传输协议、加密方式、权限划分、资料标记等等…,传输过程中做使用上的调整。
AWS Transfer Family 让您免去建置基础设施的额外经济以及时间成本,并且一目了然的收费方式让您可快速加入部署计画。
哪些使用者适合使用此服务?以及其优点?
1. SaaS模式的传输资料使用者: 简化了建置流程并且在基础设施上省去了时间及经济成本的考量, 启用即服务,也可使用Amazon VPC 来帮AWS Transfer Family设定防火墙或特定IP封锁。
2. 有加密及安全需求的传输资料使用者: 可使用 ED25519 和 ECDSA 等最新的加密演算法使用SSH的SFTP传输协定。
3. 有自动化及高度监控资料传输工作流程的使用者: 配合Amazon CloudWatch以及AWS Transfer Family 中Workflows的功能,掌握每分每秒资料传输的细节。
AWS Transfer Family 基础介绍
( 图片取自 AWS Transfer Family service : https://aws.amazon.com/tw/aws-transfer-family/ © Amazon Web Service )
AWS 推出此项服务提供了使用者免去管理基础设施的繁重工作,一方面也原生支持了各项 AWS 服务以方便监控、确保安全性及成本最佳化并将档案存储置於 Amazon S3 或 Amazon EFS。
在设定细节的部分我们可以选择传输的协定如:SFTP、FTP (必须在 Amazon VPC 的环境底下)、FTPS 及 AS2,连接AWS Transfer Family 的端点设置,设定连线的使用者金钥,甚至是使用者的操作权限调整。
传输过程中也提供了 Workflows 的服务,可配合使用 AWS Lambda 来达到传送至Amazon S3或Amazon EFS时可同时执行恶意病毒扫描的效果,或备份,标记,等其他工作步骤。
而在下段文章重点将会展示 AWS Transfer Family 之中 SFTP 加密协定下的传输资料到 Amazon S3 存储的流程,其中包含:
1. 架构图分享及解析
2. 简易的建置说明
3. 实际传输资料演示
( 图片取自 AWS 官方部落格 : https://aws.amazon.com/cn/blogs/china/sustainability-pillar-well-architected-framework/ © Amazon Web Service)
使用 AWS Transfer Family SFTP 存储资料到S3
由左至右我们可以发现,客户端使用了 FileZilla 透过网际网路(公有网路)连上设置的 DNS 端口(Internet gateway),并且由三个不同的可用区(Availability Zones)中的公共子网(Public subnet)实行作业,当中三个子网也必须绑定EIP(Elastic IP)此弹性IP是AWS所提供的固定IP (IPv4)服务.
整个的网路架构是在 Amazon VPC 的环境下设置的,其中包含 Security Group(安全群组) 以及 NACL (network access control list 网路存取控制清单)设置黑白名单的管理.
通过了安全群组以及网路存取控制清单则可看到使用者连入AWS Transfer Family的server ,任何对Amazon S3的CRUD (Create Delete Read Update)动作皆由AWS IAM执行权限上的设置,Amazon CloudWatch 则进行各项指标监控及记录 Log,Amazon CloudTrail 则负责AWS帐户内使用者有关的AWS服务纪录
使用功能:
AWS Transfer Family : SFTP
Amazon VPC setup : VPC with 3 public subnet(3 AZ) and 3 EIP(Elastic IP)
AWS IAM:The role with Amazon S3 access policy or scope-down
Amazon S3: For storage data
Amazon CloudWatch:Event logs and metrics monitoring
SSH key :使用 Windows Power Shell -> keygen ssh rsa 指令
使用软体:
FileZilla:FTP档案传输软体,用途为测试地端连线至Amazon S3
架设流程:
一、确认Amazon VPC及EIP等设置作业
在Amazon VPC中设置三个公共子网并且在AWS EC2的介面找到Elastic IP 设置三个固定IP(後续步骤会将Elastic IP一个对一个的绑定公共子网)
二、AWS Transfer Family server 建置作业
进入到AWS Transfer Family 的 Create server 会有後续几项设置如下:
1. 传输协定选取 (SFTP)
2. 辨识身分方案 (在此使用Service managed)
3. 端点设置(Internet gateway),其中包含DNS、子网设置(AZ设置可使用1个及1个以上,差别在於可用性以及EIP对应的绑定数量)及EIP绑定 (范例已使用AWS预设的DNS可供後续地端连入)
