Lavorare con utenti gestiti dal servizio - AWS Transfer Family

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Lavorare con utenti gestiti dal servizio

Puoi aggiungere utenti gestiti dal servizio Amazon S3 o Amazon EFS al tuo server, a seconda dell'impostazione del dominio del server. Per ulteriori informazioni, consulta Configurazione di un endpoint server SFTP, FTPS o FTP.

Se utilizzi un tipo di identità gestita dal servizio, aggiungi utenti al tuo server abilitato al protocollo di trasferimento file. In tal caso, ogni nome utente deve essere univoco sul server.

Per aggiungere un utente gestito dal servizio a livello di codice, consulta l'esempio relativo all'API. CreateUser

Nota

Per gli utenti gestiti dal servizio è previsto un limite di 2.000 voci della directory logica. Per informazioni sull'utilizzo delle directory logiche, vedere. Utilizzo di directory logiche per semplificare le strutture di directory Transfer Family

Aggiungere utenti gestiti dal servizio Amazon S3

Nota

Se desideri configurare un bucket Amazon S3 con più account, segui i passaggi indicati in questo articolo del Knowledge Center: Come posso configurare il mio AWS Transfer Family server per utilizzare un bucket Amazon Simple Storage Service che si trova in un altro account? AWS .

Per aggiungere un utente gestito dal servizio Amazon S3 al tuo server
  1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/, quindi seleziona Server dal pannello di navigazione.

  2. Nella pagina Server, seleziona la casella di controllo del server a cui desideri aggiungere un utente.

  3. Scegli Add user (Aggiungi utente).

  4. Nella sezione Configurazione utente, per Nome utente, inserisci il nome utente. Questo nome utente deve contenere un minimo di 3 e un massimo di 100 caratteri. È possibile utilizzare i seguenti caratteri nel nome utente: a—z, A-Z, 0—9, carattere di sottolineatura '_', trattino '-', punto '.' e al segno '@'. Il nome utente non può iniziare con un trattino '-', punto '.' o dal segno '@'.

  5. Per Access, scegli il ruolo IAM che hai creato in precedenza che fornisce l'accesso al tuo bucket Amazon S3.

    Questo ruolo IAM è stato creato utilizzando la procedura in Crea un ruolo e una policy IAM. Tale ruolo IAM include una policy IAM che fornisce l'accesso al tuo bucket Amazon S3. Include anche una relazione di fiducia con il AWS Transfer Family servizio, definita in un'altra policy IAM. Se hai bisogno di un controllo granulare degli accessi per i tuoi utenti, consulta il post del blog Enhance data access control with and Amazon AWS Transfer Family S3.

  6. (Facoltativo) Per Policy, seleziona una delle seguenti opzioni:

    • Nessuno

    • Politica esistente

    • Seleziona una policy da IAM: ti permette di scegliere una policy di sessione esistente. Scegli Visualizza per vedere un oggetto JSON contenente i dettagli della policy.

    • Genera automaticamente una politica basata sulla home directory: genera automaticamente una politica di sessione. Scegli Visualizza per visualizzare un oggetto JSON contenente i dettagli della politica.

      Nota

      Se scegli la politica di generazione automatica in base alla cartella home, non selezionare Restricted per questo utente.

    Per ulteriori informazioni sui criteri di sessione, consulta Crea un ruolo e una policy IAMCreazione di una politica di sessione per un bucket Amazon S3, oApprocci di gestione dinamica delle autorizzazioni.

  7. Per la directory Home, scegli il bucket Amazon S3 in cui archiviare i dati da trasferire. AWS Transfer Family Inserisci il percorso della home directory in cui l'utente atterra quando accede utilizzando il suo client.

    Se lasci vuoto questo parametro, viene utilizzata la root directory del tuo bucket Amazon S3. In questo caso, assicurarsi che il ruolo IAM fornisca l'accesso a questa directory root.

    Nota

    Ti consigliamo di scegliere un percorso di directory che contenga il nome utente dell'utente, che ti consenta di utilizzare in modo efficace una politica di sessione. La policy di sessione limita l'accesso degli utenti nel bucket Amazon S3 alla directory di quell'utente. home

  8. (Facoltativo) Per Restricted, seleziona la casella di controllo in modo che i tuoi utenti non possano accedere a nulla al di fuori di quella cartella e non possano vedere il bucket o il nome della cartella Amazon S3.

    Nota

    L'assegnazione all'utente di una home directory e la limitazione dell'utente a tale directory dovrebbero essere sufficienti per bloccare l'accesso dell'utente alla cartella designata. Se è necessario applicare ulteriori controlli, utilizzare una politica di sessione.

    Se si seleziona Limitato per questo utente, non è possibile selezionare Genera automaticamente criteri in base alla cartella home, poiché la cartella principale non è un valore definito per gli utenti con restrizioni.

  9. Per la chiave pubblica SSH, inserisci la parte della chiave SSH pubblica della coppia di chiavi SSH.

    La chiave viene convalidata dal servizio prima di aggiungere il nuovo utente.

    Nota

    Per istruzioni su come generare una coppia di chiavi SSH, consulta Genera chiavi SSH per utenti gestiti dal servizio.

  10. (Facoltativo) Per Chiave e Valore, inserite uno o più tag come coppie chiave-valore e scegliete Aggiungi tag.

  11. Scegliere Add (Aggiungi) per aggiungere il nuovo utente al server scelto.

    Il nuovo utente viene visualizzato nella sezione Utenti della pagina dei dettagli del server.

Passaggi successivi: per il passaggio successivo, continua conTrasferimento di file su un endpoint server utilizzando un client.

Aggiungere utenti gestiti dal servizio Amazon EFS

Amazon EFS utilizza il modello di autorizzazione dei file POSIX (Portable Operating System Interface) per rappresentare la proprietà dei file.

Per aggiungere un utente gestito dal servizio Amazon EFS al tuo server
  1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/, quindi seleziona Server dal pannello di navigazione.

  2. Nella pagina Server, seleziona il server Amazon EFS a cui desideri aggiungere un utente.

  3. Scegli Aggiungi utente per visualizzare la pagina Aggiungi utente.

  4. Nella sezione Configurazione utente, utilizza le seguenti impostazioni.

    1. Il nome utente deve contenere un minimo di 3 e un massimo di 100 caratteri. È possibile utilizzare i seguenti caratteri nel nome utente: a—z, A-Z, 0—9, trattino basso '_', trattino '-', punto ' . ', e al segno «@». Il nome utente non può iniziare con un trattino '-', punto ' . ', o al segno «@».

    2. Per ID utente e ID gruppo, tieni presente quanto segue:

      • Per il primo utente che crei, ti consigliamo di inserire un valore sia 0 per l'ID del gruppo che per l'ID utente. Ciò concede all'utente i privilegi di amministratore per Amazon EFS.

      • Per utenti aggiuntivi, inserisci l'ID utente POSIX e l'ID del gruppo dell'utente. IDs Vengono utilizzati per tutte le operazioni di Amazon Elastic File System eseguite dall'utente.

      • Per ID utente e ID gruppo, non utilizzare zeri iniziali. Ad esempio, 12345 è accettabile, non lo 012345 è.

    3. (Facoltativo) Per Gruppo secondario IDs, inserite uno o più gruppi POSIX aggiuntivi IDs per ogni utente, separati da virgole.

    4. Per Access, scegli il ruolo IAM che:

      • Fornisce all'utente l'accesso solo alle risorse Amazon EFS (file system) a cui desideri che acceda.

      • Definisce quali operazioni sul file system l'utente può e non può eseguire.

      Ti consigliamo di utilizzare il ruolo IAM per la selezione del file system Amazon EFS con accesso e read/write autorizzazioni di montaggio. Ad esempio, la combinazione delle seguenti due politiche AWS gestite, sebbene piuttosto permissiva, concede le autorizzazioni necessarie all'utente:

      • AmazonElasticFileSystemClientFullAccess

      • AWSTransferConsoleFullAccess

      Per ulteriori informazioni, consulta il post di blog dedicato al AWS Transfer Family supporto per Amazon Elastic File System.

    5. Per la directory Home, procedi come segue:

      • Scegli il file system Amazon EFS che desideri utilizzare per archiviare i dati da trasferire AWS Transfer Family.

      • Decidi se impostare la home directory su Restricted. L'impostazione della home directory su Restricted ha i seguenti effetti:

        • Gli utenti di Amazon EFS non possono accedere a file o directory al di fuori di quella cartella.

        • Gli utenti di Amazon EFS non possono vedere il nome del file system Amazon EFS (fs-xxxxxxx).

          Nota

          Quando selezioni l'opzione Restricted, i collegamenti simbolici non si risolvono per gli utenti di Amazon EFS.

      • (Facoltativo) Inserisci il percorso della home directory in cui desideri che si trovino gli utenti quando accedono utilizzando il loro client.

        Se non si specifica una directory home, viene utilizzata la directory principale del file system Amazon EFS. In questo caso, assicurati che il tuo ruolo IAM fornisca l'accesso a questa directory principale.

  5. Per la chiave pubblica SSH, inserisci la parte della chiave SSH pubblica della coppia di chiavi SSH.

    La chiave viene convalidata dal servizio prima di aggiungere il nuovo utente.

    Nota

    Per istruzioni su come generare una coppia di chiavi SSH, consulta Genera chiavi SSH per utenti gestiti dal servizio.

  6. (Facoltativo) Immettete i tag per l'utente. Per Chiave e Valore, inserite uno o più tag come coppie chiave-valore e scegliete Aggiungi tag.

  7. Scegliere Add (Aggiungi) per aggiungere il nuovo utente al server scelto.

    Il nuovo utente viene visualizzato nella sezione Utenti della pagina dei dettagli del server.

Problemi che potresti riscontrare quando esegui per la prima volta un SFTP sul tuo server Transfer Family:

  • Se si esegue il sftp comando e il prompt non viene visualizzato, è possibile che venga visualizzato il seguente messaggio:

    Couldn't canonicalize: Permission denied

    Need cwd

    In questo caso, è necessario aumentare le autorizzazioni relative alle policy per il ruolo dell'utente. È possibile aggiungere una politica AWS gestita, ad esempioAmazonElasticFileSystemClientFullAccess.

  • Se si immette pwd al sftp prompt di visualizzare la home directory dell'utente, è possibile che venga visualizzato il seguente messaggio, USER-HOME-DIRECTORY dov'è la directory principale dell'utente SFTP:

    remote readdir("/USER-HOME-DIRECTORY"): No such file or directory

    In questo caso, dovreste essere in grado di accedere alla directory principale (cd ..) e creare la home directory dell'utente (mkdir username).

Passaggi successivi: per il passaggio successivo, continua conTrasferimento di file su un endpoint server utilizzando un client.

Gestione degli utenti gestiti dal servizio

In questa sezione, puoi trovare informazioni su come visualizzare un elenco di utenti, come modificare i dettagli degli utenti e come aggiungere una chiave pubblica SSH.

Per trovare un elenco dei tuoi utenti
  1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/.

  2. Seleziona Server dal riquadro di navigazione per visualizzare la pagina Server.

  3. Scegli l'identificatore nella colonna Server ID per visualizzare la pagina dei dettagli del server.

  4. In Utenti, visualizza un elenco di utenti.

Per visualizzare o modificare i dettagli dell'utente
  1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/.

  2. Seleziona Server dal riquadro di navigazione per visualizzare la pagina Server.

  3. Scegli l'identificatore nella colonna Server ID per visualizzare la pagina dei dettagli del server.

  4. In Utenti, scegli un nome utente per visualizzare la pagina dei dettagli dell'utente.

    Puoi modificare le proprietà dell'utente in questa pagina scegliendo Modifica.

  5. Nella pagina dei dettagli degli utenti, scegli Modifica accanto a Configurazione utente.

    Immagine che mostra la schermata per la modifica della configurazione di un utente
  6. Nella pagina Modifica configurazione, per Access, scegli il ruolo IAM creato in precedenza che fornisce l'accesso al tuo bucket Amazon S3.

    Questo ruolo IAM è stato creato utilizzando la procedura in Crea un ruolo e una policy IAM. Tale ruolo IAM include una policy IAM che fornisce l'accesso al tuo bucket Amazon S3. Include anche una relazione di fiducia con il AWS Transfer Family servizio, definita in un'altra policy IAM.

  7. (Facoltativo) Per Policy, scegli una delle seguenti opzioni:

    • Nessuno

    • Politica esistente

    • Seleziona una policy da IAM per scegliere una policy esistente. Scegli Visualizza per vedere un oggetto JSON contenente i dettagli della policy.

    Per ulteriori informazioni sulle politiche di sessione, consultaCrea un ruolo e una policy IAM. Per ulteriori informazioni sulla creazione di una politica di sessione, consultaCreazione di una politica di sessione per un bucket Amazon S3.

  8. Per la directory Home, scegli il bucket Amazon S3 in cui archiviare i dati da trasferire. AWS Transfer Family Inserisci il percorso della home directory in cui l'utente atterra quando accede utilizzando il suo client.

    Se lasci vuoto questo parametro, viene utilizzata la root directory del tuo bucket Amazon S3. In questo caso, assicurarsi che il ruolo IAM fornisca l'accesso a questa directory root.

    Nota

    Ti consigliamo di scegliere un percorso di directory che contenga il nome utente dell'utente, che ti consenta di utilizzare in modo efficace una politica di sessione. La policy di sessione limita l'accesso degli utenti nel bucket Amazon S3 alla directory di quell'utente. home

  9. (Facoltativo) Per Restricted, seleziona la casella di controllo in modo che i tuoi utenti non possano accedere a nulla al di fuori di quella cartella e non possano vedere il bucket o il nome della cartella Amazon S3.

    Nota

    Quando si assegna all'utente una home directory e si limita l'utente a tale directory, ciò dovrebbe essere sufficiente per bloccare l'accesso dell'utente alla cartella designata. Utilizza una politica di sessione quando devi applicare ulteriori controlli.

  10. Scegliere Salva per salvare le modifiche.

Per eliminare un utente
  1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/.

  2. Seleziona Server dal riquadro di navigazione per visualizzare la pagina Server.

  3. Scegli l'identificatore nella colonna Server ID per visualizzare la pagina dei dettagli del server.

  4. In Utenti, scegli un nome utente per visualizzare la pagina dei dettagli dell'utente.

  5. Nella pagina dei dettagli degli utenti, scegli Elimina a destra del nome utente.

  6. Nella finestra di dialogo di conferma che appare, inserisci la paroladelete, quindi scegli Elimina per confermare che desideri eliminare l'utente.

L'utente viene eliminato dall'elenco degli utenti.

Per aggiungere una chiave pubblica SSH per un utente
  1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/.

  2. Nel riquadro di navigazione, selezionare Servers (Server).

  3. Scegli l'identificatore nella colonna Server ID per visualizzare la pagina dei dettagli del server.

  4. In Utenti, scegli un nome utente per visualizzare la pagina dei dettagli dell'utente.

  5. Scegliere Add SSH public key (Aggiungi chiave pubblica SSH) per aggiungere una nuova chiave pubblica SSH a un utente.

    Nota

    Le chiavi SSH vengono utilizzate solo dai server abilitati per Secure Shell (SSH) File Transfer Protocol (SFTP). Per informazioni su come generare una coppia di chiavi SSH, vedereGenera chiavi SSH per utenti gestiti dal servizio.

  6. Per SSH public key (Chiave pubblica SSH), immettere la parte di chiave pubblica SSH della coppia di chiavi SSH.

    La chiave viene convalidata dal servizio prima di aggiungere il nuovo utente. Il formato della chiave SSH è ssh-rsa string. Per generare una coppia di chiavi SSH, vedereGenera chiavi SSH per utenti gestiti dal servizio.

  7. Scegliere Add key (Aggiungi chiave).

Per eliminare una chiave pubblica SSH per un utente
  1. Apri la AWS Transfer Family console all'indirizzo https://console.aws.amazon.com/transfer/.

  2. Nel riquadro di navigazione, selezionare Servers (Server).

  3. Scegli l'identificatore nella colonna Server ID per visualizzare la pagina dei dettagli del server.

  4. In Utenti, scegli un nome utente per visualizzare la pagina dei dettagli dell'utente.

  5. Per eliminare una chiave pubblica, seleziona la casella di controllo della relativa chiave SSH e scegli Elimina.