Arbeiten mit serviceverwalteten Benutzern - AWS Transfer Family
Hinzufügen von serviceverwalteten Amazon S3-BenutzernHinzufügen von serviceverwalteten Amazon-EFS-BenutzernServiceverwaltete Benutzer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit serviceverwalteten Benutzern

Sie können Ihrem Server je nach Domäneneinstellung des Servers entweder serviceverwaltete Amazon S3- oder Amazon-EFS-Benutzer hinzufügen. Weitere Informationen finden Sie unter Konfiguration eines SFTP-, FTPS- oder FTP-Serverendpunkts.

Informationen zum programmgesteuerten Hinzufügen eines serviceverwalteten Benutzers finden Sie im Beispiel für die CreateUser-API.

Anmerkung

Für serviceverwaltete Benutzer gibt es ein Limit von 2 000 logischen Verzeichniseinträgen. Informationen zur Verwendung logischer Verzeichnisse finden Sie unter Verwendung logischer Verzeichnisse zur Vereinfachung Ihrer Transfer Family Family-Verzeichnisstrukturen.

Hinzufügen von serviceverwalteten Amazon S3-Benutzern

Anmerkung

Wenn Sie einen kontoübergreifenden Amazon S3-Bucket konfigurieren möchten, führen Sie die in diesem Knowledge-Center-Artikel genannten Schritte aus: Wie konfiguriere ich meinen AWS Transfer Family Server für die Verwendung eines Amazon-Simple-Storage-Service-Buckets, der sich in einem anderen AWS Konto befindet?.

So fügen Sie Ihrem Server einen serviceverwalteten Amazon S3-Benutzer hinzu

  1. Öffnen Sie die -AWS Transfer FamilyKonsole unter https://console.aws.amazon.com/transfer/ und wählen Sie dann im Navigationsbereich Server aus.

  2. Aktivieren Sie auf der Seite Server das Kontrollkästchen des Servers, dem Sie einen Benutzer hinzufügen möchten.

  3. Wählen Sie Benutzer hinzufügen.

  4. Geben Sie im Abschnitt Benutzerkonfiguration für Benutzername den Benutzernamen ein. Dieser Benutzername muss mindestens 3 und maximal 100 Zeichen lang sein. Sie können die folgenden Zeichen im Benutzernamen verwenden: a–z, A–Z, 0–9, Unterstrich „_“, Bindestrich „-“, Punkt „.“ und At-Zeichen „@“. Der Benutzername darf nicht mit einem Bindestrich '-', Punkt '.' oder dem At-Zeichen "@" beginnen.

  5. Wählen Sie für Zugriff die zuvor erstellte IAM-Rolle aus, die Zugriff auf Ihren Amazon S3-Bucket bietet.

    Sie haben diese IAM-Rolle in der Prozedur Erstellen Sie eine IAM-Rolle und -Richtlinie erstellt. Diese IAM-Rolle enthält eine IAM-Richtlinie, die Zugriff auf Ihren Amazon S3-Bucket gewährt. Sie enthält zudem eine Vertrauensbeziehung zum AWS Transfer Family-Service, die in einer anderen IAM-Richtlinie definiert ist. Wenn Sie eine differenzierte Zugriffskontrolle für Ihre Benutzer benötigen, lesen Sie den Blogbeitrag Verbessern der Datenzugriffskontrolle mit AWS Transfer Family und Amazon S3.

  6. (Optional) Wählen Sie für Richtlinie eine der folgenden Optionen aus:

    • Keine

    • Bestehende Richtlinie

    • Wählen Sie eine Richtlinie aus IAM aus: Mit können Sie eine vorhandene Sitzungsrichtlinie auswählen. Wählen Sie Anzeigen, um ein JSON-Objekt anzuzeigen, das die Details der Richtlinie enthält.

    • Richtlinie automatisch generieren basierend auf dem Basisordner : generiert eine Sitzungsrichtlinie für Sie. Wählen Sie Anzeigen, um ein JSON-Objekt anzuzeigen, das die Details der Richtlinie enthält.

      Anmerkung

      Wenn Sie Richtlinie basierend auf dem Basisordner automatisch generieren auswählen, wählen Sie für diesen Benutzer nicht Eingeschränkt aus.

