與服務管理的使用者合作 - AWS Transfer Family
新增 Amazon S3 服務受管使用者新增 Amazon EFS 服務受管使用者服務管理使用者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

與服務管理的使用者合作

您可以根據伺服器的網域設定,將 Amazon S3 或 Amazon EFS 服務受管使用者新增至您的服器。如需詳細資訊,請參閱 設定 SFTP、FTPS 或 FTP 伺服器端點

若要以程式設計方式新增服務管理的使用者,請參閱 CreateUserAPI 的範例

注意

對於服務管理的使用者,限制為 2,000 個邏輯目錄項目。如需使用邏輯目錄的資訊,請參閱使用邏輯目錄簡化您的 Transfer Family 目錄結構

新增 Amazon S3 服務受管使用者

注意

如果您想要設定跨帳戶 Amazon S3 儲存貯體,請遵循此知識中心文章中提到的步驟:如何設定我的AWS Transfer Family伺服器使用另一個AWS帳戶中的 Amazon 簡單儲存服務儲存貯體?

將 Amazon S3 服務受管使用者新增至您的伺服器

  1. https://console.aws.amazon.com/transfer/ 開啟AWS Transfer Family主控台,然後從導覽窗格中選取 [伺服器]。

  2. 在 [伺服器] 頁面上,選取要新增使用者之伺服器的核取方塊。

  3. 選擇新增使用者

  4. 在 [使用者設定] 區段中,輸入使用者名稱做為使用者名稱。此使用者名稱必須至少為 3 個字元且最多 100 個字元。您可以在使用者名稱中使用下列字元:a—z、A-Z、0—9、底線 '_'、連字號 '-'、句號 ' 。 ',並在符號「@」。用戶名不能以連字符 '-',句點 '開頭 。 ',或在符號「@」。

  5. 對於存取,請選擇您先前建立的 IAM 角色,以提供對 Amazon S3 儲存貯體的存取權限。

    您使用建立 IAM 角色和政策的程序建立此 IAM 角色。該 IAM 角色包含 IAM 政策,可讓您存取 Amazon S3 儲存貯體。它也包含在其他 IAM 政策中定義的 AWS Transfer Family 服務信任關係。如果您需要對使用者進行精細的存取控制,請參閱使用AWS Transfer Family和 Amazon S3 增強資料存取控制部落格文章。

  6. (選擇性) 針對策略,選取下列其中一項:

    • 現有政策

    • 從 IAM 選取政策:可讓您選擇現有的工作階段政策。選擇檢視以查看包含原則詳細資訊的 JSON 物件。

    • 根據主資料夾自動產生原則:為您產生工作階段原則。選擇檢視以查看包含原則詳細資訊的 JSON 物件。

      注意

      如果您選擇 [根據主資料夾自動產生原則],請勿為此使用者選取 [限制]。

    若要進一步瞭解工作階段原則,請參閱建立 IAM 角色和政策。若要進一步瞭解如何建立工作階段原則,請參閱為 Amazon S3 儲存貯體建立工作階段政策

  7. 對於主目錄,請選擇要使用的 Amazon S3 儲存貯體存放要傳輸的資料AWS Transfer Family。輸入使用者使用其用戶端登入時所在home目錄的路徑。

