Gestione degli utenti per gli endpoint del server

Nelle sezioni seguenti, puoi trovare informazioni su come aggiungere utenti utilizzando AWS Transfer Family AWS Directory Service for Microsoft Active Directory o un provider di identità personalizzato.

Come parte delle proprietà di ogni utente, puoi anche archiviare la chiave pubblica SSH (Secure Shell) dell'utente. Questa operazione è necessaria per l'autenticazione basata su chiavi. La chiave privata viene archiviata localmente sul computer dell'utente. Quando l'utente invia una richiesta di autenticazione al server utilizzando un client, il server conferma innanzitutto che l'utente ha accesso alla chiave privata SSH associata. Il server quindi autentica correttamente l'utente.

Inoltre, si specifica la home directory o la directory di destinazione di un utente e si assegna un ruolo AWS Identity and Access Management (IAM) all'utente. Facoltativamente, puoi fornire una politica di sessione per limitare l'accesso degli utenti solo alla home directory del tuo bucket Amazon S3.

Importante

AWS Transfer Family impedisce ai nomi utente di 1 o 2 caratteri di autenticarsi sui server SFTP. Inoltre, blocchiamo anche il nome utente. root

Il motivo alla base di ciò è dovuto all'elevato volume di tentativi di accesso malevoli da parte degli scanner di password.

Confronto tra Amazon EFS e Amazon S3

Caratteristiche di ciascuna opzione di storage:

• Per limitare l'accesso: Amazon S3 supporta le policy di sessione; Amazon EFS supporta utenti, gruppi e gruppi secondari POSIX IDs

• Entrambi i tasti di supporto public/private

• Entrambi supportano le home directory

• Entrambi supportano le directory logiche

  Nota

  Per Amazon S3, la maggior parte del supporto per le directory logiche avviene tramite API/CLI. Puoi utilizzare la casella di controllo Restricted nella console per bloccare un utente nella sua home directory, ma non puoi specificare una struttura di directory virtuale.

Directory logiche

Se si specificano valori di directory logica per l'utente, il parametro utilizzato dipende dal tipo di utente.

• Per gli utenti gestiti dal servizio, fornisci i valori della directory logica in. HomeDirectoryMappings

• Per gli utenti di provider di identità personalizzati, fornisci i valori della directory logica in. HomeDirectoryDetails

AWS Transfer Family supporta la specificazione di un HomeDirectory valore quando si utilizza HomeDirectoryType LOGICAL. Ciò si applica agli utenti di Service Managed, all'accesso ad Active Directory e alle implementazioni di Custom Identity Provider, laddove HomeDirectoryDetails siano forniti nella risposta.

Importante

Quando si specifica un HomeDirectory con LOGICAL HomeDirectoryType, il valore deve essere mappato a una delle mappature delle directory logiche. Il servizio lo convalida sia durante la creazione degli utenti che durante gli aggiornamenti per evitare configurazioni che non funzionerebbero.

Comportamento predefinito

Per impostazione predefinita, se non viene specificato, HomeDirectory è impostato su «/» per la modalità LOGICAL. Questo comportamento rimane invariato e rimane compatibile con le definizioni utente esistenti.

• Assicurati di associare il tuo nome HomeDirectory a un Entry e non a un Target. Per ulteriori dettagli, consulta Regole per l'utilizzo delle directory logiche.

• Per i dettagli su come è strutturata una directory virtuale, vediStruttura delle directory virtuali.

Considerazioni relative a Custom Identity Provider

Quando si utilizza un provider di identità personalizzato, ora è possibile specificare un HomeDirectory nella risposta mentre si utilizza HomeDirectoryType LOGICAL. La chiamata TestIdentityProvider API produrrà risultati corretti quando l'IDP personalizzato specifica un HomeDirectory in modalità LOGICAL.

Esempio di risposta IDP personalizzata con HomeDirectory e LOGICAL: HomeDirectoryType

{
  "Role": "arn:aws:iam::123456789012:role/transfer-user-role",
  "HomeDirectoryType": "LOGICAL",
  "HomeDirectory": "/marketing",
  "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}

Quote di gruppo Active Directory

AWS Transfer Family ha un limite predefinito di 100 gruppi di Active Directory per server. Se il tuo caso d'uso richiede più di 100 gruppi, prendi in considerazione l'utilizzo di una soluzione di provider di identità personalizzata, come descritto in Semplificare l'autenticazione di Active Directory con un provider di identità personalizzato per AWS Transfer Family.

Questo limite si applica ai server che utilizzano i seguenti provider di identità:

• AWS Directory Service per Microsoft Active Directory

• AWS Directory Service per Entra ID Domain Services

Se devi richiedere un aumento del limite di servizio, consulta le Servizio AWS quote nel Riferimenti generali di AWS. Se il tuo caso d'uso richiede più di 100 gruppi, prendi in considerazione l'utilizzo di una soluzione di provider di identità personalizzata, come descritto in Semplificare l'autenticazione di Active Directory con un provider di identità personalizzato per AWS Transfer Family.

Per informazioni sulla risoluzione dei problemi relative ai limiti dei gruppi di Active Directory, consultaI limiti dei gruppi di Active Directory sono stati superati.

Argomenti

• Lavorare con utenti gestiti dal servizio

• Lavorare con provider di identità personalizzati

• Utilizzo di AWS Directory Service per Microsoft Active Directory

• Utilizzo di AWS Directory Service per Entra ID Domain Services