Utilisation du fournisseur d'identité du AWS Directory Service - AWS Transfer Family
En utilisant AWS Directory Service for Microsoft Active DirectoryUtilisation d'Azure Active Directory

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation du fournisseur d'identité du AWS Directory Service

Cette rubrique décrit comment utiliser le fournisseur d'identité du AWS Directory Service pour AWS Transfer Family.

En utilisant AWS Directory Service for Microsoft Active Directory

Vous pouvez l'utiliser AWS Transfer Family pour authentifier les utilisateurs finaux de votre transfert de fichiers à l'aide AWS Directory Service for Microsoft Active Directory de. Il permet une migration fluide des flux de transfert de fichiers qui reposent sur l'authentification Active Directory sans modifier les informations d'identification des utilisateurs finaux ni avoir besoin d'un autorisateur personnalisé.

Vous pouvez ainsi fournir aux AWS Managed Microsoft AD AWS Directory Service utilisateurs et aux groupes un accès sécurisé SFTP FTP aux données stockées dans Amazon Simple Storage Service (Amazon S3) ou Amazon Elastic File System (AmazonEFS) et pour ces données. FTPS Si vous utilisez Active Directory pour stocker les informations d'identification de vos utilisateurs, vous disposez désormais d'un moyen plus simple d'activer les transferts de fichiers pour ces utilisateurs.

Vous pouvez fournir un accès aux groupes Active Directory AWS Managed Microsoft AD dans votre environnement sur site ou dans le AWS cloud à l'aide de connecteurs Active Directory. Vous pouvez donner aux utilisateurs déjà configurés dans votre environnement Microsoft Windows, que ce soit dans le AWS Cloud ou sur leur réseau local, l'accès à un AWS Transfer Family serveur qui utilise AWS Managed Microsoft AD l'identité.

Note

  • AWS Transfer Family ne prend pas en charge Simple AD.

  • Transfer Family ne prend pas en charge les configurations Active Directory interrégionales : nous prenons uniquement en charge les intégrations Active Directory situées dans la même région que celle du serveur Transfer Family.

  • Transfer Family ne prend pas en charge l'utilisation d'AD Connector AWS Managed Microsoft AD ou d'AD Connector pour activer l'authentification multifactorielle (MFA) pour votre RADIUS MFA infrastructure existante.

  • AWS Transfer Family ne prend pas en charge les régions répliquées de Managed Active Directory.

Pour l'utiliser AWS Managed Microsoft AD, vous devez suivre les étapes suivantes :

  1. Créez un ou plusieurs AWS Managed Microsoft AD répertoires à l'aide de la AWS Directory Service console.

  2. Utilisez la console Transfer Family pour créer un serveur utilisé AWS Managed Microsoft AD comme fournisseur d'identité.

  3. Ajoutez l'accès depuis un ou plusieurs de vos AWS Directory Service groupes.

  4. Bien que cela ne soit pas obligatoire, nous vous recommandons de tester et de vérifier l'accès des utilisateurs.

Avant de commencer à utiliser AWS Directory Service for Microsoft Active Directory

Fournissez un identifiant unique pour vos groupes AD

Avant de pouvoir l'utiliser AWS Managed Microsoft AD, vous devez fournir un identifiant unique pour chaque groupe de votre annuaire Microsoft AD. Pour ce faire, vous pouvez utiliser l'identifiant de sécurité (SID) de chaque groupe. Les utilisateurs du groupe que vous associez ont accès à vos EFS ressources Amazon S3 ou Amazon via les protocoles activés à l'aide de AWS Transfer Family.

Utilisez la PowerShell commande Windows suivante pour récupérer le nom SID d'un groupe, en remplaçant YourGroupName avec le nom du groupe. 

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
Note

Si vous utilisez AWS Directory Service comme fournisseur d'identité, userPrincipalName et si vous SamAccountName avez des valeurs différentes, AWS Transfer Family accepte la valeur dansSamAccountName. Transfer Family n'accepte pas la valeur spécifiée dansuserPrincipalName.

Ajoutez AWS Directory Service des autorisations à votre rôle

Vous avez également besoin d' AWS Directory Service APIautorisations pour l'utiliser AWS Directory Service en tant que fournisseur d'identité. Les autorisations suivantes sont requises ou suggérées :

  • ds:DescribeDirectoriesest nécessaire pour que Transfer Family puisse consulter le répertoire

  • ds:AuthorizeApplicationest nécessaire pour ajouter une autorisation pour Transfer Family

  • ds:UnauthorizeApplicationest suggéré de supprimer toutes les ressources créées de manière provisoire, au cas où quelque chose ne tournerait pas rond pendant le processus de création du serveur

Ajoutez ces autorisations au rôle que vous utilisez pour créer vos serveurs Transfer Family. Pour plus de détails sur ces autorisations, voir AWS Directory Service APIAutorisations : référence aux actions, aux ressources et aux conditions.

