Trabajar con usuarios de servicios administrados

Puede añadir usuarios administrados por el servicio Amazon S3 o Amazon EFS a su servidor, en función de la configuración del Dominio del servidor. Para obtener más información, consulte Configuración de un punto final de servidor SFTP, FTPS o FTP.

Para añadir un usuario gestionado por el servicio mediante programación, consulta el ejemplo de la API. CreateUser

nota

Para los usuarios gestionados por el servicio, hay un límite de 2000 entradas de directorio lógico. Para obtener información sobre el uso de directorios lógicos, consulte. Uso de directorios lógicos para simplificar las estructuras de directorios de Transfer Family

Añadir usuarios administrados por el servicio Amazon S3

nota

Si desea configurar un depósito de Amazon S3 multicuenta, siga los pasos que se mencionan en este artículo del Knowledge Center: ¿Cómo configuro mi AWS Transfer Family servidor para que utilice un depósito de Amazon Simple Storage Service que está en otra AWS cuenta? .

Cómo añadir un usuario administrado por el servicio Amazon S3 a su servidor

1. Abra la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/ y, a continuación, seleccione Servidores en el panel de navegación.

2. En la página Servidores, seleccione la casilla de verificación situada junto al servidor al que desee añadir el usuario.

3. Seleccione Agregar usuario.

4. En la sección Configuración de usuario, en Nombre de usuario, introduzca el nombre de usuario. Este nombre de usuario debe tener un mínimo de 3 y un máximo de 100 caracteres. El nombre de usuario puede contener los siguientes caracteres: a-z, A-Z, 0-9, guion bajo (_), guion (-), punto (.) y arroba (@). El nombre de usuario no puede comenzar por un guion (-), un punto (.), ni una arroba (@).

5. En Acceso, elija el rol de IAM que creó anteriormente y que proporciona acceso a su bucket de Amazon S3.

   Se trata del rol de IAM que creó siguiendo el procedimiento descrito en Creación de una política y un rol de IAM. Ese rol de IAM incluye una política de IAM que proporciona acceso al bucket de Amazon S3. También incluye una relación de confianza con el AWS Transfer Family servicio, definida en otra política de IAM. Si necesita un control de acceso detallado para sus usuarios, consulte la entrada del blog Mejore el control de acceso a los datos con Amazon AWS Transfer Family S3.

6. (Opcional) En Política, seleccione una de las siguientes opciones:

   • Ninguna

   • Políticas existentes

   • Seleccione una política de IAM: le permite elegir una política de sesión existente. Elija Ver para ver un objeto JSON que contiene los detalles de la política.

   • Generar automáticamente una política basada en la carpeta de inicio: genera una política de sesión para usted. Elija Ver para ver un objeto JSON que contiene los detalles de la política.

     nota

     Si elige Generar automáticamente una política basada en la carpeta principal, no seleccione Restringido para este usuario.

   Para obtener más información sobre las políticas de sesiones, consulte Creación de una política y un rol de IAM. Para obtener más información sobre la creación de una política de sesión, consulte Creación de una política de sesión para un bucket de Amazon S3.

7. En el directorio principal, elija el bucket de Amazon S3 para almacenar los datos que se van a transferir AWS Transfer Family. Especifique la ruta al directorio home al que llega el usuario cuando inicia sesión con su cliente.

   Si deja este parámetro en blanco, se usará el directorio root del bucket de su Amazon S3. En ese caso, asegúrese de que el rol de IAM proporciona acceso al directorio root.

   nota

   Le recomendamos que elija una ruta de directorio que contenga el nombre de usuario correspondiente, pues le permitirá usar con eficacia una política de sesión. La política de sesión limita el acceso de cada usuario a su directorio home en el bucket de Amazon S3.

8. (Opcional) En Restringido, seleccione la casilla de verificación para que los usuarios no puedan acceder a nada que esté fuera de esa carpeta y no puedan ver el nombre de la carpeta o el bucket de Amazon S3.

   nota

   Asignar al usuario un directorio de inicio y restringirlo a ese directorio de inicio debería ser suficiente para bloquear el acceso del usuario a la carpeta designada. Si necesita aplicar más controles, utilice una política de sesión.

