使用自訂身分提供者

AWS Transfer Family 為自訂身分提供者提供數個選項，以驗證和授權使用者進行安全的檔案傳輸。以下是主要方法：

• 自訂身分提供者解決方案- 本主題說明 Transfer Family 自訂身分提供者解決方案，使用 GitHub 中託管的工具組。

  注意

  對於大多數使用案例，這是建議的選項。具體而言，如果您需要支援超過 100 個 Active Directory 群組，自訂身分提供者解決方案會提供可擴展的替代方案，而不受群組限制。此解決方案在部落格文章中描述：使用自訂身分提供者簡化 Active Directory 身分驗證 AWS Transfer Family。

• 使用 Amazon API Gateway 整合您的身分提供者- 本主題說明如何使用 AWS Lambda 函數來支援 Amazon API Gateway 方法。

  您可以使用單一 Amazon API Gateway 方法提供 RESTful 界面。Transfer Family 會呼叫此方法來連線至您的身分提供者，該提供者會驗證並授權您的使用者存取 Amazon S3 或 Amazon EFS。如果您需要 RESTful API 來整合身分提供者，或想要使用 AWS WAF 來利用其功能進行地理封鎖或速率限制請求，請使用此選項。如需詳細資訊，請參閱使用 Amazon API Gateway 整合您的身分提供者。

• 動態許可管理方法- 本主題說明使用工作階段政策動態管理使用者許可的方法。

  若要驗證您的使用者，您可以使用現有的身分提供者搭配 AWS Transfer Family。您可以使用 AWS Lambda 函數整合身分提供者，該函數會驗證並授權您的使用者存取 Amazon S3 或 Amazon Elastic File System (Amazon EFS)。如需詳細資訊，請參閱使用 AWS Lambda 整合您的身分提供者。您也可以存取 CloudWatch 圖形以取得指標，例如在 AWS Transfer Family 管理主控台中傳輸的檔案數和位元組數，讓您使用集中式儀表板來監控檔案傳輸。

• Transfer Family 提供部落格文章和研討會，引導您建置檔案傳輸解決方案。此解決方案利用 AWS Transfer Family 受管 SFTP/FTPS 端點和 Amazon Cognito 和 DynamoDB 進行使用者管理。

  部落格文章可在使用 Amazon Cognito 做為 AWS Transfer Family 和 Amazon S3 的身分提供者取得。您可以在此處檢視研討會的詳細資訊。

注意

對於自訂身分提供者，使用者名稱必須至少為 3 個字元，最多為 100 個字元。您可以在使用者名稱中使用下列字元：a–z、A-Z、0–9、底線 '_'、連字號 '-'、句點 '.' 和符號 '@'。使用者名稱開頭不能是連字號 '-'、句點 '.' 或符號 '@'。

實作自訂身分提供者時，請考慮下列最佳實務：

• 在與 Transfer Family 伺服器相同的 AWS 帳戶 和 區域中部署解決方案。

• 在設定 IAM 角色和政策時，實作最低權限原則。

• 使用 IP 允許清單和標準化記錄等功能來增強安全性。

• 在部署之前，在非生產環境中徹底測試您的自訂身分提供者。

主題

• 自訂身分提供者解決方案

• 使用 AWS Lambda 整合您的身分提供者

• 使用 Amazon API Gateway 整合您的身分提供者

• 使用多個身分驗證方法

• IPv6 支援自訂身分提供者