Utilisation des domaines Active Directory

Lorsque vous réfléchissez à la manière dont vos utilisateurs Active Directory peuvent accéder aux AWS Transfer Family serveurs, gardez à l'esprit le domaine de l'utilisateur et celui de son groupe. Idéalement, le domaine de l'utilisateur et celui de son groupe devraient correspondre. En d'autres termes, l'utilisateur et le groupe se trouvent dans le domaine par défaut, ou les deux dans le domaine de confiance. Si ce n'est pas le cas, l'utilisateur ne peut pas être authentifié par Transfer Family.

Vous pouvez tester l'utilisateur pour vous assurer que la configuration est correcte. Pour plus de détails, consultez Tester les utilisateurs. En cas de problème avec le domaine utilisateur/groupe, vous recevez le message d'erreur « Aucun accès associé trouvé pour les groupes d'utilisateurs ».

Choisir AWS Managed Microsoft AD comme fournisseur d'identité

Cette section décrit comment l'utiliser AWS Directory Service for Microsoft Active Directory avec un serveur.

À utiliser AWS Managed Microsoft AD avec Transfer Family

  1. Connectez-vous à la AWS Directory Service console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/directoryservicev2/.

    Utilisez la AWS Directory Service console pour configurer un ou plusieurs annuaires gérés. Pour plus d'informations, veuillez consulter la rubrique AWS Managed Microsoft AD dans le Guide de l'administrateur AWS Directory Service .

    La console Directory Service affiche la liste des annuaires et leurs détails.

  2. Ouvrez la AWS Transfer Family console à https://console.aws.amazon.com/transfer/, puis choisissez Create server.

  3. Sur la page Choisir des protocoles, sélectionnez un ou plusieurs protocoles dans la liste.

    Note

    Si vous le sélectionnez FTPS, vous devez fournir le AWS Certificate Manager certificat.

  4. Pour Choisir un fournisseur d'identité, choisissez AWS Directory Service.

    Capture d'écran de la console montrant la section Choisir un fournisseur d'identité avec Directory Service sélectionné.

  5. La liste des annuaires contient tous les annuaires gérés que vous avez configurés. Choisissez un répertoire dans la liste, puis cliquez sur Next.

    Note

  6. Pour terminer la création du serveur, appliquez l'une des procédures suivantes :

    Dans ces procédures, passez à l'étape qui suit le choix d'un fournisseur d'identité.

Important

Vous ne pouvez pas supprimer un répertoire Microsoft AD AWS Directory Service si vous l'avez utilisé sur un serveur Transfer Family. Vous devez d'abord supprimer le serveur, puis vous pouvez supprimer le répertoire.

Octroi de l'accès aux groupes

Après avoir créé le serveur, vous devez choisir les groupes du répertoire qui doivent avoir accès au chargement et au téléchargement de fichiers via les protocoles activés à l'aide de AWS Transfer Family. Pour ce faire, créez un accès.

Note

Les utilisateurs doivent appartenir directement au groupe auquel vous accordez l'accès. Par exemple, supposons que Bob est un utilisateur et qu'il appartient à GroupA, et que GroupA lui-même est inclus dans GroupB.

  • Si vous accordez l'accès à GroupA, Bob est autorisé à y accéder.

  • Si vous accordez l'accès au groupe B (et non au groupe A), Bob n'y a pas accès.

Pour accorder l'accès à un groupe

  1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

  2. Accédez à la page des détails de votre serveur.

  3. Dans la section Accès, choisissez Ajouter un accès.

  4. Entrez SID le AWS Managed Microsoft AD répertoire auquel vous souhaitez accéder à ce serveur.

    Note

    Pour plus d'informations sur la manière de trouver le SID correspondant à votre groupe, consultezAvant de commencer à utiliser AWS Directory Service for Microsoft Active Directory.

