Mit Anbietern benutzerdefinierter Identitäten arbeiten - AWS Transfer Family

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mit Anbietern benutzerdefinierter Identitäten arbeiten

AWS Transfer Family bietet verschiedene Optionen für benutzerdefinierte Identitätsanbieter zur Authentifizierung und Autorisierung von Benutzern für sichere Dateiübertragungen. Hier sind die wichtigsten Ansätze:

  • Lösung für einen benutzerdefinierten Identitätsanbieter— In diesem Thema wird die benutzerdefinierte Identitätsanbieter-Lösung von Transfer Family mithilfe eines Toolkits beschrieben, das unter gehostet wird. GitHub

    Anmerkung

    Für die meisten Anwendungsfälle ist dies die empfohlene Option. Insbesondere wenn Sie mehr als 100 Active Directory-Gruppen unterstützen müssen, bietet die benutzerdefinierte Identitätsanbieter-Lösung eine skalierbare Alternative ohne Gruppenbeschränkungen. Diese Lösung wird im Blogbeitrag Simplify Active Directory-Authentifizierung mit einem benutzerdefinierten Identitätsanbieter für beschrieben AWS Transfer Family.

  • Verwenden von Amazon API Gateway zur Integration Ihres Identitätsanbieters— In diesem Thema wird beschrieben, wie eine AWS Lambda Funktion zur Unterstützung einer Amazon API Gateway Gateway-Methode verwendet wird.

    Sie können eine RESTful Schnittstelle mit einer einzigen Amazon API Gateway Gateway-Methode bereitstellen. Transfer Family ruft diese Methode auf, um eine Verbindung zu Ihrem Identitätsanbieter herzustellen, der Ihre Benutzer authentifiziert und für den Zugriff auf Amazon S3 oder Amazon EFS autorisiert. Verwenden Sie diese Option, wenn Sie eine RESTful API zur Integration Ihres Identitätsanbieters benötigen oder wenn Sie dessen Funktionen zum Geoblocking oder AWS WAF zur Ratenbegrenzung von Anfragen nutzen möchten. Details hierzu finden Sie unter Verwenden von Amazon API Gateway zur Integration Ihres Identitätsanbieters.

  • Dynamische Ansätze zur Rechteverwaltung— In diesem Thema werden Ansätze für die dynamische Verwaltung von Benutzerberechtigungen mithilfe von Sitzungsrichtlinien beschrieben.

    Um Ihre Benutzer zu authentifizieren, können Sie Ihren vorhandenen Identitätsanbieter mit verwenden. AWS Transfer Family Sie integrieren Ihren Identitätsanbieter mithilfe einer AWS Lambda Funktion, die Ihre Benutzer authentifiziert und für den Zugriff auf Amazon S3 oder Amazon Elastic File System (Amazon EFS) autorisiert. Details hierzu finden Sie unter Wird AWS Lambda zur Integration Ihres Identitätsanbieters verwendet. In der AWS Transfer Family Management Console können Sie auch auf CloudWatch Diagramme für Messwerte wie die Anzahl der übertragenen Dateien und Byte zugreifen, sodass Sie Dateiübertragungen über ein zentrales Dashboard überwachen können.

  • Transfer Family bietet einen Blogbeitrag und einen Workshop, die Sie durch den Aufbau einer Dateiübertragungslösung führen. Diese Lösung nutzt AWS Transfer Family für verwaltete SFTP/FTPS Endgeräte sowie Amazon Cognito und DynamoDB für die Benutzerverwaltung.

    Der Blogbeitrag ist unter Amazon Cognito als Identitätsanbieter mit AWS Transfer Family Amazon S3 verwenden verfügbar. Die Details zum Workshop finden Sie hier.

Anmerkung

Für benutzerdefinierte Identitätsanbieter muss der Benutzername mindestens 3 und maximal 100 Zeichen lang sein. Sie können die folgenden Zeichen im Benutzernamen verwenden: a—z, A-Z, 0—9, Unterstrich '_', Bindestrich '-', Punkt '.' und das At-Zeichen '@'. Der Benutzername darf nicht mit einem Bindestrich '-', einem Punkt '.' oder einem Zeichen '@' beginnen.

Beachten Sie bei der Implementierung eines benutzerdefinierten Identitätsanbieters die folgenden bewährten Methoden:

  • Stellen Sie die Lösung in derselben AWS-Konto Region wie Ihre Transfer Family Family-Server bereit.

  • Implementieren Sie bei der Konfiguration von IAM-Rollen und -Richtlinien das Prinzip der geringsten Rechte.

  • Verwenden Sie Funktionen wie die IP-Zulassungsliste und die standardisierte Protokollierung für mehr Sicherheit.

  • Testen Sie Ihren benutzerdefinierten Identitätsanbieter vor der Bereitstellung gründlich in einer Umgebung außerhalb der Produktionsumgebung.

Themen