   Si selecciona Restringido para este usuario, no podrá seleccionar la política de generación automática basada en la carpeta de inicio, ya que la carpeta de inicio no es un valor definido para los usuarios restringidos.

9. En Clave pública de SSH, escriba el componente de clave pública del par de claves de SSH.

   El servicio validará la clave antes de permitirle añadir un nuevo usuario.

   nota

   Para obtener instrucciones sobre el modo de generar un par de claves de SSH, consulte Genere claves SSH para los usuarios administrados por el servicio.

10. (Opcional) En Clave y Valor, escriba una o varias etiquetas como pares clave-valor y seleccione Agregar etiqueta.

11. Seleccione Add (Añadir) para agregar el nuevo usuario al servidor que haya elegido.

    El nuevo usuario aparecerá en la sección Usuarios de la página Detalles del servidor.

Próximos pasos: para el siguiente paso, continúe con Transferencia de archivos a través de un punto de conexión mediante un cliente.

Añadir usuarios administrados por el servicio Amazon EFS

Amazon EFS utiliza el modelo de permisos de archivos de la Interfaz de sistema operativo portátil (POSIX) para representar la propiedad de los archivos.

• Para obtener más información sobre la propiedad de los archivos de Amazon EFS, consulte Propiedad de los archivos de Amazon EFS.

• Para obtener más información sobre la configuración de directorios para los usuarios de EFS, consulte Configuración de los usuarios de Amazon EFS para Transfer Family.

Cómo añadir un usuario administrado por el servicio Amazon EFS a su servidor

1. Abra la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/ y, a continuación, seleccione Servidores en el panel de navegación.

2. En la página Servidores, seleccione el servidor Amazon EFS al que desee añadir un usuario.

3. Seleccione Añadir usuario para mostrar la página Añadir usuario.

4. En la sección Configuración de usuario, aplique los siguientes ajustes.

   1. El Nombre de usuario, debe tener un mínimo de 3 y un máximo de 100 caracteres. El nombre de usuario puede contener los siguientes caracteres: a-z, A-Z, 0-9, guion bajo (_), guion (-), punto (.) y arroba (@). El nombre de usuario no puede comenzar por un guion (-), un punto (.), ni una arroba (@).

   2. Para el Identificador de usuario y el Identificador de grupo, tenga en cuenta lo siguiente:

      • Para el primer usuario que cree, le recomendamos que introduzca un valor de 0 tanto para el Identificador de grupo como para el Identificador de usuario. Esto otorga al usuario privilegios de administrador para Amazon EFS.

      • Para usuarios adicionales, introduzca el ID de usuario POSIX y el ID de grupo del usuario. Estos identificador se utilizan para todas las operaciones de Amazon Elastic File System realizadas por el usuario.

      • Para el Identificador de usuario y el Identificador de grupo, no utilice ceros a la izquierda. Por ejemplo, 12345 es aceptable, pero 012345 no lo es.

   3. (Opcional) Para los Identificadores de grupo secundarios, introduzca uno o más ID de grupo POSIX adicionales para cada usuario, separados por comas.

   4. En Acceso, elija el rol de IAM que:

      • Otorga al usuario acceso únicamente a los recursos de Amazon EFS (sistemas de archivos) a los que desea que accedan.

      • Define qué operaciones del sistema de archivos puede y no puede realizar el usuario.

      Le recomendamos que utilice el rol de IAM para la selección del sistema de archivos de Amazon EFS con acceso al montaje y permisos de lectura/escritura. Por ejemplo, la combinación de las dos políticas AWS administradas siguientes, si bien es bastante permisiva, otorga los permisos necesarios al usuario:

      • AmazonElasticFileSystemClientFullAccess

      • AWSTransferConsoleFullAccess

      Para obtener más información, consulte la publicación del blog de Soporte de AWS Transfer Family para Amazon Elastic File System.

