Verwenden des AWS Verzeichnisdienst-Identitätsanbieters

In diesem Thema wird beschrieben, wie Sie den AWS Directory Service Service-Identitätsanbieter für verwenden AWS Transfer Family.

Verwenden AWS Directory Service for Microsoft Active Directory

Sie können Endbenutzer verwenden AWS Transfer Family , um Ihre Dateiübertragung mithilfe AWS Directory Service for Microsoft Active Directory von zu authentifizieren. Es ermöglicht eine nahtlose Migration von Dateiübertragungsworkflows, die auf der Active Directory-Authentifizierung basieren, ohne dass die Anmeldeinformationen der Endbenutzer geändert werden oder ein benutzerdefinierter Autorisierer erforderlich ist.

Mit AWS Managed Microsoft AD können Sie AWS Directory Service Benutzern und Gruppen auf sichere Weise Zugriff auf und FTP für Daten gewähren SFTPFTPS, die in Amazon Simple Storage Service (Amazon S3) oder Amazon Elastic File System (AmazonEFS) gespeichert sind. Wenn Sie Active Directory zum Speichern der Anmeldeinformationen Ihrer Benutzer verwenden, haben Sie jetzt eine einfachere Möglichkeit, Dateiübertragungen für diese Benutzer zu aktivieren.

Sie können den Zugriff auf Active Directory-Gruppen AWS Managed Microsoft AD in Ihrer lokalen Umgebung oder in der AWS Cloud mithilfe von Active Directory-Connectors bereitstellen. Sie können Benutzern, die bereits in Ihrer Microsoft Windows-Umgebung konfiguriert sind, entweder in der AWS Cloud oder in ihrem lokalen Netzwerk, Zugriff auf einen AWS Transfer Family Server gewähren, der AWS Managed Microsoft AD für die Identität verwendet wird.

Anmerkung

• AWS Transfer Family unterstützt Simple AD nicht.

• Transfer Family unterstützt keine regionsübergreifenden Active Directory-Konfigurationen: Wir unterstützen nur Active Directory-Integrationen, die sich in derselben Region wie die des Transfer Family Family-Servers befinden.

• Transfer Family unterstützt AWS Managed Microsoft AD weder die Verwendung von AD Connector noch die Verwendung von AD Connector zur Aktivierung der Multi-Faktor-Authentifizierung (MFA) für Ihre bestehende RADIUS MFA Infrastruktur.

• AWS Transfer Family unterstützt keine replizierten Regionen von Managed Active Directory.

Zur Verwendung AWS Managed Microsoft AD müssen Sie die folgenden Schritte ausführen:

1. Erstellen Sie mit der AWS Directory Service Konsole ein oder mehrere AWS Managed Microsoft AD Verzeichnisse.

2. Verwenden Sie die Transfer Family Family-Konsole, um einen Server zu erstellen, der ihn AWS Managed Microsoft AD als Identitätsanbieter verwendet.

3. Fügen Sie Zugriff von einer oder mehreren Ihrer AWS Directory Service Gruppen aus hinzu.

4. Obwohl dies nicht erforderlich ist, empfehlen wir Ihnen, den Benutzerzugriff zu testen und zu überprüfen.

Themen

• Bevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory

• Arbeiten mit Active Directory-Bereichen

• Wählen Sie AWS Managed Microsoft AD als Ihren Identitätsanbieter

• Zugriff auf Gruppen gewähren

• Benutzer werden getestet

• Serverzugriff für eine Gruppe wird gelöscht

• Mit SSH (Secure Shell) eine Verbindung zum Server herstellen

• Mithilfe von Gesamtstrukturen und Vertrauensstellungen eine Verbindung AWS Transfer Family zu einem selbstverwalteten Active Directory herstellen

Bevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory

Geben Sie eine eindeutige Kennung für Ihre AD-Gruppen ein

Bevor Sie es verwenden können AWS Managed Microsoft AD, müssen Sie für jede Gruppe in Ihrem Microsoft AD-Verzeichnis eine eindeutige Kennung angeben. Sie können dazu die Sicherheits-ID (SID) für jede Gruppe verwenden. Die Benutzer der Gruppe, die Sie zuordnen, haben über die aktivierten Protokolle mithilfe von AWS Transfer Family Zugriff auf Ihre Amazon S3- oder EFS Amazon-Ressourcen.

