使用 AWS Directory Service for Microsoft Active Directory - AWS Transfer Family
開始使用 之前 AWS Directory Service for Microsoft Active Directory使用 Active Directory 領域選擇 AWS Managed Microsoft AD 做為您的身分提供者連線至內部部署 Microsoft Active Directory授予 群組的存取權測試使用者刪除群組的伺服器存取權使用 SSH 連線至伺服器 (安全殼層)使用樹系和信任 AWS Transfer Family 連接到自我管理的 Active Directory

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Directory Service for Microsoft Active Directory

您可以使用 AWS Transfer Family 驗證您的檔案傳輸最終使用者 AWS Directory Service for Microsoft Active Directory。它可無縫遷移依賴 Active Directory 身分驗證的檔案傳輸工作流程,而無需變更最終使用者的登入資料或需要自訂授權方。

使用 AWS Managed Microsoft AD,您可以安全地透過 SFTP、FTPS 和 FTP 為存放在 Amazon Simple Storage Service (Amazon S3) 或 Amazon Elastic File System (Amazon EFS) 中的資料提供 AWS Directory Service 使用者和群組存取權。如果您使用 Active Directory 來存放使用者的登入資料,您現在可以更輕鬆地為這些使用者啟用檔案傳輸。

您可以在內部部署環境 AWS Managed Microsoft AD 或 AWS 雲端中使用 Active Directory 連接器,在 中提供 Active Directory 群組的存取權。您可以讓已在 Microsoft Windows 環境中設定的使用者存取 AWS Managed Microsoft AD 用於身分的 AWS Transfer Family 伺服器,無論是在 AWS 雲端或其內部部署網路。 AWS 儲存部落格包含一篇文章,詳細說明將 Active Directory 與 Transfer Family 搭配使用的解決方案:透過 的自訂身分提供者簡化 Active Directory 身分驗證 AWS Transfer Family

注意

  • AWS Transfer Family 不支援 Simple AD。

  • Transfer Family 不支援跨區域 Active Directory 組態:我們僅支援與 Transfer Family 伺服器位於相同區域的 Active Directory 整合。

  • Transfer Family 不支援使用 AWS Managed Microsoft AD 或 AD Connector 為現有的 RADIUS 型 MFA 基礎設施啟用多重要素驗證 (MFA)。

  • AWS Transfer Family 不支援 Managed Active Directory 的複寫區域。

若要使用 AWS Managed Microsoft AD,您必須執行下列步驟:

  1. 使用 AWS Directory Service 主控台建立一或多個 AWS Managed Microsoft AD 目錄。

  2. 使用 Transfer Family 主控台來建立使用 AWS Managed Microsoft AD 做為其身分提供者的伺服器。

  3. 使用 Active AWS Directory Connector 設定目錄。

  4. 從一或多個 AWS Directory Service 群組新增存取權。

  5. 雖然並非必要,但我們建議您測試和驗證使用者存取。

開始使用 之前 AWS Directory Service for Microsoft Active Directory

注意

AWS Transfer Family 預設限制為每個伺服器 100 個 Active Directory 群組。如果您的使用案例需要超過 100 個群組,請考慮使用自訂身分提供者解決方案,如簡化 Active Directory 身分驗證與 的自訂身分提供者 AWS Transfer Family所述。

為您的 AD 群組提供唯一識別符

您必須先為 Microsoft AD 目錄中的每個群組提供唯一識別符 AWS Managed Microsoft AD,才能使用 。您可以使用每個群組的安全識別符 (SID) 來執行此操作。您關聯的群組使用者可透過使用 AWS Transfer Family 啟用的通訊協定存取 Amazon S3 或 Amazon EFS 資源。

使用下列 Windows PowerShell 命令擷取群組的 SID,以群組名稱取代 YourGroupName

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
注意

如果您使用 AWS Directory Service 做為身分提供者,且 userPrincipalNameSamAccountName具有不同的值,則 AWS Transfer Family 接受 中的值SamAccountName。Transfer Family 不接受 中指定的值userPrincipalName

將 AWS Directory Service 許可新增至您的角色

您也需要 AWS Directory Service API 許可才能使用 AWS Directory Service 做為您的身分提供者。需要或建議下列許可:

  • ds:DescribeDirectories Transfer Family 需要 才能查詢目錄

  • ds:AuthorizeApplication 需要 才能新增 Transfer Family 的授權

  • ds:UnauthorizeApplication 建議移除任何臨時建立的資源,以防伺服器建立過程中發生問題

將這些許可新增至您用來建立 Transfer Family 伺服器的角色。如需這些許可的詳細資訊,請參閱 AWS Directory Service API 許可:動作、資源和條件參考

使用 Active Directory 領域

當您考慮如何讓 Active Directory 使用者存取 AWS Transfer Family 伺服器時,請記住使用者的領域及其群組的領域。理想情況下,使用者的領域及其群組的領域應該相符。也就是說,使用者和群組都位於預設領域,或兩者都位於信任領域。如果不是這種情況,則 Transfer Family 無法驗證使用者。

您可以測試使用者,以確保組態正確。如需詳細資訊,請參閱測試使用者。如果使用者/群組領域發生問題,您會收到錯誤,找不到與使用者群組相關聯的存取權

選擇 AWS Managed Microsoft AD 做為您的身分提供者

本節說明如何 AWS Directory Service for Microsoft Active Directory 搭配 伺服器使用 。

AWS Managed Microsoft AD 搭配 Transfer Family 使用

  1. 登入 AWS Management Console ,並在 https://https://console.aws.amazon.com/directoryservicev2/ 開啟 AWS Directory Service 主控台。

    使用 AWS Directory Service 主控台來設定一或多個受管目錄。如需詳細資訊,請參閱《 AWS Directory Service 管理員指南》中的 AWS Managed Microsoft AD

    Directory Service 主控台會顯示目錄清單及其詳細資訊。

  2. 在 https://https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台,然後選擇建立伺服器

  3. 選擇通訊協定頁面上,從清單中選擇一或多個通訊協定。

    注意

    如果您選取 FTPS,則必須提供 AWS Certificate Manager 憑證。

  4. 針對選擇身分提供者,選擇 AWS Directory Service

    主控台螢幕擷取畫面顯示選擇已選取 Directory Service 的身分提供者區段。

  5. 目錄清單包含您已設定的所有受管目錄。從清單中選擇目錄,然後選擇下一步

    注意

  6. 若要完成建立伺服器,請使用下列其中一個程序:

    在這些程序中,請繼續執行選擇身分提供者之後的步驟。

重要

AWS Directory Service 如果您在 Transfer Family 伺服器中使用 Microsoft AD 目錄,則無法刪除 中的 Microsoft AD 目錄。您必須先刪除伺服器,然後才能刪除目錄。

連線至內部部署 Microsoft Active Directory

本節說明如何使用 AD Connector 設定 AWS 目錄

使用 AD Connector 設定您的 AWS 目錄

  1. 開啟 Directory Service 主控台,然後選取目錄

  2. 選取設定目錄

  3. 針對目錄類型,選擇 AD Connector

  4. 選取目錄大小,選取下一步,然後選取您的 VPC 和子網路。

  5. 選取下一步,然後填入欄位,如下所示:

    • 目錄 DNS 名稱:輸入您用於 Microsoft Active Directory 的網域名稱。

    • DNS IP 地址:輸入您的 Microsoft Active Directory IP 地址。

    • 伺服器帳戶使用者名稱和密碼:輸入要使用之服務帳戶的詳細資訊。

  6. 完成畫面以建立目錄服務。

下一個步驟是使用 SFTP 通訊協定和 AWS Directory Service 的身分提供者類型來建立 Transfer Family 伺服器。從目錄下拉式清單中,選取您在上一個程序中新增的目錄。

授予 群組的存取權

建立伺服器之後,您必須選擇目錄中的哪些群組應該有權透過已啟用的通訊協定使用 上傳和下載檔案 AWS Transfer Family。您可以透過建立 存取來執行此操作。

注意

AWS Transfer Family 預設限制為每個伺服器 100 個 Active Directory 群組。如果您的使用案例需要超過 100 個群組,請考慮使用自訂身分提供者解決方案,如透過 的自訂身分提供者簡化 Active Directory 身分驗證 AWS Transfer Family中所述。