  5. Pour Access, choisissez un AWS Identity and Access Management (IAM) rôle pour le groupe.

  6. Dans la section Stratégie, choisissez une stratégie. Le paramètre par défaut est Aucun.

  7. Pour le répertoire personnel, choisissez un compartiment S3 correspondant au répertoire personnel du groupe.

    Note

    Vous pouvez limiter les parties du bucket visibles par les utilisateurs en créant une politique de session. Par exemple, pour limiter les utilisateurs à leur propre dossier dans le /filetest répertoire, entrez le texte suivant dans le champ.

    /filetest/${transfer:UserName}

    Pour en savoir plus sur la création d'une politique de session, consultezCréation d'une politique de session pour un compartiment Amazon S3.

  8. Choisissez Ajouter pour créer l'association.

  9. Choisissez votre serveur.

  10. Choisissez Ajouter un accès.

    1. Entrez le SID pour le groupe.

      Note

      Pour plus d'informations sur la façon de les trouverSID, consultezAvant de commencer à utiliser AWS Directory Service for Microsoft Active Directory.

  11. Choisissez Ajouter un accès.

Dans la section Accès, les accès au serveur sont répertoriés.

Console affichant la section Accès répertoriant les accès au serveur.

Tester les utilisateurs

Vous pouvez vérifier si un utilisateur a accès à l' AWS Managed Microsoft AD annuaire de votre serveur.

Note

Un utilisateur doit appartenir exactement à un groupe (un ID externe) répertorié dans la section Accès de la page de configuration du point de terminaison. Si l'utilisateur ne fait partie d'aucun groupe, ou s'il fait partie de plusieurs groupes, il n'est pas autorisé à y accéder.

Pour vérifier si un utilisateur spécifique a accès

  1. Sur la page de détails du serveur, choisissez Actions, puis sélectionnez Test.

  2. Pour tester le fournisseur d'identité, entrez les informations de connexion d'un utilisateur appartenant à l'un des groupes ayant accès.

  3. Sélectionnez Tester).

Vous voyez un test du fournisseur d'identité réussi, indiquant que l'utilisateur sélectionné a obtenu l'accès au serveur.

Capture d'écran de la console montrant la réponse réussie au test du fournisseur d'identité.

Si l'utilisateur appartient à plusieurs groupes ayant accès, vous recevez la réponse suivante.

"Response":"",
"StatusCode":200,
"Message":"More than one associated access found for user's groups."

Supprimer l'accès au serveur pour un groupe

Pour supprimer l'accès au serveur pour un groupe

  1. Sur la page de détails du serveur, choisissez Actions, puis sélectionnez Supprimer l'accès.

  2. Dans la boîte de dialogue, confirmez que vous souhaitez supprimer l'accès à ce groupe.

Lorsque vous revenez à la page des détails du serveur, vous constatez que l'accès à ce groupe n'est plus répertorié.

Connexion au serveur à l'aide de SSH (Secure Shell)

Après avoir configuré votre serveur et vos utilisateurs, vous pouvez vous connecter au serveur en utilisant SSH et utiliser le nom d'utilisateur complet d'un utilisateur qui y a accès. 

sftp user@active-directory-domain@vpc-endpoint

olpPar exemple : transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com.

Ce format cible la recherche de la fédération, limitant ainsi la recherche dans un Active Directory potentiellement volumineux.

Note

Vous pouvez spécifier le nom d'utilisateur simple. Toutefois, dans ce cas, le code Active Directory doit effectuer une recherche dans tous les annuaires de la fédération. Cela peut limiter la recherche et l'authentification peut échouer même si l'utilisateur doit y avoir accès.

Une fois authentifié, l'utilisateur se trouve dans le répertoire de base que vous avez spécifié lors de sa configuration.

Connexion AWS Transfer Family à un Active Directory autogéré à l'aide de forêts et d'approbations

Les utilisateurs de votre Active Directory (AD) autogéré peuvent également utiliser l'authentification unique AWS IAM Identity Center pour accéder aux serveurs Transfer Family Comptes AWS et les utiliser. Pour ce faire, AWS Directory Service les options suivantes sont-elles disponibles :

  • La confiance forestière unidirectionnelle (sortante AWS Managed Microsoft AD et entrante pour Active Directory sur site) ne fonctionne que pour le domaine racine.

  • Pour les domaines enfants, vous pouvez utiliser l'une des options suivantes :

    • Utilisez une confiance bidirectionnelle entre Active AWS Managed Microsoft AD Directory et sur site

    • Utilisez une confiance externe unidirectionnelle pour chaque domaine enfant.

Lors de la connexion au serveur via un domaine sécurisé, l'utilisateur doit spécifier le domaine sécurisé, par exempletransferuserexample@mycompany.com.

