Travailler avec des fournisseurs d'identité personnalisés - AWS Transfer Family

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Travailler avec des fournisseurs d'identité personnalisés

AWS Transfer Family propose plusieurs options permettant aux fournisseurs d'identité personnalisés d'authentifier et d'autoriser les utilisateurs pour des transferts de fichiers sécurisés. Voici les principales approches :

  • Solution de fournisseur d'identité personnalisée—Cette rubrique décrit la solution de fournisseur d'identité personnalisé Transfer Family, à l'aide d'une boîte à outils hébergée dans GitHub.

    Note

    Dans la plupart des cas d'utilisation, il s'agit de l'option recommandée. Plus précisément, si vous devez prendre en charge plus de 100 groupes Active Directory, la solution de fournisseur d'identité personnalisé offre une alternative évolutive sans limitation de groupe. Cette solution est décrite dans le billet de blog intitulé Simplifier l'authentification Active Directory avec un fournisseur d'identité personnalisé pour AWS Transfer Family.

  • Utilisation d'Amazon API Gateway pour intégrer votre fournisseur d'identité—Cette rubrique décrit comment utiliser une AWS Lambda fonction pour soutenir une méthode Amazon API Gateway.

    Vous pouvez fournir une RESTful interface avec une seule méthode Amazon API Gateway. Transfer Family utilise cette méthode pour se connecter à votre fournisseur d'identité, qui authentifie et autorise vos utilisateurs à accéder à Amazon S3 ou Amazon EFS. Utilisez cette option si vous avez besoin d'une RESTful API pour intégrer votre fournisseur d'identité ou si vous AWS WAF souhaitez tirer parti de ses capacités de blocage géographique ou de limitation de débit des demandes. Pour en savoir plus, consultez Utilisation d'Amazon API Gateway pour intégrer votre fournisseur d'identité.

  • Approches dynamiques de gestion des autorisations—Cette rubrique décrit les approches permettant de gérer les autorisations des utilisateurs de manière dynamique à l'aide de politiques de session.

    Pour authentifier vos utilisateurs, vous pouvez utiliser votre fournisseur d'identité existant avec AWS Transfer Family. Vous intégrez votre fournisseur d'identité à l'aide d'une AWS Lambda fonction qui authentifie et autorise vos utilisateurs à accéder à Amazon S3 ou Amazon Elastic File System (Amazon EFS). Pour en savoir plus, consultez Utilisation AWS Lambda pour intégrer votre fournisseur d'identité. Vous pouvez également accéder à CloudWatch des graphiques pour des indicateurs tels que le nombre de fichiers et d'octets transférés dans la console de AWS Transfer Family gestion, ce qui vous permet de surveiller les transferts de fichiers à l'aide d'un tableau de bord centralisé.

  • Transfer Family propose un article de blog et un atelier qui vous guideront dans la création d'une solution de transfert de fichiers. Cette solution s'appuie sur les SFTP/FTPS points de terminaison gérés et sur Amazon Cognito et DynamoDB AWS Transfer Family pour la gestion des utilisateurs.

    Le billet de blog est disponible sur Utilisation d'Amazon Cognito en tant que fournisseur d'identité avec Amazon AWS Transfer Family S3. Vous pouvez consulter les détails de l'atelier ici.

Note

Pour les fournisseurs d'identité personnalisés, le nom d'utilisateur doit comporter au moins 3 caractères et au maximum 100 caractères. Vous pouvez utiliser les caractères suivants dans le nom d'utilisateur : a—z, A-Z, 0—9, trait de soulignement « _ », tiret « - », point «. » et signe « @». Le nom d'utilisateur ne peut pas commencer par un tiret « - », un point «. » ou par le signe « @».

Lorsque vous implémentez un fournisseur d'identité personnalisé, tenez compte des meilleures pratiques suivantes :

  • Déployez la solution dans la même Compte AWS région que vos serveurs Transfer Family.

  • Mettez en œuvre le principe du moindre privilège lors de la configuration des rôles et des politiques IAM.

  • Utilisez des fonctionnalités telles que la liste des adresses IP autorisées et la journalisation standardisée pour renforcer la sécurité.

  • Testez minutieusement votre fournisseur d'identité personnalisé dans un environnement hors production avant le déploiement.

Rubriques