Benutzer für Serverendpunkte verwalten

In den folgenden Abschnitten finden Sie Informationen zum Hinzufügen von Benutzern mithilfe AWS Transfer Family eines benutzerdefinierten Identitätsanbieters. AWS Directory Service for Microsoft Active Directory

Sie speichern außerdem in den Eigenschaften der Benutzer den öffentlichen Secure Shell (SSH)-Schlüssel des jeweiligen Benutzers. Dies ist für die schlüsselbasierte Authentifizierung erforderlich. Der private Schlüssel wird lokal auf dem Computer Ihres Benutzers gespeichert. Wenn Ihr Benutzer mithilfe eines Clients eine Authentifizierungsanfrage an Ihren Server sendet, bestätigt Ihr Server zunächst, dass der Benutzer Zugriff auf den zugehörigen privaten SSH-Schlüssel hat. Der Server authentifiziert den Benutzer dann erfolgreich.

Darüber hinaus geben Sie das Home-Verzeichnis oder das Landing-Verzeichnis eines Benutzers an und weisen dem Benutzer eine AWS Identity and Access Management (IAM-) Rolle zu. Optional können Sie eine Sitzungsrichtlinie angeben, um den Benutzerzugriff nur auf das Home-Verzeichnis Ihres Amazon S3 S3-Buckets zu beschränken.

Wichtig

AWS Transfer Family verhindert, dass sich Benutzernamen, die 1 oder 2 Zeichen lang sind, bei SFTP-Servern authentifizieren. Darüber hinaus blockieren wir auch den root Benutzernamen.

Der Grund dafür liegt in der großen Anzahl böswilliger Anmeldeversuche durch Passwortscanner.

Amazon EFS im Vergleich zu Amazon S3

Eigenschaften der einzelnen Speicheroptionen:

• Um den Zugriff zu beschränken: Amazon S3 unterstützt Sitzungsrichtlinien; Amazon EFS unterstützt POSIX-Benutzer, Gruppen und sekundäre Gruppen IDs

• Beide unterstützen Schlüssel public/private

• Beide unterstützen Home-Verzeichnisse

• Beide unterstützen logische Verzeichnisse

  Anmerkung

  Für Amazon S3 erfolgt der Großteil der Unterstützung für logische Verzeichnisse über API/CLI. Sie können das Kontrollkästchen Eingeschränkt in der Konsole verwenden, um einen Benutzer auf sein Home-Verzeichnis zu sperren, aber Sie können keine virtuelle Verzeichnisstruktur angeben.

Logische Verzeichnisse

Wenn Sie logische Verzeichniswerte für Ihren Benutzer angeben, hängt der verwendete Parameter vom Benutzertyp ab.

• Geben Sie für vom Dienst verwaltete Benutzer logische Verzeichniswerte in HomeDirectoryMappings ein.

• Geben Sie für Benutzer eines benutzerdefinierten Identitätsanbieters logische Verzeichniswerte in anHomeDirectoryDetails.

AWS Transfer Family unterstützt die Angabe eines HomeDirectory Werts bei Verwendung von LOGICAL HomeDirectoryType. Dies gilt für vom Service verwaltete Benutzer, Active Directory-Zugriff und benutzerdefinierte Identity Provider-Implementierungen, bei denen sie in der Antwort angegeben HomeDirectoryDetails werden.

Wichtig

Wenn Sie a HomeDirectory mit LOGICAL angeben HomeDirectoryType, muss der Wert einer Ihrer logischen Verzeichniszuordnungen zugeordnet werden. Der Dienst überprüft dies sowohl bei der Benutzererstellung als auch bei Aktualisierungen, um Konfigurationen zu verhindern, die nicht funktionieren würden.

Standardverhalten

Wenn nichts angegeben wird, HomeDirectory ist der standardmäßig auf „/“ für den LOGISCHEN Modus gesetzt. Dieses Verhalten ist unverändert und bleibt mit bestehenden Benutzerdefinitionen kompatibel.

• Stellen Sie sicher, dass HomeDirectory Sie Ihrem Eintrag und nicht einem Ziel zuordnen. Weitere Details finden Sie unter Regeln für die Verwendung logischer Verzeichnisse.

• Einzelheiten zur Struktur eines virtuellen Verzeichnisses finden Sie unterStruktur des virtuellen Verzeichnisses.

Überlegungen zum benutzerdefinierten Identitätsanbieter

Wenn Sie einen benutzerdefinierten Identitätsanbieter verwenden, können Sie jetzt HomeDirectory in der Antwort a angeben, während Sie LOGICAL verwenden HomeDirectoryType. Der TestIdentityProvider API-Aufruf führt zu korrekten Ergebnissen, wenn der benutzerdefinierte IDP HomeDirectory im LOGICAL-Modus a angibt.

Beispiel für eine benutzerdefinierte IDP-Antwort mit HomeDirectory und LOGICAL: HomeDirectoryType

{
  "Role": "arn:aws:iam::123456789012:role/transfer-user-role",
  "HomeDirectoryType": "LOGICAL",
  "HomeDirectory": "/marketing",
  "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}

Active Directory-Gruppenkontingente

AWS Transfer Family hat ein Standardlimit von 100 Active Directory-Gruppen pro Server. Wenn Ihr Anwendungsfall mehr als 100 Gruppen erfordert, sollten Sie die Verwendung einer benutzerdefinierten Identitätsanbieterlösung in Betracht ziehen, wie unter Vereinfachen der Active Directory-Authentifizierung mit einem benutzerdefinierten Identitätsanbieter für beschrieben AWS Transfer Family.

Dieses Limit gilt für Server, die die folgenden Identitätsanbieter verwenden:

• AWS Directory Service für Microsoft Active Directory

• AWS Directory Service für Entra ID Domain Services

Wenn Sie eine Erhöhung des Servicelimits beantragen müssen, finden Sie Informationen zu den AWS-Service Kontingenten in der Allgemeine AWS-Referenz. Wenn Ihr Anwendungsfall mehr als 100 Gruppen erfordert, sollten Sie die Verwendung einer benutzerdefinierten Identitätsanbieterlösung in Betracht ziehen, wie unter Vereinfachen der Active Directory-Authentifizierung mit einem benutzerdefinierten Identitätsanbieter für beschrieben AWS Transfer Family.

Informationen zur Problembehandlung im Zusammenhang mit Active Directory-Gruppenlimits finden Sie unterDie Active Directory-Gruppenlimits wurden überschritten.

Themen

• Arbeiten mit Benutzern, die vom Dienst verwaltet werden

• Mit Anbietern benutzerdefinierter Identitäten arbeiten

• Verwenden des AWS Directory Service für Microsoft Active Directory

• Verwenden des AWS Directory Service für Entra ID Domain Services