Verwenden Sie den folgenden PowerShell Windows-Befehl, um das SID für eine Gruppe abzurufen, und ersetzen Sie YourGroupName mit dem Namen der Gruppe.

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

Anmerkung

Wenn Sie AWS Directory Service als Identitätsanbieter verwenden und wenn userPrincipalName und unterschiedliche Werte SamAccountName haben, AWS Transfer Family akzeptiert der Wert inSamAccountName. Transfer Family akzeptiert den in angegebenen Wert nichtuserPrincipalName.

Fügen Sie Ihrer Rolle AWS Directory Service Berechtigungen hinzu

Sie benötigen außerdem AWS Directory Service API Berechtigungen, um sie AWS Directory Service als Ihren Identitätsanbieter verwenden zu können. Die folgenden Berechtigungen sind erforderlich oder werden empfohlen:

• ds:DescribeDirectoriesist erforderlich, damit Transfer Family das Verzeichnis nachschlagen kann

• ds:AuthorizeApplicationist erforderlich, um die Autorisierung für Transfer Family hinzuzufügen

• ds:UnauthorizeApplicationwird empfohlen, alle provisorisch erstellten Ressourcen zu entfernen, falls bei der Servererstellung etwas schief geht

Fügen Sie diese Berechtigungen der Rolle hinzu, die Sie für die Erstellung Ihrer Transfer Family Family-Server verwenden. Weitere Informationen zu diesen Berechtigungen finden Sie unter AWS Directory Service APIBerechtigungen: Referenz zu Aktionen, Ressourcen und Bedingungen.

Arbeiten mit Active Directory-Bereichen

Wenn Sie überlegen, wie Ihre Active Directory-Benutzer auf AWS Transfer Family Server zugreifen können, sollten Sie den Bereich des Benutzers und den Bereich seiner Gruppe berücksichtigen. Idealerweise sollten die Realm des Benutzers und der Realm seiner Gruppe übereinstimmen. Das heißt, sowohl der Benutzer als auch die Gruppe befinden sich im Standardbereich oder beide befinden sich im vertrauenswürdigen Bereich. Ist dies nicht der Fall, kann der Benutzer nicht von Transfer Family authentifiziert werden.

Sie können den Benutzer testen, um sicherzustellen, dass die Konfiguration korrekt ist. Details hierzu finden Sie unter Benutzer werden getestet. Wenn es ein Problem mit dem Benutzer-/Gruppenbereich gibt, erhalten Sie die Fehlermeldung Kein zugeordneter Zugriff für Benutzergruppen gefunden.

Wählen Sie AWS Managed Microsoft AD als Ihren Identitätsanbieter

In diesem Abschnitt wird die Verwendung AWS Directory Service for Microsoft Active Directory mit einem Server beschrieben.

Zur Verwendung AWS Managed Microsoft AD mit Transfer Family

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Directory Service Konsole unter https://console.aws.amazon.com/directoryservicev2/.

   Verwenden Sie die AWS Directory Service Konsole, um ein oder mehrere verwaltete Verzeichnisse zu konfigurieren. Weitere Informationen finden Sie unter AWS Managed Microsoft AD im Administratorhandbuch für AWS Directory Service .

   

2. Öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/und wählen Sie Server erstellen aus.

3. Wählen Sie auf der Seite „Protokolle auswählen“ ein oder mehrere Protokolle aus der Liste aus.

   Anmerkung

   Wenn Sie wählen FTPS, müssen Sie das AWS Certificate Manager Zertifikat bereitstellen.

4. Wählen Sie für Wählen Sie einen Identitätsanbieter die Option AWS Directory Service aus.

   

5. Die Verzeichnisliste enthält alle verwalteten Verzeichnisse, die Sie konfiguriert haben. Wählen Sie ein Verzeichnis aus der Liste aus und klicken Sie auf Weiter.

   Anmerkung

   • Kontoübergreifende Verzeichnisse und gemeinsam genutzte Verzeichnisse werden für AWS Managed Microsoft AD nicht unterstützt.

   • Um einen Server mit Directory Service als Identitätsanbieter einzurichten, müssen Sie einige AWS Directory Service Berechtigungen hinzufügen. Details hierzu finden Sie unter Bevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory.

6. Verwenden Sie eines der folgenden Verfahren, um die Erstellung des Servers abzuschließen:

   • Erstellen Sie einen SFTP -fähigen Server

   • Erstellen Sie einen FTPS -fähigen Server

   • Erstellen Sie einen FTP -fähigen Server

   Fahren Sie in diesen Verfahren mit dem folgenden Schritt fort: Wählen Sie einen Identitätsanbieter.

Wichtig

Sie können ein Microsoft AD-Verzeichnis nicht löschen, AWS Directory Service wenn Sie es auf einem Transfer Family Family-Server verwendet haben. Sie müssen zuerst den Server löschen, und dann können Sie das Verzeichnis löschen.

Zugriff auf Gruppen gewähren

Nachdem Sie den Server erstellt haben, müssen Sie auswählen, welche Gruppen im Verzeichnis Zugriff auf das Hoch- und Herunterladen von Dateien über die aktivierten Protokolle haben sollen AWS Transfer Family. Dazu erstellen Sie einen Zugriff.

Anmerkung

Benutzer müssen direkt zu der Gruppe gehören, der Sie Zugriff gewähren. Nehmen wir beispielsweise an, dass Bob ein Benutzer ist und zu Gruppe A gehört, und dass Gruppe A selbst in Gruppe B enthalten ist.

• Wenn Sie Zugriff auf Gruppe A gewähren, wird Bob Zugriff gewährt.

• Wenn Sie Zugriff auf Gruppe B (und nicht auf Gruppe A) gewähren, hat Bob keinen Zugriff.

Um einer Gruppe Zugriff zu gewähren

1. Öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/.

2. Navigieren Sie zu Ihrer Serverdetailseite.

3. Wählen Sie im Abschnitt Zugriffe die Option Zugriff hinzufügen aus.

4. Geben Sie den SID für das AWS Managed Microsoft AD Verzeichnis ein, auf das Sie Zugriff auf diesen Server haben möchten.

   Anmerkung

   Informationen darüber, wie Sie das SID für Ihre Gruppe finden, finden Sie unterBevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory.

5. Wählen Sie für Access eine AWS Identity and Access Management (IAM) Rolle für die Gruppe aus.

6. Wählen Sie im Abschnitt Richtlinie eine Richtlinie aus. Die Standardeinstellung ist Keine.

7. Wählen Sie für das Home-Verzeichnis einen S3-Bucket aus, der dem Home-Verzeichnis der Gruppe entspricht.

   Anmerkung

   Sie können die Teile des Buckets einschränken, die Benutzer sehen, indem Sie eine Sitzungsrichtlinie erstellen. Um beispielsweise Benutzer auf ihren eigenen Ordner im /filetest Verzeichnis zu beschränken, geben Sie den folgenden Text in das Feld ein.

   /filetest/${transfer:UserName}

   Weitere Informationen zum Erstellen einer Sitzungsrichtlinie finden Sie unterSitzungsrichtlinie für einen Amazon S3 S3-Bucket erstellen.

8. Wählen Sie Hinzufügen, um die Zuordnung zu erstellen.

9. Wählen Sie Ihren Server aus.

10. Wählen Sie Zugriff hinzufügen.

    1. Geben Sie das SID für die Gruppe ein.

       Anmerkung

       Informationen darüber, wie Sie die findenSID, finden Sie unterBevor Sie mit der Verwendung beginnen AWS Directory Service for Microsoft Active Directory.

11. Wählen Sie Zugriff hinzufügen aus.

Im Bereich Zugriffe werden die Zugriffe für den Server aufgelistet.

Benutzer werden getestet

Sie können testen, ob ein Benutzer Zugriff auf das AWS Managed Microsoft AD Verzeichnis für Ihren Server hat.

Anmerkung

Ein Benutzer muss zu genau einer Gruppe gehören (eine externe ID), die im Abschnitt Zugriff auf der Endpunktkonfigurationsseite aufgeführt ist. Wenn der Benutzer keiner oder mehreren Gruppen angehört, wird diesem Benutzer kein Zugriff gewährt.

Um zu testen, ob ein bestimmter Benutzer Zugriff hat

1. Wählen Sie auf der Seite mit den Serverdetails Aktionen und dann Test aus.

2. Geben Sie zum Testen des Identitätsanbieters die Anmeldeinformationen für einen Benutzer ein, der zu einer der Gruppen gehört, die Zugriff haben.

3. Wählen Sie Test aus.

Sie sehen einen erfolgreichen Identitätsanbietertest, der zeigt, dass dem ausgewählten Benutzer Zugriff auf den Server gewährt wurde.

Wenn der Benutzer zu mehr als einer Gruppe gehört, die Zugriff hat, erhalten Sie die folgende Antwort.

"Response":"",
"StatusCode":200,
"Message":"More than one associated access found for user's groups."

Serverzugriff für eine Gruppe wird gelöscht

Um den Serverzugriff für eine Gruppe zu löschen

1. Wählen Sie auf der Seite mit den Serverdetails Aktionen und anschließend Zugriff löschen aus.

2. Bestätigen Sie im Dialogfeld, dass Sie den Zugriff für diese Gruppe entfernen möchten.

Wenn Sie zur Seite mit den Serverdetails zurückkehren, sehen Sie, dass der Zugriff für diese Gruppe nicht mehr aufgeführt ist.

Mit SSH (Secure Shell) eine Verbindung zum Server herstellen

Nachdem Sie Ihren Server und Ihre Benutzer konfiguriert haben, können Sie eine Verbindung zum Server herstellen, indem SSH Sie den vollqualifizierten Benutzernamen für einen Benutzer verwenden, der Zugriff hat.

sftp user@active-directory-domain@vpc-endpoint

Beispiel: transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com.

Dieses Format zielt auf die Suche im Verbund ab und schränkt die Suche in einem potenziell großen Active Directory ein.

Anmerkung

Sie können den einfachen Benutzernamen angeben. In diesem Fall muss der Active Directory-Code jedoch alle Verzeichnisse im Verbund durchsuchen. Dadurch kann die Suche eingeschränkt werden, und die Authentifizierung schlägt möglicherweise fehl, selbst wenn der Benutzer Zugriff haben sollte.

Nach der Authentifizierung befindet sich der Benutzer in dem Basisverzeichnis, das Sie bei der Konfiguration des Benutzers angegeben haben.

Mithilfe von Gesamtstrukturen und Vertrauensstellungen eine Verbindung AWS Transfer Family zu einem selbstverwalteten Active Directory herstellen

Benutzer in Ihrem selbstverwalteten Active Directory (AD) können auch Single Sign-On-Zugriff auf Server AWS-Konten und Transfer Family Family-Server verwenden AWS IAM Identity Center . Zu diesem Zweck stehen die AWS Directory Service folgenden Optionen zur Verfügung:

• Die unidirektionale Gesamtvertrauensstellung (ausgehend von AWS Managed Microsoft AD und eingehend für lokales Active Directory) funktioniert nur für die Stammdomäne.

• Für untergeordnete Domänen können Sie eine der folgenden Optionen verwenden:

  • Verwenden Sie bidirektionale Vertrauensstellung zwischen AWS Managed Microsoft AD und lokalem Active Directory

  • Verwenden Sie für jede untergeordnete Domäne eine unidirektionale externe Vertrauensstellung.

Wenn der Benutzer über eine vertrauenswürdige Domäne eine Verbindung zum Server herstellt, muss er beispielsweise transferuserexample@mycompany.com die vertrauenswürdige Domäne angeben.

Verwenden des AWS Directory Service für Azure Active Directory-Domänendienste

• Um Ihre bestehende Active Directory-Gesamtstruktur für Ihre SFTP Übertragungsanforderungen zu nutzen, können Sie Active Directory Connector verwenden.

• Wenn Sie die Vorteile von Active Directory und hoher Verfügbarkeit in einem vollständig verwalteten Dienst nutzen möchten, können Sie Folgendes verwenden AWS Directory Service for Microsoft Active Directory. Details hierzu finden Sie unter Verwenden des AWS Verzeichnisdienst-Identitätsanbieters.

In diesem Thema wird beschrieben, wie Sie einen Active Directory Connector und Azure Active Directory Domain Services (AzureADDS) verwenden, um SFTP Transferbenutzer mit Azure Active Directory zu authentifizieren.