   5. Para el Directorio de inicio, haga lo siguiente:

      • Elija el sistema de archivos Amazon EFS que desee utilizar para almacenar los datos que desee transferir con AWS Transfer Family.

      • Decida si desea establecer el directorio de inicio como Restringido. Si se establece el directorio de inicio en Restringido, se producen los siguientes efectos:

        • Los usuarios de Amazon EFS no pueden acceder a ningún archivo o directorio fuera de esa carpeta.

        • Los usuarios de Amazon EFS no pueden ver el nombre del sistema de archivos de Amazon EFS (fs-xxxxxxx).

          nota

          Al seleccionar la opción Restringido, los enlaces simbólicos no se resuelven para los usuarios de Amazon EFS.

      • (Opcional) Introduzca la ruta al directorio de inicio en el que desea que estén los usuarios cuando inicien sesión con su cliente.

        Si no especifica un directorio de inicio, se utilizará el directorio raíz del sistema de archivos Amazon EFS. En ese caso, asegúrese de que su rol de IAM proporciona acceso a este directorio raíz.

5. En Clave pública de SSH, escriba el componente de clave pública del par de claves de SSH.

   El servicio validará la clave antes de permitirle añadir un nuevo usuario.

   nota

   Para obtener instrucciones sobre el modo de generar un par de claves de SSH, consulte Genere claves SSH para los usuarios administrados por el servicio.

6. (Opcional) Introduzca cualquier etiqueta para el usuario. En Clave y Valor, escriba una o varias etiquetas como pares clave-valor y seleccione Agregar etiqueta.

7. Seleccione Add (Añadir) para agregar el nuevo usuario al servidor que haya elegido.

   El nuevo usuario aparecerá en la sección Usuarios de la página Detalles del servidor.

Problemas que pueden surgir al usar SFTP por primera vez en su servidor de Transfer Family:

• Si ejecutas el comando sftp y no aparece el mensaje, es posible que aparezca el siguiente mensaje:

  Couldn't canonicalize: Permission denied

  Need cwd

  En este caso, debe aumentar los permisos de política del rol de usuario. Puede añadir una política AWS gestionada, como. AmazonElasticFileSystemClientFullAccess

• Si introduce pwd en el indicador sftp para ver el directorio personal del usuario, puede que vea el siguiente mensaje, donde USER-HOME-DIRECTORY es el directorio personal del usuario SFTP:

  remote readdir("/USER-HOME-DIRECTORY"): No such file or directory

  En este caso, debería poder navegar hasta el directorio de inicio (cd ..) y crear el directorio de inicio del usuario (mkdir username).

Próximos pasos: para el siguiente paso, continúe con Transferencia de archivos a través de un punto de conexión mediante un cliente.

Administración de usuarios administrados por servicios

En esta sección, puede encontrar información sobre cómo ver una lista de usuarios, cómo editar los detalles de los usuarios y cómo agregar una clave pública SSH.

• Ver una lista de usuarios

• Ver o editar los detalles del usuario

• Eliminar un usuario

• Agrega una clave pública de SSH

• Eliminar la clave pública SSH

Cómo encontrar una lista de sus usuarios

1. Abre la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/.

2. Seleccione Servidores en el panel de navegación para mostrar la página Servidores.

3. Elija el identificador en la columna ID de servidor para ver la página Detalles del servidor.

4. En Usuarios, consulte una lista de usuarios.

Visualización o edición de los detalles del usuario

1. Abra la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/.

2. Seleccione Servidores en el panel de navegación para mostrar la página Servidores.

3. Elija el identificador en la columna ID de servidor para ver la página Detalles del servidor.

4. En Usuarios, elija un nombre de usuario para ver la página de Detalles del usuario.

   Puede cambiar las propiedades del usuario en esta página seleccionando Editar.

5. En la página de Detalles del usuario, seleccione Editar junto a Configuración del usuario.

   

6. En la página Editar configuración, en Acceso, elija el rol de IAM que creó anteriormente y que proporciona acceso a su bucket de Amazon S3.

