AWS Transfer Family 常見問答集

是。您可以設定 Transfer Family 伺服器，以向您的使用者顯示自訂橫幅，例如組織政策或條款與條件。此外，您還可以向成功通過身分驗證的使用者顯示自訂的每日訊息 (MOTD)。若要進一步了解，請瀏覽文件。

是。此服務預設會提供用於存取您的端點的網域名稱。如果您已經有網域名稱，可使用 Amazon Route 53 或任何 DNS 服務，將註冊網域的使用者流量路由到 AWS 的伺服器端點。請參閱文件，了解 AWS Transfer Family 如何將 Amazon Route 53 用於自訂網域名稱 (僅適用於網際網路對應端點)。

是。建立伺服器或更新現有伺服器時，您可以指定端點是要透過公有網路存取或在 VPC 內託管。透過為伺服器使用 VPC 託管端點，您可以限制僅讓相同 VPC 內、您指定的其他 VPC 或內部部署環境中的用戶端，透過可延伸 VPC 的網路技術 (如 AWS Direct Connect、AWS VPN 或 VPC 對等) 進行存取。您可以使用子網路「網路存取控制清單 (NACL)」或「安全群組」進一步限制對 VPC 內特定子網路中的資源的存取權。如需詳細資訊，請參閱文件，了解如何使用 AWS PrivateLink 在 VPC 內建立伺服器端點。

否，啟用 FTP 時只能使用 VPC 託管端點的網際網路存取選項。如果流量需要周遊公有網路，便應使用 SFTP 或 FTPS 等加密通訊協定。

服務不允許在公有網路使用 FTP，因為當您建立為 FTP 啟用的伺服器時，伺服器端點只能供 VPC 內的資源存取。如果需要使用 FTP 透過公有網際網路交換資料，可在伺服器的 VPC 端點前放置網際網路對應的 Network Load Balancer (NLB)。 若要支援可能無法使用此組態的 FTP 用戶端，請在 PASV 模式下使用您的伺服器。

不可。需有 VPC 才能託管 FTP 伺服器端點。請參閱 CloudFormation 範本文件，了解如何在建立伺服器期間自動建立用於託管端點的 VPC 資源。

是。您可以為您的伺服器端點啟用固定 IP，方法是為您的伺服器選取 VPC 託管端點並選擇網際網路對應選項。如此您便能將彈性 IP (包含 BYO IP) 直接附加至指派為端點 IP 位址的端點。請參閱在 VPC 內建立伺服器端點文件中的「建立網際網路對應端點」章節。

是。您有三個選項可以依使用者的來源 IP 地址限制傳入流量。如果您在 VPC 內託管您的伺服器端點，請參閱此部落格文章，了解使用安全群組以允許列出來源 IP 地址或使用 AWS Network Firewall 服務。如果您使用公有 EndpointType Transfer 伺服器和 API Gateway 整合身分管理系統，還可以使用 AWS WAF 來設定透過最終使用者來源 IP 地址進行存取的允許、封鎖或速率限制。

是。您可以在對 AWS 環境進行區隔時通常使用的共享 VPC 環境來部署伺服器端點，使用 AWS Landing Zone 等工具來實現安全性、成本監控和可擴展性。如需有關透過 AWS Transfer Family 在共享 VPC 環境中使用 VPC 託管端點的資訊，請參閱此部落格文章。

您可以結合使用 AWS Global Accelerator 與傳輸伺服器端點，以提高檔案傳輸輸送量和來回時間。瀏覽此部落格文章以取得詳細資訊。

是。根據您的安全性和合規性需求，您可以選擇我們其中一項可用的服務受管安全政策，用於控制伺服器端點將宣告的加密演算法。若最終使用者的檔案傳輸用戶端嘗試連線至伺服器，則僅可使用政策中指定的演算法來協商連線。請參閱有關預先定義安全政策的文件。

是。AWS Transfer Family 針對 SFTP 檔案傳輸支援量子安全公鑰交換。您可以將其中一項預先定義的混合式 PQ 安全政策與 SFTP 伺服器建立關聯，以便與支援 PQ 加密演算法的用戶端進行量子安全金鑰交換。

不可以。固定 IP 地址通常用於防火牆白名單設定，目前尚不支援公有端點類型。 使用 VPC 託管的端點為端點指派靜態 IP 地址。

如果您使用的是公有端點類型，您的使用者需要將這裡發佈的 AWS IP 地址範圍列入允許名單。如需有關取得最新 AWS IP 地址範圍的詳細資訊，請參閱相關文件。

否。您在建立伺服器時指派的伺服器主機金鑰都會保持不變，除非您新增主機金鑰並手動刪除原始金鑰。

SFTP 伺服器主機金鑰支援 RSA、ED25519 和 ECDSA 金鑰類型。

是。您可以在建立伺服器時匯入主機金鑰，或在更新伺服器時匯入多個主機金鑰。請參閱針對啟用 SFTP 的伺服器管理主機金鑰的相關文件。

是。每種金鑰類型中最早的主機金鑰可用於驗證 SFTP 伺服器的真實性。透過新增 RSA、ED25519 和 ECDSA 主機金鑰，可使用 3 個單獨的主機金鑰來識別您的 SFTP 伺服器。

