Trabajar con usuarios de servicios administrados - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Trabajar con usuarios de servicios administrados

Puede añadir usuarios gestionados por el servicio Amazon S3 o Amazon EFS a su servidor, en función de la configuración del Dominio del servidor. Para obtener más información, consulte Configuración de un punto final de servidor SFTP, FTPS o FTP.

Para añadir un usuario gestionado por un servicio mediante programación, consulta el ejemplo de la API. CreateUser

nota

Para los usuarios gestionados por el servicio, hay un límite de 2000 entradas de directorio lógico. Para obtener información sobre el uso de directorios lógicos, consulte. Uso de directorios lógicos para simplificar las estructuras de directorios de Transfer Family

Añadir usuarios gestionados por el servicio Amazon S3

nota

Si desea configurar un bucket de Amazon S3 multicuenta, siga los pasos que se mencionan en este artículo del Centro de conocimiento: ¿Cómo configuro mi servidor de AWS Transfer Family para que utilice un bucket de Amazon Simple Storage Service que está en otra cuenta de AWS? .

Añadir un usuario gestionado por el servicio Amazon S3 a su servidor
  1. Abra la consola de AWS Transfer Family en https://console.aws.amazon.com/transfer/ y, a continuación, seleccione Servidores en el panel de navegación.

  2. En la página Servidores, seleccione la casilla de verificación situada junto al servidor al que desee añadir el usuario.

  3. Seleccione Agregar usuario.

  4. En la sección Configuración de usuario, en Nombre de usuario, introduzca el nombre de usuario. El nombre de usuario debe tener un mínimo de 3 y un máximo de 100 caracteres. El nombre de usuario puede contener los siguientes caracteres: a-z, A-Z, 0-9, guion bajo '_', guion '-', punto '.', y el signo arroba "@". El nombre de usuario no puede comenzar por un guion '-', un punto '.', ni una arroba "@".

  5. En Acceso, seleccione el rol de IAM que ha creado anteriormente para proporcionar acceso al bucket de Amazon S3.

    Se trata del rol de IAM que creó siguiendo el procedimiento descrito en Creación de una política y un rol de IAM. Ese rol de IAM incluye una política de IAM que proporciona acceso al bucket de Amazon S3. También incluye una relación de confianza con el servicio AWS Transfer Family definida en otra política de IAM. Si necesita un control de acceso detallado para sus usuarios, consulte la entrada del blog Mejore el control de acceso a los datos con AWS Transfer Family y Amazon S3.

  6. (Opcional) En Política, seleccione una de las siguientes opciones:

    • Ninguna

    • Políticas existentes

    • Seleccione una política de IAM: le permite elegir una política de sesión existente. Elija Ver para ver un objeto JSON que contiene los detalles de la política.

    • Generar automáticamente una política basada en la carpeta de inicio: genera una política de sesión para usted. Elija Ver para ver un objeto JSON que contiene los detalles de la política.

      nota

      Si elige Generar automáticamente una política basada en la carpeta principal, no seleccione Restringido para este usuario.

    Para obtener más información sobre las políticas de sesiones, consulte Creación de una política y un rol de IAM. Para obtener más información sobre la creación de una política de sesión, consulte Creación de una política de sesión para un bucket de Amazon S3.

  7. En Directorio principal, seleccione el bucket de Amazon S3 donde almacenar los datos transferidos con AWS Transfer Family. Especifique la ruta al directorio home al que llega el usuario cuando inicia sesión con su cliente.

    Si deja este parámetro en blanco, se usará el directorio root del bucket de su Amazon S3. En ese caso, asegúrese de que el rol de IAM proporciona acceso al directorio root.

    nota

    Le recomendamos que elija una ruta de directorio que contenga el nombre de usuario correspondiente, pues le permitirá usar con eficacia una política de sesión. La política de sesión limita el acceso de cada usuario a su directorio home en el bucket de Amazon S3.

