管理服务器端点的用户 - AWS Transfer Family

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理服务器端点的用户

在以下各节中,您可以找到有关如何使用 AWS Transfer Family AWS Directory Service for Microsoft Active Directory 或自定义身份提供商添加用户的信息。

作为各个用户属性的一部分,您还可以存储该用户的安全外壳 (SSH) 公有密钥。基于密钥的身份验证需要这样做。私有密钥存储在您用户的计算机本地。当用户使用客户端发送身份验证请求到服务器时,您的服务器首先确认用户具有关联 SSH 私有密钥的访问权限。然后,服务器成功验证用户身份。

此外,您指定用户的主目录或登录目录,并将 AWS Identity and Access Management IAM 角色分配给用户。或者,您可以提供一个会话策略来限制用户仅访问 AmazonS3 存储桶的主目录。

重要

AWS Transfer Family 阻止长度为 1 或 2 个字符的用户名向 SFTP 服务器进行身份验证。此外,我们还屏蔽了 root 用户名。

其背后的原因是密码扫描器进行了大量的恶意登录尝试。

Amazon EFS 与 Amazon S3

每种存储选项的特点:

  • 限制访问权限:Amazon S3 支持会话策略;Amazon EFS 支持 POSIX 用户、群组和辅助群组 IDs

  • 两者都支持 public/private 按键

  • 两者都支持主目录

  • 两者都支持逻辑目录

    注意

    对于 Amazon S3,对逻辑目录的大部分支持是通过 API/CLI 实现的。您可以使用控制台中的受限复选框将用户锁定至其主目录,但不能指定虚拟目录结构。

逻辑目录

如果要为用户指定逻辑目录值,则使用的参数取决于用户的类型。

  • 对于服务托管的用户,请在 HomeDirectoryMappings 中提供逻辑目录值。

  • 对于自定义身份提供商用户,请在中提供逻辑目录值HomeDirectoryDetails

AWS Transfer Family 支持在使用 LO HomeDirectory GICAL 时指定值 HomeDirectoryType。这适用于响应中提供的服务托管用户、Active Directory 访问权限和自定义身份提供 HomeDirectoryDetails 者实现。

重要

HomeDirectory 使用 LOGICAL 指定 a 时 HomeDirectoryType,该值必须映射到您的一个逻辑目录映射。该服务在用户创建和更新过程中都会对此进行验证,以防止配置失效。

默认行为

默认情况下,如果未指定, HomeDirectory 则逻辑模式将设置为 “/”。此行为保持不变,并且与现有用户定义保持兼容。

自定义身份提供商注意事项

使用自定义身份提供程序时,您现在可以在使用 LOGICA HomeDirectory L 的同时在响应中指定 HomeDirectoryType。当自定义 IDP 在逻辑模式下指定时, TestIdentityProvider API 调用将生成正确的结果。 HomeDirectory

带有 HomeDirectory 和逻辑 HomeDirectoryType的自定义 IDP 响应示例:

{ "Role": "arn:aws:iam::123456789012:role/transfer-user-role", "HomeDirectoryType": "LOGICAL", "HomeDirectory": "/marketing", "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]" }

活动目录组配额

AWS Transfer Family 默认限制为每台服务器 100 个 Active Directory 组。如果您的用例需要超过 100 个群组,请考虑使用自定义身份提供商解决方案,如使用自定义身份提供商简化 Active Directory 身份验证中所述 AWS Transfer Family。

此限制适用于使用以下身份提供商的服务器:

  • AWS 微软 Active Directory 的目录服务

  • AWS 适用于 Entra ID 域服务的目录服务

如果您需要申请提高服务限制,请参阅中的AWS 服务 配额AWS 一般参考。如果您的用例需要超过 100 个群组,请考虑使用自定义身份提供商解决方案,如使用自定义身份提供商简化 Active Directory 身份验证中所述 AWS Transfer Family。

有关 Active Directory 组限制的疑难解答信息,请参阅已超出活动目录组限制