    Weitere Informationen zu Sitzungsrichtlinien finden Sie unter Erstellen Sie eine IAM-Rolle und -Richtlinie. Weitere Informationen zum Erstellen einer Sitzungsrichtlinie finden Sie unter Sitzungsrichtlinie für einen Amazon S3 S3-Bucket erstellen.

  7. Wählen Sie für Home directory den Amazon S3-Bucket aus, in dem die Daten gespeichert werden sollen, die mit übertragen werden sollenAWS Transfer Family. Geben Sie den Pfad zu dem home Verzeichnis ein, in dem Ihr Benutzer landet, wenn er sich mit seinem Client anmeldet.

    Wenn Sie diesen Parameter leer lassen, wird das root Verzeichnis Ihres Amazon S3-Buckets verwendet. Stellen Sie in diesem Fall sicher, dass die IAM-Rolle Zugriff auf dieses root-Verzeichnis gewährt.

    Anmerkung

    Wir empfehlen Ihnen, einen Verzeichnispfad zu wählen, der den Benutzernamen des Benutzers enthält, sodass Sie eine Sitzungsrichtlinie effektiv verwenden können. Die Sitzungsrichtlinie beschränkt den Benutzerzugriff im Amazon S3-Bucket auf das home Verzeichnis dieses Benutzers.

  8. (Optional) Aktivieren Sie für Eingeschränkt das Kontrollkästchen, damit Ihre Benutzer nicht auf etwas außerhalb dieses Ordners zugreifen können und den Amazon S3-Bucket oder -Ordnernamen nicht sehen können.

    Anmerkung

    Es sollte ausreichend sein, dem Benutzer ein Stammverzeichnis zuzuweisen und den Benutzer auf dieses Stammverzeichnis zu beschränken, um den Zugriff des Benutzers auf den angegebenen Ordner zu beschränken. Wenn Sie weitere Kontrollen anwenden müssen, verwenden Sie eine Sitzungsrichtlinie.

    Wenn Sie Eingeschränkt für diesen Benutzer auswählen, können Sie Richtlinie basierend auf dem Basisordner nicht automatisch generieren auswählen, da der Basisordner kein definierter Wert für Eingeschränkte Benutzer ist.

  9. Geben Sie für den öffentlichen SSH-Schlüssel den öffentlichen SSH-Schlüsselteil des SSH-Schlüsselpaars ein.

    Der Schlüssel wird vom Service validiert, bevor Sie den neuen Benutzer hinzufügen können.

    Anmerkung

    Anleitungen zum Generieren eines SSH-Schlüsselpaars siehe Generieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer.

  10. (Optional) Geben Sie für Schlüssel und Wert ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie Tag hinzufügen aus.

  11. Wählen Sie Add (Hinzufügen), um den neuen Benutzer dem ausgewählten Server hinzuzufügen.

    Der neue Benutzer wird im Abschnitt Benutzer der Seite Serverdetails angezeigt.

Nächste Schritte – Fahren Sie für den nächsten Schritt mit fortÜbertragung von Dateien über einen Serverendpunkt mit einem Client.

Hinzufügen von serviceverwalteten Amazon-EFS-Benutzern

Amazon EFS verwendet das POSIX-Dateiberechtigungsmodell (Portable Operating System Interface), um den Dateibesitz darzustellen.

So fügen Sie Ihrem Server einen serviceverwalteten Amazon-EFS-Benutzer hinzu

  1. Öffnen Sie die -AWS Transfer FamilyKonsole unter https://console.aws.amazon.com/transfer/ und wählen Sie dann im Navigationsbereich Server aus.

  2. Wählen Sie auf der Seite Server den Amazon-EFS-Server aus, dem Sie einen Benutzer hinzufügen möchten.

  3. Wählen Sie Benutzer hinzufügen, um die Seite Benutzer hinzufügen anzuzeigen.

  4. Verwenden Sie im Abschnitt Benutzerkonfiguration die folgenden Einstellungen.

    1. Der Benutzername muss mindestens 3 und maximal 100 Zeichen lang sein. Sie können die folgenden Zeichen im Benutzernamen verwenden: a–z, A–Z, 0–9, Unterstrich „_“, Bindestrich „-“, Punkt „.“ und At-Zeichen „@“. Der Benutzername darf nicht mit einem Bindestrich '-', Punkt '.' oder dem At-Zeichen "@" beginnen.

    2. Beachten Sie für Benutzer-ID und Gruppen-ID Folgendes:

      • Für den ersten Benutzer, den Sie erstellen, empfehlen wir Ihnen, sowohl für die Gruppen-ID als auch 0 für die Benutzer-ID einen Wert von einzugeben. Dadurch erhalten die Benutzeradministratorrechte für Amazon EFS .

      • Geben Sie für weitere Benutzer die POSIX-Benutzer-ID und die Gruppen-ID des Benutzers ein. Diese IDs werden für alle vom Benutzer ausgeführten Amazon Elastic File System-Operationen verwendet.

      • Verwenden Sie für Benutzer-ID und Gruppen-ID keine führenden Nullen. Beispielsweise 12345 ist akzeptabel, 012345 ist nicht.

    3. (Optional) Geben Sie für sekundäre Gruppen-IDs eine oder mehrere zusätzliche POSIX-Gruppen-IDs für jeden Benutzer ein, getrennt durch Kommas.

    4. Wählen Sie für Zugriff die IAM-Rolle aus, die:

      • Gewährt dem Benutzer nur Zugriff auf die Amazon-EFS-Ressourcen (Dateisysteme), auf die er zugreifen soll.

      • Definiert, welche Dateisystemoperationen der Benutzer ausführen kann und welche nicht.

      Wir empfehlen Ihnen, die IAM-Rolle für die Amazon-EFS-Dateisystemauswahl mit Mount-Zugriff und Lese-/Schreibberechtigungen zu verwenden. Beispielsweise gewährt die Kombination der folgenden beiden AWS verwalteten Richtlinien, obwohl sie ziemlich offen sind, Ihrem Benutzer die erforderlichen Berechtigungen:

      • AmazonElasticFileSystemClientFullAccess

      • AWSTransferConsoleFullAccess

      Weitere Informationen finden Sie im Blogbeitrag AWS Transfer Family Support für Amazon Elastic File System .

    5. Gehen Sie für Home directory wie folgt vor:

      • Wählen Sie das Amazon-EFS-Dateisystem aus, das Sie zum Speichern der zu übertragenden Daten mit verwenden möchtenAWS Transfer Family.

      • Entscheiden Sie, ob das Stammverzeichnis auf Eingeschränkt gesetzt werden soll. Das Festlegen des Stammverzeichnisses auf Eingeschränkt hat die folgenden Auswirkungen:

        • Amazon-EFS-Benutzer können nicht auf Dateien oder Verzeichnisse außerhalb dieses Ordners zugreifen.

        • Amazon-EFS-Benutzer können den Amazon-EFS-Dateisystemnamen (fs-xxxxxxx ) nicht sehen.

          Anmerkung

          Wenn Sie die Option Eingeschränkt auswählen, werden Symlinks für Amazon-EFS-Benutzer nicht aufgelöst.

      • (Optional) Geben Sie den Pfad zum Stammverzeichnis ein, in dem sich Benutzer befinden sollen, wenn sie sich mit ihrem Client anmelden.

        Wenn Sie kein Stammverzeichnis angeben, wird das Stammverzeichnis Ihres Amazon-EFS-Dateisystems verwendet. Stellen Sie in diesem Fall sicher, dass Ihre IAM-Rolle Zugriff auf dieses Stammverzeichnis gewährt.

  5. Geben Sie für den öffentlichen SSH-Schlüssel den öffentlichen SSH-Schlüsselteil des SSH-Schlüsselpaars ein.

    Der Schlüssel wird vom Service validiert, bevor Sie den neuen Benutzer hinzufügen können.

    Anmerkung

    Anleitungen zum Generieren eines SSH-Schlüsselpaars siehe Generieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer.

  6. (Optional) Geben Sie alle Tags für den Benutzer ein. Geben Sie für Schlüssel und Wert ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie Tag hinzufügen aus.

  7. Wählen Sie Add (Hinzufügen), um den neuen Benutzer dem ausgewählten Server hinzuzufügen.

    Der neue Benutzer wird im Abschnitt Benutzer der Seite Serverdetails angezeigt.

Probleme, die beim ersten SFTP zu Ihrem Transfer Family-Server auftreten können:

  • Wenn Sie den sftp Befehl ausführen und die Eingabeaufforderung nicht angezeigt wird, wird möglicherweise die folgende Meldung angezeigt:

    Couldn't canonicalize: Permission denied

    Need cwd

    In diesem Fall müssen Sie die Richtlinienberechtigungen für die Rolle Ihres Benutzers erhöhen. Sie können eine von AWS verwaltete Richtlinie hinzufügen, z. B. AmazonElasticFileSystemClientFullAccess.