每種金鑰類型中最早的主機金鑰用於驗證您的 SFTP 伺服器的真實性。

是。您可以隨時新增和移除主機金鑰，來輪換您的 SFTP 伺服器主機金鑰。請參閱針對啟用 SFTP 的伺服器管理主機金鑰的相關文件。

啟用 FTPS 存取時，您需要提供 Amazon Certificate Manager (ACM) 的憑證。此憑證可供終端使用者用來驗證 FTPS 伺服器的身分。請參閱關於請求新憑證或將現有憑證匯入 ACM 的 ACM 文件。

我們僅支援被動模式，能讓最終使用者的用戶端初始化與伺服器的連線。被動模式需要用戶端側開啟較少的連接埠，因此伺服器端點與受保護防火牆後方的終端使用者的相容性更高。

我們僅支援顯式的 FTPS 模式。

是。預設情況下，使用擴展被動連接模式 (EPSV) 支援穿越防火牆或路由器的檔案傳輸。如是您使用的是不支援 EPSV 模式的 FTPS/FTP 用戶端，請瀏覽此部落格文章，以在 PASV 模式下設定您的伺服器，進而擴展您的伺服器對各種用戶端的相容性。

您可以根據遠端伺服器的需求，使用 SSH 金鑰對或密碼，或兩者來驗證與遠端伺服器的連線。存放您的使用者名稱以及 SSH 私密金鑰及/或密碼，以便在 AWS Secrets Manager 帳戶中登入遠端伺服器。若要進一步了解如何存放和管理連接器的身分驗證憑證，請參閱文件。 

我們支援 RSA 和 ECDSA 主機金鑰算法。如需支援金鑰類型的詳細資訊，請瀏覽這裡的文件。 

您可以使用 SFTP 連接器，在 Amazon S3 往返傳輸檔案，或從 Amazon S3 傳輸至遠端 SFTP 伺服器。

是。您可以在不同的 AWS 帳戶中佈建 Amazon S3 儲存貯體和 SFTP 連接器資源。

連接器使用主機指紋來驗證遠端伺服器的身分。如果遠端伺服器提供的指紋與上傳至連接器組態的指紋不相符，連線將會失敗，並且錯誤詳細資訊會記錄在 CloudWatch 中。若要進一步了解如何上傳遠端伺服器 SSH 金鑰的公共部分以進行身分識別，請參閱這裡的 SFTP 連接器文件。

您可以使用 AWS 管理主控台或 TestConnection CLI 命令來測試遠端伺服器的連線能力。 建立連接器後，建議您立即測試遠端伺服器的連線能力，以確保已正確設定。若要進一步了解，請瀏覽 SFTP 連接器文件。

您可以使用 SFTP 連接器，將檔案從 Amazon S3 傳送至遠端 SFTP 伺服器上的目錄，或將檔案從遠端 SFTP 伺服器上的目錄擷取至 Amazon S3。若要進一步了解如何使用 StartFileTransfer API 啟動檔案傳輸操作，請瀏覽 SFTP 連接器文件。

您可以監控 Amazon CloudWatch Logs 以了解檔案傳輸狀態。您可以追蹤檔案傳輸是否已完成還是失敗，以及其他詳細資訊，例如操作 (傳送或擷取)、時間戳記、檔案的來源和遠端路徑，以及錯誤描述 (若有)，以協助您維護資料歷程。

是。您可以使用 Amazon EventBridge 排程器來排程檔案傳輸。使用 EventBridge 的排程器建立符合業務需求的排程，並指定 AWS Transfer Family 的 StartFileTransfer API 做為排程的通用目標。

是。AWS Step Functions 可與各種 AWS 服務整合，包括 AWS Transfer Family，讓您能夠直接透過狀態機器調用 SFTP 連接器的 StartFileTransfer 動作。使用 AWS Transfer Family 建立 SFTP 連接器後，利用 Step Functions 的 AWS SDK 整合來呼叫 StartFileTransfer API。如需進一步了解，請瀏覽 Step Functions 文件。您的檔案傳輸狀態會記錄在 Amazon CloudWatch 中，且如果您需要監控檔案傳輸狀態，以向狀態機器提供意見回饋，則可在 CloudTrail 中建立訂閱篩選條件，以監控對應至檔案傳輸完成事件的日誌項目。

否。當您使用 SFTP 連接器，透過 StartFileTransfer API 操作來複製檔案時，需要指定完整的檔案路徑。如果您的使用案例依賴於使用萬用字元來指定要傳輸的檔案，而不是提供完整的檔案路徑，請透過 AWS Support 或您的 AWS 客戶團隊告知我們。

否，目前您無法建立具有靜態 IP 地址的連接器。如果您需要將遠端伺服器上的連接器 IP 地址列入允許清單，請透過 AWS Support 或 AWS 客戶團隊告知我們。

否。目前，SFTP 連接器只能用於連線提供可存取網際網路端點的伺服器。如果您需要連線至僅可透過私有網路存取的伺服器，請透過 AWS Support 或您的 AWS 客戶團隊告知我們。

是。在設定期間，您可選擇要讓用戶端連線至端點的通訊協定。伺服器主機名稱、IP 地址和身分供應商會在所選的通訊協定之間共用。同樣，只要端點組態滿足您打算使用的所有協定要求，您還可以為現有的 AWS Transfer Family 端點啟用額外的協定支援。

需要使用 FTP (只有在 VPC 內存取時支援) 時，也需要透過網際網路支援 SFTP、AS2 或 FTPS 時，您需要為 FTP 建立獨立的伺服器端點。想使用相同的端點主機名稱和 IP 地址讓用戶端透過多重通訊協定連線時，可將相同的端點用於多個通訊協定。此外，如果想讓 SFTP 和 FTPS 共用相同的憑證，您可設定並使用單一身分供應商來驗證透過任一通訊協定連線的用戶端。

是。您可提供透過多個通訊協定的相同使用者存取權，前提是您的身分供應商已設定通訊協定的專用憑證。如果已啟用 FTP，建立為 FTP 保留獨立憑證。請參閱關於為 FTP 設定獨立憑證的文件。

與 SFTP 和 FTPS 不同，FTP 以明文傳輸憑證。建議將 FTP 憑證與 SFTP 或 FTPS 隔離，因為要是不經意地共用或曝光了 FTP 憑證，使用 SFTP 或 FTPS 的工作負載仍可維持安全狀態。

是。您可以使用您 AWS Transfer Family 的 SFTP 端點部署此開放原始碼解決方案，讓您能夠提供以瀏覽器為基礎的介面。

服務支援三種身分供應商選項：服務受管 (使用者身分存放在服務內)，以及 Microsoft Active Directory 和自訂身分供應商 – 可讓您整合所選的身分供應商。服務受管身分驗證僅支援於啟用 SFTP 的伺服器端點。

您可利用服務管理驗證，使用 SSH 金鑰驗證 SFTP 使用者。

您最多可以為每個使用者上傳 10 個 SSH 金鑰。支援 RSA、ED25519 和 ECDSA 金鑰。

是。請參閱文件，了解如何為 SFTP 使用者設定金鑰輪換的詳細資訊。

否。目前不支援在身分驗證服務中存放密碼。如果您需要密碼驗證，請透過選擇 AWS Directory Service 中的 Active Directory，或遵循使用 Secrets Manager 啟用密碼身分驗證這一部落格中所述的架構。

建立伺服器時，您在 AWS Managed Microsoft AD 中選取目錄、您的內部部署環境，或 Amazon EC2 中的自我管理 AD 做為身分供應商。然後，您將需要使用安全識別碼 (SID) 指定要為存取啟用的 AD 群組。將 AD 群組與存取控制資訊關聯後，例如 IAM 角色、範圍縮小政策 (僅 S3)、POSIX Profile (僅 EFS)、主目錄位置和邏輯目錄對應，群組成員可使用其 AD 憑證進行驗證，並透過啟用的協議 (SFTP、FTPS、FTP) 傳輸檔案。 

當您設定您的使用者時，提供了一個範圍縮小政策，該政策在執行時根據使用者的資訊 (例如使用者名稱) 進行評估。您可以針對所有使用者使用相同的範圍縮小政策，以根據其使用者名稱提供對儲存貯體中獨特前綴的存取。此外，使用者名稱還可用於評估邏輯目錄對應，方法時透過提供有關 S3 儲存貯體或 EFS 檔案系統內容如何對使用者可見的標準範本。如需更多資訊，請瀏覽對 AD 群組授予存取權上的文件。

是。您可以使用 Microsoft AD 驗證使用者，以透過 SFTP、FTPS 和 FTP 進行存取。

是。您可以針對個別 AD 群組撤銷檔案傳輸存取。撤銷後，AD 群組的成員將無法使用其 AD 憑證來傳輸檔案。

否。我們僅支援透過 AD 群組設定存取權限。

否。對 Microsoft AD 的 AWS Transfer Family 支援僅可用於基於密碼的驗證。若要使用混合驗證模式，請使用自訂授權方選項。

自訂模式 (「BYO」驗證) 可讓您運用現有的身分供應商來管理所有通訊協定類型 (SFTP、FTPS 和 FTP) 的最終使用者，順暢地遷移您的使用者。憑證可存放在企業目錄或內部的身分資料儲存，您可針對最終使用者驗證之目的進行整合。身分供應商範例包括 Okta、Microsoft AzureAD 或任何您可能用做整體佈建入口網站一部分的自訂建置身分供應商。

若要將您的身分供應商與 AWS Transfer Family 伺服器整合，您可以使用 AWS Lambda 函數或 Amazon API Gateway 端點。如果您需要 RESTful API 來連線至身分供應商，或者想要充分利用 AWS WAF 的地理封鎖和速率限制功能，請使用 Amazon API Gateway。請瀏覽文件，進一步了解有關整合常見身分供應商 (例如 AWS Cognito、Okta 和 AWS Secrets Manager) 的資訊。

是。您使用 AWS Lambda 或 API Gateway 連線自訂身分供應商時，用戶端來源 IP 將傳遞給您的身分供應商。這讓您能夠根據用戶端的 IP 地址允許、拒絕或限制存取，以確保僅從您指定為受信任的 IP 地址存取您的資料。

是。您可以強制執行多種身分驗證方法，以便在透過 SFTP 存取資料時提供額外的安全性。您的 SFTP 伺服器可設定為需要密碼和 SSH 金鑰、密碼或 SSH 金鑰，只需密碼，或者只需 SSH 金鑰。如需如何使用客戶身分供應商啟用多種身分驗證方法的詳細資訊，請參閱文件。

否。目前任何通訊協定皆不支援匿名使用者。

是。AS2 的 AWS Transfer Family 支援已獲得官方 Drummond Group AS2 雲端認證簽章。AWS Transfer Family AS2 功能已經過徹底審查，以確保安全性，以及與其他十四個第三方 AS2 解決方案的訊息交換相容性。請參閱我們的公告以進一步了解。

使用交易合作夥伴的 AS2 識別符 (AS2 ID) 對其進行唯一識別。同樣，您的貿易合作夥伴使用您的 AS2 ID 來識別您的訊息。

您可以使用 AWS Transfer Family 對 Amazon S3、聯網功能 (VPC 端點、安全群組和彈性 IP) 的現有支援，以及對 AS2 的存取控制 (AWS IAM)，就像對 SFTP、FTPS 和 FTP 一樣。AS2 不支援使用者身分驗證、邏輯目錄、自訂橫幅，以及將 Amazon EFS 作為儲存後端。

AS2 獨有的不可否認性驗證訊息在兩方之間成功交換。AS2 中的不可否認性使用訊息處置通知 (MDN) 來實現。在交易中請求 MDN 時，它可確保寄件者傳送了訊息，接收者成功收到訊息，並且寄件者傳送的訊息與接收者收到的訊息相同。

訊息傳輸有兩個方面：寄件者訊息和接收者訊息。寄件者確定要傳送的訊息內容後，訊息即會簽署 (使用寄件者的私有金鑰)、加密 (使用接收者的憑證)，並使用雜湊來計算訊息的完整性。此簽署和加密的訊息透過線路傳輸至接收器。收到訊息後，將對其進行解密 (使用接收者的私有金鑰)、驗證 (使用寄件者的公有金鑰)、處理，並且如果請求，將簽署的訊息處置通知 (MDN) 傳送回寄件者，以確認成功傳遞訊息。請參閱有關 AS2 如何處理訊息傳輸的文件。

可能的選項組合是從寄件者角度出發。寄件者可以選擇僅加密或僅簽署資料 (或兩者兼而有之)，並選擇請求訊息處置通知 (MDN)。如果發件者選擇請求 MDN，他們可以請求籤名或未簽名的 MDN。接收者應接受這些選項。

是。寄件者可以選擇請求 MDN，選擇請求簽署或未簽署的 MDN，以及選擇應用於簽署 MDN 的簽署演算法。

目前我們支援同步和非同步 MDN 回應。這可讓您在收到 AS2 訊息後，以同步或非同步 MDN 來回應您的交易合作夥伴。由於同步 MDN 透過與訊息相同的連線管道傳送，更簡單易用，因此是推薦的選項。如果您在傳送 MDN 之前需要更多時間來處理訊息，則非同步 MDN 為首選。如果您在向交易合作夥伴傳送訊息時，需要請求和接收非同步 MDR，請透過 AWS Support 或您的客戶經理與我們聯絡。

AWS Transfer Family 從承載和交換的 MDN 中擷取關鍵 AS2 資訊，並將其做為 JSON 檔案存放在您的 Amazon S3 儲存貯體中。您可以使用 S3 Select 或 Amazon Athena 查詢這些 JSON 檔案，或者使用 Amazon OpenSearch 或 Amazon DocumentDB 為文件編制索引以進行分析。

是。您從貿易合作夥伴收到 MDN 後，該服務即會使用您的憑證來驗證 MDN，並將訊息存放在您的 Amazon S3 儲存貯體中。您可以選擇善用 S3 生命週期策略來封存訊息。

當您的資料就緒可交付之後，您將需要使用包含收件者 AS2 伺服器資訊的 AS2 連接器來呼叫 StartFileTransfer API。這會通知該服務將訊息傳送至您交易合作夥伴的伺服器。請參閱有關連接器的文件，以透過 AS2 向您的交易合作夥伴傳送訊息。

是。當您設定貿易合作夥伴的資料時，可以針對每種資料使用不同的資料夾。

是。您可以匯入合作夥伴的現有金鑰和憑證，並管理續約和輪換。請參閱有關匯入憑證的文件。

使用 AWS Transfer Family 控制台，您可以檢視依到期日期排序的憑證儀表板。此外，您可以選擇在憑證到期之前接收通知，讓您有足夠的時間輪換，以防止操作中斷。

否。目前，我們不支援使用固定 IP 連線至交易合作夥伴的 AS2 伺服器。如果您需要使用固定 IP 與交易合作夥伴連線，請透過 AWS Support 或您的客戶經理與我們聯絡。 

否。AWS Transfer Family 目前不提供 AS3 或 AS4 支援。

是。我們支援使用基本身分驗證連線至交易合作夥伴的 AS2 伺服器

。請參閱有關在 AS2 連接器上設定基本身分驗證的文件。

AWS Transfer Family 受管工作流程讓您能夠輕鬆地建立、執行及監控透過 SFTP、FTPS 和 FTP 檔案傳輸的上傳後處理工作。使用此功能，您可透過低程式碼自動化協調所有必要的任務，如複製、標記和將檔案解密，進而節省時間。您還可以自訂掃描 PII、病毒/惡意軟體或其他錯誤 (例如不正確的檔案格式或類型)，使您能快速偵測異常並達成合規要求。

如果您需要處理與業務合作夥伴交換的檔案，您需要設定基礎設施來執行自訂程式碼，持續監控執行時間錯誤和異常狀況，並確認對資料做出的所有變更和轉換都經過稽核和記錄。此外，您需要考慮技術和業務方面的錯誤情況，同時確保正確觸發故障保護模式。如果您對可追溯性有要求，則需要在資料沿系統的不同元件傳遞時追蹤資料歷程。維護檔案處理工作流程的單獨元件需要時間，而不是專注於您可以為您的業務所做的差異化工作。受管工作流程消除了管理多項任務的複雜性，並提供可在整個組織中複寫的標準化檔案處理解決方案，具有內建的異常狀況處理和檔案可追溯性，從而協助您滿足業務和法律要求。