Utilisation du service d' AWS annuaire pour les services de domaine Azure Active Directory

  • Pour tirer parti de votre forêt Active Directory existante pour vos besoins de SFTP transfert, vous pouvez utiliser le connecteur Active Directory.

  • Si vous souhaitez bénéficier des avantages d'Active Directory et de la haute disponibilité dans un service entièrement géré, vous pouvez utiliser AWS Directory Service for Microsoft Active Directory. Pour plus de détails, consultez Utilisation du fournisseur d'identité du AWS Directory Service.

Cette rubrique décrit comment utiliser un connecteur Active Directory et Azure Active Directory Domain Services (AzureADDS) pour authentifier les utilisateurs de SFTP Transfer auprès d'Azure Active Directory.

Avant de commencer à utiliser AWS Directory Service pour Azure Active Directory Domain Services

Pour cela AWS, vous avez besoin des éléments suivants :

  • Un cloud privé virtuel (VPC) dans une AWS région où vous utilisez vos serveurs Transfer Family

  • Au moins deux sous-réseaux privés dans votre VPC

  • La connectivité Internet VPC indispensable

  • Une passerelle client et une passerelle privée virtuelle pour la site-to-site VPN connexion à Microsoft Azure

Pour Microsoft Azure, vous avez besoin des éléments suivants :

  • Un service de domaine Azure Active Directory et Active Directory (AzureADDS)

  • Un groupe de ressources Azure

  • Un réseau virtuel Azure

  • VPNconnectivité entre votre Amazon VPC et votre groupe de ressources Azure

    Note

    Cela peut se faire par le biais de IPSEC tunnels natifs ou d'VPNappareils. Dans cette rubrique, nous utilisons IPSEC des tunnels entre une passerelle réseau virtuelle Azure et une passerelle réseau locale. Les tunnels doivent être configurés pour autoriser le trafic entre vos ADDS points de terminaison Azure et les sous-réseaux qui les hébergent. AWS VPC

  • Une passerelle client et une passerelle privée virtuelle pour la site-to-site VPN connexion à Microsoft Azure

Le schéma suivant montre la configuration requise avant de commencer.

Azure AD et schéma AWS Transfer Family d'architecture. Une AWS VPC connexion à un réseau virtuel Azure via Internet, à l'aide d'un connecteur AWS Directory Service vers le service de domaine Azure AD.

Étape 1 : ajout des services de domaine Azure Active Directory

Azure AD ne prend pas en charge les instances de jointure de domaines par défaut. Pour effectuer des actions telles que l'adhésion à un domaine et utiliser des outils tels que la stratégie de groupe, les administrateurs doivent activer les services de domaine Azure Active Directory. Si vous n'avez pas encore ajouté Azure AD DS ou si votre implémentation existante n'est pas associée au domaine que vous souhaitez que votre serveur de SFTP transfert utilise, vous devez ajouter une nouvelle instance.

Pour plus d'informations sur l'activation des services de domaine Azure Active Directory (AzureADDS), voir Tutoriel : création et configuration d'un domaine géré par les services de domaine Azure Active Directory.

Note

Lorsque vous activez AzureADDS, assurez-vous qu'il est configuré pour le groupe de ressources et le domaine Azure AD auxquels vous connectez votre serveur de SFTP transfert.

Écran des services de domaine Azure AD montrant le groupe de ressources bob.us en cours d'exécution.

Étape 2 : Création d'un compte de service

Azure AD doit disposer d'un compte de service faisant partie d'un groupe d'administrateurs dans AzureADDS. Ce compte est utilisé avec le connecteur AWS Active Directory. Assurez-vous que ce compte est synchronisé avec AzureADDS.

Écran Azure AD affichant le profil d'un utilisateur.
Astuce

L'authentification multifactorielle pour Azure Active Directory n'est pas prise en charge pour les serveurs Transfer Family qui utilisent le SFTP protocole. Le serveur Transfer Family ne peut pas fournir le MFA jeton une fois qu'un utilisateur s'est authentifié auprès de SFTP lui. Assurez-vous de le désactiver MFA avant de tenter de vous connecter.

Détails de l'authentification multifactorielle Azure AD, indiquant que le MFA statut est désactivé pour deux utilisateurs.

Étape 3 : Configuration de l' AWS annuaire à l'aide d'AD Connector

Après avoir configuré Azure ADDS et créé un compte de service avec des IPSEC VPN tunnels entre votre réseau virtuel AWS VPC et Azure, vous pouvez tester la connectivité en envoyant un ping à l'adresse ADDS DNS IP Azure depuis n'importe quelle AWS EC2 instance.

Après avoir vérifié que la connexion est active, vous pouvez continuer ci-dessous.

Pour configurer votre AWS annuaire à l'aide d'AD Connector

  1. Ouvrez la console Directory Service et sélectionnez Directories.

  2. Sélectionnez Configurer le répertoire.

  3. Pour le type de répertoire, choisissez AD Connector.

  4. Sélectionnez une taille de répertoire, sélectionnez Suivant, puis sélectionnez vos sous-réseaux VPC et sous-réseaux.

  5. Sélectionnez Suivant, puis renseignez les champs comme suit :

    • DNSNom du répertoire : entrez le nom de domaine que vous utilisez pour votre AzureADDS.

    • DNSAdresses IP : entrez vos adresses ADDS IP Azure.

    • Nom d'utilisateur et mot de passe du compte serveur : entrez les détails du compte de service que vous avez créé à l'étape 2 : créer un compte de service.

  6. Complétez les écrans pour créer le service d'annuaire.

Le statut du répertoire doit maintenant être Actif et il est prêt à être utilisé avec un serveur SFTP de transfert.

L'écran des services d'annuaire affiche un répertoire dont le statut est Actif, selon les besoins.

Étape 4 : Configuration AWS Transfer Family du serveur

Créez un serveur Transfer Family avec le SFTP protocole et le type de fournisseur d'identité de AWS Directory Service. Dans la liste déroulante Répertoire, sélectionnez le répertoire que vous avez ajouté à l'étape 3 : Configuration du AWS répertoire à l'aide d'AD Connector.

Note

Vous ne pouvez pas supprimer un répertoire Microsoft AD dans AWS Directory Service si vous l'avez utilisé sur un serveur Transfer Family. Vous devez d'abord supprimer le serveur, puis vous pouvez supprimer le répertoire.

Étape 5 : Accorder l'accès aux groupes

Après avoir créé le serveur, vous devez choisir les groupes du répertoire qui doivent avoir accès au chargement et au téléchargement de fichiers via les protocoles activés à l'aide de AWS Transfer Family. Pour ce faire, créez un accès.

Note

Les utilisateurs doivent appartenir directement au groupe auquel vous accordez l'accès. Par exemple, supposons que Bob est un utilisateur et qu'il appartient à GroupA, et que GroupA lui-même est inclus dans GroupB.

  • Si vous accordez l'accès à GroupA, Bob est autorisé à y accéder.

  • Si vous accordez l'accès au groupe B (et non au groupe A), Bob n'y a pas accès.

Pour accorder l'accès, vous devez récupérer le SID pour le groupe.

Utilisez la PowerShell commande Windows suivante pour récupérer le nom SID d'un groupe, en remplaçant YourGroupName avec le nom du groupe. 

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
Fenêtres PowerShell affichant un objet SID en cours de récupération.
Accorder l'accès aux groupes

  1. Ouvert https://console.aws.amazon.com/transfer/.

  2. Accédez à la page des détails de votre serveur et dans la section Accès, sélectionnez Ajouter un accès.

  3. Entrez le SID résultat de la procédure précédente.

  4. Pour Access, choisissez un AWS Identity and Access Management rôle pour le groupe.

  5. Dans la section Stratégie, choisissez une stratégie. La valeur par défaut est Aucune.

  6. Pour le répertoire personnel, choisissez un compartiment S3 correspondant au répertoire personnel du groupe.

  7. Choisissez Ajouter pour créer l'association.

Les informations provenant de votre serveur de transfert doivent ressembler à ce qui suit :

Partie de l'écran des détails du serveur Transfer Family, présentant un exemple d'ID de répertoire pour le fournisseur d'identité.
Partie de l'écran des détails du serveur Transfer Family, affichant l'ID externe de l'Active Directory dans la partie Accès de l'écran.

Étape 6 : Tester les utilisateurs

Vous pouvez tester (Tester les utilisateurs) si un utilisateur a accès au AWS Managed Microsoft AD répertoire de votre serveur. Un utilisateur doit appartenir exactement à un groupe (un ID externe) répertorié dans la section Accès de la page de configuration du point de terminaison. Si l'utilisateur ne fait partie d'aucun groupe, ou s'il fait partie de plusieurs groupes, il n'est pas autorisé à y accéder.