  • Wenn Sie pwd an der sftp Eingabeaufforderung eingeben, um das Stammverzeichnis des Benutzers anzuzeigen, wird möglicherweise die folgende Meldung angezeigt, wobei USER-HOME-DIRECTORY das Stammverzeichnis für den SFTP-Benutzer ist:

    remote readdir("/USER-HOME-DIRECTORY"): No such file or directory

    In diesem Fall sollten Sie zum übergeordneten Verzeichnis (cd ..) navigieren und das Stammverzeichnis (mkdir username) des Benutzers erstellen können.

Nächste Schritte – Fahren Sie für den nächsten Schritt mit fortÜbertragung von Dateien über einen Serverendpunkt mit einem Client.

Verwalten von serviceverwalteten Benutzern

In diesem Abschnitt finden Sie Informationen zum Anzeigen einer Liste von Benutzern, zum Bearbeiten von Benutzerdetails und zum Hinzufügen eines öffentlichen SSH-Schlüssels.

So finden Sie eine Liste Ihrer Benutzer

  1. Öffnen Sie die -AWS Transfer FamilyKonsole unter https://console.aws.amazon.com/transfer/.

  2. Wählen Sie im Navigationsbereich Server aus, um die Seite Server anzuzeigen.

  3. Wählen Sie die Kennung in der Spalte Server-ID aus, um die Seite Serverdetails anzuzeigen.

  4. Zeigen Sie unter Benutzer eine Liste von Benutzern an.

So zeigen Sie Benutzerdetails an oder bearbeiten sie

  1. Öffnen Sie die -AWS Transfer FamilyKonsole unter https://console.aws.amazon.com/transfer/.

  2. Wählen Sie im Navigationsbereich Server aus, um die Seite Server anzuzeigen.

  3. Wählen Sie die Kennung in der Spalte Server-ID aus, um die Seite Serverdetails anzuzeigen.

  4. Wählen Sie unter Benutzer einen Benutzernamen aus, um die Seite Benutzerdetails anzuzeigen.

    Sie können die Eigenschaften des Benutzers auf dieser Seite ändern, indem Sie Bearbeiten auswählen.

  5. Wählen Sie auf der Seite Benutzerdetails neben Benutzerkonfiguration die Option Bearbeiten aus.

    Bild, das den Bildschirm zum Bearbeiten der Konfiguration eines Benutzers zeigt

  6. Wählen Sie auf der Seite Konfiguration bearbeiten für Zugriff die zuvor erstellte IAM-Rolle aus, die Zugriff auf Ihren Amazon S3-Bucket bietet.

    Sie haben diese IAM-Rolle in der Prozedur Erstellen Sie eine IAM-Rolle und -Richtlinie erstellt. Diese IAM-Rolle enthält eine IAM-Richtlinie, die Zugriff auf Ihren Amazon S3-Bucket ermöglicht. Sie enthält zudem eine Vertrauensbeziehung zum AWS Transfer Family-Service, die in einer anderen IAM-Richtlinie definiert ist.

  7. (Optional) Wählen Sie für Richtlinie eine der folgenden Optionen aus:

    • Keine

    • Bestehende Richtlinie

    • Wählen Sie eine Richtlinie aus IAM aus, um eine vorhandene Richtlinie auszuwählen. Wählen Sie Anzeigen, um ein JSON-Objekt anzuzeigen, das die Details der Richtlinie enthält.

    Weitere Informationen zu Sitzungsrichtlinien finden Sie unter Erstellen Sie eine IAM-Rolle und -Richtlinie. Weitere Informationen zum Erstellen einer Sitzungsrichtlinie finden Sie unter Sitzungsrichtlinie für einen Amazon S3 S3-Bucket erstellen.

  8. Wählen Sie für Home directory den Amazon S3-Bucket aus, in dem die Daten gespeichert werden sollen, die mit übertragen werden sollenAWS Transfer Family. Geben Sie den Pfad zu dem home Verzeichnis ein, in dem Ihr Benutzer landet, wenn er sich mit seinem Client anmeldet.

    Wenn Sie diesen Parameter leer lassen, wird das root Verzeichnis Ihres Amazon S3-Buckets verwendet. Stellen Sie in diesem Fall sicher, dass die IAM-Rolle Zugriff auf dieses root-Verzeichnis gewährt.

