Arbeiten mit Benutzern, die vom Dienst verwaltet werden - AWS Transfer Family

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit Benutzern, die vom Dienst verwaltet werden

Sie können Ihrem Server entweder vom Service verwaltete Amazon S3- oder Amazon EFS-Benutzer hinzufügen, abhängig von der Domain-Einstellung des Servers. Weitere Informationen finden Sie unter Konfiguration eines SFTP-, FTPS- oder FTP-Serverendpunkts.

Wenn Sie einen vom Dienst verwalteten Identitätstyp verwenden, fügen Sie Benutzer zu Ihrem Server hinzu, auf dem das File Transfer Protocol aktiviert ist. Dabei muss jeder Benutzername auf Ihrem Server einzigartig sein.

Informationen zum programmgesteuerten Hinzufügen eines vom Service verwalteten Benutzers finden Sie im Beispiel für die API. CreateUser

Anmerkung

Für Benutzer, die vom Service verwaltet werden, gilt eine Obergrenze von 2.000 logischen Verzeichniseinträgen. Hinweise zur Verwendung logischer Verzeichnisse finden Sie unterVerwendung logischer Verzeichnisse zur Vereinfachung Ihrer Transfer Family Family-Verzeichnisstrukturen.

Hinzufügen von vom Service verwalteten Amazon S3-Benutzern

Anmerkung

Wenn Sie einen kontoübergreifenden Amazon S3 S3-Bucket konfigurieren möchten, folgen Sie den Schritten in diesem Knowledge Center-Artikel: Wie konfiguriere ich meinen AWS Transfer Family Server für die Verwendung eines Amazon Simple Storage Service-Buckets, der sich in einem anderen AWS Konto befindet? .

So fügen Sie Ihrem Server einen vom Service verwalteten Amazon S3 S3-Benutzer hinzu
  1. Öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/und wählen Sie dann im Navigationsbereich Server aus.

  2. Aktivieren Sie auf der Seite Server das Kontrollkästchen des Servers, zu dem Sie einen Benutzer hinzufügen möchten.

  3. Wählen Sie Benutzer hinzufügen.

  4. Geben Sie im Abschnitt Benutzerkonfiguration für Benutzername den Benutzernamen ein. Dieser Benutzername muss mindestens 3 und maximal 100 Zeichen lang sein. Sie können die folgenden Zeichen im Benutzernamen verwenden: a—z, A-Z, 0—9, Unterstrich '_', Bindestrich '-', Punkt '.' und das Zeichen '@'. Der Benutzername darf nicht mit einem Bindestrich '-', einem Punkt '.' oder einem Zeichen '@' beginnen.

  5. Wählen Sie für Access die IAM-Rolle aus, die Sie zuvor erstellt haben und die Zugriff auf Ihren Amazon S3 S3-Bucket bietet.

    Sie haben diese IAM-Rolle in der Prozedur Erstellen Sie eine IAM-Rolle und -Richtlinie erstellt. Diese IAM-Rolle beinhaltet eine IAM-Richtlinie, die den Zugriff auf Ihren Amazon S3 S3-Bucket ermöglicht. Dazu gehört auch eine Vertrauensbeziehung mit dem AWS Transfer Family Service, die in einer anderen IAM-Richtlinie definiert ist. Wenn Sie eine detaillierte Zugriffskontrolle für Ihre Benutzer benötigen, lesen Sie den Blogbeitrag Enhance data access control with AWS Transfer Family and Amazon S3.

  6. (Optional) Wählen Sie unter Richtlinie eine der folgenden Optionen aus:

    • Keine

    • Bestehende Richtlinie

    • Wählen Sie eine Richtlinie aus IAM aus: Ermöglicht die Auswahl einer vorhandenen Sitzungsrichtlinie. Wählen Sie Ansicht, um ein JSON-Objekt mit den Details der Richtlinie anzuzeigen.

    • Richtlinie automatisch auf Basis des Basisordners generieren: Generiert eine Sitzungsrichtlinie für Sie. Wählen Sie Ansicht, um ein JSON-Objekt mit den Details der Richtlinie anzuzeigen.

      Anmerkung

      Wenn Sie die Option Richtlinie auf Basis des Basisordners automatisch generieren wählen, wählen Sie für diesen Benutzer nicht die Option Eingeschränkt aus.