Themen

• Bevor Sie beginnen, den AWS Directory Service für Azure Active Directory-Domänendienste zu verwenden

• Schritt 1: Hinzufügen von Azure Active Directory-Domänendiensten

• Schritt 2: Erstellen eines Dienstkontos

• Schritt 3: AWS Verzeichnis mit AD Connector einrichten

• Schritt 4: AWS Transfer Family Server einrichten

• Schritt 5: Zugriff auf Gruppen gewähren

• Schritt 6: Benutzer testen

Bevor Sie beginnen, den AWS Directory Service für Azure Active Directory-Domänendienste zu verwenden

Für AWS benötigen Sie Folgendes:

• Eine virtuelle private Cloud (VPC) in einer AWS Region, in der Sie Ihre Transfer Family Family-Server verwenden

• Mindestens zwei private Subnetze in Ihrem VPC

• Sie VPC müssen über eine Internetverbindung verfügen

• Ein Kunden-Gateway und ein virtuelles privates Gateway für die site-to-site VPN Verbindung mit Microsoft Azure

Für Microsoft Azure benötigen Sie Folgendes:

• Ein Azure Active Directory- und Active Directory-Domänendienst (AzureADDS)

• Eine Azure-Ressourcengruppe

• Ein virtuelles Azure-Netzwerk

• VPNKonnektivität zwischen Ihrem Amazon VPC und Ihrer Azure-Ressourcengruppe

  Anmerkung

  Dies kann über native IPSEC Tunnel oder mithilfe von VPN Appliances geschehen. In diesem Thema verwenden wir IPSEC Tunnel zwischen einem virtuellen Azure-Netzwerk-Gateway und einem lokalen Netzwerk-Gateway. Die Tunnel müssen so konfiguriert sein, dass sie den Verkehr zwischen Ihren ADDS Azure-Endpunkten und den Subnetzen, in denen sich Ihre befinden, zulassen. AWS VPC

• Ein Kunden-Gateway und ein virtuelles privates Gateway für die site-to-site VPN Verbindung mit Microsoft Azure

Das folgende Diagramm zeigt die Konfiguration, die erforderlich ist, bevor Sie beginnen.

Schritt 1: Hinzufügen von Azure Active Directory-Domänendiensten

Azure AD unterstützt standardmäßig keine Domänenbeitrittsinstanzen. Um Aktionen wie den Domänenbeitritt durchzuführen und Tools wie Gruppenrichtlinien zu verwenden, müssen Administratoren Azure Active Directory-Domänendienste aktivieren. Wenn Sie Azure AD DS noch nicht hinzugefügt haben oder Ihre bestehende Implementierung nicht mit der Domäne verknüpft ist, die Ihr SFTP Transferserver verwenden soll, müssen Sie eine neue Instanz hinzufügen.

Informationen zur Aktivierung von Azure Active Directory Domain Services (AzureADDS) finden Sie unter Tutorial: Eine verwaltete Azure Active Directory-Domänendienste-Domäne erstellen und konfigurieren.

Anmerkung

Wenn Sie Azure aktivierenADDS, stellen Sie sicher, dass es für die Ressourcengruppe und die Azure AD-Domäne konfiguriert ist, mit der Sie Ihren SFTP Transferserver verbinden.

Schritt 2: Erstellen eines Dienstkontos

Azure AD muss über ein Dienstkonto verfügen, das Teil einer Admin-Gruppe in Azure istADDS. Dieses Konto wird mit dem AWS Active Directory-Connector verwendet. Stellen Sie sicher, dass dieses Konto mit Azure synchronisiert istADDS.

Tipp

Die Multi-Faktor-Authentifizierung für Azure Active Directory wird für Transfer Family Family-Server, die das SFTP Protokoll verwenden, nicht unterstützt. Der Transfer Family Family-Server kann das MFA Token nicht bereitstellen, nachdem sich ein Benutzer authentifiziert hat. SFTP Stellen Sie sicher, dass die Option deaktiviert ist, MFA bevor Sie versuchen, eine Verbindung herzustellen.

Schritt 3: AWS Verzeichnis mit AD Connector einrichten

Nachdem Sie Azure ADDS konfiguriert und ein Dienstkonto mit IPSEC VPN Tunneln zwischen Ihrem AWS VPC und dem virtuellen Azure-Netzwerk erstellt haben, können Sie die Konnektivität testen, indem Sie die ADDS DNS Azure-IP-Adresse von einer beliebigen AWS EC2 Instanz aus anpingen.

Nachdem Sie überprüft haben, dass die Verbindung aktiv ist, können Sie weiter unten fortfahren.

So richten Sie Ihr AWS Verzeichnis mit AD Connector ein

1. Öffnen Sie die Directory Service Service-Konsole und wählen Sie Verzeichnisse aus.

2. Wählen Sie Verzeichnis einrichten aus.

3. Wählen Sie als Verzeichnistyp AD Connector aus.

4. Wählen Sie eine Verzeichnisgröße aus, wählen Sie Weiter VPC und anschließend Ihre Subnetze aus.

5. Wählen Sie Weiter aus und füllen Sie dann die Felder wie folgt aus:

   • DNSVerzeichnisname: Geben Sie den Domainnamen ein, den Sie für Azure verwendenADDS.

   • DNSIP-Adressen: Geben Sie Ihre ADDS Azure-IP-Adressen ein.

   • Benutzername und Passwort des Serverkontos: Geben Sie die Details für das Dienstkonto ein, das Sie in Schritt 2: Dienstkonto erstellen erstellt haben.

6. Füllen Sie die Bildschirme aus, um den Verzeichnisdienst zu erstellen.

Jetzt sollte der Verzeichnisstatus Aktiv lauten und es kann mit einem SFTP Transferserver verwendet werden.

Schritt 4: AWS Transfer Family Server einrichten

Erstellen Sie einen Transfer Family Family-Server mit dem SFTP Protokoll und dem Identitätsanbietertyp AWS Directory Service. Wählen Sie aus der Dropdownliste Verzeichnis das Verzeichnis aus, das Sie in Schritt 3: AWS Verzeichnis mit AD Connector einrichten hinzugefügt haben.

Anmerkung

Sie können ein Microsoft AD-Verzeichnis nicht im AWS Directory Service löschen, wenn Sie es auf einem Transfer Family Family-Server verwendet haben. Sie müssen zuerst den Server löschen, und dann können Sie das Verzeichnis löschen.

Schritt 5: Zugriff auf Gruppen gewähren

Nachdem Sie den Server erstellt haben, müssen Sie auswählen, welche Gruppen im Verzeichnis Zugriff auf das Hoch- und Herunterladen von Dateien über die aktivierten Protokolle haben sollen AWS Transfer Family. Dazu erstellen Sie einen Zugriff.

Anmerkung

Benutzer müssen direkt zu der Gruppe gehören, der Sie Zugriff gewähren. Nehmen wir beispielsweise an, dass Bob ein Benutzer ist und zu Gruppe A gehört, und dass Gruppe A selbst in Gruppe B enthalten ist.

• Wenn Sie Zugriff auf Gruppe A gewähren, wird Bob Zugriff gewährt.

• Wenn Sie Zugriff auf Gruppe B (und nicht auf Gruppe A) gewähren, hat Bob keinen Zugriff.

Um Zugriff zu gewähren, müssen Sie die SID für die Gruppe abrufen.

Verwenden Sie den folgenden PowerShell Windows-Befehl, um das SID für eine Gruppe abzurufen, und ersetzen Sie YourGroupName mit dem Namen der Gruppe.

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

Gewähren Sie Gruppen Zugriff

1. Öffnen https://console.aws.amazon.com/transfer/.

2. Navigieren Sie zu Ihrer Serverdetailseite und wählen Sie im Bereich Zugriffe die Option Zugriff hinzufügen aus.

3. Geben SID Sie den Wert ein, den Sie aus der Ausgabe des vorherigen Verfahrens erhalten haben.

4. Wählen Sie für Access eine AWS Identity and Access Management Rolle für die Gruppe aus.

5. Wählen Sie im Abschnitt Richtlinie eine Richtlinie aus. Der Standardwert ist None (Kein).

6. Wählen Sie für das Home-Verzeichnis einen S3-Bucket aus, der dem Home-Verzeichnis der Gruppe entspricht.

7. Wählen Sie Hinzufügen, um die Zuordnung zu erstellen.

Die Details von Ihrem Transferserver sollten etwa wie folgt aussehen:

Schritt 6: Benutzer testen

Sie können testen (Benutzer werden getestet), ob ein Benutzer Zugriff auf das AWS Managed Microsoft AD Verzeichnis für Ihren Server hat. Ein Benutzer muss zu genau einer Gruppe gehören (eine externe ID), die im Abschnitt Zugriff auf der Endpunktkonfigurationsseite aufgeführt ist. Wenn der Benutzer keiner oder mehreren Gruppen angehört, wird diesem Benutzer kein Zugriff gewährt.