受管工作流程可讓您透過協同運作檔案處理任務 (例如將檔案移至使用者特定的資料夾、加密傳輸中的檔案、惡意軟體掃描和標記)，在下游應用程式取用資料之前，輕鬆地對其進行預先處理。您可以使用基礎設施即程式碼 (IaC) 部署工作流程，以便您快速複寫和標準化跨組織中多個業務部門的常見上傳後檔案處理任務。 您可以透過定義僅在完全上傳的檔案上觸發的受管工作流程，來進行精細控制，以確保保持資料品質，並定義針對部分上傳的檔案觸發的受管工作流程，來設定對不完整上傳的處理。內建的異常狀況處理讓您能夠快速回應檔案處理結果，以免工作流程執行中出現錯誤或異常，從而協助您維護業務和技術 SLA，同時讓您控制如何處理故障。最後，每個工作流程步驟都會產生詳細的日誌，可以對其進行稽核以追蹤資料譜系。

首先，設定您的工作流程以包含複製、標記等操作，以及一系列動作，這些動作可以根據您的要求，在一系列步驟中包含您自己的自訂步驟。接下來，將工作流程映射到伺服器，以便在檔案到達時，即時評估和觸發此工作流程中指定的動作。若要進一步了解，請瀏覽文件，觀看此有關開始使用受管工作流程的示範，或使用此部落格文章，部署雲端原生檔案傳輸平台。

是。可以將相同的工作流程指派給多部伺服器，因此您可以更輕鬆地維護和標準化組態。

傳輸伺服器從用戶端接收檔案後，可以執行以下常見動作：

使用 PGP 金鑰解密檔案。請參閱這篇部落格文章，了解如何使用 PGP 加密和解密檔案。

將資料從來源移動或複製到目的地。

封存或複製到新位置後刪除原始檔案。

根據檔案內容標記檔案，以便下游服務對其進行索引和搜尋 (僅限 S3)

透過您自己的 Lambda 函數作為工作流程自訂步驟，並作為任意自訂檔案處理邏輯。例如，檢查檔案類型的相容性、掃描檔案中的惡意程式、偵測個人身分識別資訊 (PII)，以及將檔案擷取至資料分析之前提取中繼資料。

是。您可使用預先建置且完全受管的工作流程步驟進行 PGP 檔案解密。如需詳細資訊，請參閱受管工作流程文件和這篇關於使用 PGP 加密和解密檔案的部落格文章。

是。您可以設定工作流程步驟以處理最初上傳的檔案，或上一個工作流步驟的輸出檔案。這可讓您在將檔案上傳至 Simple Storage Service (Amazon S3) 後，輕鬆地自動移動和重新命名檔案。例如，若要將檔案移至其他位置以進行檔案封存或保留，請在工作流程中設定兩個步驟。第一步是將檔案複製到不同的 Simple Storage Service (Amazon S3) 位置，第二步是刪除最初上傳的檔案。如需有關為工作流程步驟選取檔案位置的更多詳細資訊，請閱讀文件。

是。使用工作流程，您可以建立原始檔案的多個副本，同時保留原始檔案以保存記錄。

是。您可以在工作流程複製步驟中將使用者名稱用作變數，以便您將檔案動態路由至 Simple Storage Service (Amazon S3) 中的使用者特定資料夾。這樣以來，無需在複製檔案時對目的地資料夾位置進行硬編碼，並在 Simple Storage Service (Amazon S3) 中自動建立使用者特定的資料夾，以便您擴展檔案自動化工作流程。請參閱文件進一步了解相關資訊。

如需記錄受管工作流程活動的支援功能相關詳細資訊，請參閱監控章節。

是。請參閱這篇部落格文章，了解如何使用受管工作流程進行檔案傳遞

AWS Step Functions 是一種無伺服器協同運作服務，可讓您將 AWS Lambda 與其他服務結合起來，進而以簡單的步驟定義業務應用程式的執行。若要使用 AWS Step Functions 執行檔案處理步驟，您可以使用 AWS Lambda 函數和 Amazon S3 的事件觸發器來組合您自己的工作流程。受管工作流程提供了一個架構，可輕鬆協調線性處理序列，並透過以下方式與現有解決方案進行區：1) 您可以精細定義僅在完整檔案上傳時執行的工作流程，以及僅在部分檔案上傳時執行的工作流程，2) 工作流程可以自動觸發 S3 和 EFS (這並非提供上傳後事件)，3) 工作流程不提供程式碼和預先建置的選項，即可進行 PGP 解密等一般檔案處理，以及 4) 客戶可以在 CloudWatch Logs 中獲得對其檔案傳輸和處理的端對端可見性。

是。您可以定義要在完整及部分檔案上傳時需觸發的工作流程。

否，您目前不能將受管工作流程與 AS2 搭配使用。

否。只能在檔案到達時，使用傳入端點調用處理。

否。工作流程目前每次執行只能處理一個檔案。

AWS Transfer Family 伺服器與 Amazon S3 之間的資料傳輸透過內部 AWS 網路進行，不會周遊公共網際網路。因此，對於從 AWS Transfer Family 伺服器傳輸至 Simple Storage Service (Amazon S3) 的資料，您不需要使用 AWS PrivateLink。Transfer Family 服務不需要 Simple Storage Service (Amazon S3) 的 AWS PrivateLink 端點來阻止流量通過網際網路，因此無法使用這些端點與儲存服務通訊。這一切都假設 AWS 儲存服務和 Transfer Family 伺服器位於同一區域。

AWS IAM 用來決定您要為使用者提供的存取權限等級。包括您要在其用戶端上啟用的操作類型，以及使用者可以存取的 Amazon S3 儲存貯體 (可以是整個或部分儲存貯體)。

您為使用者設定的主目錄可決定他們的登入目錄。包括可以是目錄路徑，使用者成功驗證進入伺服器後，使用者用戶端便會將其放入該路徑。您需要確保提供的 IAM 角色為使用者提供主目錄的存取權限。

是。您可為所有使用者指派單一 IAM 角色，並使用邏輯目錄映射，指定要將哪個絕對 Amazon S3 儲存貯體路徑開放給終端使用者查看，以及要以什麼形式透過用戶端使用者呈現這些路徑。請參閱此部落格，了解如何使用 Chroot 和邏輯目錄簡化您的 AWS SFTP/FTPS/FTP 結構。

透過支援的通訊協定傳輸的檔案會以物件形式存放在您的 Amazon S3 儲存貯體中，檔案與物件之間是一對一的映射關係，因此您可以透過 AWS 服務，以原生形式存取這些物件加以處理或分析。

成功驗證身分後，服務會根據使用者的登入資料，以檔案和目錄形式向您使用者的傳輸應用程式提供 Amazon S3 物件和資料夾。

它支援建立、讀取、更新和刪除，以及檔案和目錄這些常見的命令。檔案是以個別物件的形式存放在 Amazon S3 儲存貯體中。目錄在 S3 中是使用與 S3 主控台相同的語法當做資料夾物件加以管理。

目前不支援目錄重新命名操作、附加操作、變更擁有權、許可和時間戳記，也不支援使用符號連接和硬連結。

是。您可以透過映射到其使用者名稱的 AWS IAM 角色，啟用/停用檔案操作。請參閱關於建立 IAM 政策和角色以控制最終使用者存取的文件

是。使用者可存取的儲存貯體取決於 AWS IAM 角色，以及您指派給該使用者的選用範圍縮小政策。您只能使用單一儲存貯體做為使用者的主目錄。

是。您可以將 S3 存取點別名與 AWS Transfer Family 搭配使用，以提供對大量資料的精密存取，而無需管理單一儲存貯體政策。S3 存取點別名與 AWS Transfer Family 邏輯目錄相結合，讓您能夠針對不同的應用程式、團隊和部門建立精細的存取控制，同時減少管理儲存貯體政策的開銷。若要進一步了解並開始使用，請瀏覽有關使用 AWS Transfer Family 和 Amazon S3 Access Points 增強資料存取控制的部落格文章。

是。您可以使用 CLI 和 API，設定伺服器和想用來儲存透過支援通訊協定傳輸之檔案的儲存貯體之間的跨帳戶存取權限。「主控台」下拉式功能表只會列出 A 帳戶的儲存貯體。此外，您必須確認指派給使用者的角色屬於 A 帳戶。

是。在您的檔案上傳到 Simple Storage Service (Amazon S3) 之後，您可以使用 AWS Transfer Family 受管工作流程來建立、自動化和監控檔案處理。使用受管工作流程，您可以在將檔案擷取到資料分析和處理系統之前對其進行預處理，而無需管理您自己的自訂程式碼和基礎設施。 瀏覽文件，以了解 AWS Transfer Family 受管工作流程。

是。使用者上傳檔案時，用於上傳的伺服器的使用者名稱和伺服器 ID 會儲存在相關 S3 物件的中繼資料內作為一部分。您可將此資訊用於上傳後處理。 請參閱相關文件，了解用於上傳後處理的資訊。

在設定 AWS Transfer Family 以便與 Amazon EFS 檔案系統搭配使用之前，您需要使用計劃指派給 AWS Transfer Family 使用者的相同 POSIX 身分 (使用者 ID/群組 ID)，來設定檔案和資料夾的擁有權。此外，如果您要存取不同帳戶中的檔案系統，還必須在檔案系統上設定資源政策，以啟用跨帳戶存取。 如需有關將 AWS Transfer Family 與 EFS 結合使用的逐步說明，請參閱此部落格文章。

AWS Transfer Family 伺服器與 Amazon EFS 之間的資料傳輸是透過內部 AWS 網路進行，不會周遊公共網際網路。因此，對於從 AWS Transfer Family 伺服器傳輸至 Amazon EFS 的資料，您不需要使用 AWS PrivateLink。Transfer Family 服務不需要 Amazon EFS 的 AWS PrivateLink 端點來阻止流量通過網際網路，因此無法使用這些端點與儲存服務通訊。這一切都假設 AWS 儲存服務和 Transfer Family 伺服器位於同一區域。

Amazon EFS 使用由作業系統使用者 ID、群組 ID 和次要群組 ID 組成的 POSIX ID，來控制對檔案系統的存取。在 AWS Transfer Family 主控台/CLI/API 中設定使用者時，您需要指定使用者名稱、使用者的 POSIX 組態和 IAM 角色才能存取 EFS 檔案系統。您還需要指定 EFS 檔案系統 ID，可以選擇指定該檔案系統中的目錄作為使用者的登陸目錄。您的 AWS Transfer Family 使用者透過其檔案傳輸用戶端成功進行身份驗證後，他們將被直接置於指定的主目錄或指定 EFS 檔案系統的根目錄。他們的作業系統 POSIX ID 將套用至透過其檔案傳輸用戶端發出的所有請求。作為 EFS 管理員，您需要確保您的 AWS Transfer Family 使用者要存取的檔案和目錄歸屬於 EFS 檔案系統中其對應的 POSIX ID。請參閱相關文件，進一步了解有關在 EFS 中設定子目錄擁有權的資訊。請注意，如果您使用 Amazon EFS 進行儲存，則 Transfer Family 不支援存取點。 