   Se trata del rol de IAM que creó siguiendo el procedimiento descrito en Creación de una política y un rol de IAM. Ese rol de IAM incluye una política de IAM que proporciona acceso al bucket de Amazon S3. También incluye una relación de confianza con el AWS Transfer Family servicio, definida en otra política de IAM.

7. (Opcional) Para la política, seleccione una de las siguientes opciones:

   • Ninguna

   • Políticas existentes

   • Seleccione una política de IAM para elegir una política existente. Elija Ver para ver un objeto JSON que contiene los detalles de la política.

   Para obtener más información sobre las políticas de sesiones, consulte Creación de una política y un rol de IAM. Para obtener más información sobre la creación de una política de sesión, consulte Creación de una política de sesión para un bucket de Amazon S3.

8. En el directorio principal, elija el bucket de Amazon S3 para almacenar los datos que se van a transferir AWS Transfer Family. Especifique la ruta al directorio home al que llega el usuario cuando inicia sesión con su cliente.

   Si deja este parámetro en blanco, se usará el directorio root del bucket de su Amazon S3. En ese caso, asegúrese de que el rol de IAM proporciona acceso al directorio root.

   nota

   Le recomendamos que elija una ruta de directorio que contenga el nombre de usuario correspondiente, pues le permitirá usar con eficacia una política de sesión. La política de sesión limita el acceso de cada usuario a su directorio home en el bucket de Amazon S3.

9. (Opcional) En Restringido, seleccione la casilla de verificación para que los usuarios no puedan acceder a nada que esté fuera de esa carpeta y no puedan ver el nombre de la carpeta o el bucket de Amazon S3.

   nota

   Al asignar al usuario un directorio de inicio y restringirlo a ese directorio de inicio, esto debería ser suficiente para bloquear el acceso del usuario a la carpeta designada. Utilice una política de sesión cuando necesite aplicar más controles.

10. Seleccione Save (Guardar) para guardar los cambios.

Cómo eliminar un usuario

1. Abra la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/.

2. Seleccione Servidores en el panel de navegación para mostrar la página Servidores.

3. Elija el identificador en la columna ID de servidor para ver la página Detalles del servidor.

4. En Usuarios, elija un nombre de usuario para ver la página de Detalles del usuario.

5. En la página de Detalles del usuario, seleccione Eliminar a la derecha del nombre de usuario.

6. En la ventana de diálogo de confirmación que aparece, escriba la palabra delete, y luego seleccione Eliminar para confirmar que desea eliminar al usuario.

El usuario se elimina de la lista de usuarios.

Para añadir una clave pública SSH para un usuario

1. Abre la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/.

2. En el panel de navegación, seleccione Servers (Servidores).

3. Elija el identificador en la columna ID de servidor para ver la página Detalles del servidor.

4. En Usuarios, elija un nombre de usuario para ver la página de Detalles del usuario.

5. Seleccione Add SSH public key (Añadir clave pública de SSH) para añadir una nueva clave SSH pública a un usuario.

   nota

   Las claves SSH las usan solo los servidores que están habilitados para el Protocolo de File Transfer (SFTP) Secure Shell (SSH). Para obtener más información sobre el modo de generar un par de claves SSH, consulte Genere claves SSH para los usuarios administrados por el servicio.

6. En SSH public key (Clave pública de SSH), escriba el componente de clave pública del par de claves de SSH.

   El servicio validará la clave antes de permitirle añadir un nuevo usuario. El formato de la clave SSH es ssh-rsa string. Para generar un par de claves de SSH, consulte Genere claves SSH para los usuarios administrados por el servicio.

7. Seleccione Añadir clave.

Para eliminar una clave pública SSH de un usuario

1. Abre la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/.

2. En el panel de navegación, seleccione Servers (Servidores).

3. Elija el identificador en la columna ID de servidor para ver la página Detalles del servidor.

4. En Usuarios, elija un nombre de usuario para ver la página de Detalles del usuario.

5. Para eliminar una clave pública, selecciona la casilla de verificación de su clave SSH y selecciona Eliminar.