AWS Transfer Family
支持 SFTP、FTPS、FTP、AS2 协议的全托管文件传输服务,可使用 S3 或 EFS 作为后端存储
概述
AWS Transfer Family 是一项支持 SFTP、FTPS、FTP、AS2 协议的全托管文件传输服务。无需管理服务器基础设施即可为外部合作伙伴和内部系统提供安全的文件传输端点。后端存储可选择 S3 或 EFS,传输的文件直接落入 AWS 存储,便于后续处理和分析。
协议选择与端点类型
Transfer Family 支持四种协议:SFTP(SSH 文件传输,最常用)、FTPS(TLS 加密的 FTP)、FTP(无加密,仅限 VPC 内部)、AS2(B2B EDI 标准)。端点类型有公共端点(互联网可达,AWS 管理的 IP)、VPC 端点(私有子网内,通过 PrivateLink 访问)和 VPC 端点+Elastic IP(固定公网 IP,适合合作伙伴防火墙白名单)。选择标准:外部合作伙伴通常用 SFTP + 公共端点或 Elastic IP 端点;内部系统间传输用 VPC 端点;B2B EDI 场景用 AS2。自定义域名通过 Route 53 CNAME 实现,可使用自有域名而非 AWS 生成的端点名。
身份提供者集成与访问控制
Transfer Family 支持三种身份验证方式:服务托管(在 Transfer Family 内管理用户和 SSH 密钥)、AWS Directory Service(Active Directory 集成)、自定义身份提供者(Lambda 或 API Gateway 实现自定义认证逻辑)。自定义身份提供者最灵活,可集成现有 LDAP、数据库或第三方 IdP。每个用户可配置独立的 IAM 角色和主目录(Home Directory),通过逻辑目录映射将 S3 的不同前缀映射为用户看到的目录结构。POSIX 配置文件控制 EFS 后端的文件权限。IP 白名单通过安全组或 VPC 端点策略实现,限制可连接的源 IP 范围。
工作流实现传输后处理自动化
Transfer Family 的托管工作流(Managed Workflows)在文件上传完成后自动触发处理步骤。预定义步骤包括:复制(将文件复制到另一个 S3 位置)、标记(添加 S3 对象标签)、删除(处理完成后删除原文件)。自定义步骤调用 Lambda 函数执行任意逻辑(文件格式转换、数据验证、通知发送、触发下游管道)。异常处理步骤在前序步骤失败时执行(移动到错误目录、发送告警)。典型场景:合作伙伴上传 CSV → 工作流验证格式 → 转换为 Parquet → 存入数据湖 → 通知数据团队。费用按协议端点小时费(SFTP 约 0.30 美元/小时)加数据传输量计费。