Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Travailler avec des fournisseurs d'identité personnalisés
Pour authentifier vos utilisateurs, vous pouvez utiliser votre fournisseur d'identité existant avec AWS Transfer Family. Vous intégrez votre fournisseur d'identité à l'aide d'une AWS Lambda fonction qui authentifie et autorise vos utilisateurs à accéder à Amazon S3 ou Amazon Elastic File System (Amazon EFS). Pour plus de détails, consultez Utilisation AWS Lambda pour intégrer votre fournisseur d'identité. Vous pouvez également accéder à CloudWatch des graphiques pour des indicateurs tels que le nombre de fichiers et d'octets transférés dans la console de AWS Transfer Family gestion, ce qui vous permet de surveiller les transferts de fichiers à l'aide d'un tableau de bord centralisé.
Vous pouvez également fournir une interface RESTful avec une seule méthode Amazon API Gateway. Transfer Family utilise cette méthode pour se connecter à votre fournisseur d'identité, qui authentifie et autorise vos utilisateurs à accéder à Amazon S3 ou Amazon EFS. Utilisez cette option si vous avez besoin d'une API RESTful pour intégrer votre fournisseur d'identité ou si vous souhaitez tirer parti de ses capacités AWS WAF de blocage géographique ou de limitation de débit des demandes. Pour plus de détails, consultez Utilisation d'Amazon API Gateway pour intégrer votre fournisseur d'identité.
Dans les deux cas, vous pouvez créer un nouveau serveur à l'aide de la AWS Transfer Family console
Note
Transfer Family propose un article de blog et un atelier qui vous guideront dans la création d'une solution de transfert de fichiers. Cette solution s'appuie sur les points de AWS Transfer Family terminaison SFTP/FTPS gérés et sur Amazon Cognito et DynamoDB pour la gestion des utilisateurs.
Le billet de blog est disponible sur Utilisation d'Amazon Cognito en tant que fournisseur d'identité avec Amazon AWS Transfer Family S3
AWS Transfer Family propose les options suivantes pour travailler avec des fournisseurs d'identité personnalisés.
-
AWS Lambda À utiliser pour connecter votre fournisseur d'identité : vous pouvez utiliser un fournisseur d'identité existant, soutenu par une fonction Lambda. Vous indiquez le nom de la fonction Lambda. Pour plus d’informations, consultez Utilisation AWS Lambda pour intégrer votre fournisseur d'identité.
-
Utilisez Amazon API Gateway pour connecter votre fournisseur d'identité : vous pouvez créer une méthode API Gateway basée sur une fonction Lambda à utiliser en tant que fournisseur d'identité. Vous fournissez une URL Amazon API Gateway et un rôle d'invocation. Pour plus d’informations, consultez Utilisation d'Amazon API Gateway pour intégrer votre fournisseur d'identité.
Pour l'une ou l'autre option, vous pouvez également spécifier le mode d'authentification.
-
Mot de passe OU clé : les utilisateurs peuvent s'authentifier à l'aide de leur mot de passe ou de leur clé. C’est la valeur par défaut.
-
MOT DE PASSE UNIQUEMENT : les utilisateurs doivent fournir leur mot de passe pour se connecter.
-
Clé UNIQUEMENT : les utilisateurs doivent fournir leur clé privée pour se connecter.
-
Mot de passe ET clé : les utilisateurs doivent fournir leur clé privée et leur mot de passe pour se connecter. Le serveur vérifie d'abord la clé, puis si la clé est valide, le système demande un mot de passe. Si la clé privée fournie ne correspond pas à la clé publique stockée, l'authentification échoue.
Utilisation de plusieurs méthodes d'authentification pour vous authentifier auprès de votre fournisseur d'identité personnalisé
Le serveur Transfer Family contrôle la logique AND lorsque vous utilisez plusieurs méthodes d'authentification. Transfer Family traite cela comme deux demandes distinctes adressées à votre fournisseur d'identité personnalisé : toutefois, leur effet est combiné.
Les deux demandes doivent être renvoyées avec succès avec la bonne réponse pour permettre à l'authentification de se terminer. Transfer Family exige que les deux réponses soient complètes, ce qui signifie qu'elles contiennent tous les éléments requis (rôle, répertoire de base, politique et profil POSIX si vous utilisez Amazon EFS pour le stockage). Transfer Family exige également que la réponse au mot de passe ne contienne pas de clés publiques.
La demande de clé publique doit faire l'objet d'une réponse distincte de la part du fournisseur d'identité. Ce comportement reste inchangé lorsque vous utilisez le mot de passe OU la clé ou le mot de passe ET la clé.
Le protocole SSH/SFTP met d'abord le client logiciel au défi d'une authentification par clé publique, puis demande une authentification par mot de passe. Cette opération garantit la réussite des deux opérations avant que l'utilisateur ne soit autorisé à terminer l'authentification.