Menggunakan AWS Directory Service untuk Azure Active Directory Domain Services - AWS Transfer Family
Sebelum Anda mulai menggunakan AWS Directory Service untuk Azure Active Directory Domain ServicesLangkah 1: Menambahkan Layanan Domain Direktori Aktif AzureLangkah 2: Membuat akun layananLangkah 3: Menyiapkan AWS Direktori menggunakan AD ConnectorLangkah 4: Menyiapkan AWS Transfer Family serverLangkah 5: Memberikan akses ke grupLangkah 6: Menguji pengguna

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan AWS Directory Service untuk Azure Active Directory Domain Services

  • Untuk memanfaatkan hutan Active Directory yang ada untuk kebutuhan Transfer SFTP Anda, Anda dapat menggunakan Active Directory Connector.

  • Jika Anda menginginkan manfaat Active Directory dan ketersediaan tinggi dalam layanan yang dikelola sepenuhnya, Anda dapat menggunakannya AWS Directory Service for Microsoft Active Directory. Lihat perinciannya di Menggunakan AWS Directory Service untuk Microsoft Active Directory.

Topik ini menjelaskan cara menggunakan Konektor Direktori Aktif dan Layanan Domain Direktori Aktif Azure (Azure ADDS) untuk mengautentikasi pengguna Transfer SFTP dengan Azure Active Directory.

Sebelum Anda mulai menggunakan AWS Directory Service untuk Azure Active Directory Domain Services

Untuk AWS, Anda memerlukan yang berikut ini:

  • Virtual Private Cloud (VPC) di AWS wilayah tempat Anda menggunakan server Transfer Family

  • Setidaknya dua subnet pribadi di VPC Anda

  • VPC harus memiliki konektivitas internet

  • Gateway pelanggan dan gateway pribadi Virtual untuk koneksi site-to-site VPN dengan Microsoft Azure

Untuk Microsoft Azure, Anda memerlukan yang berikut ini:

  • Layanan domain Direktori Aktif Azure dan direktori Aktif (Azure ADDS)

  • Grup sumber daya Azure

  • Jaringan virtual Azure

  • Konektivitas VPN antara VPC Amazon Anda dan grup sumber daya Azure Anda

    catatan

    Ini bisa melalui terowongan IPSEC asli atau menggunakan peralatan VPN. Dalam topik ini, kami menggunakan terowongan IPSEC antara gateway jaringan Azure Virtual dan gateway jaringan lokal. Terowongan harus dikonfigurasi untuk memungkinkan lalu lintas antara titik akhir Azure ADDS Anda dan subnet yang menampung VPC Anda. AWS

  • Gateway pelanggan dan gateway pribadi Virtual untuk koneksi site-to-site VPN dengan Microsoft Azure

Diagram berikut menunjukkan konfigurasi yang diperlukan sebelum Anda mulai.

Azure AD dan diagram AWS Transfer Family arsitektur. AWS VPC yang terhubung ke jaringan virtual Azure melalui internet, menggunakan konektor AWS Directory Service ke Azure AD Domain Service.

Langkah 1: Menambahkan Layanan Domain Direktori Aktif Azure

Azure AD tidak mendukung instans penggabungan Domain secara default. Untuk melakukan tindakan seperti Gabung Domain, dan untuk menggunakan alat seperti Kebijakan Grup, administrator harus mengaktifkan Azure Active Directory Domain Services. Jika Anda belum menambahkan Azure AD DS, atau implementasi yang ada tidak terkait dengan domain yang ingin digunakan server Transfer SFTP, Anda harus menambahkan instance baru.

Untuk informasi tentang mengaktifkan Azure Active Directory Domain Services (Azure ADDS), lihat Tutorial: Membuat dan mengonfigurasi domain terkelola Azure Active Directory Domain Services.

catatan

Saat Anda mengaktifkan Azure ADDS, pastikan itu dikonfigurasi untuk grup sumber daya dan domain Azure AD tempat Anda menghubungkan server Transfer SFTP Anda.

Layar layanan domain Azure AD yang menampilkan bob.us grup sumber daya yang berjalan.

Langkah 2: Membuat akun layanan

Azure AD harus memiliki satu akun layanan yang merupakan bagian dari grup Admin di Azure ADDS. Akun ini digunakan dengan konektor AWS Active Directory. Pastikan akun ini sinkron dengan Azure ADDS.

Layar Azure AD menampilkan profil untuk pengguna.
Tip

Autentikasi multi-faktor untuk Azure Active Directory tidak didukung untuk server Transfer Family yang menggunakan protokol SFTP. Server Transfer Family tidak dapat menyediakan token MFA setelah pengguna mengautentikasi ke SFTP. Pastikan untuk menonaktifkan MFA sebelum Anda mencoba untuk terhubung.