    Weitere Informationen zu Sitzungsrichtlinien finden Sie unter Erstellen Sie eine IAM-Rolle und -RichtlinieSitzungsrichtlinie für einen Amazon S3 S3-Bucket erstellen, oderDynamische Ansätze zur Rechteverwaltung.

  7. Wählen Sie für das Home-Verzeichnis den Amazon S3 S3-Bucket aus, in dem die zu übertragenden Daten gespeichert AWS Transfer Family werden sollen. Geben Sie den Pfad zu dem home Verzeichnis ein, in dem Ihr Benutzer landet, wenn er sich mit seinem Client anmeldet.

    Wenn Sie diesen Parameter leer lassen, wird das root Verzeichnis Ihres Amazon S3 S3-Buckets verwendet. Stellen Sie in diesem Fall sicher, dass die IAM-Rolle Zugriff auf dieses root-Verzeichnis gewährt.

    Anmerkung

    Wir empfehlen Ihnen, einen Verzeichnispfad zu wählen, der den Benutzernamen des Benutzers enthält, sodass Sie eine Sitzungsrichtlinie effektiv verwenden können. Die Sitzungsrichtlinie beschränkt den Benutzerzugriff im Amazon S3 S3-Bucket auf das home Verzeichnis dieses Benutzers.

  8. (Optional) Aktivieren Sie für Eingeschränkt das Kontrollkästchen, sodass Ihre Benutzer auf nichts außerhalb dieses Ordners zugreifen können und den Amazon S3 S3-Bucket- oder Ordnernamen nicht sehen können.

    Anmerkung

    Dem Benutzer ein Home-Verzeichnis zuzuweisen und den Benutzer auf dieses Home-Verzeichnis zu beschränken, sollte ausreichen, um den Zugriff des Benutzers auf den angegebenen Ordner zu sperren. Wenn Sie weitere Kontrollen anwenden müssen, verwenden Sie eine Sitzungsrichtlinie.

    Wenn Sie für diesen Benutzer die Option Eingeschränkt auswählen, können Sie die Option Richtlinie automatisch auf Basis des Basisordners generieren nicht auswählen, da der Basisordner kein definierter Wert für Benutzer mit eingeschränkten Rechten ist.

  9. Geben Sie für den öffentlichen SSH-Schlüssel den öffentlichen SSH-Schlüsselteil des SSH-Schlüsselpaars key pair.

    Der Schlüssel wird vom Service validiert, bevor Sie den neuen Benutzer hinzufügen können.

    Anmerkung

    Anleitungen zum Generieren eines SSH-Schlüsselpaars siehe Generieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer.

  10. (Optional) Geben Sie für Schlüssel und Wert ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie Tag hinzufügen aus.

  11. Wählen Sie Add (Hinzufügen), um den neuen Benutzer dem ausgewählten Server hinzuzufügen.

    Der neue Benutzer wird auf der Seite mit den Serverdetails im Bereich Benutzer angezeigt.

Nächste Schritte — Fahren Sie für den nächsten Schritt fort mitÜbertragung von Dateien über einen Serverendpunkt mit einem Client.

Hinzufügen von vom Service verwalteten Amazon EFS-Benutzern

Amazon EFS verwendet das POSIX-Dateiberechtigungsmodell (Portable Operating System Interface), um den Dateibesitz darzustellen.

So fügen Sie Ihrem Server einen vom Amazon EFS Service verwalteten Benutzer hinzu
  1. Öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/und wählen Sie dann im Navigationsbereich Server aus.

  2. Wählen Sie auf der Seite Server den Amazon EFS-Server aus, zu dem Sie einen Benutzer hinzufügen möchten.

  3. Wählen Sie Benutzer hinzufügen, um die Seite Benutzer hinzufügen anzuzeigen.

  4. Verwenden Sie im Abschnitt Benutzerkonfiguration die folgenden Einstellungen.

    1. Der Benutzername muss mindestens 3 und maximal 100 Zeichen lang sein. Sie können die folgenden Zeichen im Benutzernamen verwenden: a—z, A-Z, 0—9, Unterstrich '_', Bindestrich '-', Punkt ' . 'und beim Zeichen „@“. Der Benutzername darf nicht mit einem Bindestrich '-' oder Punkt 'beginnen . ', oder beim Zeichen „@“.

