Gestion des utilisateurs pour les points de terminaison du serveur

Dans les sections suivantes, vous trouverez des informations sur la façon d'ajouter des utilisateurs à l'aide d' AWS Transfer Family un fournisseur d'identité personnalisé AWS Directory Service for Microsoft Active Directory ou d'un fournisseur d'identité.

Vous pouvez également stocker la clé publique SSH (Secure Shell) dans les propriétés de chaque utilisateur. Cela est nécessaire pour l'authentification par clé. La clé privée est stockée localement sur l'ordinateur de votre utilisateur. Lorsque votre utilisateur envoie une demande d'authentification à votre serveur à l'aide d'un client, celui-ci confirme d'abord que l'utilisateur a accès à la clé privée SSH associée. Le serveur authentifie ensuite correctement l'utilisateur.

En outre, vous spécifiez le répertoire personnel, ou répertoire de destination, d'un utilisateur et vous lui attribuez un rôle AWS Identity and Access Management (IAM). Vous pouvez éventuellement fournir une politique de session pour limiter l'accès des utilisateurs uniquement au répertoire de base de votre compartiment Amazon S3.

Important

AWS Transfer Family empêche les noms d'utilisateur de 1 ou 2 caractères de s'authentifier auprès des serveurs SFTP. De plus, nous bloquons également le nom root d'utilisateur.

Cela s'explique par le grand nombre de tentatives de connexion malveillantes effectuées par des scanners de mots de passe.

Comparaison entre Amazon EFS et Amazon S3

Caractéristiques de chaque option de stockage :

• Pour limiter l'accès : Amazon S3 prend en charge les politiques de session ; Amazon EFS prend en charge les utilisateurs, les groupes et les groupes secondaires POSIX IDs

• Les deux public/private touches de support

• Les deux prennent en charge les répertoires personnels

• Les deux prennent en charge les répertoires logiques

  Note

  Pour Amazon S3, la plupart des annuaires logiques sont pris en charge via API/CLI. Vous pouvez utiliser la case à cocher Restreint de la console pour verrouiller l'accès d'un utilisateur à son répertoire personnel, mais vous ne pouvez pas spécifier de structure de répertoire virtuel.

Répertoires logiques

Si vous spécifiez des valeurs de répertoire logiques pour votre utilisateur, le paramètre que vous utilisez dépend du type d'utilisateur.

• Pour les utilisateurs gérés par des services, fournissez des valeurs de répertoire logiques dans. HomeDirectoryMappings

• Pour les utilisateurs de fournisseurs d'identité personnalisés, fournissez des valeurs de répertoire logiques dansHomeDirectoryDetails.

AWS Transfer Family permet de spécifier une HomeDirectory valeur lors de l'utilisation du LOGICAL HomeDirectoryType. Cela s'applique aux utilisateurs gérés par le service, à l'accès à Active Directory et aux implémentations de fournisseurs d'identité personnalisés lorsque HomeDirectoryDetails ceux-ci sont fournis dans la réponse.

Important

Lorsque vous spécifiez a HomeDirectory avec LOGICAL HomeDirectoryType, la valeur doit correspondre à l'un de vos mappages de répertoires logiques. Le service valide cela lors de la création et des mises à jour des utilisateurs afin d'éviter que les configurations ne fonctionnent pas.

Comportement par défaut

Par défaut, s'il n'est pas spécifié, HomeDirectory il est défini sur «/» pour le mode LOGIQUE. Ce comportement est inchangé et reste compatible avec les définitions utilisateur existantes.

• Assurez-vous de vous associer HomeDirectory à une entrée et non à une cible. Pour en savoir plus, consultez Règles d'utilisation des répertoires logiques.

• Pour plus de détails sur la structure d'un répertoire virtuel, voirStructure du répertoire virtuel.

Considérations relatives au fournisseur d'identité personnalisé

Lorsque vous utilisez un fournisseur d'identité personnalisé, vous pouvez désormais spécifier un HomeDirectory dans la réponse lorsque vous utilisez LOGICAL HomeDirectoryType. L'appel TestIdentityProvider d'API produira des résultats corrects lorsque l'IDP personnalisé spécifie un HomeDirectory en mode LOGIQUE.

Exemple de réponse IDP personnalisée avec HomeDirectory et LOGICAL HomeDirectoryType :

{
  "Role": "arn:aws:iam::123456789012:role/transfer-user-role",
  "HomeDirectoryType": "LOGICAL",
  "HomeDirectory": "/marketing",
  "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}

Quotas de groupe Active Directory

AWS Transfer Family a une limite par défaut de 100 groupes Active Directory par serveur. Si votre cas d'utilisation nécessite plus de 100 groupes, envisagez d'utiliser une solution de fournisseur d'identité personnalisée, comme décrit dans Simplifier l'authentification Active Directory avec un fournisseur d'identité personnalisé pour AWS Transfer Family.

Cette limite s'applique aux serveurs utilisant les fournisseurs d'identité suivants :

• AWS Service d'annuaire pour Microsoft Active Directory

• AWS Service d'annuaire pour les services de domaine Entra ID

Si vous devez demander une augmentation de la limite de service, consultez Service AWS les quotas dans le Références générales AWS. Si votre cas d'utilisation nécessite plus de 100 groupes, envisagez d'utiliser une solution de fournisseur d'identité personnalisée, comme décrit dans Simplifier l'authentification Active Directory avec un fournisseur d'identité personnalisé pour AWS Transfer Family.

Pour obtenir des informations de dépannage relatives aux limites de groupe Active Directory, consultezLimites de groupe Active Directory dépassées.

Rubriques

• Travailler avec des utilisateurs gérés par des services

• Travailler avec des fournisseurs d'identité personnalisés

• Utilisation de AWS Directory Service pour Microsoft Active Directory

• Utilisation du AWS Directory Service pour les services de domaine Entra ID