CreateAccess - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

CreateAccess

Utilizado por los administradores para elegir qué grupos del directorio deben tener acceso para cargar y descargar archivos a través de los protocolos habilitados que utilizan AWS Transfer Family. Por ejemplo, un Active Directory de Microsoft puede contener 50 000 usuarios, pero es posible que solo una pequeña fracción necesite la capacidad de transferir archivos al servidor. Un administrador puede utilizar CreateAccess para limitar el acceso al conjunto correcto de usuarios que necesiten esta capacidad.

Sintaxis de la solicitud

{ "ExternalId": "string", "HomeDirectory": "string", "HomeDirectoryMappings": [ { "Entry": "string", "Target": "string", "Type": "string" } ], "HomeDirectoryType": "string", "Policy": "string", "PosixProfile": { "Gid": number, "SecondaryGids": [ number ], "Uid": number }, "Role": "string", "ServerId": "string" }

Parámetros de la solicitud

Para obtener información sobre los parámetros comunes a todas las acciones, consulte Parámetros comunes.

La solicitud acepta los siguientes datos en JSON formato.

ExternalId

Un identificador único que se requiere para identificar grupos específicos dentro de su directorio. Los usuarios del grupo que asocie tienen acceso a sus EFS recursos de Amazon S3 o Amazon a través de los protocolos habilitados que utilizan AWS Transfer Family. Si conoce el nombre del grupo, puede ver los SID valores ejecutando el siguiente comando en Windows PowerShell.

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

En ese comando, YourGroupNamesustitúyalo por el nombre del grupo de Active Directory.

La expresión regular utilizada para validar este parámetro es una cadena de caracteres compuesta de caracteres alfanuméricos en mayúscula y minúscula, sin espacios. También puede incluir guiones bajos y cualquiera de los siguientes caracteres: =,.@:/-

Tipo: cadena

Limitaciones de longitud: longitud mínima de 1. La longitud máxima es de 256 caracteres.

Patrón: S-1-[\d-]+

Obligatorio: sí

HomeDirectory

Directorio de destino (carpeta) de un usuario cuando inicia sesión en el servidor a través del cliente.

Un ejemplo de HomeDirectory es /bucket_name/home/mydirectory.

nota

El parámetro HomeDirectory solo se utiliza si HomeDirectoryType está establecido en PATH.

Tipo: cadena

Limitaciones de longitud: longitud mínima de 0. La longitud máxima es de 1024 caracteres.

Patrón: (|/.*)

Obligatorio: no

HomeDirectoryMappings

Asignaciones de directorios lógicos que especifican qué EFS rutas y claves de Amazon S3 o Amazon deben estar visibles para el usuario y cómo desea hacerlas visibles. Debe especificar el Target par Entry y, donde se Entry muestra cómo se hace visible la ruta y Target es la EFS ruta real de Amazon S3 o Amazon. Si solo especifica un destino, se muestra tal cual. También debes asegurarte de que tu rol AWS Identity and Access Management (IAM) proporciona acceso a las rutas de entradaTarget. Este valor solo se puede establecer si HomeDirectoryType está establecido en LOGICAL.

Lo siguiente es un ejemplo del par Entry y Target.

[ { "Entry": "/directory1", "Target": "/bucket_name/home/mydirectory" } ]

En la mayoría de los casos, puede utilizar este valor en lugar de la política de sesión para limitar al usuario al directorio de inicio designado (“chroot”). Para ello, puede establecer Entry en /, y Target al valor del parámetro HomeDirectory.

A continuación, se muestra un ejemplo del par Entry y Target para chroot.

[ { "Entry": "/", "Target": "/bucket_name/home/mydirectory" } ]

Tipo: matriz de objetos HomeDirectoryMapEntry

Miembros de la matriz: número mínimo de 1 artículo. Número máximo de 50000 artículos.

Obligatorio: no

HomeDirectoryType

El tipo de directorio de destino (carpeta) que quiere utilizar como directorio de inicio de los usuarios cuando inicien sesión en el servidor. Si lo configuras enPATH, el usuario verá el bucket absoluto de Amazon S3 o la EFS ruta de Amazon tal como están en sus clientes de protocolo de transferencia de archivos. Si lo configuras enLOGICAL, tendrás que proporcionar mapeos en la HomeDirectoryMappings forma en que deseas que Amazon S3 o Amazon EFS paths sean visibles para tus usuarios.

nota

Si HomeDirectoryType es LOGICAL, debe proporcionar las asignaciones mediante el parámetro HomeDirectoryMappings. Si, por el contrario, HomeDirectoryType es PATH, se proporciona una ruta absoluta mediante el parámetro HomeDirectory. No puede tener HomeDirectory y HomeDirectoryMappings en su plantilla.

