Utilizzo del provider di identità AWS Directory Service

Questo argomento descrive come utilizzare il provider di identità del AWS Directory Service per AWS Transfer Family.

Usando AWS Directory Service for Microsoft Active Directory

È possibile utilizzare AWS Transfer Family per autenticare gli utenti finali di trasferimento di file utilizzando AWS Directory Service for Microsoft Active Directory. Consente la migrazione senza interruzioni dei flussi di lavoro di trasferimento di file che si basano sull'autenticazione di Active Directory senza modificare le credenziali degli utenti finali o richiedere un'autorizzazione personalizzata.

Con AWS Managed Microsoft AD, puoi fornire a AWS Directory Service utenti e gruppi l'accesso sicuro ai dati archiviati in Amazon FTP Simple Storage Service (Amazon S3) o Amazon Elastic File System (Amazon). SFTP FTPS EFS Se utilizzi Active Directory per archiviare le credenziali degli utenti, ora disponi di un modo più semplice per abilitare i trasferimenti di file per questi utenti.

Puoi fornire l'accesso ai gruppi di Active Directory AWS Managed Microsoft AD nel tuo ambiente locale o nel AWS cloud utilizzando i connettori Active Directory. Puoi consentire agli utenti già configurati nel tuo ambiente Microsoft Windows, nel AWS cloud o nella loro rete locale, l'accesso a un AWS Transfer Family server che utilizza AWS Managed Microsoft AD l'identità.

Nota

• AWS Transfer Family non supporta Simple AD.

• Transfer Family non supporta configurazioni Active Directory interregionali: supportiamo solo le integrazioni di Active Directory che si trovano nella stessa regione di quella del server Transfer Family.

• Transfer Family non supporta né l'utilizzo di AD AWS Managed Microsoft AD Connector né di AD Connector per abilitare l'autenticazione a più fattori (MFA) per l'MFAinfrastruttura RADIUS basata esistente.

• AWS Transfer Family non supporta le regioni replicate di Managed Active Directory.

Per utilizzarlo AWS Managed Microsoft AD, è necessario eseguire le seguenti operazioni:

1. Crea una o più AWS Managed Microsoft AD directory utilizzando la AWS Directory Service console.

2. Usa la console Transfer Family per creare un server che utilizzi AWS Managed Microsoft AD come provider di identità.

3. Aggiungi l'accesso da uno o più dei tuoi AWS Directory Service gruppi.

4. Sebbene non sia obbligatorio, ti consigliamo di testare e verificare l'accesso degli utenti.

Argomenti

• Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory

• Utilizzo dei realm di Active Directory

• Scelta AWS Managed Microsoft AD come provider di identità

• Concessione dell'accesso ai gruppi

• Test degli utenti

• Eliminazione dell'accesso al server per un gruppo

• Connessione al server tramite SSH (Secure Shell)

• Connessione AWS Transfer Family a un Active Directory autogestito utilizzando foreste e trust

Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory

Fornisci un identificatore univoco per i tuoi gruppi di annunci

Prima di poter utilizzare AWS Managed Microsoft AD, è necessario fornire un identificatore univoco per ogni gruppo nella directory Microsoft AD. A tale scopo, è possibile utilizzare l'identificatore di sicurezza (SID) per ogni gruppo. Gli utenti del gruppo che associ hanno accesso alle tue EFS risorse Amazon S3 o Amazon tramite i protocolli abilitati utilizzando AWS Transfer Family.

Usa il seguente PowerShell comando di Windows per recuperare il file SID for a un gruppo, sostituendo YourGroupName con il nome del gruppo.

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

Nota

Se lo utilizzi AWS Directory Service come provider di identità userPrincipalName e SamAccountName hai valori diversi, AWS Transfer Family accetta il valore inSamAccountName. Transfer Family non accetta il valore specificato inuserPrincipalName.