    2. Beachten Sie bei Benutzer-ID und Gruppen-ID Folgendes:

      • Für den ersten Benutzer, den Sie erstellen, empfehlen wir, den Wert sowohl 0 für die Gruppen-ID als auch für die Benutzer-ID einzugeben. Dadurch werden dem Benutzer Administratorrechte für Amazon EFS gewährt.

      • Geben Sie für weitere Benutzer die POSIX-Benutzer-ID und die Gruppen-ID des Benutzers ein. Diese IDs werden für alle vom Benutzer ausgeführten Amazon Elastic File System-Operationen verwendet.

      • Verwenden Sie für Benutzer-ID und Gruppen-ID keine führenden Nullen. Zum Beispiel 12345 ist akzeptabel, 012345 ist nicht.

    3. (Optional) Geben Sie für Secondary Group IDs eine oder mehrere zusätzliche POSIX-Gruppen IDs für jeden Benutzer ein, getrennt durch Kommas.

    4. Wählen Sie für Access die IAM-Rolle aus, die:

      • Gewährt dem Benutzer nur Zugriff auf die Amazon EFS-Ressourcen (Dateisysteme), auf die er zugreifen soll.

      • Definiert, welche Dateisystemoperationen der Benutzer ausführen kann und welche nicht.

      Wir empfehlen, dass Sie die IAM-Rolle für die Auswahl des Amazon EFS-Dateisystems mit Bereitstellungszugriff und read/write -berechtigungen verwenden. Die Kombination der folgenden beiden AWS verwalteten Richtlinien ist zwar recht freizügig, gewährt Ihrem Benutzer jedoch die erforderlichen Berechtigungen:

      • AmazonElasticFileSystemClientFullAccess

      • AWSTransferConsoleFullAccess

      Weitere Informationen finden Sie im Blogbeitrag AWS Transfer Family Unterstützung für Amazon Elastic File System.

    5. Gehen Sie für das Home-Verzeichnis wie folgt vor:

      • Wählen Sie das Amazon EFS-Dateisystem aus, das Sie zum Speichern der zu übertragenden Daten verwenden möchten AWS Transfer Family.

      • Entscheiden Sie, ob Sie das Home-Verzeichnis auf Eingeschränkt setzen möchten. Das Setzen des Home-Verzeichnisses auf Eingeschränkt hat folgende Auswirkungen:

        • Amazon EFS-Benutzer können auf keine Dateien oder Verzeichnisse außerhalb dieses Ordners zugreifen.

        • Amazon EFS-Benutzer können den Namen des Amazon EFS-Dateisystems (fs-xxxxxxx) nicht sehen.

          Anmerkung

          Wenn Sie die Option Eingeschränkt auswählen, werden Symlinks für Amazon EFS-Benutzer nicht aufgelöst.

      • (Optional) Geben Sie den Pfad zu dem Basisverzeichnis ein, in dem sich Benutzer befinden sollen, wenn sie sich mit ihrem Client anmelden.

        Wenn Sie kein Home-Verzeichnis angeben, wird das Stammverzeichnis Ihres Amazon EFS-Dateisystems verwendet. Stellen Sie in diesem Fall sicher, dass Ihre IAM-Rolle Zugriff auf dieses Stammverzeichnis bietet.

  5. Geben Sie für den öffentlichen SSH-Schlüssel den öffentlichen SSH-Schlüsselteil des SSH-Schlüsselpaars key pair.

    Der Schlüssel wird vom Service validiert, bevor Sie den neuen Benutzer hinzufügen können.

    Anmerkung

    Anleitungen zum Generieren eines SSH-Schlüsselpaars siehe Generieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer.

  6. (Optional) Geben Sie beliebige Tags für den Benutzer ein. Geben Sie für Schlüssel und Wert ein oder mehrere Tags als Schlüssel-Wert-Paare ein und wählen Sie Tag hinzufügen aus.

  7. Wählen Sie Add (Hinzufügen), um den neuen Benutzer dem ausgewählten Server hinzuzufügen.

    Der neue Benutzer wird auf der Seite mit den Serverdetails im Bereich Benutzer angezeigt.

Probleme, die auftreten können, wenn Sie zum ersten Mal SFTP zu Ihrem Transfer Family Family-Server verwenden:

  • Wenn Sie den sftp Befehl ausführen und die Eingabeaufforderung nicht angezeigt wird, wird möglicherweise die folgende Meldung angezeigt:

    Couldn't canonicalize: Permission denied

    Need cwd

    In diesem Fall müssen Sie die Richtlinienberechtigungen für die Rolle Ihres Benutzers erhöhen. Sie können eine AWS verwaltete Richtlinie hinzufügen, z. AmazonElasticFileSystemClientFullAccess B.

