管理伺服器端點的使用者

在下列各節中，您可以找到如何使用 AWS Transfer Family AWS Directory Service for Microsoft Active Directory 或自訂身分提供者新增使用者的相關資訊。

每個使用者的屬性中也要存放該使用者的 Secure Shell (SSH) 公有金鑰。金鑰型身分驗證需要這樣做。私有金鑰存放在您使用者的本機電腦上。當您的使用者使用用戶端傳送身分驗證請求到您的伺服器時，您的伺服器會先確認使用者有權存取相關聯的 SSH 私有金鑰。伺服器接著會成功驗證使用者。

此外，您可以指定使用者的主目錄或登陸目錄，並將 AWS Identity and Access Management (IAM) 角色指派給使用者。或者，您可以提供工作階段政策，以限制使用者只能存取 Amazon S3 儲存貯體的主目錄。

重要

AWS Transfer Family 會封鎖從驗證到 SFTP 伺服器長度為 1 或 2 個字元的使用者名稱。此外，我們也封鎖root使用者名稱。

原因在於密碼掃描器嘗試大量惡意登入。

Amazon EFS 與 Amazon S3

每個儲存選項的特性：

• 若要限制存取：Amazon S3 支援工作階段政策；Amazon EFS 支援 POSIX 使用者、群組和次要群組 IDs

• 兩者都支援公有/私有金鑰

• 兩者都支援主目錄

• 兩者都支援邏輯目錄

  注意

  對於 Amazon S3，邏輯目錄的大部分支援是透過 API/CLI 提供。您可以使用 主控台中的受限制核取方塊，將使用者鎖定至其主目錄，但無法指定虛擬目錄結構。

邏輯目錄

如果您要為使用者指定邏輯目錄值，您使用的 參數取決於使用者的類型。

• 對於服務受管使用者，請在 中提供邏輯目錄值HomeDirectoryMappings。

• 對於自訂身分提供者使用者，請在 中提供邏輯目錄值HomeDirectoryDetails。

AWS Transfer Family 支援在使用 LOGICAL HomeDirectory HomeDirectoryType 值。這適用於回應中提供 HomeDirectoryDetails 的服務受管使用者、Active Directory 存取和自訂身分提供者實作。

重要

使用 LOGICAL HomeDirectory HomeDirectoryType 時，該值必須映射至其中一個邏輯目錄映射。服務會在使用者建立和更新期間驗證這一點，以防止組態無法運作。

預設行為

根據預設，如果未指定，則 LOGICAL 模式的 HomeDirectory 設定為 "/"。此行為保持不變，並保持與現有使用者定義相容。

• 請務必將您的 HomeDirectory 映射至 項目，而非目標。如需詳細資訊，請參閱使用邏輯目錄的規則。

• 如需如何建構虛擬目錄的詳細資訊，請參閱 虛擬目錄結構。

自訂身分提供者考量事項

使用自訂身分提供者時，您現在可以在使用 LOGICAL HomeDirectory HomeDirectoryType。當自訂 IDP 在 LOGICAL 模式中指定 HomeDirectory 時，TestIdentityProvider API 呼叫會產生正確的結果。

HomeDirectory 和 LOGICAL HomeDirectoryType 的自訂 IDP 回應範例：

{
  "Role": "arn:aws:iam::123456789012:role/transfer-user-role",
  "HomeDirectoryType": "LOGICAL",
  "HomeDirectory": "/marketing",
  "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}

Active Directory 群組配額

AWS Transfer Family 預設限制為每個伺服器 100 個 Active Directory 群組。如果您的使用案例需要超過 100 個群組，請考慮使用自訂身分提供者解決方案，如透過 的自訂身分提供者簡化 Active Directory 身分驗證 AWS Transfer Family中所述。

此限制適用於使用下列身分提供者的伺服器：

• AWS Directory Service for Microsoft Active Directory

• AWS 適用於 Entra ID Domain Services 的 Directory Service

如果您需要請求提高服務限制，請參閱 中的AWS 服務 配額AWS 一般參考。如果您的使用案例需要超過 100 個群組，請考慮使用自訂身分提供者解決方案，如簡化 Active Directory 身分驗證與 的自訂身分提供者 AWS Transfer Family所述。

如需 Active Directory 群組限制的疑難排解資訊，請參閱 超過 Active Directory 群組限制。

主題

• 使用服務受管使用者

• 使用自訂身分提供者

• 使用 AWS Directory Service for Microsoft Active Directory

• 使用 AWS Directory Service for Entra ID Domain Services