Aggiungi AWS Directory Service autorizzazioni al tuo ruolo

Ti servono anche AWS Directory Service API le autorizzazioni da utilizzare AWS Directory Service come provider di identità. Le seguenti autorizzazioni sono obbligatorie o suggerite:

• ds:DescribeDirectoriesè necessario per consentire a Transfer Family di cercare l'elenco

• ds:AuthorizeApplicationè necessario aggiungere l'autorizzazione per Transfer Family

• ds:UnauthorizeApplicationsi consiglia di rimuovere tutte le risorse create provvisoriamente, nel caso in cui qualcosa vada storto durante il processo di creazione del server

Aggiungi queste autorizzazioni al ruolo che stai utilizzando per creare i tuoi server Transfer Family. Per maggiori dettagli su queste autorizzazioni, consulta AWS Directory Service APIAutorizzazioni: riferimento alle azioni, alle risorse e alle condizioni.

Utilizzo dei realm di Active Directory

Quando state valutando come fare in modo che gli utenti di Active Directory accedano ai AWS Transfer Family server, tenete presente l'area dell'utente e quella del gruppo. Idealmente, l'area dell'utente e quella del gruppo dovrebbero corrispondere. Cioè, sia l'utente che il gruppo si trovano nel realm predefinito o entrambi si trovano nell'area di fiducia. In caso contrario, l'utente non può essere autenticato da Transfer Family.

Puoi testare l'utente per assicurarti che la configurazione sia corretta. Per informazioni dettagliate, consultare Test degli utenti. Se c'è un problema con il realm utente/gruppo, viene visualizzato l'errore Nessun accesso associato trovato per i gruppi di utenti.

Scelta AWS Managed Microsoft AD come provider di identità

Questa sezione descrive come utilizzarlo AWS Directory Service for Microsoft Active Directory con un server.

Da usare AWS Managed Microsoft AD con Transfer Family

1. Accedi a AWS Management Console e apri la AWS Directory Service console all'indirizzo https://console.aws.amazon.com/directoryservicev2/.

   Usa la AWS Directory Service console per configurare una o più directory gestite. Per ulteriori informazioni, consulta AWS Managed Microsoft AD nella Guida per gli amministratori AWS Directory Service .

   

2. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/e scegli Crea server.

3. Nella pagina Scegli i protocolli, scegli uno o più protocolli dall'elenco.

   Nota

   Se si seleziona FTPS, è necessario fornire il AWS Certificate Manager certificato.

4. Per Scegli un provider di identità, scegli AWS Directory Service.

   

5. L'elenco delle directory contiene tutte le directory gestite che hai configurato. Scegliete una directory dall'elenco e scegliete Avanti.

   Nota

   • Le directory Cross-Account e Shared non sono supportate per. AWS Managed Microsoft AD

   • Per configurare un server con Directory Service come provider di identità, è necessario aggiungere alcune AWS Directory Service autorizzazioni. Per informazioni dettagliate, consultare Prima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory.

6. Per completare la creazione del server, utilizzare una delle seguenti procedure:

   • Crea un server SFTP abilitato

   • Crea un server FTPS abilitato

   • Crea un server FTP abilitato

   In queste procedure, continua con il passaggio successivo alla scelta di un provider di identità.

Importante

Non puoi eliminare una directory Microsoft AD AWS Directory Service se l'hai usata in un server Transfer Family. È necessario prima eliminare il server, quindi è possibile eliminare la directory.

Concessione dell'accesso ai gruppi

Dopo aver creato il server, è necessario scegliere quali gruppi della directory devono avere accesso al caricamento e al download di file tramite AWS Transfer Family i protocolli abilitati. A tale scopo, è necessario creare un accesso.

Nota

Gli utenti devono appartenere direttamente al gruppo a cui si concede l'accesso. Ad esempio, supponiamo che Bob sia un utente e appartenga al gruppo A e che lo stesso gruppo A sia incluso nel gruppo B.

• Se concedi l'accesso a GroupA, a Bob viene concesso l'accesso.

• Se concedi l'accesso a GroupB (e non a GroupA), Bob non ha accesso.

Per concedere l'accesso a un gruppo

1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/.

2. Vai alla pagina dei dettagli del server.

3. Nella sezione Accessi, scegli Aggiungi accesso.

4. Inserisci SID la AWS Managed Microsoft AD cartella a cui desideri accedere a questo server.

   Nota

   Per informazioni su come trovare il file SID per il tuo gruppo, consultaPrima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory.

