本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理服务器端点的用户
在以下各节中,您可以找到有关如何使用 AWS Transfer Family AWS Directory Service for Microsoft Active Directory 或自定义身份提供商添加用户的信息。
作为各个用户属性的一部分,您还可以存储该用户的安全外壳 (SSH) 公有密钥。基于密钥的身份验证需要这样做。私有密钥存储在您用户的计算机本地。当用户使用客户端发送身份验证请求到服务器时,您的服务器首先确认用户具有关联 SSH 私有密钥的访问权限。然后,服务器成功验证用户身份。
此外,您指定用户的主目录或登录目录,并将 AWS Identity and Access Management IAM 角色分配给用户。或者,您可以提供一个会话策略来限制用户仅访问 AmazonS3 存储桶的主目录。
重要
AWS Transfer Family 阻止长度为 1 或 2 个字符的用户名向 SFTP 服务器进行身份验证。此外,我们还屏蔽了 root
用户名。
其背后的原因是密码扫描器进行了大量的恶意登录尝试。
Amazon EFS 与 Amazon S3
每种存储选项的特点:
-
限制访问权限:Amazon S3 支持会话策略;Amazon EFS 支持 POSIX 用户、群组和辅助群组 IDs
-
两者都支持 public/private 按键
-
两者都支持主目录
-
两者都支持逻辑目录
注意
对于 Amazon S3,对逻辑目录的大部分支持是通过 API/CLI 实现的。您可以使用控制台中的受限复选框将用户锁定至其主目录,但不能指定虚拟目录结构。
逻辑目录
如果要为用户指定逻辑目录值,则使用的参数取决于用户的类型。
-
对于服务托管的用户,请在
HomeDirectoryMappings
中提供逻辑目录值。 -
对于自定义身份提供商用户,请在中提供逻辑目录值
HomeDirectoryDetails
。
AWS Transfer Family 支持在使用 LO HomeDirectory GICAL 时指定值 HomeDirectoryType。这适用于响应中提供的服务托管用户、Active Directory 访问权限和自定义身份提供 HomeDirectoryDetails 者实现。
重要
HomeDirectory 使用 LOGICAL 指定 a 时 HomeDirectoryType,该值必须映射到您的一个逻辑目录映射。该服务在用户创建和更新过程中都会对此进行验证,以防止配置失效。
默认行为
默认情况下,如果未指定, HomeDirectory 则逻辑模式将设置为 “/”。此行为保持不变,并且与现有用户定义保持兼容。
自定义身份提供商注意事项
使用自定义身份提供程序时,您现在可以在使用 LOGICA HomeDirectory L 的同时在响应中指定 HomeDirectoryType。当自定义 IDP 在逻辑模式下指定时, TestIdentityProvider API 调用将生成正确的结果。 HomeDirectory
带有 HomeDirectory 和逻辑 HomeDirectoryType的自定义 IDP 响应示例:
{ "Role": "arn:aws:iam::123456789012:role/transfer-user-role", "HomeDirectoryType": "LOGICAL", "HomeDirectory": "/marketing", "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]" }
活动目录组配额
AWS Transfer Family 默认限制为每台服务器 100 个 Active Directory 组。如果您的用例需要超过 100 个群组,请考虑使用自定义身份提供商解决方案,如使用自定义身份提供商简化 Active Directory 身份验证
此限制适用于使用以下身份提供商的服务器:
-
AWS 微软 Active Directory 的目录服务
-
AWS 适用于 Entra ID 域服务的目录服务
如果您需要申请提高服务限制,请参阅中的AWS 服务 配额AWS 一般参考。如果您的用例需要超过 100 个群组,请考虑使用自定义身份提供商解决方案,如使用自定义身份提供商简化 Active Directory 身份验证
有关 Active Directory 组限制的疑难解答信息,请参阅已超出活动目录组限制。