CreateAccess - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

CreateAccess

Utilizado por los administradores para elegir qué grupos del directorio deben tener acceso para cargar y descargar archivos a través de los protocolos habilitados que utilizan AWS Transfer Family. Por ejemplo, un Active Directory de Microsoft puede contener 50 000 usuarios, pero es posible que solo una pequeña fracción necesite la capacidad de transferir archivos al servidor. Un administrador puede utilizar CreateAccess para limitar el acceso al conjunto correcto de usuarios que necesiten esta capacidad.

Sintaxis de la solicitud

{ "ExternalId": "string", "HomeDirectory": "string", "HomeDirectoryMappings": [ { "Entry": "string", "Target": "string", "Type": "string" } ], "HomeDirectoryType": "string", "Policy": "string", "PosixProfile": { "Gid": number, "SecondaryGids": [ number ], "Uid": number }, "Role": "string", "ServerId": "string" }

Parámetros de la solicitud

Para obtener información sobre los parámetros comunes a todas las acciones, consulte Parámetros comunes.

La solicitud acepta los siguientes datos en formato JSON.

ExternalId

Un identificador único que se requiere para identificar grupos específicos dentro de su directorio. Los usuarios del grupo que asocie tienen acceso a sus recursos de Amazon S3 o Amazon EFS a través de los protocolos habilitados que utilizan AWS Transfer Family. Si conoce el nombre del grupo, puede ver los valores del SID ejecutando el siguiente comando en Windows PowerShell.

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

En ese comando, YourGroupNamesustitúyalo por el nombre del grupo de Active Directory.

La expresión regular utilizada para validar este parámetro es una cadena de caracteres compuesta de caracteres alfanuméricos en mayúscula y minúscula, sin espacios. También puede incluir guiones bajos y cualquiera de los siguientes caracteres: =,.@:/-

Tipo: string

Limitaciones de longitud: longitud mínima de 1. La longitud máxima es de 256 caracteres.

Patrón: S-1-[\d-]+

Obligatorio: sí

HomeDirectory

Directorio de destino (carpeta) de un usuario cuando inicia sesión en el servidor a través del cliente.

Un ejemplo de HomeDirectory es /bucket_name/home/mydirectory.

nota

El parámetro HomeDirectory solo se utiliza si HomeDirectoryType está establecido en PATH.

Tipo: cadena

Limitaciones de longitud: longitud mínima de 0. La longitud máxima es de 1024 caracteres.

Patrón: (|/.*)

Obligatorio: no

HomeDirectoryMappings

Los mapeos de directorio lógico que especifican qué rutas de acceso y claves de Amazon S3 o Amazon EFS deben ser visibles para el usuario y cómo desea hacerlas visibles. Deberá especificar el par Entry y Target, donde Entry muestra cómo se hace visible la ruta y Target es la ruta de Amazon S3 o de Amazon EFS real. Si solo especifica un destino, se muestra tal cual. También debe asegurarse de que su función AWS Identity and Access Management (de IAM) proporcione acceso a las rutas de entrada. Target Este valor solo se puede establecer si HomeDirectoryType está establecido en LOGICAL.

Lo siguiente es un ejemplo del par Entry y Target.

[ { "Entry": "/directory1", "Target": "/bucket_name/home/mydirectory" } ]

En la mayoría de los casos, puede utilizar este valor en lugar de la política de sesión para limitar al usuario al directorio de inicio designado (“chroot”). Para ello, puede establecer Entry en /, y Target al valor del parámetro HomeDirectory.

A continuación, se muestra un ejemplo del par Entry y Target para chroot.

[ { "Entry": "/", "Target": "/bucket_name/home/mydirectory" } ]

Tipo: Matriz de HomeDirectoryMapEntry objetos

Miembros de la matriz: número mínimo de 1 artículo. Número máximo de 50000 artículos.

Obligatorio: no

HomeDirectoryType

El tipo de directorio de destino (carpeta) que quiere utilizar como directorio de inicio de los usuarios cuando inicien sesión en el servidor. Si lo establece en PATH, el usuario verá la ruta absoluta de bucket de Amazon S3 o de EFS como en sus clientes de protocolo de File Transfer. Si lo configura en LOGICAL, deberá proporcionar asignaciones en las HomeDirectoryMappings que correspondan con la forma en que quiere que las rutas de acceso de Amazon S3 o de Amazon EFS sean visibles para sus usuarios.

nota

Si HomeDirectoryType es LOGICAL, debe proporcionar las asignaciones mediante el parámetro HomeDirectoryMappings. Si, por el contrario, HomeDirectoryType es PATH, se proporciona una ruta absoluta mediante el parámetro HomeDirectory. No puede tener HomeDirectory y HomeDirectoryMappings en su plantilla.