5. Per Access, scegli un ruolo AWS Identity and Access Management (IAM) per il gruppo.

6. Nella sezione Politica, scegli una politica. L'impostazione predefinita è Nessuna.

7. Per la directory Home, scegli un bucket S3 che corrisponda alla home directory del gruppo.

   Nota

   Puoi limitare le porzioni del bucket visualizzate dagli utenti creando una politica di sessione. Ad esempio, per limitare gli utenti alla propria cartella all'interno della /filetest directory, inserisci il seguente testo nella casella.

   /filetest/${transfer:UserName}

   Per ulteriori informazioni sulla creazione di una politica di sessione, consultaCreazione di una politica di sessione per un bucket Amazon S3.

8. Scegli Aggiungi per creare l'associazione.

9. Scegli il tuo server.

10. Scegli Aggiungi accesso.

    1. Inserisci il campo SID per il gruppo.

       Nota

       Per informazioni su come trovare ilSID, vederePrima di iniziare a utilizzare AWS Directory Service for Microsoft Active Directory.

11. Scegli Aggiungi accesso.

Nella sezione Accessi, sono elencati gli accessi per il server.

Test degli utenti

Puoi verificare se un utente ha accesso alla AWS Managed Microsoft AD directory del tuo server.

Nota

Un utente deve appartenere esattamente a un gruppo (un ID esterno) elencato nella sezione Accesso della pagina di configurazione dell'endpoint. Se l'utente non fa parte di alcun gruppo o fa parte di più di un singolo gruppo, a quell'utente non viene concesso l'accesso.

Per verificare se un utente specifico ha accesso

1. Nella pagina dei dettagli del server, scegli Azioni, quindi scegli Test.

2. Per il test del provider di identità, inserisci le credenziali di accesso per un utente che fa parte di uno dei gruppi con accesso.

3. Scegli Test (Esegui test).

Viene visualizzato un test del provider di identità riuscito, che dimostra che all'utente selezionato è stato concesso l'accesso al server.

Se l'utente appartiene a più di un gruppo con accesso, riceverai la seguente risposta.

"Response":"",
"StatusCode":200,
"Message":"More than one associated access found for user's groups."

Eliminazione dell'accesso al server per un gruppo

Per eliminare l'accesso al server per un gruppo

1. Nella pagina dei dettagli del server, scegli Azioni, quindi scegli Elimina accesso.

2. Nella finestra di dialogo, conferma che desideri rimuovere l'accesso per questo gruppo.

Quando si torna alla pagina dei dettagli del server, si nota che l'accesso per questo gruppo non è più elencato.

Connessione al server tramite SSH (Secure Shell)

Dopo aver configurato il server e gli utenti, è possibile connettersi al server utilizzando SSH e utilizzare il nome utente completo di un utente con accesso.

sftp user@active-directory-domain@vpc-endpoint

Ad esempio: transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com.

Questo formato è destinato alla ricerca della federazione, limitando la ricerca di un Active Directory potenzialmente grande.

Nota

È possibile specificare il nome utente semplice. Tuttavia, in questo caso, il codice di Active Directory deve cercare in tutte le directory della federazione. Ciò potrebbe limitare la ricerca e l'autenticazione potrebbe non riuscire anche se l'utente dovesse avere accesso.

Dopo l'autenticazione, l'utente si trova nella home directory specificata al momento della configurazione dell'utente.

Connessione AWS Transfer Family a un Active Directory autogestito utilizzando foreste e trust

Gli utenti dell'Active Directory (AD) autogestito possono utilizzare anche l'accesso Single Sign-On AWS IAM Identity Center ai server Transfer Family e ai server Transfer Account AWS Family. A tale scopo, sono disponibili AWS Directory Service le seguenti opzioni:

• L'attendibilità unidirezionale delle foreste (in uscita AWS Managed Microsoft AD e in entrata per Active Directory locale) funziona solo per il dominio radice.

• Per i domini secondari, puoi utilizzare uno dei seguenti:

  • Utilizza l'attendibilità bidirezionale tra Active Directory locale AWS Managed Microsoft AD e viceversa

  • Utilizza la fiducia esterna unidirezionale per ogni dominio figlio.

Quando si connette al server utilizzando un dominio affidabile, l'utente deve specificare il dominio affidabile, ad esempiotransferuserexample@mycompany.com.

Usare AWS Directory Service per Azure Active Directory Domain Services

• Per sfruttare la foresta di Active Directory esistente per le tue esigenze di SFTP trasferimento, puoi usare Active Directory Connector.

• Se desideri i vantaggi di Active Directory e l'elevata disponibilità in un servizio completamente gestito, puoi utilizzare AWS Directory Service for Microsoft Active Directory. Per informazioni dettagliate, consultare Utilizzo del provider di identità AWS Directory Service.

Questo argomento descrive come usare un Active Directory Connector e Azure Active Directory Domain Services (AzureADDS) per autenticare gli utenti di SFTP Transfer con Azure Active Directory.

Argomenti

• Prima di iniziare a usare AWS Directory Service per Azure Active Directory Domain Services

• Fase 1: Aggiungere Azure Active Directory Domain Services

• Passaggio 2: creazione di un account di servizio

• Fase 3: Configurazione della AWS directory tramite AD Connector

• Fase 4: Configurazione AWS Transfer Family del server

• Fase 5: Concessione dell'accesso ai gruppi

• Fase 6: Test degli utenti

Prima di iniziare a usare AWS Directory Service per Azure Active Directory Domain Services

Perché AWS, è necessario quanto segue:

• Un cloud privato virtuale (VPC) in una AWS regione in cui utilizzi i server Transfer Family

• Almeno due sottoreti private nel tuo VPC

• È VPC necessario disporre di connettività Internet

• Un gateway per i clienti e un gateway privato virtuale per la site-to-site VPN connessione con Microsoft Azure

Per Microsoft Azure, è necessario quanto segue:

• Un servizio di dominio Azure Active Directory e Active Directory (Azure) ADDS

• Un gruppo di risorse di Azure

• Una rete virtuale di Azure

• VPNconnettività tra Amazon VPC e il gruppo di risorse Azure

  Nota

  Ciò può avvenire tramite IPSEC tunnel nativi o utilizzando VPN appliance. In questo argomento, utilizziamo i IPSEC tunnel tra un gateway di rete virtuale di Azure e un gateway di rete locale. I tunnel devono essere configurati per consentire il traffico tra gli ADDS endpoint di Azure e le sottoreti che ospitano i file. AWS VPC

• Un gateway per i clienti e un gateway privato virtuale per la site-to-site VPN connessione con Microsoft Azure

Il diagramma seguente mostra la configurazione necessaria prima di iniziare.

Fase 1: Aggiungere Azure Active Directory Domain Services

Azure AD non supporta le istanze di aggiunta al dominio per impostazione predefinita. Per eseguire azioni come Domain Join e usare strumenti come Group Policy, gli amministratori devono abilitare Azure Active Directory Domain Services. Se non hai già aggiunto Azure AD DS o l'implementazione esistente non è associata al dominio che desideri venga utilizzato dal server di SFTP trasferimento, devi aggiungere una nuova istanza.

Per informazioni sull'abilitazione di Azure Active Directory Domain Services (AzureADDS), vedi Tutorial: Creare e configurare un dominio gestito di Azure Active Directory Domain Services.

Nota

Quando abiliti AzureADDS, assicurati che sia configurato per il gruppo di risorse e il dominio Azure AD a cui stai connettendo il tuo server di trasferimento. SFTP

Passaggio 2: creazione di un account di servizio

Azure AD deve avere un account di servizio che faccia parte di un gruppo di amministratori in AzureADDS. Questo account viene utilizzato con il connettore AWS Active Directory. Assicurati che questo account sia sincronizzato con Azure. ADDS

Suggerimento

L'autenticazione a più fattori per Azure Active Directory non è supportata per i server Transfer Family che usano il SFTP protocollo. Il server Transfer Family non può fornire il MFA token dopo l'autenticazione di un utente. SFTP Assicurati di disattivarlo MFA prima di provare a connetterti.

Fase 3: Configurazione della AWS directory tramite AD Connector

Dopo aver configurato Azure ADDS e creato un account di servizio con IPSEC VPN tunnel tra la tua rete virtuale di Azure AWS VPC e quella virtuale, puoi testare la connettività eseguendo il ping dell'ADDSDNSindirizzo IP di Azure da qualsiasi istanza. AWS EC2

Dopo aver verificato che la connessione sia attiva, puoi continuare di seguito.

Per configurare la AWS directory utilizzando AD Connector

1. Apri la console Directory Service e seleziona Directory.

2. Seleziona Configura la directory.

3. Per il tipo di directory, scegli AD Connector.

4. Seleziona la dimensione della directory, seleziona Avanti, quindi seleziona la tua VPC e le sottoreti.

5. Seleziona Avanti, quindi compila i campi come segue:

   • DNSNome della directory: inserisci il nome di dominio che stai usando per Azure. ADDS

   • DNSIndirizzi IP: inserisci gli indirizzi ADDS IP di Azure.

   • Nome utente e password dell'account del server: inserisci i dettagli per l'account di servizio che hai creato nel Passaggio 2: Crea un account di servizio.

6. Completa le schermate per creare il servizio di directory.

Ora lo stato della directory dovrebbe essere Attivo ed è pronto per essere utilizzato con un server di SFTP trasferimento.

Fase 4: Configurazione AWS Transfer Family del server

Crea un server Transfer Family con il SFTP protocollo e il tipo di provider di identità AWS Directory Service. Dall'elenco a discesa Directory, seleziona la directory che hai aggiunto nel Passaggio 3: Configurazione della AWS directory utilizzando AD Connector.

Nota

Non puoi eliminare una directory Microsoft AD in AWS Directory Service se l'hai usata in un server Transfer Family. È necessario prima eliminare il server, quindi è possibile eliminare la directory.

Fase 5: Concessione dell'accesso ai gruppi

Dopo aver creato il server, è necessario scegliere quali gruppi della directory devono avere accesso al caricamento e al download di file tramite AWS Transfer Family i protocolli abilitati. A tale scopo, è necessario creare un accesso.

Nota

Gli utenti devono appartenere direttamente al gruppo a cui si concede l'accesso. Ad esempio, supponiamo che Bob sia un utente e appartenga al gruppo A e che lo stesso gruppo A sia incluso nel gruppo B.

• Se concedi l'accesso a GroupA, a Bob viene concesso l'accesso.

• Se concedi l'accesso a GroupB (e non a GroupA), Bob non ha accesso.

Per concedere l'accesso è necessario recuperare il file SID per il gruppo.

Utilizzate il seguente PowerShell comando di Windows per recuperare il file SID per un gruppo, sostituendo YourGroupName con il nome del gruppo.

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

Concedi l'accesso ai gruppi

1. Aperto https://console.aws.amazon.com/transfer/.

2. Vai alla pagina dei dettagli del server e nella sezione Accessi, scegli Aggiungi accesso.

3. Inserisci quello SID che hai ricevuto dall'output della procedura precedente.

4. Per Access, scegli un AWS Identity and Access Management ruolo per il gruppo.

5. Nella sezione Politica, scegli una politica. Il valore predefinito è None (Nessuna).

6. Per la home directory, scegli un bucket S3 che corrisponda alla home directory del gruppo.

7. Scegli Aggiungi per creare l'associazione.

I dettagli del server di trasferimento dovrebbero essere simili ai seguenti:

Fase 6: Test degli utenti

Puoi verificare (Test degli utenti) se un utente ha accesso alla AWS Managed Microsoft AD directory del tuo server. Un utente deve appartenere esattamente a un gruppo (un ID esterno) elencato nella sezione Accesso della pagina di configurazione dell'endpoint. Se l'utente non fa parte di alcun gruppo o fa parte di più di un singolo gruppo, a quell'utente non viene concesso l'accesso.