本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon API Gateway 整合您的身分提供者
本主題說明如何使用 AWS Lambda 函數來傳回 API Gateway 方法。如果您需要 RESTfulAPI整合身分提供者,或如果您想要使用 AWS WAF 來利用其功能進行地理封鎖或速率限制請求,請使用此選項。
使用API閘道整合身分提供者的限制
-
此組態不支援自訂網域。
-
此組態不支援私有API閘道 URL。
如果您需要上述任何一項,您可以使用 Lambda 作為身分提供者,而不需要 API Gateway。如需詳細資訊,請參閱 使用 AWS Lambda 整合您的身分提供者。
使用API閘道方法進行驗證
您可以建立API閘道方法,以用作 Transfer Family 的身分提供者。此方法為您提供高度安全的方式來建立和提供 APIs。使用 API Gateway,您可以建立HTTPS端點,以便以更高的安全性傳輸所有傳入API呼叫。如需API閘道服務的詳細資訊,請參閱API閘道開發人員指南 。
API Gateway 提供名為 的授權方法AWS_IAM,它會根據內部 AWS 使用的 AWS Identity and Access Management (IAM) 為您提供相同的身分驗證。如果您使用 啟用身分驗證AWS_IAM,只有具有明確呼叫 許可的呼叫者API才能到達 API的API閘道方法。
若要使用 API Gateway 方法作為 Transfer Family 的自訂身分提供者,請IAM為 API Gateway 方法啟用 。作為此程序的一部分,您會為IAM角色提供 Transfer Family 使用閘道的許可。
注意
若要提高安全性,您可以設定 Web 應用程式防火牆。 AWS WAF 是 Web 應用程式防火牆,可讓您監控轉送至 Amazon API Gateway 的 HTTP和 HTTPS請求。如需詳細資訊,請參閱 新增 Web 應用程式防火牆。
若要使用 API Gateway 方法來使用 Transfer Family 進行自訂身分驗證
-
建立 AWS CloudFormation 堆疊。若要執行此作業:
注意
堆疊範本已更新為使用 BASE64編碼密碼:如需詳細資訊,請參閱 AWS CloudFormation 範本的改進。
-
在 https://console.aws.amazon.com/cloudformation
開啟 AWS CloudFormation 主控台。 -
請遵循 AWS CloudFormation 使用者指南 中的 AWS CloudFormation 從現有範本部署堆疊的指示。
-
使用下列其中一個基本範本建立 AWS Lambda後端API閘道方法,以用作 Transfer Family 中的自訂身分提供者。
-
根據預設,您的 API Gateway 方法會用作自訂身分提供者,以使用硬式編碼 SSH(安全殼層) 金鑰或密碼來驗證單一伺服器中的單一使用者。部署之後,您可以修改 Lambda 函數程式碼,以執行不同的動作。
-
根據預設,您的 API Gateway 方法會根據格式為 的 Secrets Manager 中的項目進行身分驗證
aws/transfer/。此外,秘密必須保留傳回 Transfer Family 的所有使用者屬性的鍵值對。部署之後,您可以修改 Lambda 函數程式碼,以執行不同的動作。如需詳細資訊,請參閱部落格文章啟用 AWS Transfer Family 使用 的密碼身分驗證 AWS Secrets Managerserver-id/username。 -
您的 API Gateway 方法與 Okta 整合,作為 Transfer Family 中的自訂身分提供者。如需詳細資訊,請參閱使用 Okta 作為具有 之身分提供者 AWS Transfer Family
的部落格文章。
-
部署其中一個堆疊是將自訂身分提供者整合到 Transfer Family 工作流程的最簡單方法。每個堆疊都使用 Lambda 函數來支援以 API Gateway 為基礎的API方法。然後,您可以在 Transfer Family 中將 API 方法用作自訂身分提供者。根據預設,Lambda 函數會驗證名為
myuser且密碼為 的單一使用者MySuperSecretPassword。部署之後,您可以編輯這些憑證或更新 Lambda 函數程式碼,以執行不同的動作。重要
建議您編輯預設使用者和密碼憑證。
部署堆疊之後,您可以在 CloudFormation 主控台的輸出索引標籤上檢視其詳細資訊。這些詳細資訊包括堆疊的 Amazon Resource Name (ARN)、堆疊所建立IAM角色ARN的 ,以及新閘道URL的 。