透过AWS Transfer Family 进行 Security Group 设置 (可限制IP黑白名单的设置,此处范例已限制仅能使用当下作业环境的IP即为本地IP)
4. 存储方式设置,这边选择 Amazon S3
(Amazon S3 bucket 设置步骤
1.进入到Amazon S3 并且建立储存贮体bucket
2.设置贮体名称、AWS区域(这边选择东京区)、ACL停用(预设状态下储存贮体只有自己帐号拥有所有权限)、版本控制(同样档案重复上传不会覆盖而会有版本差异,但须注意容量上的使用)、预设加密则使用Amazon S3 受管金钥SSE-S3,然後建立储存贮体,後续步骤会使用到)
5. Amazon CloudWatch logs 及活动纪录档的AWS IAM角色(Role)设置(使用新角色即可,此AWS IAM 角色已包含应有权限)
6. 密码学演算法(这边一律选择日期最新的传输安全政策)
三、AWS Transfer Family server user新增作业
Server 建立後即可开始加入使用者,本次范例使用手动新增及设定,可视情况使用其它AD 管理方案用作辨认及识别(此页面显示之 Endpoint 作为後续主机连入的Internet gateway DNS端口)
1. Add user 中可以填写新增人员名称以及要套用的AWS IAM角色,在此页面也可看见 DNS Endpoint
2. 其中 Policy 可针对不同新增的使用者做权限调整(如读、写、删或其他动作的权限)
3. Home directory 设置人员进入 S3 时所位於的目录或当下的资料夹 (Restricted可限制目录读取)
4. SSH 公钥设置 (我们这边在Windows环境下建立了一份基於 RSA 演算法建立起来的公私钥)
5. 将公钥内容复制贴上到SSH public keys空白处(Enter SSH public key)
6. 按下新增使用者
四、使用者使用FileZilla 连线Amazon S3测试及Log检视
架设完毕并且新增使用者後,我们可以尝试连线功能了
1. 开启FileZilla并且在站台管理员分别选择SFTP协定、主机名称 (DNS Endpoint)、登入形式为金钥档案并且输入使用者名称及选取金钥档案 (.PEM私钥)
2. 进入到AWS Transfer Family Server中可看见使用者细节,此时点选右上角的View logs可导到Amazon CloudWatch logs group的页面
3. 此处可看到使用者在不同时间点的logs,选择想观测的对应时间(Timestamp) log
包含在FileZilla 上曾经尝试连线Server或任何档案文件的CRUD动作,以及在AWS IAM Policy的规定下如有限制的地方也会显示 “Access denied” 例如:限制个别使用者开启档案的权限,或读取资料夹的权限,删除的权限等等…
这次的范例展示了基础的资料传输以及建置流程,如有其他更进一步的需求,我们也可以针对其他情境来对AWS Transfer Family做修改或新增功能。如:可使用Amazon SNS(Amazon Simple Notification service,一般我们使用此项服务配合E-mail寄送邮件或SMS简短讯息服务)以警告使用者的上下传流量使用量、上下传流量限制、使用者传输时触发档案扫描(病毒扫描或其他筛选设定)、高度监控下的企业间档案传输。
当然最後必须提醒!基础AWS Transfer Family server 是 7×24持续收费的,一旦开启除了终止服务外皆在收费,并且根据官方定价为单月219 USD,最少收费时数计算为小时,必须注意!
有传输资料到 Amazon S3 or Amazon EFS 的需求吗?不知道如何安全快速的部署?请洽 MetaAge 迈达特。
MetaAge 迈达特,除了技术支援,也提供 7 x 24 全托管MSP服务
MetaAge 迈达特在资安、网路、储存、伺服器、虚拟化、资料库管理有丰富经验,技术深厚的架构师群与维运团队是企业云服务的最佳帮手。客户无论想要部署 AWS 服务,进一步代管维运(Cloud Managed Service)、基础架构即代码(Infrastructure-as-code)、API 整合、云地整合等加值服务,迈达特均能一站式满足多构面需求。
专业资讯应用服务供应商
MetaAge 迈达特(原聚硕科技)於1998年创业之初,即以成为「The ICT Solution Provider专业资讯应用服务供应商」角色自期,为经销夥伴与企业用户提供一流产品与专业服务,成为业界最佳之加值服务名牌通路商。针对广大的经销商夥伴以及云市集之独立软体供应商(ISV),也可洽谈经销合作方案,设计後续合作的框架。
MetaAge 迈达特代理的软硬体产品线均为全球知名品牌,针对广大的经销商夥伴以及云市集之独立软体供应商(ISV),提供强大的技术支援与量身订作之经销合作方案,扩大合作夥伴的服务范围,在多样化的场域中一同实现更优质的客户服务体验。
迈达特持续作为IT智能化最佳夥伴,竭诚欢迎旧雨新知携手共创数位新局。
MetaAge迈达特 AWS MSP 团队导入次世代监控系统,提供客户完全托管和完整监控的 MSP 整合服务。
联络方式 —— 24小时免付费电话: 080-000-8669 | Email: [email protected] | MSP服务官方LineID: @metaage_msp