Detail otentikasi multi-faktor Azure AD, menunjukkan status MFA dinonaktifkan untuk dua pengguna.

Langkah 3: Menyiapkan AWS Direktori menggunakan AD Connector

Setelah Anda mengonfigurasi Azure ADDS, dan membuat akun layanan dengan terowongan VPN IPSEC antara AWS VPC dan jaringan Virtual Azure, Anda dapat menguji konektivitas dengan melakukan ping ke alamat IP DNS Azure ADDS dari instans EC2 mana pun. AWS

Setelah Anda memverifikasi koneksi aktif, Anda dapat melanjutkan di bawah ini.

Untuk mengatur AWS Direktori menggunakan AD Connector

  1. Buka konsol Directory Service dan pilih Directories.

  2. Pilih Siapkan direktori.

  3. Untuk jenis direktori, pilih AD Connector.

  4. Pilih ukuran direktori, pilih Berikutnya, lalu pilih VPC dan Subnet Anda.

  5. Pilih Berikutnya, lalu isi kolom sebagai berikut:

    • Nama DNS direktori: masukkan nama domain yang Anda gunakan untuk Azure ADDS Anda.

    • Alamat IP DNS: masukkan alamat IP Azure ADD Anda.

    • Nama pengguna dan kata sandi akun server: masukkan detail untuk akun layanan yang Anda buat di Langkah 2: Buat akun layanan.

  6. Lengkapi layar untuk membuat layanan direktori.

Sekarang status direktori harus Aktif, dan siap digunakan dengan server Transfer SFTP.

Layar Layanan Direktori menampilkan satu direktori dengan status Aktif, seperti yang diperlukan.

Langkah 4: Menyiapkan AWS Transfer Family server

Buat server Transfer Family dengan protokol SFTP, dan jenis penyedia identitas AWS Directory Service. Dari daftar drop-down Directory, pilih direktori yang Anda tambahkan di Langkah 3: Setup AWS Directory menggunakan AD Connector.

catatan

Anda tidak dapat menghapus direktori Microsoft AD di AWS Directory Service jika Anda menggunakannya di server Transfer Family. Anda harus menghapus server terlebih dahulu, dan kemudian Anda dapat menghapus direktori.

Langkah 5: Memberikan akses ke grup

Setelah Anda membuat server, Anda harus memilih grup mana di direktori yang harus memiliki akses untuk mengunggah dan mengunduh file melalui protokol yang diaktifkan menggunakan. AWS Transfer Family Anda melakukan ini dengan membuat akses.

catatan

Pengguna harus menjadi bagian langsung dari grup tempat Anda memberikan akses. Misalnya, asumsikan bahwa Bob adalah pengguna dan milik GroupA, dan GroupA sendiri termasuk dalam GroupB.

  • Jika Anda memberikan akses ke GroUpa, Bob diberikan akses.

  • Jika Anda memberikan akses ke GroupB (dan bukan ke GroupA), Bob tidak memiliki akses.

Untuk memberikan akses, Anda perlu mengambil SID untuk grup.

Gunakan PowerShell perintah Windows berikut untuk mengambil SID untuk grup, ganti YourGroupNamedengan nama grup. 

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
Windows PowerShell menunjukkan Object SID sedang diambil.
Berikan akses ke grup

  1. Buka https://console.aws.amazon.com/transfer/.

  2. Arahkan ke halaman detail server Anda dan di bagian Akses, pilih Tambahkan akses.

  3. Masukkan SID yang Anda terima dari output dari prosedur sebelumnya.

  4. Untuk Access, pilih AWS Identity and Access Management peran untuk grup.

  5. Di bagian Kebijakan, pilih kebijakan. Nilai defaultnya adalah None.

  6. Untuk direktori Home, pilih bucket Amazon S3 yang sesuai dengan direktori home grup.

  7. Pilih Tambah untuk membuat asosiasi.

Detail dari server Transfer Anda akan terlihat mirip dengan yang berikut ini:

Sebagian dari layar detail server Transfer Family, menampilkan contoh ID Direktori untuk penyedia Identitas.
Sebagian dari layar detail server Transfer Family, menampilkan ID Eksternal direktori aktif di bagian Accesses layar.

Langkah 6: Menguji pengguna

Anda dapat menguji (Menguji pengguna) apakah pengguna memiliki akses ke AWS Managed Microsoft AD direktori untuk server Anda. Seorang pengguna harus berada dalam satu grup (ID eksternal) yang tercantum di bagian Access pada halaman konfigurasi Endpoint. Jika pengguna tidak berada dalam grup, atau berada di lebih dari satu grup, pengguna tersebut tidak diberikan akses.