注意

使用者必須直接屬於您要授予存取權的群組。例如,假設 Bob 是使用者並屬於 groupA,且 groupA 本身包含在 groupB 中。

  • 如果您授予對 groupA 的存取權,則會授予 Bob 存取權。

  • 如果您將存取權授予 groupB (而不是 groupA),Bob 就無法存取。

授予群組存取權

  1. 在 https://https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台。

  2. 導覽至您的伺服器詳細資訊頁面。

  3. 存取區段中,選擇新增存取

  4. 輸入您要存取此伺服器的 AWS Managed Microsoft AD 目錄的 SID。

    注意

    如需如何為您的 群組尋找 SID 的資訊,請參閱 開始使用 之前 AWS Directory Service for Microsoft Active Directory

  5. 針對存取,選擇群組的 AWS Identity and Access Management (IAM) 角色。

  6. 政策區段中,選擇政策。預設設定為

  7. 針對主目錄,選擇對應至群組主目錄的 Amazon S3 儲存貯體。

    注意

    您可以透過建立工作階段政策來限制使用者看到的儲存貯體部分。例如,若要將使用者限制在 /filetest目錄下自己的資料夾,請在方塊中輸入下列文字。

    /filetest/${transfer:UserName}

    若要進一步了解如何建立工作階段政策,請參閱 為 Amazon S3 儲存貯體建立工作階段政策

  8. 選擇新增以建立關聯。

  9. 選擇您的伺服器。

  10. 選擇新增存取權

    1. 輸入群組的 SID。

      注意

      如需如何尋找 SID 的資訊,請參閱 開始使用 之前 AWS Directory Service for Microsoft Active Directory

  11. 選擇新增存取權

存取區段中,會列出伺服器的存取。

主控台顯示列出伺服器存取權的存取區段。

測試使用者

您可以測試使用者是否可以存取您伺服器的 AWS Managed Microsoft AD 目錄。

注意

使用者必須剛好位於端點組態頁面的存取區段中列出的一個群組 (外部 ID)。如果使用者不在群組中,或位於多個單一群組中,則不會授予該使用者存取權。

測試特定使用者是否具有存取權

  1. 在伺服器詳細資訊頁面上,選擇動作,然後選擇測試

  2. 針對身分提供者測試,輸入使用者登入憑證,該使用者位於其中一個具有存取權的群組中。

  3. 選擇測試

您會看到身分提供者測試成功,顯示選取的使用者已獲得伺服器存取權。

成功身分提供者測試回應的主控台螢幕擷取畫面。

如果使用者屬於多個具有存取權的群組,您會收到下列回應。

"Response":"",
"StatusCode":200,
"Message":"More than one associated access found for user's groups."

刪除群組的伺服器存取權

刪除群組的伺服器存取權

  1. 在伺服器詳細資訊頁面上,選擇動作,然後選擇刪除存取

  2. 在對話方塊中,確認您要移除此群組的存取權。

當您返回伺服器詳細資訊頁面時,您會看到不再列出此群組的存取權。

使用 SSH 連線至伺服器 (安全殼層)

設定伺服器和使用者之後,您可以使用 SSH 連線至伺服器,並為具有存取權的使用者使用完整使用者名稱。

sftp user@active-directory-domain@vpc-endpoint

例如:transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com

此格式以聯合搜尋為目標,限制搜尋潛在的大型 Active Directory。

注意

您可以指定簡單的使用者名稱。不過,在此情況下,Active Directory 程式碼必須搜尋聯合中的所有目錄。這可能會限制搜尋,即使使用者應具有存取權,身分驗證也可能會失敗。

驗證之後,使用者會位於您在設定使用者時指定的主目錄中。

使用樹系和信任 AWS Transfer Family 連接到自我管理的 Active Directory

AWS Directory Service 有下列選項可用於連線至自我管理 Active Directory:

  • 單向樹系信任 (內部部署 Active Directory 的傳出 AWS Managed Microsoft AD 和傳入) 僅適用於根網域。

  • 對於子網域,您可以使用下列其中一項:

    • 在 AWS Managed Microsoft AD 和內部部署 Active Directory 之間使用雙向信任

    • 對每個子網域使用單向外部信任。

使用信任的網域連線至伺服器時,使用者需要指定信任的網域,例如 transferuserexample@mycompany.com