使用自定义身份提供程序

AWS Transfer Family 为自定义身份提供商提供了多种选项，用于对用户进行身份验证和授权，以实现安全的文件传输。以下是主要方法：

• 自定义身份提供商解决方案— 本主题使用中托管的工具包介绍 Transfer Family 自定义身份提供商解决方案。 GitHub

  注意

  对于大多数用例，这是推荐的选项。具体而言，如果您需要支持 100 个以上的 Active Directory 群组，则自定义身份提供商解决方案可提供不受群组限制的可扩展替代方案。此解决方案在博客文章《使用自定义身份提供商简化 Active Directory 身份验证》中进行了介绍 AWS Transfer Family。

• 使用 Amazon API Gateway 整合您的身份提供程序— 本主题介绍如何使用 AWS Lambda 函数支持 Amazon API Gateway 方法。

  您可以使用单个 Amazon API Gateway 方法提供 RESTful 接口。Transfer Family 调用此方法连接到您的身份提供程序，该提供程序会对您的用户进行身份验证和授权，使其能够访问 Amazon S3 或 Amazon EFS。如果您需要一个 RESTful API 来集成您的身份提供商，或者想要利用其功能来处理地理封锁或速率限制请求，请使用 AWS WAF 此选项。有关更多信息，请参阅 使用 Amazon API Gateway 整合您的身份提供程序。

• 动态权限管理方法— 本主题介绍使用会话策略动态管理用户权限的方法。

  要对您的用户进行身份验证，可以将现有的身份提供程序与 AWS Transfer Family一同使用。您可以使用 AWS Lambda 函数集成您的身份提供程序，该函数会对您的用户进行身份验证和授权，使其能够访问 Amazon S3 或 Amazon Elastic File System (Amazon EFS)。有关更多信息，请参阅 AWS Lambda 用于整合您的身份提供商。您还可以访问 AWS Transfer Family 管理控制台中传输的文件数和字节数等指标的 CloudWatch 图表，从而通过单一控制面板使用集中式仪表板监控文件传输。

• Transfer Family 提供了一篇博客文章和一个研讨会，引导你完成文件传输解决方案的构建。该解决方案利用托管 SFTP/FTPS 终端节点 AWS Transfer Family ，利用 Amazon Cognito 和 DynamoDB 进行用户管理。

  该博客文章可在使用 Amazon Cognito 作为身份提供商 AWS Transfer Family 和 Amazon S3 上找到。您可以在此处查看研讨会的详细信息。

注意

对于自定义身份提供商，用户名必须至少为 3 个字符，最多 100 个字符。你可以在用户名中使用以下字符：a—z、A-Z、0—9、下划线 '_'、连字符 '-'、句点 '.' 和 at 符号 '@'。用户名不能以连字符 “-”、“句点” 或 “@” 开头。

在实现自定义身份提供商时，请考虑以下最佳实践：

• 将解决方案部署在与 Trans AWS 账户 fer Family 服务器相同的区域。

• 在配置 IAM 角色和策略时实施最低权限原则。

• 使用 IP 允许名单和标准化日志记录等功能来增强安全性。

• 部署之前，请在非生产环境中彻底测试您的自定义身份提供商。

主题

• 自定义身份提供商解决方案

• AWS Lambda 用于整合您的身份提供商

• 使用 Amazon API Gateway 整合您的身份提供程序

• 使用多种身份验证方法

• IPv6 支持自定义身份提供商