    Anmerkung

    Wir empfehlen Ihnen, einen Verzeichnispfad zu wählen, der den Benutzernamen des Benutzers enthält, sodass Sie eine Sitzungsrichtlinie effektiv verwenden können. Die Sitzungsrichtlinie beschränkt den Benutzerzugriff im Amazon S3-Bucket auf das home Verzeichnis dieses Benutzers.

  9. (Optional) Aktivieren Sie für Eingeschränkt das Kontrollkästchen, damit Ihre Benutzer nicht auf etwas außerhalb dieses Ordners zugreifen können und den Amazon S3-Bucket oder Ordnernamen nicht sehen können.

    Anmerkung

    Wenn Sie dem Benutzer ein Stammverzeichnis zuweisen und den Benutzer auf dieses Stammverzeichnis beschränken, sollte dies ausreichend sein, um den Zugriff des Benutzers auf den angegebenen Ordner zu beschränken. Verwenden Sie eine Sitzungsrichtlinie, wenn Sie weitere Kontrollen anwenden müssen.

  10. Wählen Sie Speichern, um Ihre Änderungen zu speichern.

Benutzer löschen

  1. Öffnen Sie die -AWS Transfer FamilyKonsole unter https://console.aws.amazon.com/transfer/.

  2. Wählen Sie im Navigationsbereich Server aus, um die Seite Server anzuzeigen.

  3. Wählen Sie die Kennung in der Spalte Server-ID aus, um die Seite Serverdetails anzuzeigen.

  4. Wählen Sie unter Benutzer einen Benutzernamen aus, um die Seite Benutzerdetails anzuzeigen.

  5. Wählen Sie auf der Seite Benutzerdetails rechts neben dem Benutzernamen Löschen aus.

  6. Geben Sie im daraufhin angezeigten Bestätigungsdialogfeld das Wort ein und wählen Sie dann Löschendelete, um zu bestätigen, dass Sie den Benutzer löschen möchten.

Der Benutzer wird aus der Benutzerliste gelöscht.

So fügen Sie einen öffentlichen SSH-Schlüssel für einen Benutzer hinzu

  1. Öffnen Sie die -AWS Transfer FamilyKonsole unter https://console.aws.amazon.com/transfer/.

  2. Klicken Sie im Navigationsbereich auf Servers (Server).

  3. Wählen Sie die Kennung in der Spalte Server-ID aus, um die Seite Serverdetails anzuzeigen.

  4. Wählen Sie unter Benutzer einen Benutzernamen aus, um die Seite Benutzerdetails anzuzeigen.

  5. Wählen Sie Add SSH public key (Öffentlichen SSH-Schlüssel hinzufügen), um einem Benutzer einen neuen öffentlichen SSH-Schlüssel hinzuzufügen.

    Anmerkung

    SSH-Schlüssel werden nur von Servern verwendet, die für Secure Shell (SSH) File Transfer Protocol (SFTP) aktiviert sind. Informationen zum Generieren eines SSH-Schlüsselpaars finden Sie unter Generieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer.

  6. Geben Sie für SSH public key (Öffentlicher SSH-Schlüssel) den öffentlichen SSH-Schlüssel des SSH-Schlüsselpaars ein.

    Der Schlüssel wird vom Service validiert, bevor Sie den neuen Benutzer hinzufügen können. Das Format des SSH-Schlüssels lautet ssh-rsa string. Informationen zum Generieren eines SSH-Schlüsselpaars finden Sie unter Generieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer.

  7. Wählen Sie Schlüssel hinzufügen.

So löschen Sie einen öffentlichen SSH-Schlüssel für einen Benutzer

  1. Öffnen Sie die -AWS Transfer FamilyKonsole unter https://console.aws.amazon.com/transfer/.

  2. Klicken Sie im Navigationsbereich auf Servers (Server).

  3. Wählen Sie die Kennung in der Spalte Server-ID aus, um die Seite Serverdetails anzuzeigen.

  4. Wählen Sie unter Benutzer einen Benutzernamen aus, um die Seite Benutzerdetails anzuzeigen.

  5. Um einen öffentlichen Schlüssel zu löschen, aktivieren Sie das Kontrollkästchen SSH-Schlüssel und wählen Sie Löschen aus.