  8. (Opcional) En Restringido, seleccione la casilla de verificación para que los usuarios no puedan acceder a nada que esté fuera de esa carpeta y no puedan ver el nombre de la carpeta o el bucket de Amazon S3.

    nota

    Asignar al usuario un directorio principal y restringirlo a ese directorio principal debería ser suficiente para bloquear el acceso del usuario a la carpeta designada. Si necesita aplicar más controles, utilice una política de sesión.

    Si selecciona Restringido para este usuario, no podrá seleccionar la política de generación automática basada en la carpeta de inicio, ya que la carpeta de inicio no es un valor definido para los usuarios restringidos.

  9. En Clave pública de SSH, escriba el componente de clave pública del par de claves de SSH.

    El servicio validará la clave antes de permitirle añadir un nuevo usuario.

    nota

    Para obtener instrucciones sobre el modo de generar un par de claves de SSH, consulte Genere claves SSH para los usuarios administrados por el servicio.

  10. (Opcional) En Clave y Valor, escriba una o varias etiquetas como pares clave-valor y seleccione Agregar etiquetas.

  11. Seleccione Add (Añadir) para agregar el nuevo usuario al servidor que haya elegido.

    El nuevo usuario aparecerá en la sección Usuarios de la página Servidores.

Próximos pasos: para el siguiente paso, continúe con Transferencia de archivos a través de un punto de conexión mediante un cliente.

Añadir usuarios gestionados por el servicio Amazon EFS

Amazon EFS utiliza el modelo de permisos de archivos de la Interfaz de sistema operativo portátil (POSIX) para representar la propiedad de los archivos.

Para añadir un usuario gestionado por el servicio Amazon EFS a su servidor
  1. Abra la consola de AWS Transfer Family en https://console.aws.amazon.com/transfer/ y, a continuación, seleccione Servidores en el panel de navegación.

  2. En la página Servidores, seleccione el servidor Amazon EFS al que desee añadir un usuario.

  3. Seleccione Añadir usuario para mostrar la página Añadir usuario.

  4. En la sección Configuración de usuario, aplique los siguientes ajustes.

    1. El Nombre de usuario, debe tener un mínimo de 3 y un máximo de 100 caracteres. El nombre de usuario puede contener los siguientes caracteres: a-z, A-Z, 0-9, guion bajo '_', guion '-', punto '.', y el signo arroba "@". El nombre de usuario no puede comenzar por un guion '-', un punto '.', ni una arroba "@".

    2. Para el Identificador de usuario y el Identificador de grupo, tenga en cuenta lo siguiente:

      • Para el primer usuario que cree, le recomendamos que introduzca un valor de 0 tanto para el Identificador de grupo como para el Identificador de usuario. Esto otorga al usuario privilegios de administrador para Amazon EFS.

      • Para usuarios adicionales, introduzca el ID de usuario POSIX y el ID de grupo del usuario. Estos identificador se utilizan para todas las operaciones de Amazon Elastic File System realizadas por el usuario.

      • Para el Identificador de usuario y el Identificador de grupo, no utilice ceros a la izquierda. Por ejemplo, 12345 es aceptable, pero 012345 no lo es.

    3. (Opcional) Para los Identificadores de grupo secundarios, introduzca uno o más ID de grupo POSIX adicionales para cada usuario, separados por comas.

    4. En Acceso, elija el rol de IAM que:

      • Otorga al usuario acceso únicamente a los recursos de Amazon EFS (sistemas de archivos) a los que desea que accedan.

      • Define qué operaciones del sistema de archivos puede y no puede realizar el usuario.

      Le recomendamos que utilice el rol de IAM para la selección del sistema de archivos de Amazon EFS con acceso al montaje y permisos de lectura/escritura. Por ejemplo, la combinación de las dos políticas administradas de AWS siguientes, si bien es bastante permisiva, otorga los permisos necesarios al usuario:

      • AmazonElasticFileSystemClientFullAccess

      • AWSTransferConsoleFullAccess

      Para obtener más información, consulte la publicación del blog de Soporte de AWS Transfer Family para Amazon Elastic File System.

    5. Para el Directorio principal, haga lo siguiente:

      • Elija el sistema de archivos Amazon EFS que desee utilizar para almacenar los datos que desee transferir con AWS Transfer Family.

      • Decida si desea establecer el directorio principal como Restringido. Si se establece el directorio principal en Restringido, se producen los siguientes efectos:

        • Los usuarios de Amazon EFS no pueden acceder a ningún archivo o directorio fuera de esa carpeta.

        • Los usuarios de Amazon EFS no pueden ver el nombre del sistema de archivos de Amazon EFS (fs-xxxxxxx).

          nota

          Al seleccionar la opción Restringido, los enlaces simbólicos no se resuelven para los usuarios de Amazon EFS.

      • (Opcional) Introduzca la ruta al directorio principal en el que desea que estén los usuarios cuando inicien sesión con su cliente.

        Si no especifica un directorio principal, se utilizará el directorio raíz del sistema de archivos Amazon EFS. En ese caso, asegúrese de que su rol de IAM proporciona acceso a este directorio raíz.

  5. En Clave pública de SSH, escriba el componente de clave pública del par de claves de SSH.

    El servicio validará la clave antes de permitirle añadir un nuevo usuario.

    nota

    Para obtener instrucciones sobre el modo de generar un par de claves de SSH, consulte Genere claves SSH para los usuarios administrados por el servicio.

  6. (Opcional) Introduzca cualquier etiqueta para el usuario. En Clave y Valor, escriba una o varias etiquetas como pares clave-valor y seleccione Agregar etiquetas.

  7. Seleccione Add (Añadir) para agregar el nuevo usuario al servidor que haya elegido.

    El nuevo usuario aparecerá en la sección Usuarios de la página Servidores.

Problemas que pueden surgir al usar SFTP por primera vez en su servidor Transfer Family:

  • Si ejecutas el comando sftp y no aparece el mensaje, es posible que aparezca el siguiente mensaje:

    Couldn't canonicalize: Permission denied

    Need cwd

    En este caso, debe aumentar los permisos de política de la función de usuario. Puede añadir una política de AWS gestionada, como AmazonElasticFileSystemClientFullAccess.

  • Si introduce pwd en el indicador sftp para ver el directorio personal del usuario, puede que vea el siguiente mensaje, donde USER-HOME-DIRECTORY es el directorio personal del usuario SFTP:

    remote readdir("/USER-HOME-DIRECTORY"): No such file or directory

    En este caso, debería poder navegar hasta el directorio principal (cd ..) y crear el directorio principal del usuario (mkdir username).

Próximos pasos: para el siguiente paso, continúe con Transferencia de archivos a través de un punto de conexión mediante un cliente.

Administración de usuarios administrados por servicios

En esta sección, puede encontrar información sobre cómo ver una lista de usuarios, cómo editar los detalles de los usuarios y cómo agregar una clave pública SSH.

Encontrar una lista de sus usuarios
  1. Abra la consola AWS Transfer Family en https://console.aws.amazon.com/transfer/.

  2. Seleccione Servidores en el panel de navegación para mostrar la página Servidores.

  3. Elija el identificador en la columna ID de servidor para ver la página Configuración de servidor.

  4. En Usuarios, consulte una lista de usuarios.

Ver o editar los detalles del usuario
  1. Abra la consola AWS Transfer Family en https://console.aws.amazon.com/transfer/.

  2. Seleccione Servidores en el panel de navegación para mostrar la página Servidores.

  3. Elija el identificador en la columna ID de servidor para ver la página Configuración de servidor.

  4. En Usuarios, elija un nombre de usuario para ver la página de Detalles del usuario.

    Puede cambiar las propiedades del usuario en esta página seleccionando Editar.

  5. En la página de Detalles del usuario, seleccione Editar junto a Configuración del usuario.

    Imagen que muestra la pantalla para editar la configuración de un usuario
  6. En la página Editar configuración, en Acceso, elija el rol de IAM que creó anteriormente y que proporciona acceso a su bucket de Amazon S3.

    Se trata del rol de IAM que creó siguiendo el procedimiento descrito en Creación de una política y un rol de IAM. Ese rol de IAM incluye una política de IAM que proporciona acceso al bucket de Amazon S3. También incluye una relación de confianza con el servicio AWS Transfer Family definida en otra política de IAM.