  • Wenn Sie pwd an der sftp Eingabeaufforderung das Home-Verzeichnis des Benutzers aufrufen, wird möglicherweise die folgende Meldung angezeigt, in der USER-HOME-DIRECTORY es um das Home-Verzeichnis für den SFTP-Benutzer geht:

    remote readdir("/USER-HOME-DIRECTORY"): No such file or directory

    In diesem Fall sollten Sie in der Lage sein, zum übergeordneten Verzeichnis (cd ..) zu navigieren und das Home-Verzeichnis des Benutzers zu erstellen (mkdir username).

Nächste Schritte — Fahren Sie für den nächsten Schritt fort mitÜbertragung von Dateien über einen Serverendpunkt mit einem Client.

Verwaltung von Benutzern, die vom Service verwaltet werden

In diesem Abschnitt finden Sie Informationen zum Anzeigen einer Benutzerliste, zum Bearbeiten von Benutzerdetails und zum Hinzufügen eines öffentlichen SSH-Schlüssels.

Um eine Liste Ihrer Benutzer zu finden
  1. Öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/.

  2. Wählen Sie im Navigationsbereich Server aus, um die Seite Server anzuzeigen.

  3. Wählen Sie den Bezeichner in der Spalte Server-ID aus, um die Seite mit den Serverdetails aufzurufen.

  4. Sehen Sie sich unter Benutzer eine Liste der Benutzer an.

Um Benutzerdetails anzuzeigen oder zu bearbeiten
  1. Öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/.

  2. Wählen Sie im Navigationsbereich Server aus, um die Seite Server anzuzeigen.

  3. Wählen Sie den Bezeichner in der Spalte Server-ID aus, um die Seite mit den Serverdetails aufzurufen.

  4. Wählen Sie unter Benutzer einen Benutzernamen aus, um die Seite mit den Benutzerdetails aufzurufen.

    Sie können die Eigenschaften des Benutzers auf dieser Seite ändern, indem Sie Bearbeiten wählen.

  5. Wählen Sie auf der Seite mit den Benutzerdetails neben Benutzerkonfiguration die Option Bearbeiten aus.

    Das Bild zeigt den Bildschirm zum Bearbeiten der Benutzerkonfiguration
  6. Wählen Sie auf der Seite Konfiguration bearbeiten für Access die IAM-Rolle aus, die Sie zuvor erstellt haben und die Zugriff auf Ihren Amazon S3 S3-Bucket bietet.

    Sie haben diese IAM-Rolle in der Prozedur Erstellen Sie eine IAM-Rolle und -Richtlinie erstellt. Diese IAM-Rolle beinhaltet eine IAM-Richtlinie, die den Zugriff auf Ihren Amazon S3 S3-Bucket ermöglicht. Dazu gehört auch eine Vertrauensbeziehung mit dem AWS Transfer Family Service, die in einer anderen IAM-Richtlinie definiert ist.

  7. (Optional) Wählen Sie für Policy eine der folgenden Optionen aus:

    • Keine

    • Bestehende Richtlinie

    • Wählen Sie eine Richtlinie aus IAM aus, um eine bestehende Richtlinie auszuwählen. Wählen Sie Ansicht, um ein JSON-Objekt mit den Details der Richtlinie anzuzeigen.

    Weitere Informationen zu Sitzungsrichtlinien finden Sie unterErstellen Sie eine IAM-Rolle und -Richtlinie. Weitere Informationen zum Erstellen einer Sitzungsrichtlinie finden Sie unterSitzungsrichtlinie für einen Amazon S3 S3-Bucket erstellen.

  8. Wählen Sie für das Home-Verzeichnis den Amazon S3 S3-Bucket aus, in dem die zu übertragenden Daten gespeichert AWS Transfer Family werden sollen. Geben Sie den Pfad zu dem home Verzeichnis ein, in dem Ihr Benutzer landet, wenn er sich mit seinem Client anmeldet.

    Wenn Sie diesen Parameter leer lassen, wird das root Verzeichnis Ihres Amazon S3 S3-Buckets verwendet. Stellen Sie in diesem Fall sicher, dass die IAM-Rolle Zugriff auf dieses root-Verzeichnis gewährt.

    Anmerkung

    Wir empfehlen Ihnen, einen Verzeichnispfad zu wählen, der den Benutzernamen des Benutzers enthält, sodass Sie eine Sitzungsrichtlinie effektiv verwenden können. Die Sitzungsrichtlinie beschränkt den Benutzerzugriff im Amazon S3 S3-Bucket auf das home Verzeichnis dieses Benutzers.

  9. (Optional) Aktivieren Sie für Eingeschränkt das Kontrollkästchen, sodass Ihre Benutzer auf nichts außerhalb dieses Ordners zugreifen können und den Amazon S3 S3-Bucket- oder Ordnernamen nicht sehen können.

    Anmerkung

    Wenn Sie dem Benutzer ein Home-Verzeichnis zuweisen und den Benutzer auf dieses Home-Verzeichnis beschränken, sollte dies ausreichen, um den Zugriff des Benutzers auf den angegebenen Ordner zu sperren. Verwenden Sie eine Sitzungsrichtlinie, wenn Sie weitere Kontrollen vornehmen müssen.

  10. Wählen Sie Speichern, um Ihre Änderungen zu speichern.

Benutzer löschen
  1. Öffnen Sie die AWS Transfer Family Konsole unter https://console.aws.amazon.com/transfer/.

  2. Wählen Sie im Navigationsbereich Server aus, um die Seite Server anzuzeigen.

  3. Wählen Sie den Bezeichner in der Spalte Server-ID aus, um die Seite mit den Serverdetails aufzurufen.

  4. Wählen Sie unter Benutzer einen Benutzernamen aus, um die Seite mit den Benutzerdetails aufzurufen.

  5. Wählen Sie auf der Seite mit den Benutzerdetails rechts neben dem Benutzernamen die Option Löschen aus.

  6. Geben Sie im daraufhin angezeigten Bestätigungsdialogfeld das Wort ein und wählen Sie dann Löschen delete, um zu bestätigen, dass Sie den Benutzer löschen möchten.

Der Benutzer wird aus der Benutzerliste gelöscht.

Um einen öffentlichen SSH-Schlüssel für einen Benutzer hinzuzufügen
  1. Öffnen Sie die AWS Transfer Family Konsole unter. https://console.aws.amazon.com/transfer/

  2. Klicken Sie im Navigationsbereich auf Servers (Server).

  3. Wählen Sie den Bezeichner in der Spalte Server-ID aus, um die Seite mit den Serverdetails aufzurufen.

  4. Wählen Sie unter Benutzer einen Benutzernamen aus, um die Seite mit den Benutzerdetails aufzurufen.

  5. Wählen Sie Add SSH public key (Öffentlichen SSH-Schlüssel hinzufügen), um einem Benutzer einen neuen öffentlichen SSH-Schlüssel hinzuzufügen.

    Anmerkung

    SSH-Schlüssel werden nur von Servern verwendet, die für Secure Shell (SSH) File Transfer Protocol (SFTP) aktiviert sind. Hinweise zum Generieren eines SSH-Schlüsselpaars finden Sie unterGenerieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer.

  6. Geben Sie für SSH public key (Öffentlicher SSH-Schlüssel) den öffentlichen SSH-Schlüssel des SSH-Schlüsselpaars ein.

    Der Schlüssel wird vom Service validiert, bevor Sie den neuen Benutzer hinzufügen können. Das Format des SSH-Schlüssels lautet ssh-rsa string. Informationen zum Generieren eines SSH-Schlüsselpaars finden Sie unterGenerieren Sie SSH-Schlüssel für vom Service verwaltete Benutzer.

  7. Wählen Sie Schlüssel hinzufügen.

So löschen Sie einen öffentlichen SSH-Schlüssel für einen Benutzer
  1. Öffnen Sie die AWS Transfer Family Konsole unter. https://console.aws.amazon.com/transfer/

  2. Klicken Sie im Navigationsbereich auf Servers (Server).

  3. Wählen Sie den Bezeichner in der Spalte Server-ID aus, um die Seite mit den Serverdetails aufzurufen.

  4. Wählen Sie unter Benutzer einen Benutzernamen aus, um die Seite mit den Benutzerdetails aufzurufen.

  5. Um einen öffentlichen Schlüssel zu löschen, aktivieren Sie das entsprechende Kontrollkästchen für den SSH-Schlüssel und wählen Sie Löschen aus.