使用 Azure 作用中 AWS 目錄網域服務的 Directory Service - AWS Transfer Family
開始使用 Azure 作用中 AWS 目錄網域服務的 Directory Service 之前第 1 步:添加 Azure 活動目錄域服務步驟 2:建立服務帳戶步驟 3:使用 AD Connector 設定 AWS 目錄步驟 4:設定 AWS Transfer Family 伺服器步驟 5:授予群組存取權步驟 6:測試使用者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Azure 作用中 AWS 目錄網域服務的 Directory Service

本主題說明如何使用作用中目錄連接器和 Azure 作用中目錄網域服務 (Azure ADDS) 來驗證 SFTP 傳輸使用者與 Azure 作用中目錄

開始使用 Azure 作用中 AWS 目錄網域服務的 Directory Service 之前

對於 AWS,您需要以下內容:

  • 您使用 Transfer Family 伺服器的 AWS 地區中的虛擬私有雲 (VPC)

  • VPC 中至少有兩個私有子網路

  • VPC 必須具有互聯網連接

  • 客戶閘道和虛擬私有閘道,可與 Microsoft Azure 進行 site-to-site VPN 連線

對於 Microsoft Azure,您需要以下內容:

  • Azure 活動目錄和活動目錄域服務(Azure 添加)

  • 一個 Azure 資源群組

  • 一個 Azure 虛擬網路

  • 您的 Amazon 虛擬私人雲端和 Azure 資源群組之間的 VPN 連線

    注意

    這可以透過原生 IPSEC 通道或使用 VPN 設備進行。在本主題中,我們使用 Azure 虛擬網路閘道和本機網路閘道之間的 IPSEC 通道。通道必須設定為允許 Azure ADDS 端點與容納 AWS VPC 之子網路之間的流量。

  • 客戶閘道和虛擬私有閘道,可與 Microsoft Azure 進行 site-to-site VPN 連線

下圖顯示開始之前所需的組態。

蔚藍的 AD 和 AWS Transfer Family 架構圖。透過網際網路連線至 Azure 虛擬網路的 AWS VPC,使用 AWS Directory Service 連接器至 Azure AD 網域服務。

第 1 步:添加 Azure 活動目錄域服務

Azure AD 預設不支援網域加入執行個體。若要執行網域加入之類的動作,並使用群組原則等工具,系統管理員必須啟用 Azure 作用中的目錄網域服務。如果您尚未新增 Azure AD DS,或您現有的實作與您希望 SFTP 傳輸伺服器使用的網域沒有關聯,則必須新增執行個體。

如需啟用 Azure 作用中目錄網域服務 (Azure ADDS) 的相關資訊,請參閱教學課程:建立及設定 Azure 作用中目錄網域服務受管理的網域

注意

當您啟用 Azure ADDS 時,請確定已針對您要連線 SFTP 傳輸伺服器的資源群組和 Azure AD 網域進行設定。

顯示資源群組 bob.us 執行中的 Azure AD 網域服務畫面。

步驟 2:建立服務帳戶

Azure AD 必須有一個屬於 Azure 新增中系統管理員群組的一部分的服務帳戶。此帳戶與作用 AWS 中目錄連接器搭配使用。請確定此帳戶與 Azure 新增項目同步。

顯示使用者設定檔的 Azure AD 畫面。
提示

使用 SFTP 通訊協定的 Transfer Family 伺服器不支援 Azure 作用中目錄的多重要素驗證。使用者對 SFTP 進行驗證之後,Transfer Family 伺服器無法提供 MFA 權杖。在嘗試連線之前,請務必停用 MFA。

Azure AD 多因素驗證詳細資料,會針對兩個使用者顯示 MFA 狀態為已停用。

步驟 3:使用 AD Connector 設定 AWS 目錄

在您設定 Azure ADDS,並使用虛擬私人 AWS VPC 端和 Azure 虛擬網路之間的 IPSEC VPN 通道建立服務帳戶之後,您可以從任何 AWS EC2 執行個體偵測 Azure 新增 DNS IP 位址來測試連線。

確認連線處於作用中狀態後,您可以繼續以下步驟。

使用 AD Connector 設定 AWS 目錄

  1. 開啟「Directory Service」主控台並選取「目錄」。

  2. 選取 [設定目錄]。

  3. 針對目錄類型,請選擇 AD Connector

  4. 選取目錄大小,選取下一步,然後選取您的 VPC 和子網路。

  5. 選取「下一步」,然後依下列方式填入欄位:

    • 目錄 DNS 名稱:輸入您用於 Azure 添加的域名。

    • DNS IP 地址:輸入您的天藍添加 IP 地址。

    • 伺服器帳戶使用者名稱密碼:輸入您在步驟 2:建立服務帳戶中建立的服務帳戶的詳細資料。

  6. 完成畫面以建立目錄服務。

現在目錄狀態應該是「用中」,並且可以與 SFTP 傳輸伺服器搭配使用。

「目錄服務」畫面會視需要顯示狀態為「作用中」的目錄。

步驟 4:設定 AWS Transfer Family 伺服器

使用 SFTP 通訊協定和 Directory Service 的身分識別提供者類型建立 Transfer Family 列AWS 伺服器。從目錄下拉式清單中,選取您在步驟 3:使用 AD Connector 設定 AWS 目錄中新增的目錄。

注意

如果您在 Transfer Family 列伺服器中使用了 Microsoft AD AWS 目錄,則無法刪除 Directory Service 中的 Microsoft AD 目錄。您必須先刪除伺服器,然後才能刪除目錄。

步驟 5:授予群組存取權

建立伺服器之後,您必須選擇目錄中的哪些群組應該有權透過已啟用的通訊協定上傳和下載檔案 AWS Transfer Family。您可以透過建立存取權來執行此操作。

注意

使用者必須直接屬於您要授與存取權的群組。例如,假設 Bob 是一個用戶,屬於 GroupA,並且 GroupA 本身包含在 GroupB 中。

  • 如果您授與 GroupA 的存取權,Bob 就會被授與存取權。

  • 如果您授予 GroupB 的存取權 (而不是 GroupA),Bob 將無法存取。

若要授與存取權,您需要擷取群組的 SID。

使用下列 Windows PowerShell 命令擷取群組的 SID,並以群組YourGroupName的名稱取代。

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
PowerShell 顯示正在擷取之物件 SID 的視窗。
授予群組存取權

  1. 打開以下置。https://console.aws.amazon.com/transfer/

  2. 導覽至伺服器詳細資訊頁面,然後在「取」區段中選擇「新增存取權」。

  3. 輸入您從上一個程序的輸出接收到的 SID。

  4. 對於 [存取],請選擇群組的 AWS Identity and Access Management 角色。

  5. 在「策略」區段中,選擇策略。預設值為 None (無)

  6. 對於主目錄,請選擇與群組主目錄對應的 Amazon S3 儲存貯體。

  7. 選擇「新增」以建立關聯。

傳輸伺服器的詳細資料看起來應該類似下列內容:

「Transfer Family」伺服器詳細資訊畫面的一部分,顯示身分識別提供者的目錄 ID 範例。
「Transfer Family」伺服器詳細資訊畫面的一部分,在畫面的「存取」部分中顯示作用中目錄的外部 ID。

步驟 6:測試使用者

您可以 test (測試使用者) 使用者是否有權存取您伺服器的 AWS Managed Microsoft AD 目錄。使用者必須位於 [端點設定] 頁面 [存取] 區段中所列的一個群組 (外部 ID) 中。如果使用者不在任何群組中,或位於多個群組中,則不會授與該使用者存取權。