透過已啟用通訊協定傳輸的檔案會直接存放在您的 Amazon EFS 檔案系統中，並且可透過標準檔案系統介面，或者可存取 Amazon EFS 檔案系統的 AWS 服務進行存取。

支援透過 SFTP/FTPS/FTP 命令建立、讀取、更新和刪除檔案、目錄和符號連結。如需有關 EFS 以及 S3 的支援命令，請參閱下表。

CommandAmazon S3Amazon EFS     cdSupportedSupported     ls/dirSupportedSupported     pwdSupportedSupported     putSupportedSupported     getSupportedSupported 包含解析符號連結和硬連結     renameSupported1Supported     chownNot supportedSupported2     chmodNot supportedSupported2     chgrpNot supportedSupported3     ln -s/symlinkNot supportedSupported     mkdirSupportedSupported     rm/deleteSupportedSupported     rmdirSupported4Supported     chmtimeNot supportedSupported1 僅支援檔案重新命名。不支援目錄重新命名和檔案重新命名來覆寫現有檔案。

2 只有根使用者，即 uid=0 的使用者才能變更檔案和目錄的擁有權和許可。

3 支援根使用者，例如 uid=0 或檔案擁有者，僅可將檔案群組變更為其次要群組之一。

4 僅支援非空資料夾。

您為 AWS Transfer Family 使用者提供的 IAM 政策將確定其是否對檔案系統具有唯讀、讀寫和根存取權。此外，作為檔案系統管理員，您可以使用其使用者 ID 和群組 ID，設定擁有權以及授予對檔案系統中檔案和目錄的存取權。這既適用於存放在服務 (受管服務) 中的使用者，也適用於存放在身分管理系統 (“BYO Auth”) 中的使用者。

是。在設定使用者時，可以為每個使用者指定不同的檔案系統和目錄。成功進行身分認證後，EFS 將針對使用啟用的通訊協定提出的每個檔案系統請求強制執行一個目錄。

是。您可以使用 AWS Transfer Family 邏輯目錄映射，透過將絕對路徑映射至最終使用者可見的路徑名稱，來限制最終使用者在檔案系統中的目錄檢視。這還包括能夠將使用者 “chroot” 至其指定的主目錄。

是。如果您的使用者可存取的目錄中存在符號連結，且您的使用者嘗試存取它們，則這些連結將被解析為其目標。若您使用邏輯目錄映射來設定使用者的存取權，則不支援符號連結。

是。在您設定 AWS Transfer Family 使用者時，可以在您提供的 IAM 政策中指定一個或多個檔案系統，作為使用者設定的一部分，以授予對多個檔案系統的存取權。

您可以使用針對 Microsoft Windows、Linux、macOS 或支援 SFTP/FTPS/FTP 的任何作業系統建置的用戶端和應用程式，以上傳及存取存放在 EFS 檔案系統中的檔案。只需為伺服器和使用者設定存取 EFS 檔案系統的適當許可，即可跨所有作業系統存取該檔案系統。

您可以建立 AWS Transfer Family 受管工作流程，以在檔案上傳到 EFS 後自動觸發檔案處理。您可以設定包含解密、標記、複製，或者您希望根據業務需求對檔案執行的任何自訂處理步驟的工作流程。瀏覽 AWS Transfer Family 受管工作流程文件，進一步了解相關內容。

若是新檔案，與上傳檔案的使用者關聯的 POSIX 使用者 ID 將被設定為 EFS 檔案系統中檔案的擁有者。此外，您可以使用 Amazon CloudWatch 追蹤使用者的活動，即檔案建立、更新、刪除和讀取操作。請瀏覽文件，進一步了解如何啟用 Amazon CloudWatch 記錄日誌。

是。您可以使用 CLI 和 API 來設定 AWS Transfer Family 資源與 EFS 檔案系統間的跨帳戶存取。AWS Transfer Family 主控台將僅列出同一帳戶中的檔案系統。此外，您需要確定指派給使用者的 IAM 角色，以存取屬於帳戶 A 的檔案系統。

如果您設定 AWS Transfer Family 伺服器以存取未啟用跨帳戶存取的跨帳戶 EFS 文件系統，則會拒絕您的 SFTP/FTP/FTPS 使用者存取檔案系統。如果您在伺服器上啟用了 CloudWatch 日誌記錄，則跨帳戶存取錯誤會記錄到您的 CloudWatch Logs 中。

否。您只能使用 AWS Transfer Family 存取同一 AWS 區域中的 EFS 檔案系統。

是。您可以使用 AWS Transfer 將檔案寫入 EFS 並設定 EFS 生命週期管理，以將設定時間類未存取的檔案移轉至「不常存取 (IA)」儲存類別。

是。Amazon EFS 提供檔案系統界面、檔案系統存取語意 (例如，高一致性和檔案鎖定)，以及最多可讓數千個 NFS/SFTP/FTPS/FTP 用戶端同時存取的儲存。