注意
如果您使用自訂身分提供者選項為使用者啟用密碼型身分驗證,並啟用 API Gateway 提供的請求和回應記錄,APIGateway 會將使用者的密碼記錄到 Amazon CloudWatch Logs。我們不建議您在生產環境中使用此日誌。如需詳細資訊,請參閱API閘道開發人員指南中的在閘道中設定 CloudWatch API記錄。 API
-
-
檢查伺服器的API閘道方法組態。若要執行此作業:
-
在 開啟API閘道主控台https://console.aws.amazon.com/apigateway/
。 -
選擇 AWS CloudFormation 範本產生的 Transfer Custom Identity Provider 基本範本API。您可能需要選取您的區域才能查看閘道。
-
在資源窗格中,選擇 GET。下列螢幕擷取畫面顯示正確的方法組態。
此時,您的API閘道已準備好進行部署。
-
-
針對動作 ,選擇部署 API。針對部署階段 ,選擇產品 ,然後選擇部署 。
成功部署API閘道方法後,請在階段 > 階段詳細資訊 中檢視其效能,如下列螢幕擷取畫面所示。
注意
複製出現在畫面頂端的調用URL地址。您可能需要它進行下一個步驟。
-
在 開啟 AWS Transfer Family 主控台https://console.aws.amazon.com/transfer/
。 -
當您建立堆疊時,應該已為您建立 Transfer Family。如果沒有,請使用下列步驟設定您的伺服器。
選擇建立伺服器以開啟建立伺服器頁面。對於選擇身分提供者 ,選擇自訂 ,然後選擇使用 Amazon API Gateway 連線至您的身分提供者 ,如下列螢幕擷取畫面所示。
-
在提供 Amazon API Gateway URL 文字方塊中,貼上您在此程序的步驟 3 中建立的閘道端點的叫用URL地址。 API
-
針對角色 ,選擇範本建立IAM的角色 AWS CloudFormation 。此角色允許 Transfer Family 調用您的API閘道方法。
調用角色包含您在步驟 1 中為建立的 AWS CloudFormation 堆疊選取的堆疊名稱。其格式如下:
CloudFormation-stack-name-TransferIdentityProviderRole-ABC123DEF456GHI -
填寫其餘方塊,然後選擇建立伺服器 。如需建立伺服器之其餘步驟的詳細資訊,請參閱 設定 SFTP、 FTPS或 FTP 伺服器端點。
實作API閘道方法
若要為 Transfer Family 建立自訂身分提供者,您的 API Gateway 方法必須實作具有 資源路徑 的單一方法/servers/。serverId/users/username/configserverIdusernamesourceIp和 新增protocol為URL查詢字串參數,如下圖所示。
注意
使用者名稱必須至少為 3 個字元,最多為 100 個字元。您可以在使用者名稱中使用下列字元:a–z、A-Z、0–9、底線 (_)、連字號 (-)、句點 (.) 和符號 (@)。不過,使用者名稱不能以連字號 (-)、句點 (.) 或符號 (@) 開頭。
如果 Transfer Family 嘗試為使用者進行密碼身分驗證,服務會提供Password:標頭欄位。如果沒有Password:標頭,Transfer Family 會嘗試使用公有金鑰身分驗證您的使用者。
當您使用身分提供者來驗證和授權最終使用者時,除了驗證其憑證之外,您還可以根據最終使用者使用的用戶端 IP 地址來允許或拒絕存取請求。您可以使用此功能來確保儲存在 S3 儲存貯體或 Amazon EFS 檔案系統中的資料只能透過您指定為受信任的 IP 地址,透過支援的通訊協定存取。若要啟用此功能,您必須在查詢字串sourceIp中包含 。
如果您為伺服器啟用了多個通訊協定,並想要透過多個通訊協定使用相同的使用者名稱提供存取權,只要身分提供者已設定了每個通訊協定的特定憑證,您就可以這麼做。若要啟用此功能,您必須在RESTful資源路徑中包含 protocol
Gateway API方法應一律傳回HTTP狀態碼 200。任何其他HTTP狀態碼表示存取 時發生錯誤API。
Amazon S3 範例回應
回應內文範例是下列 Amazon S3 表單JSON的文件。
{ "Role": "IAM role with configured S3 permissions", "PublicKeys": [ "ssh-rsapublic-key1", "ssh-rsapublic-key2" ], "Policy": "STS Assume role session policy", "HomeDirectory": "/bucketName/path/to/home/directory" }
注意
政策會JSON作為字串逸出。例如:
"Policy": "{ \"Version\": \"2012-10-17\", \"Statement\": [ {\"Condition\": {\"StringLike\": {\"s3:prefix\": [\"user/*\", \"user/\"]}}, \"Resource\": \"arn:aws:s3:::bucket\", \"Action\": \"s3:ListBucket\", \"Effect\": \"Allow\", \"Sid\": \"ListHomeDir\"}, {\"Resource\": \"arn:aws:s3:::*\", \"Action\": [\"s3:PutObject\", \"s3:GetObject\", \"s3:DeleteObjectVersion\", \"s3:DeleteObject\", \"s3:GetObjectVersion\", \"s3:GetObjectACL\", \"s3:PutObjectACL\"], \"Effect\": \"Allow\", \"Sid\": \"HomeDirObjectAccess\"}] }"
下列回應範例顯示使用者具有邏輯主目錄類型。
{ "Role": "arn:aws:iam::123456789012:role/transfer-access-role-s3", "HomeDirectoryType":"LOGICAL", "HomeDirectoryDetails":"[{\"Entry\":\"/\",\"Target\":\"/MY-HOME-BUCKET\"}]", "PublicKeys":[""] }
Amazon EFS範例回應
回應內文範例是 Amazon 的下列表單JSON文件EFS。
{ "Role": "IAM role with configured EFS permissions", "PublicKeys": [ "ssh-rsapublic-key1", "ssh-rsapublic-key2" ], "PosixProfile": { "Uid": "POSIX user ID", "Gid": "POSIX group ID", "SecondaryGids": [Optional list of secondary Group IDs], }, "HomeDirectory": "/fs-id/path/to/home/directory" }
Role 欄位顯示已成功進行身分驗證。執行密碼身分驗證 (提供Password:標頭時) 時,您不需要提供SSH公有金鑰。如果無法驗證使用者,例如,如果密碼不正確,您的方法應該傳回未Role設定的回應。這種回應的範例是空JSON物件。
下列回應範例顯示具有邏輯主目錄類型的使用者。
{ "Role": "arn:aws:iam::123456789012:role/transfer-access-role-efs", "HomeDirectoryType": "LOGICAL", "HomeDirectoryDetails":"[{\"Entry\":\"/\",\"Target\":\"/faa1a123\"}]", "PublicKeys":[""], "PosixProfile":{"Uid":65534,"Gid":65534} }
您可以在 Lambda 函數中以 JSON 格式包含使用者政策。如需在 Transfer Family 中設定使用者政策的詳細資訊,請參閱 管理存取控制。
預設 Lambda 函數
若要實作不同的身分驗證策略,請編輯閘道使用的 Lambda 函數。為了協助您滿足應用程式的需求,您可以在 Node.js 中使用下列 Lambda 函數範例。如需 Lambda 的詳細資訊,請參閱AWS Lambda 開發人員指南或使用 Node.js 建置 Lambda 函數。
下列範例 Lambda 函數會取得您的使用者名稱、密碼 (如果您執行密碼身分驗證)、伺服器 ID、通訊協定和用戶端 IP 地址。您可以使用這些輸入的組合來查詢您的身分提供者,並判斷是否應該接受登入。
注意
如果您為伺服器啟用了多個通訊協定,並想要透過多個通訊協定使用相同的使用者名稱提供存取權,只要身分提供者已設定了該通訊協定的特定憑證,您就可以這麼做。
對於檔案傳輸通訊協定 (FTP),我們建議您透過 SSL() 維護與 Secure Shell (SSH) 檔案傳輸通訊協定 (SFTP) 和檔案傳輸通訊協定分開的憑證FTPS。我們建議您維護 的個別憑證,FTP因為與 SFTP和 不同FTPS, 會以純文字FTP傳輸憑證。透過從 SFTP 或 隔離FTP憑證FTPS,如果共用或公開FTP憑證,您的工作負載會使用 SFTP或 FTPS 保持安全。
此範例函數會傳回角色和邏輯主目錄詳細資訊,以及公有金鑰 (如果執行公有金鑰身分驗證)。
當您建立服務受管使用者時,您可以設定其主目錄,可以是邏輯或實體。同樣地,我們需要 Lambda 函數結果來傳遞所需的使用者實體或邏輯目錄結構。您設定的參數取決於 的值 HomeDirectoryType 欄位。
-
HomeDirectoryType設定為PATH–HomeDirectory欄位接著必須是使用者可見的絕對 Amazon S3 儲存貯體字首或 Amazon EFS絕對路徑。 -
HomeDirectoryType設定為LOGICAL– 請勿設定HomeDirectory欄位。相反地,我們設定一個HomeDirectoryDetails欄位,提供所需的 Entry/Target 映射,類似於 中描述的值 HomeDirectoryDetails 服務受管使用者的 參數。
範例函數列於 中Lambda 函數範例。
搭配 使用的 Lambda 函數 AWS Secrets Manager
若要使用 AWS Secrets Manager 作為身分提供者,您可以在範例 AWS CloudFormation 範本中使用 Lambda 函數。Lambda 函數會使用您的憑證查詢 Secrets Manager 服務,如果成功, 會傳回指定的秘密。如需 Secrets Manager 的詳細資訊,請參閱 AWS Secrets Manager 使用者指南。
若要下載使用此 Lambda 函數的範例 AWS CloudFormation 範本,請前往 提供的 Amazon S3 儲存貯 AWS Transfer Family
AWS CloudFormation 範本的改進
API Gateway 介面的改進已針對發佈 CloudFormation的範本進行。範本現在搭配 API Gateway 使用 BASE64編碼的密碼。如果沒有此增強功能,您現有的部署會繼續運作,但不允許使用字元超出基本美國ASCII字元集的密碼。
啟用此功能的範本變更如下:
-
GetUserConfigRequest AWS::ApiGateway::Method資源必須具有此RequestTemplates程式碼 (斜體行是更新的行)RequestTemplates: application/json: | { "username": "$util.urlDecode($input.params('username'))", "password": "$util.escapeJavaScript($util.base64Decode($input.params('PasswordBase64'))).replaceAll("\\'","'")", "protocol": "$input.params('protocol')", "serverId": "$input.params('serverId')", "sourceIp": "$input.params('sourceIp')" } -
資源
RequestParameters的GetUserConfig必須變更 才能使用PasswordBase64標頭 (斜體行是更新的行):RequestParameters: method.request.header.PasswordBase64: false method.request.querystring.protocol: false method.request.querystring.sourceIp: false
檢查堆疊的範本是否為最新的
在 https://console.aws.amazon.com/cloudformation
開啟 AWS CloudFormation 主控台。 從堆疊清單中,選擇您的堆疊。
從詳細資訊面板中,選擇範本索引標籤。
-
尋找下列項目:
搜尋
RequestTemplates,並確保您有此行:"password": "$util.escapeJavaScript($util.base64Decode($input.params('PasswordBase64'))).replaceAll("\\'","'")",搜尋
RequestParameters,並確保您有此行:method.request.header.PasswordBase64: false
如果您看不到更新後的行,請編輯您的堆疊。如需如何更新 AWS CloudFormation 堆疊的詳細資訊,請參閱 中的修改堆疊範本AWS CloudFormation;使用者指南 。
