AWS Directory Service for Microsoft Active Directory の使用 - AWS Transfer Family

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Directory Service for Microsoft Active Directory の使用

次を使用できます。AWS Transfer Familyを使用してファイル転送エンドユーザーを認証するAWS Directory Service for Microsoft Active Directory。エンドユーザーの資格情報を変更したり、カスタム認証を必要とすることなく、Active Directory認証に依存するファイル転送ワークフローをシームレスに移行できます。

とAWS Managed Microsoft ADを使用すると、安全にAWS Directory Serviceユーザーとグループは、SFTP、FTPS、FTP 経由でAmazon Simple Storage Service (Amazon S3) または Amazon Elastic File System (Amazon EFS) に格納されたデータにアクセスします。Active Directory を使用してユーザーの資格情報を保存する場合、これらのユーザーのファイル転送をより簡単に有効にできるようになりました。

Active Directory グループへのアクセスを提供するには、AWS Managed Microsoft ADオンプレミス環境またはAWSActive Directory コネクタを使用したクラウド。Microsoft Windows 環境ですでに構成されているユーザーには、AWSクラウドまたはオンプレミスネットワークで、AWS Transfer Familyを使用するサーバーAWS Managed Microsoft ADID のために。

注記

Transfer Family はSimple AD をサポートしていません。

を使用するにはAWS Managed Microsoft ADでは、以下のステップを実行する必要があります。

  1. 1 つ以上のAWS Managed Microsoft ADディレクトリを使用してAWS Directory Serviceconsole.

  2. Transfer Family コンソールを使用して、AWS Managed Microsoft ADID プロバイダーとして設定します。

  3. 1 つ以上のAWS Directory Serviceグループ.

  4. 必須ではありませんが、ユーザーアクセスをテストして確認することをお勧めします。

開始する前に

使用する前にAWS Managed Microsoft ADMicrosoft AD Directory 内の各グループに一意の識別子を提供する必要があります。これを行うには、各グループのセキュリティ識別子 (SID) を使用できます。関連付けられたグループのユーザーは、有効なプロトコルを使用して Amazon S3 または Amazon EFS リソースにアクセスできます。AWSTransfer Family。

次の Windows PowerShell コマンドを使用して、グループの SID を取得し、あなたのグループ名グループの名前に置き換えます。

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

選択するAWS Managed Microsoft ADID プロバイダーとして

このセクションでは、を使用する方法について説明します。AWS Directory Service for Microsoft Active Directoryをサーバーに置き換えます。

を使用するにはAWS Managed Microsoft ADTransfer Family 使用

  1. AWS Management Console にサインインし、AWS Directory Service コンソール (https://console.aws.amazon.com/directoryservicev2/)を開きます。

    を使用するAWS Directory Serviceコンソールを使用して、1 つ以上の管理ディレクトリを設定します。詳細については、「」を参照してください。AWS Managed Microsoft AD AWS Directory Service管理者ガイド

    
                        ディレクトリのリストを示す、Directory Service コンソールのコンソールスクリーンショット。
  2. を開くAWS Transfer Familyコンソールhttps://console.aws.amazon.com/transfer/を選択し、サーバーを作成するには

  3. リポジトリの []プロトコルの選択ページで、リストから 1 つ以上のプロトコルを選択します。

    注記

    [] を選択した場合FTPSを提供する必要があります。AWS Certificate Manager証明書。

  4. を使用する場合ID プロバイダーを選択する] で、AWSDirectory Service

    
                        [Directory Service] が選択されている ID プロバイダーの選択] セクションを示すコンソールのスクリーンショット。
  5. -ディレクトリリストには、構成したすべての管理ディレクトリが含まれます。リストからディレクトリを選択し、[] を選択します。

    注記

    クロスアカウントおよび共有ディレクトリは、AWS Managed Microsoft AD。

  6. サーバーを作成するには、次のいずれかの手順を使用します。

    これらの手順では、ID プロバイダーの選択に続く手順に進みます。

重要

Microsoft AD ディレクトリは、AWS Directory ServiceをTransfer Family サーバーで使用した場合。最初にサーバーを削除してから、ディレクトリを削除できます。

グループへのアクセスを許可する

サーバーを作成したら、ディレクトリ内のどのグループが、有効なプロトコルでファイルをアップロードおよびダウンロードするためのアクセス権を持つかを選択する必要があります。AWS Transfer Family。これを行うには、アクセス

注記

ユーザーは属している必要があります直接アクセスを許可するグループに追加します。たとえば、Bob がユーザであり、GroupA に属しており、GroupA 自体がGroupB に含まれているとします。

  • GroupA へのアクセス権を付与すると、Bob へのアクセス権が付与されます。

  • GroupB へのアクセスを許可する (GroupA ではなく) 場合、Bob にはアクセス権がありません。

グループへのアクセスを許可するには

  1. を開くAWS Transfer Familyコンソールhttps://console.aws.amazon.com/transfer/

  2. サーバーの詳細ページに移動します。

  3. へのアクセスセクションで、[] を選択しますアクセス権の作成

  4. の SID を入力します。AWS Managed Microsoft ADディレクトリで、このサーバーへのアクセスを許可します。

    注記

    グループの SID を確認する方法については、」開始する前に

  5. を使用する場合へのアクセス] で、AWS Identity and Access Management(IAM) ロールを割り当てます。

  6. ポリシー[] セクションで、ポリシーを選択します。デフォルトの設定は、なし

  7. を使用する場合ホームディレクトリで、グループのホームディレクトリに対応する S3 バケットを選択します。

    注記

    セッションポリシーを作成することで、ユーザーに表示されるバケットの部分を制限できます。たとえば、ユーザーを/filetestディレクトリで、ボックスに次のテキストを入力します。

    /filetest/${transfer:UserName}

    セッションポリシーの作成の詳細については、」Amazon S3 バケットのセッションポリシーの作成

  8. 選択を追加します。関連付けを作成するには。

  9. サーバーを選択します。

  10. 選択アクセス権の作成

    1. グループの SID を入力します。

      注記

      SID を検索する方法については、」開始する前に

  11. 選択アクセス権の作成

へのアクセスセクションに、サーバーへのアクセスが一覧表示されます。


                サーバーへのアクセスがリストされた [Accesses] セクションを示すコンソールのスクリーンショット。

テストユーザー

ユーザーがアクセス権を持っているかどうかをテストできます、AWS Managed Microsoft ADディレクトリーに移動します。

注記

ユーザーは、1 つのグループ (外部 ID) に属している必要があります。へのアクセスの セクションエンドポイント設定ページで. ユーザーがグループに属していない場合、または複数のグループに属している場合、そのユーザーはアクセス権を付与されません。

特定のユーザーがアクセス権を持っているかどうかをテストするには

  1. サーバーの詳細ページで、[] を選択します。アクションを選択してから、[] を選択します。Test

  2. を使用する場合ID プロバイダーのテスト] に、アクセス権のあるグループのいずれかに属しているユーザーのユーザー名とパスワードを入力します。

  3. [Test] を選択します。

ID プロバイダーテストが正常に実行され、選択したユーザーにサーバーへのアクセスが許可されていることが示されます。


                成功した ID プロバイダーのテスト応答のコンソールスクリーンショット。

ユーザーがアクセス権を持つ複数のグループに属している場合は、次の応答が表示されます。

"Response":"", "StatusCode":200, "Message":"More than one associated access found for user's groups."

グループのサーバーアクセスの削除

グループのサーバアクセスを削除するには

  1. サーバーの詳細ページで、[] を選択します。アクションを選択してから、[] を選択します。アクセスの削除

  2. ダイアログ・ボックスで、このグループのアクセス権を削除することを確認します。

サーバーの詳細ページに戻ると、このグループへのアクセスが一覧に表示されなくなります。

SSH を使用したサーバーへの接続(セキュアシェル)

サーバーとユーザーを設定したら、SSH を使用してサーバーに接続し、アクセス権を持つユーザーの完全修飾ユーザー名を使用できます。

sftp user@active-directory-domain@vpc-endpoint

例: transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com

この形式はフェデレーションの検索を対象とし、大規模な Active Directory の検索を制限します。

注記

単純なユーザー名を指定できます。ただし、この場合、Active Directory コードは、フェデレーション内のすべてのディレクトリを検索する必要があります。これにより、検索が制限され、ユーザーがアクセス権を持つ必要があっても認証が失敗することがあります。

認証後、ユーザは、ユーザを設定したときに指定したホームディレクトリに配置されます。