是。不管輸送量模式如何，使用 AWS Transfer Family 伺服器存取 EFS 檔案系統都會耗用您的 EFS 高載積分。 請參閱相關文件，了解可用的效能和輸送量模式，以及查看一些實用的效能提示。

應使用 SFTP 或 FTPS 任一來保護透過公有網路的傳輸。由於依 SSH 和 TLS 加密演算法使通訊協定具有基本安全性，資料和命令會透過安全的加密通道傳輸。

您可以選擇使用 Amazon S3 伺服器端加密 (SSE-S3) 或 Amazon KMS (SSE-KMS) 加密存放在儲存貯體的檔案。 對於存放在 EFS 中的檔案，您可以選擇 AWS 或客戶受管 CMK 對檔案進行靜態加密。如需使用 Amazon EFS 對檔案資料和中繼資料進行靜態加密選項的詳細資訊，請參閱文件。

AWS Transfer Family 符合 PCI-DSS、GDPR、FedRAMP 和 SOC 1、2 和 3 要求。該服務也符合 HIPAA 要求。進一步了解合規計劃的服務範圍。

AWS 東部/西部和 GovCloud (US) 區域皆符合 FISMA 法規。當 AWS Transfer Family 獲得 FedRAMP 的授權後，它將在相應區域內符合 FISMA 標準。FedRAMP 授權針對這兩個區域授予 FedRAMP Moderate 和 FedRAMP High，即證明其合規性。我們每年都會進行評估來證明合規性，並在系統安全計劃記錄範圍內 NIST SP 800-53 控制的合規性。Artifact 提供範本以及我們的客戶責任矩陣 (CRM)，它詳細說明根據 FedRAMP 的規定，我們必須滿足這些 NIST 控制的責任。您可以透過東部/西部和 GovCloud AWS 帳戶可存取的管理主控台使用 Artifact。如果您對此主題還有任何其他疑問，請查閱主控台。

此服務會對比檔案上傳前後的 MD5 檢查總和，驗證透過服務上傳的檔案。

您可使用 AWS Transfer Family 受管工作流程，使用 PGP 金鑰自動解密要上傳至 AWS Transfer Family 資源的檔案。如需詳細資訊，請參閱受管工作流程檔案。如果您正在尋找 PGP 解密的解決方案，請透過 AWS Support 或您的 AWS 客戶團隊與我們聯絡。

您可以使用傳遞至 Amazon CloudWatch 的 JSON 格式日誌，來監控最終使用者及其檔案傳輸活動。在 CloudWatch 中，您可以使用 CloudWatch Log Insights 來剖析和查詢您的日誌，這會自動探索 JSON 格式的欄位。此外，您還可以使用 CloudWatch Contributor Insights 來追蹤頂端使用者、獨特使用者總數，及其持續使用情況。我們也提供預先建置的 CloudWatch 指標和圖形，這些指標和圖形可在 AWS Transfer Family 管理主控台內存取。請參閱文件進一步了解相關資訊。

是。您可以將多個 AWS Transfer Family 伺服器的日誌串流合併到單一 CloudWatch 日誌群組。這可讓您建立整合的日誌指標和視覺效果，您可以將其新增至 CloudWatch 儀表板，以追蹤伺服器使用情況和效能。

可以使用 AWS CloudWatch 指標來監控工作流程執行，例如工作流程執行、成功執行和失敗執行的總數。使用 AWS 管理主控台，您還可以搜尋和檢視正在進行的工作流程執行的即時狀態。使用 CloudWatch 日誌，取得工作流程執行的詳細日誌記錄。

您可以使用自訂處理步驟來觸發 EventBridge 或 Simple Notification Service (SNS) 的通知，並在檔案處理完成時收到通知。此外，您還可以使用來自 Lambda 執行的 CloudWatch Logs，以獲取通知。

是。如果根據預先設定的工作流程驗證步驟，執行檔案驗證檢查失敗，您可以使用例外處理常式並透過 Amazon SNS 主題調用您的監控系統或團隊成員。

AWS Transfer Family 在所有資源 (包括伺服器、連接器和工作流程) 以及所有協定 (包括 SFTP、FTPS、FTP 和 AS2) 中提供 JSON 格式的日誌。

您需為存取端點啟用的每個通訊協定支付小時費用，從建立及設定伺服器端點時起，直到刪除為止。此外，使用 SFTP、FTPS 或 FTP 上傳及下載的資料量、透過 AS2 交換的訊息數量及加密工作流程處理的資料量亦列入費用中。如需其他詳細資訊，請參閱定價頁面

否。您需為啟用的每個通訊協定支付小時費用，並為各通訊協定傳輸的資料量付費，無論多個通訊協定是否啟用相同的端點或各通訊協定使用不同的端點。

是。透過使用主控台或者執行 “stop-server” CLI 命令或 “StopServer” API 命令停止伺服器不會影響計費。您需支付小時費用，從建立伺服器端點及設定透過一或多個通訊協定的存取時起，直到刪除為止。

解密工作流程將根據您使用 PGP 金鑰解密的資料量計費。使用受管工作流程無須額外付費。根據您的工作流程組態，您使用 Amazon S3、Amazon EFS、AWS Secrets Manager 和 AWS Lambda 時亦須付費。

否。SFTP 連接器不會按小時計費。我們會根據您使用連接器傳送或擷取的資料量計費。此外，還會依您在 StartFileTransfer API 呼叫中提供的每個檔案路徑計費。