Tipo: cadena

Valores válidos: PATH | LOGICAL

Obligatorio: no

Policy

Una política de sesión para su usuario, de modo que pueda usar el mismo rol AWS Identity and Access Management (IAM) en varios usuarios. Esta política reduce el ámbito de acceso de un usuario a partes de su bucket de Amazon S3. Entre las variables que puede utilizar dentro de esta política se incluyen ${Transfer:UserName}, ${Transfer:HomeDirectory} y ${Transfer:HomeBucket}.

nota

Esta política se aplica solo cuando el dominio de ServerId es Amazon S3. Amazon EFS no utiliza políticas de sesión.

En el caso de las políticas de sesión, AWS Transfer Family almacena la política como un JSON blob, en lugar del nombre de recurso de Amazon (ARN) de la política. La política se guarda como un JSON blob y se pasa al Policy argumento.

Para ver un ejemplo de una política de sesión, consulte Example session policy (Ejemplo de política de sesión).

Para obtener más información, consulte AssumeRolela AWS Security Token Service APIReferencia.

Tipo: cadena

Limitaciones de longitud: longitud mínima de 0 caracteres. La longitud máxima es de 2048 caracteres.

Obligatorio: no

PosixProfile

La POSIX identidad completa, incluidos el ID de usuario (Uid), el ID de grupo (Gid) y cualquier grupo secundario IDs (SecondaryGids), que controla el acceso de los usuarios a los sistemas de EFS archivos de Amazon. Los POSIX permisos que se establecen en los archivos y directorios de su sistema de archivos determinan el nivel de acceso que obtienen sus usuarios al transferir archivos dentro y fuera de sus sistemas de EFS archivos de Amazon.

Tipo: objeto PosixProfile

Obligatorio: no

Role

El nombre del recurso de Amazon (ARN) del rol AWS Identity and Access Management (IAM) que controla el acceso de los usuarios al bucket de Amazon S3 o al sistema de EFS archivos de Amazon. Las políticas asociadas a esta función determinan el nivel de acceso que desea proporcionar a sus usuarios al transferir archivos desde y hacia su bucket de Amazon S3 o sistema de EFS archivos de Amazon. El IAM rol también debe contener una relación de confianza que permita al servidor acceder a sus recursos cuando atienda las solicitudes de transferencia de los usuarios.

Tipo: cadena

Limitaciones de longitud: longitud mínima de 20. La longitud máxima es de 2048 caracteres.

Patrón: arn:.*role/\S+

Obligatorio: sí

ServerId

Identificador único asignado por el sistema para una instancia del servidor. Este es el servidor específico al que ha agregado el usuario.

Tipo: cadena

Limitaciones de longitud: longitud fija de 19.

Patrón: s-([0-9a-f]{17})

Obligatorio: sí

Sintaxis de la respuesta

{ "ExternalId": "string", "ServerId": "string" }

Elementos de respuesta

Si la acción se realiza correctamente, el servicio devuelve una respuesta de HTTP 200.

El servicio devuelve los siguientes datos en JSON formato.

ExternalId

El identificador externo del grupo cuyos usuarios tienen acceso a sus EFS recursos de Amazon S3 o Amazon a través de los protocolos habilitados que utilizan AWS Transfer Family.

Tipo: cadena

Limitaciones de longitud: longitud mínima de 1. La longitud máxima es de 256 caracteres.

Patrón: S-1-[\d-]+

ServerId

El ID del servidor al que se asocia el usuario.

Tipo: cadena

Limitaciones de longitud: longitud fija de 19.

Patrón: s-([0-9a-f]{17})

Errores

Para obtener información acerca de los errores comunes a todas las acciones, consulte Errores comunes.

InternalServiceError

Esta excepción se produce cuando se produce un error en el AWS Transfer Family servicio.

HTTPCódigo de estado: 500

InvalidRequestException

Esta excepción se produce cuando el cliente envía una solicitud con un formato incorrecto.

HTTPCódigo de estado: 400

ResourceExistsException

El recurso solicitado no existe o existe en una región distinta de la especificada para el comando.

HTTPCódigo de estado: 400

ResourceNotFoundException

Esta excepción se produce cuando el servicio AWS Transfer Family no encuentra un recurso.

HTTPCódigo de estado: 400

ServiceUnavailableException

La solicitud ha fallado porque el servicio AWS Transfer Family no está disponible.

HTTPCódigo de estado: 500

Véase también

Para obtener más información sobre cómo usarlo API en uno de los idiomas específicos AWS SDKs, consulte lo siguiente: