Travailler avec des utilisateurs gérés par des services

Vous pouvez ajouter des utilisateurs gérés par le service Amazon S3 ou Amazon EFS à votre serveur, en fonction du paramètre de domaine du serveur. Pour plus d’informations, consultez Configuration d'un point de terminaison de serveur SFTP, FTPS ou FTP.

Pour ajouter un utilisateur géré par un service par programmation, consultez l'exemple de l'API. CreateUser

Note

Pour les utilisateurs gérés par des services, il existe une limite de 2 000 entrées de répertoire logique. Pour plus d'informations sur l'utilisation de répertoires logiques, consultezUtilisation de répertoires logiques pour simplifier vos structures de répertoires Transfer Family.

Ajouter des utilisateurs gérés par le service Amazon S3

Note

Si vous souhaitez configurer un bucket Amazon S3 multi-comptes, suivez les étapes décrites dans cet article du centre de connaissances : Comment configurer mon AWS Transfer Family serveur pour utiliser un bucket Amazon Simple Storage Service se trouvant dans un autre AWS compte ? .

Pour ajouter un utilisateur géré par le service Amazon S3 à votre serveur

1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/, puis sélectionnez Servers dans le volet de navigation.

2. Sur la page Serveurs, cochez la case du serveur auquel vous souhaitez ajouter un utilisateur.

3. Sélectionnez Ajouter un utilisateur.

4. Dans la section Configuration utilisateur, pour Nom d'utilisateur, entrez le nom d'utilisateur. Ce nom d'utilisateur doit comporter au minimum 3 caractères et au maximum 100 caractères. Vous pouvez utiliser les caractères suivants dans le nom d'utilisateur : a—z, A-Z, 0—9, trait de soulignement « _ », tiret « - », point ' . ', et au panneau « @ ». Le nom d'utilisateur ne peut pas commencer par un tiret « - », point ' . ', ou au panneau « @ ».

5. Pour Access, choisissez le rôle IAM que vous avez créé précédemment et qui donne accès à votre compartiment Amazon S3.

   Vous avez créé ce rôle IAM à l'aide de la procédure décrite dans Création d'un rôle et d'une politique IAM. Ce rôle IAM inclut une politique IAM qui permet d'accéder à votre compartiment Amazon S3. Cela inclut également une relation de confiance avec le AWS Transfer Family service, définie dans une autre politique IAM. Si vous avez besoin d'un contrôle d'accès précis pour vos utilisateurs, consultez le billet de blog Enhance data access control with AWS Transfer Family and Amazon S3.

6. (Facultatif) Pour Politique, sélectionnez l'une des options suivantes :

   • Aucun

   • Politique existante

   • Sélectionnez une politique dans IAM : vous permet de choisir une stratégie de session existante. Choisissez View pour voir un objet JSON contenant les détails de la politique.

   • Génération automatique d'une politique basée sur le dossier de base : génère une politique de session pour vous. Choisissez View pour voir un objet JSON contenant les détails de la politique.

     Note

     Si vous choisissez Générer automatiquement une politique basée sur le dossier de base, ne sélectionnez pas Restreint pour cet utilisateur.

   Pour en savoir plus sur les règles de session, voirCréation d'un rôle et d'une politique IAM. Pour en savoir plus sur la création d'une politique de session, consultezCréation d'une politique de session pour un compartiment Amazon S3.

7. Pour le répertoire personnel, choisissez le compartiment Amazon S3 dans lequel stocker les données à transférer AWS Transfer Family. Entrez le chemin d'accès au home répertoire dans lequel votre utilisateur atterrit lorsqu'il se connecte à l'aide de son client.

   Si vous laissez ce paramètre vide, le root répertoire de votre compartiment Amazon S3 est utilisé. Dans ce cas, vérifiez que votre rôle IAM donne accès à ce répertoire root.

   Note

   Nous vous recommandons de choisir un chemin de répertoire contenant le nom d'utilisateur de l'utilisateur, afin d'utiliser efficacement une politique de session. La politique de session limite l'accès des utilisateurs dans le compartiment Amazon S3 au home répertoire de cet utilisateur.

8. (Facultatif) Pour Restreint, cochez la case afin que vos utilisateurs ne puissent accéder à rien en dehors de ce dossier et ne puissent pas voir le nom du compartiment ou du dossier Amazon S3.

   Note

   L'attribution d'un répertoire personnel à l'utilisateur et la restriction de l'utilisateur à ce répertoire personnel devraient suffire à verrouiller l'accès de l'utilisateur au dossier désigné. Si vous devez appliquer des contrôles supplémentaires, utilisez une politique de session.

   Si vous sélectionnez Restreint pour cet utilisateur, vous ne pouvez pas sélectionner Générer automatiquement une politique basée sur le dossier de base, car le dossier de base n'est pas une valeur définie pour les utilisateurs restreints.

9. Pour la clé publique SSH, entrez la partie clé SSH publique de la paire de clés SSH.

   Votre clé est validée par le service avant que vous puissiez ajouter votre nouvel utilisateur.

   Note

   Pour obtenir des instructions sur la façon de générer une paire de clés SSH, consultez Génération de clés SSH pour les utilisateurs gérés par des services.

10. (Facultatif) Pour Clé et Valeur, entrez une ou plusieurs balises sous forme de paires clé-valeur, puis choisissez Ajouter une balise.

11. Choisissez Add (Ajouter) pour ajouter votre nouvel utilisateur au serveur que vous avez choisi.

    Le nouvel utilisateur apparaît dans la section Utilisateurs de la page de détails du serveur.

Prochaines étapes — Pour l'étape suivante, passez àTransfert de fichiers via un point de terminaison serveur à l'aide d'un client.

Ajouter des utilisateurs gérés par le service Amazon EFS

Amazon EFS utilise le modèle d'autorisation de fichier POSIX (Portable Operating System Interface) pour représenter la propriété des fichiers.

• Pour plus d'informations sur la propriété des fichiers Amazon EFS, consultez la section Propriété des fichiers Amazon EFS.

• Pour plus de détails sur la configuration de répertoires pour vos utilisateurs EFS, consultezConfigurer les utilisateurs Amazon EFS pour Transfer Family.

Pour ajouter un utilisateur géré par le service Amazon EFS à votre serveur

1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/, puis sélectionnez Servers dans le volet de navigation.

2. Sur la page Servers, sélectionnez le serveur Amazon EFS auquel vous souhaitez ajouter un utilisateur.

3. Choisissez Ajouter un utilisateur pour afficher la page Ajouter un utilisateur.

4. Dans la section Configuration utilisateur, utilisez les paramètres suivants.

   1. Le nom d'utilisateur doit comporter un minimum de 3 et un maximum de 100 caractères. Vous pouvez utiliser les caractères suivants dans le nom d'utilisateur : a—z, A-Z, 0—9, trait de soulignement « _ », tiret « - », point ' . ', et au panneau « @ ». Le nom d'utilisateur ne peut pas commencer par un tiret « - », point ' . ', ou au panneau « @ ».

   2. Pour l'ID utilisateur et l'ID de groupe, notez ce qui suit :

      • Pour le premier utilisateur que vous créez, nous vous recommandons de saisir une valeur égale à la fois 0 pour l'ID de groupe et l'ID utilisateur. Cela accorde à l'utilisateur des privilèges d'administrateur pour Amazon EFS.

      • Pour les utilisateurs supplémentaires, entrez l'ID utilisateur POSIX et l'ID de groupe de l'utilisateur. Ces identifiants sont utilisés pour toutes les opérations Amazon Elastic File System effectuées par l'utilisateur.

      • Pour l'ID utilisateur et l'ID de groupe, n'utilisez pas de zéros en début de liste. Par exemple, 12345 c'est acceptable, ne l'012345est pas.

   3. (Facultatif) Pour les identifiants de groupes secondaires, entrez un ou plusieurs identifiants de groupe POSIX supplémentaires pour chaque utilisateur, séparés par des virgules.

   4. Pour Access, choisissez le rôle IAM qui :

      • Permet à l'utilisateur d'accéder uniquement aux ressources Amazon EFS (systèmes de fichiers) auxquelles vous souhaitez qu'il accède.

      • Définit les opérations de système de fichiers que l'utilisateur peut ou ne peut pas effectuer.

      Nous vous recommandons d'utiliser le rôle IAM pour sélectionner le système de fichiers Amazon EFS avec accès au montage et autorisations de lecture/écriture. Par exemple, la combinaison des deux politiques AWS gérées suivantes, bien que très permissive, accorde les autorisations nécessaires à votre utilisateur :

      • AmazonElasticFileSystemClientFullAccess

      • AWSTransferConsoleFullAccess

      Pour plus d'informations, consultez le billet de blog sur la AWS Transfer Family prise en charge d'Amazon Elastic File System.

   5. Pour le répertoire personnel, procédez comme suit :

      • Choisissez le système de fichiers Amazon EFS que vous souhaitez utiliser pour stocker les données à transférer AWS Transfer Family.

      • Décidez si le répertoire de base doit être défini sur Restreint. Le fait de définir le répertoire de base sur Restreint a les effets suivants :

        • Les utilisateurs d'Amazon EFS ne peuvent accéder à aucun fichier ou répertoire en dehors de ce dossier.

        • Les utilisateurs d'Amazon EFS ne peuvent pas voir le nom du système de fichiers Amazon EFS (fs-xxxxxxx).

          Note

          Lorsque vous sélectionnez l'option Restreint, les liens symboliques ne sont pas résolus pour les utilisateurs d'Amazon EFS.

      • (Facultatif) Entrez le chemin du répertoire de base dans lequel vous souhaitez que les utilisateurs se trouvent lorsqu'ils se connectent à l'aide de leur client.

        Si vous ne spécifiez pas de répertoire personnel, le répertoire racine de votre système de fichiers Amazon EFS est utilisé. Dans ce cas, assurez-vous que votre rôle IAM donne accès à ce répertoire racine.

5. Pour la clé publique SSH, entrez la partie clé SSH publique de la paire de clés SSH.

   Votre clé est validée par le service avant que vous puissiez ajouter votre nouvel utilisateur.

   Note

   Pour obtenir des instructions sur la façon de générer une paire de clés SSH, consultez Génération de clés SSH pour les utilisateurs gérés par des services.

6. (Facultatif) Entrez des balises pour l'utilisateur. Pour Clé et Valeur, entrez une ou plusieurs balises sous forme de paires clé-valeur, puis choisissez Ajouter une balise.

7. Choisissez Add (Ajouter) pour ajouter votre nouvel utilisateur au serveur que vous avez choisi.

   Le nouvel utilisateur apparaît dans la section Utilisateurs de la page de détails du serveur.

Problèmes que vous pouvez rencontrer lors de votre première connexion SFTP sur votre serveur Transfer Family :

• Si vous exécutez la sftp commande et que l'invite ne s'affiche pas, le message suivant peut s'afficher :

  Couldn't canonicalize: Permission denied

  Need cwd

  Dans ce cas, vous devez augmenter les autorisations liées à la politique pour le rôle de votre utilisateur. Vous pouvez ajouter une politique AWS gérée, telle queAmazonElasticFileSystemClientFullAccess.

• Si vous entrez pwd à l'sftpinvite pour afficher le répertoire personnel de l'utilisateur, le message suivant peut s'afficher, où USER-HOME-DIRECTORY est le répertoire personnel de l'utilisateur SFTP :

  remote readdir("/USER-HOME-DIRECTORY"): No such file or directory

  Dans ce cas, vous devriez pouvoir accéder au répertoire parent (cd ..) et créer le répertoire personnel de l'utilisateur (mkdir username).

Prochaines étapes — Pour l'étape suivante, passez àTransfert de fichiers via un point de terminaison serveur à l'aide d'un client.

Gestion des utilisateurs gérés par des services

Dans cette section, vous trouverez des informations sur la façon d'afficher une liste d'utilisateurs, de modifier les détails des utilisateurs et d'ajouter une clé publique SSH.

• Afficher la liste des utilisateurs

• Afficher ou modifier les informations de l'utilisateur

• Suppression d'un utilisateur

• Ajouter une clé publique SSH

• Supprimer la clé publique SSH

Pour trouver la liste de vos utilisateurs

1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

2. Sélectionnez Serveurs dans le volet de navigation pour afficher la page Serveurs.

3. Choisissez l'identifiant dans la colonne ID du serveur pour afficher la page de détails du serveur.

4. Sous Utilisateurs, consultez la liste des utilisateurs.

Pour afficher ou modifier les informations de l'utilisateur

1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

2. Sélectionnez Serveurs dans le volet de navigation pour afficher la page Serveurs.

3. Choisissez l'identifiant dans la colonne ID du serveur pour afficher la page de détails du serveur.

4. Sous Utilisateurs, choisissez un nom d'utilisateur pour afficher la page de détails de l'utilisateur.

   Vous pouvez modifier les propriétés de l'utilisateur sur cette page en choisissant Modifier.

5. Sur la page Détails des utilisateurs, choisissez Modifier à côté de Configuration utilisateur.

   

6. Sur la page Modifier la configuration, pour Access, choisissez le rôle IAM que vous avez créé précédemment et qui donne accès à votre compartiment Amazon S3.

   Vous avez créé ce rôle IAM à l'aide de la procédure décrite dans Création d'un rôle et d'une politique IAM. Ce rôle IAM inclut une politique IAM qui permet d'accéder à votre compartiment Amazon S3. Cela inclut également une relation de confiance avec le AWS Transfer Family service, définie dans une autre politique IAM.

7. (Facultatif) Pour Politique, sélectionnez l'une des options suivantes :

   • Aucun

   • Politique existante

   • Sélectionnez une politique dans IAM pour choisir une politique existante. Choisissez View pour voir un objet JSON contenant les détails de la politique.

   Pour en savoir plus sur les règles de session, voirCréation d'un rôle et d'une politique IAM. Pour en savoir plus sur la création d'une politique de session, consultezCréation d'une politique de session pour un compartiment Amazon S3.

8. Pour le répertoire personnel, choisissez le compartiment Amazon S3 dans lequel stocker les données à transférer AWS Transfer Family. Entrez le chemin d'accès au home répertoire dans lequel votre utilisateur atterrit lorsqu'il se connecte à l'aide de son client.

   Si vous laissez ce paramètre vide, le root répertoire de votre compartiment Amazon S3 est utilisé. Dans ce cas, vérifiez que votre rôle IAM donne accès à ce répertoire root.

   Note

   Nous vous recommandons de choisir un chemin de répertoire contenant le nom d'utilisateur de l'utilisateur, afin d'utiliser efficacement une politique de session. La politique de session limite l'accès des utilisateurs dans le compartiment Amazon S3 au home répertoire de cet utilisateur.

9. (Facultatif) Pour Restreint, cochez la case afin que vos utilisateurs ne puissent accéder à rien en dehors de ce dossier et ne puissent pas voir le nom du compartiment ou du dossier Amazon S3.

   Note

   Lorsque vous attribuez un répertoire personnel à l'utilisateur et que vous le limitez à ce répertoire personnel, cela devrait être suffisant pour verrouiller l'accès de l'utilisateur au dossier désigné. Utilisez une politique de session lorsque vous devez appliquer des contrôles supplémentaires.

10. Choisissez Save pour enregistrer les changements.

Pour supprimer un utilisateur

1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

2. Sélectionnez Serveurs dans le volet de navigation pour afficher la page Serveurs.

3. Choisissez l'identifiant dans la colonne ID du serveur pour afficher la page de détails du serveur.

4. Sous Utilisateurs, choisissez un nom d'utilisateur pour afficher la page de détails de l'utilisateur.

5. Sur la page des détails de l'utilisateur, choisissez Supprimer à droite du nom d'utilisateur.

6. Dans la boîte de dialogue de confirmation qui s'affichedelete, entrez le mot, puis choisissez Supprimer pour confirmer que vous souhaitez supprimer l'utilisateur.

L'utilisateur est supprimé de la liste des utilisateurs.

Pour ajouter une clé publique SSH pour un utilisateur

1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

2. Dans le volet de navigation, choisissez Servers (Serveurs).

3. Choisissez l'identifiant dans la colonne ID du serveur pour afficher la page de détails du serveur.

4. Sous Utilisateurs, choisissez un nom d'utilisateur pour afficher la page de détails de l'utilisateur.

5. Choisissez Add SSH public key (Ajouter une clé publique SSH) pour ajouter une nouvelle clé publique SSH à un utilisateur.

   Note

   Les clés SSH ne sont utilisées que par les serveurs qui sont activés pour le protocole de transfert de fichiers (SFTP) Secure Shell (SSH). Pour plus d'informations sur la façon de générer une paire de clés SSH, consultezGénération de clés SSH pour les utilisateurs gérés par des services.

6. Dans SSH public key (Clé publique SSH), entrez la partie clé publique SSH de la paire de clés SSH.

   Votre clé est validée par le service avant que vous puissiez ajouter votre nouvel utilisateur. La clé SSH se présente sous la forme ssh-rsa string. Pour générer une paire de clés SSH, consultezGénération de clés SSH pour les utilisateurs gérés par des services.

7. Sélectionnez Ajouter une clé.

Pour supprimer une clé publique SSH pour un utilisateur

1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

2. Dans le volet de navigation, choisissez Servers (Serveurs).

3. Choisissez l'identifiant dans la colonne ID du serveur pour afficher la page de détails du serveur.

4. Sous Utilisateurs, choisissez un nom d'utilisateur pour afficher la page de détails de l'utilisateur.

5. Pour supprimer une clé publique, cochez la case correspondant à sa clé SSH et choisissez Supprimer.