Tipo: cadena

Valores válidos: PATH | LOGICAL

Obligatorio: no

Policy

Una política de sesión para su usuario, de modo que pueda usar el mismo rol AWS Identity and Access Management (IAM) en varios usuarios. Esta política reduce el ámbito de acceso de un usuario a partes de su bucket de Amazon S3. Entre las variables que puede utilizar dentro de esta política se incluyen ${Transfer:UserName}, ${Transfer:HomeDirectory} y ${Transfer:HomeBucket}.

nota

Esta política se aplica solo cuando el dominio de ServerId es Amazon S3. Amazon EFS no utiliza políticas de sesión.

En el caso de las políticas de sesión, AWS Transfer Family almacena la política como un blob de JSON, en lugar del nombre de recurso de Amazon (ARN) de la política. Puede guardar la política como un blob JSON y pasarlo en el argumento Policy.

Para ver un ejemplo de una política de sesión, consulte Example session policy (Ejemplo de política de sesión).

Para obtener más información, consulte la referencia AssumeRolede la AWS Security Token Service API.

Tipo: cadena

Limitaciones de longitud: longitud mínima de 0 caracteres. La longitud máxima es de 2048 caracteres.

Obligatorio: no

PosixProfile

La identidad POSIX completa, incluido el ID de usuario (Uid), el ID de grupo (Gid) y cualquier ID de grupo secundario (SecondaryGids) que controla el acceso de los usuarios a los sistemas de archivos de Amazon EFS. Los permisos POSIX establecidos en los archivos y directorios del sistema de archivos determinan el nivel de acceso que obtienen los usuarios al transferir archivos dentro y fuera de los sistemas de archivos de Amazon EFS.

Tipo: objeto PosixProfile

Obligatorio: no

Role

El nombre del recurso de Amazon (ARN) del rol AWS Identity and Access Management (IAM) que controla el acceso de los usuarios al bucket de Amazon S3 o al sistema de archivos Amazon EFS. Las políticas asociadas a este rol determinarán el nivel de acceso que quiere ofrecer a los usuarios cuando se transfieran archivos dentro y fuera de su bucket de Amazon S3 o del sistema de archivos de Amazon EFS. El rol de IAM también debe contener una relación de confianza que permita que el servidor pueda obtener acceso a los recursos cuando atienda las solicitudes de transferencia de los usuarios.

Tipo: cadena

Limitaciones de longitud: longitud mínima de 20. La longitud máxima es de 2048 caracteres.

Patrón: arn:.*role/\S+

Obligatorio: sí

ServerId

Identificador único asignado por el sistema para una instancia del servidor. Este es el servidor específico al que ha agregado el usuario.

Tipo: cadena

Limitaciones de longitud: longitud fija de 19.

Patrón: s-([0-9a-f]{17})

Obligatorio: sí

Sintaxis de la respuesta

{ "ExternalId": "string", "ServerId": "string" }

Elementos de respuesta

Si la acción se realiza correctamente, el servicio devuelve una respuesta HTTP 200.

El servicio devuelve los datos siguientes en formato JSON.

ExternalId

El identificador externo del grupo cuyos usuarios tienen acceso a sus recursos de Amazon S3 o Amazon EFS a través de los protocolos habilitados que utilizan AWS Transfer Family.

Tipo: string

Limitaciones de longitud: longitud mínima de 1. La longitud máxima es de 256 caracteres.

Patrón: S-1-[\d-]+

ServerId

El ID del servidor al que se asocia el usuario.

Tipo: cadena

Limitaciones de longitud: longitud fija de 19.

Patrón: s-([0-9a-f]{17})

Errores

Para obtener información acerca de los errores comunes a todas las acciones, consulte Errores comunes.

InternalServiceError

Esta excepción se produce cuando se produce un error en el AWS Transfer Family servicio.

Código de estado HTTP: 500

InvalidRequestException

Esta excepción se produce cuando el cliente envía una solicitud con un formato incorrecto.

Código de estado HTTP: 400

ResourceExistsException

El recurso solicitado no existe o existe en una región distinta de la especificada para el comando.

Código de estado HTTP: 400

ResourceNotFoundException

Esta excepción se produce cuando el servicio AWS Transfer Family no encuentra un recurso.

Código de estado HTTP: 400

ServiceUnavailableException

La solicitud ha fallado porque el servicio AWS Transfer Family no está disponible.

Código de estado HTTP: 500

Véase también

Para obtener más información sobre el uso de esta API en uno de los AWS SDK específicos del idioma, consulta lo siguiente: