使用自訂身分提供者 - AWS Transfer Family

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用自訂身分提供者

AWS Transfer Family 為自訂身分提供者提供數個選項,以驗證和授權使用者進行安全的檔案傳輸。以下是主要方法:

  • 自訂身分提供者解決方案- 本主題說明 Transfer Family 自訂身分提供者解決方案,使用 GitHub 中託管的工具組。

    注意

    對於大多數使用案例,這是建議的選項。具體而言,如果您需要支援超過 100 個 Active Directory 群組,自訂身分提供者解決方案會提供可擴展的替代方案,而不受群組限制。此解決方案在部落格文章中描述:使用自訂身分提供者簡化 Active Directory 身分驗證 AWS Transfer Family

  • 使用 Amazon API Gateway 整合您的身分提供者- 本主題說明如何使用 AWS Lambda 函數來支援 Amazon API Gateway 方法。

    您可以使用單一 Amazon API Gateway 方法提供 RESTful 界面。Transfer Family 會呼叫此方法來連線至您的身分提供者,該提供者會驗證並授權您的使用者存取 Amazon S3 或 Amazon EFS。如果您需要 RESTful API 來整合身分提供者,或想要使用 AWS WAF 來利用其功能進行地理封鎖或速率限制請求,請使用此選項。如需詳細資訊,請參閱使用 Amazon API Gateway 整合您的身分提供者

  • 動態許可管理方法- 本主題說明使用工作階段政策動態管理使用者許可的方法。

    若要驗證您的使用者,您可以使用現有的身分提供者搭配 AWS Transfer Family。您可以使用 AWS Lambda 函數整合身分提供者,該函數會驗證並授權您的使用者存取 Amazon S3 或 Amazon Elastic File System (Amazon EFS)。如需詳細資訊,請參閱使用 AWS Lambda 整合您的身分提供者。您也可以存取 CloudWatch 圖形以取得指標,例如在 AWS Transfer Family 管理主控台中傳輸的檔案數和位元組數,讓您使用集中式儀表板來監控檔案傳輸。

  • Transfer Family 提供部落格文章和研討會,引導您建置檔案傳輸解決方案。此解決方案利用 AWS Transfer Family 受管 SFTP/FTPS 端點和 Amazon Cognito 和 DynamoDB 進行使用者管理。

    部落格文章可在使用 Amazon Cognito 做為 AWS Transfer Family 和 Amazon S3 的身分提供者取得。您可以在此處檢視研討會的詳細資訊。

注意

對於自訂身分提供者,使用者名稱必須至少為 3 個字元,最多為 100 個字元。您可以在使用者名稱中使用下列字元:a–z、A-Z、0–9、底線 '_'、連字號 '-'、句點 '.' 和符號 '@'。使用者名稱開頭不能是連字號 '-'、句點 '.' 或符號 '@'。

實作自訂身分提供者時,請考慮下列最佳實務:

  • 在與 Transfer Family 伺服器相同的 AWS 帳戶 和 區域中部署解決方案。

  • 在設定 IAM 角色和政策時,實作最低權限原則。

  • 使用 IP 允許清單和標準化記錄等功能來增強安全性。

  • 在部署之前,在非生產環境中徹底測試您的自訂身分提供者。