Lavorare con provider di identità personalizzati - AWS Transfer Family

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Lavorare con provider di identità personalizzati

Per autenticare gli utenti, puoi utilizzare il tuo provider di identità esistente con. AWS Transfer Family Integri il tuo provider di identità utilizzando una AWS Lambda funzione che autentica e autorizza i tuoi utenti ad accedere ad Amazon S3 o Amazon Elastic File System (Amazon). EFS Per informazioni dettagliate, consultare Utilizzo AWS Lambda per integrare il proprio provider di identità. Puoi anche accedere ai CloudWatch grafici per metriche come il numero di file e byte trasferiti nella Console di AWS Transfer Family gestione, offrendoti un unico pannello di controllo per monitorare i trasferimenti di file utilizzando una dashboard centralizzata.

In alternativa, puoi fornire un'RESTfulinterfaccia con un unico metodo Amazon API Gateway. Transfer Family utilizza questo metodo per connettersi al tuo provider di identità, che autentica e autorizza gli utenti ad accedere ad Amazon S3 o Amazon. EFS Utilizza questa opzione se hai bisogno di integrare il tuo provider RESTful API di identità o se desideri utilizzarla per sfruttare le sue funzionalità per il blocco AWS WAF geografico o le richieste di limitazione della velocità. Per informazioni dettagliate, consultare Utilizzo di Amazon API Gateway per integrare il tuo provider di identità.

In entrambi i casi, puoi creare un nuovo server utilizzando la console o il AWS Transfer Family CreateServerAPIoperazione.

Nota

Abbiamo un seminario a cui puoi partecipare, in cui puoi creare una soluzione per il trasferimento di file. Questa soluzione sfrutta AWS Transfer Family gli FTPS endpoint gestiti SFTP e Amazon Cognito e DynamoDB per la gestione degli utenti. Puoi visualizzare i dettagli di questo workshop qui.

AWS Transfer Family fornisce le seguenti opzioni per lavorare con provider di identità personalizzati.

Per entrambe le opzioni, puoi anche specificare come effettuare l'autenticazione.

  • Password O chiave: gli utenti possono autenticarsi con la propria password o la propria chiave. Si tratta del valore di default.

  • Password ONLY: gli utenti devono fornire la propria password per connettersi.

  • Chiave ONLY: gli utenti devono fornire la propria chiave privata per connettersi.

  • ANDChiave password: gli utenti devono fornire sia la chiave privata che la password per connettersi. Il server controlla prima la chiave e poi, se la chiave è valida, il sistema richiede una password. Se la chiave privata fornita non corrisponde alla chiave pubblica archiviata, l'autenticazione fallisce.

Utilizzo di più metodi di autenticazione per l'autenticazione con il provider di identità personalizzato

Il server Transfer Family controlla la AND logica quando si utilizzano più metodi di autenticazione. Transfer Family considera queste richieste come due richieste separate al tuo provider di identità personalizzato: tuttavia, il loro effetto è combinato.

Entrambe le richieste devono restituire correttamente la risposta corretta per consentire il completamento dell'autenticazione. Transfer Family richiede che le due risposte siano complete, il che significa che contengono tutti gli elementi richiesti (ruolo, home directory, policy e POSIX profilo se utilizzi Amazon EFS per l'archiviazione). Transfer Family richiede inoltre che la risposta alla password non includa chiavi pubbliche.

La richiesta di chiave pubblica deve avere una risposta separata dal provider di identità. Tale comportamento rimane invariato quando si utilizza Password OR Key o Password AND Key.

Il SFTP protocolloSSH/sfida il client software prima con un'autenticazione a chiave pubblica, quindi richiede un'autenticazione con password. Questa operazione richiede che entrambe abbiano esito positivo prima che l'utente possa completare l'autenticazione.