  7. (Opcional) Para la política, seleccione una de las siguientes opciones:

    • Ninguna

    • Políticas existentes

    • Seleccione una política de IAM para elegir una política existente. Elija Ver para ver un objeto JSON que contiene los detalles de la política.

    Para obtener más información sobre las políticas de sesiones, consulte Creación de una política y un rol de IAM. Para obtener más información sobre la creación de una política de sesión, consulte Creación de una política de sesión para un bucket de Amazon S3.

  8. En Directorio principal, seleccione el bucket de Amazon S3 donde almacenar los datos transferidos con AWS Transfer Family. Especifique la ruta al directorio home al que llega el usuario cuando inicia sesión con su cliente.

    Si deja este parámetro en blanco, se usará el directorio root del bucket de su Amazon S3. En ese caso, asegúrese de que el rol de IAM proporciona acceso al directorio root.

    nota

    Le recomendamos que elija una ruta de directorio que contenga el nombre de usuario correspondiente, pues le permitirá usar con eficacia una política de sesión. La política de sesión limita el acceso de cada usuario a su directorio home en el bucket de Amazon S3.

  9. (Opcional) En Restringido, seleccione la casilla de verificación para que los usuarios no puedan acceder a nada que esté fuera de esa carpeta y no puedan ver el nombre de la carpeta o el bucket de Amazon S3.

    nota

    Al asignar al usuario un directorio principal y restringirlo a ese directorio principal, esto debería ser suficiente para bloquear el acceso del usuario a la carpeta designada. Utilice una política de sesión cuando necesite aplicar más controles.

  10. Seleccione Save (Guardar) para guardar los cambios.

Para eliminar un usuario
  1. Abra la consola AWS Transfer Family en https://console.aws.amazon.com/transfer/.

  2. Seleccione Servidores en el panel de navegación para mostrar la página Servidores.

  3. Elija el identificador en la columna ID de servidor para ver la página Configuración de servidor.

  4. En Usuarios, elija un nombre de usuario para ver la página de Detalles del usuario.

  5. En la página de Detalles del usuario, selecciona Eliminar a la derecha del nombre de usuario.

  6. En la ventana de diálogo de confirmación que aparece, escriba la palabra delete, y luego seleccione Eliminar para confirmar que desea eliminar al usuario.

El usuario se elimina y se quita de la lista de usuarios.

Para añadir una clave pública SSH para un usuario
  1. Abra la consola AWS Transfer Family en https://console.aws.amazon.com/transfer/.

  2. En el panel de navegación, seleccione Servers (Servidores).

  3. Elija el identificador en la columna ID de servidor para ver la página Configuración de servidor.

  4. En Usuarios, elija un nombre de usuario para ver la página de Detalles del usuario.

  5. Seleccione Add SSH public key (Añadir clave pública de SSH) para añadir una nueva clave SSH pública a un usuario.

    nota

    Las claves SSH las usan solo los servidores que están habilitados para el Protocolo de File Transfer (SFTP) Secure Shell (SSH). Para obtener más información sobre el modo de generar un par de claves SSH, consulte Genere claves SSH para los usuarios administrados por el servicio.

  6. En SSH public key (Clave pública de SSH), escriba el componente de clave pública del par de claves de SSH.

    El servicio validará la clave antes de permitirle añadir un nuevo usuario. El formato de la clave SSH es ssh-rsa string. Para generar un par de claves de SSH, consulte Genere claves SSH para los usuarios administrados por el servicio.

  7. Seleccione Añadir clave.

Para eliminar una clave pública de SSH para un usuario
  1. Abra la consola AWS Transfer Family en https://console.aws.amazon.com/transfer/.

  2. En el panel de navegación, seleccione Servers (Servidores).

  3. Elija el identificador en la columna ID de servidor para ver la página Configuración de servidor.

  4. En Usuarios, elija un nombre de usuario para ver la página de Detalles del usuario.

  5. Para eliminar una clave pública, selecciona la casilla de verificación de su clave SSH y selecciona Eliminar.