    如果將此參數保持空白,則會使用 Amazon S3 儲存貯體的root目錄。在本例中,請確定您的 IAM 角色能夠存取此 root 目錄。

    注意

    建議您選擇包含使用者使用者名稱的目錄路徑,以便有效地使用階段作業原則。工作階段政策將 Amazon S3 儲存貯體中的使用者存取限制在該使用者的home目錄。

  8. (選擇性) 對於「受限制」,請選取核取方塊,讓使用者無法存取該資料夾以外的任何內容,也看不到 Amazon S3 儲存貯體或資料夾名稱。

    注意

    為使用者指定主目錄並將使用者限制在該主目錄應該足以鎖定使用者對指定資料夾的存取權。如果您需要套用進一步的控制項,請使用工作階段原則。

    如果您為此使用者選取 [受限制],則無法選取 [根據主資料夾自動產生原則],因為主資料夾不是 [受限制的使用者] 定義的值。

  9. 對於 SSH 公開金鑰,請輸入安全殼層 key pair 的公開安全殼層金鑰部分。

    金鑰要先經服務驗證,您才能新增新使用者。

    注意

    如需如何產生 SSH 金鑰對的說明,請參閱為服務管理的使用者產生 SSH 金鑰

  10. (選擇性) 在「機」中,輸入一或多個標籤作為鍵值配對,然後選擇「新增標籤」。

  11. 選擇 Add (新增) 將新使用者新增至您選擇的伺服器。

    新使用者會顯示在 [伺服器詳細資訊] 頁面的 [使者] 區段中。

後續步驟 — 對於下一步,請繼續執行使用用戶端透過伺服器端點傳輸檔案

新增 Amazon EFS 服務受管使用者

Amazon EFS 使用可攜式作業系統界面 (POSIX) 檔案權限模型來代表檔案擁有權。

將 Amazon EFS 服務受管使用者新增至您的伺服器

  1. https://console.aws.amazon.com/transfer/ 開啟AWS Transfer Family主控台,然後從導覽窗格中選取 [伺服器]。

  2. 在「伺服器」頁面上,選取您要新增使用者的 Amazon EFS 伺服器。

  3. 選擇新增使用者以顯示 [新增使用者] 頁面。

  4. 在 [使用者組態] 區段中,使用下列設定。

    1. 使用者名稱」必須至少為 3 個字元,最多 100 個字元。您可以在使用者名稱中使用下列字元:a—z、A-Z、0—9、底線 '_'、連字號 '-'、句號 ' 。 ',並在符號「@」。用戶名不能以連字符 '-',句點 '開頭 。 ',或在符號「@」。

    2. 對於「使用者 ID」和「群組 ID」,請注意以下事項:

      • 對於您建立的第一個使用者,我們建議您同時輸入「群組 ID」和「使用者 ID」的0值。這會授予使用者管理員使用 Amazon EFS 的權限。

      • 若為其他使用者,請輸入使用者的 POSIX 使用者 ID 和群組 ID。這些 ID 用於使用者執行的所有 Amazon Elastic File System 操作。

      • 對於使用者 ID群組 ID,請勿使用任何前導零。例如,12345是可以接受的,不012345是。

    3. (選擇性) 對於「次要群組 ID」,請為每個使用者輸入一或多個其他 POSIX 群組 ID,以逗號分隔。

    4. 對於存取權,請選擇 IAM 角色:

      • 讓使用者只能存取您希望他們存取的 Amazon EFS 資源 (檔案系統)。

      • 定義使用者可以執行和無法執行的檔案系統作業。

      我們建議您在 Amazon EFS 檔案系統選擇中使用 IAM 角色,並具有掛載存取權限和讀取/寫入許可。例如,以下兩個AWS受管理策略的組合雖然相當寬鬆,但會為您的使用者授予必要的權限:

      • AmazonElasticFileSystemClientFullAccess

      • AWSTransferConsoleFullAccess

      如需詳細資訊,請參閱 Amazon 彈性檔案系統的部落格文章AWS Transfer Family支援

    5. 對於主目錄,請執行以下操作:

      • 選擇您要用來存放要傳輸之資料的 Amazon EFS 檔案系統AWS Transfer Family。

      • 決定是否要將主目錄設定為「受限制」。將主目錄設定為「限制」會產生下列影響:

        • Amazon EFS 使用者無法存取該資料夾外的任何檔案或目錄。

        • Amazon EFS 使用者看不到 Amazon EFS 檔案系統名稱 (fs-xxxxxxx)。

          注意

          選取「受限制」選項時,Amazon EFS 使用者無法解析符號連結。

      • (選擇性) 輸入您希望使用者使用其用戶端登入時所在的主目錄路徑。

        如果未指定主目錄,則會使用 Amazon EFS 檔案系統的根目錄。在這種情況下,請確保您的 IAM 角色可提供對此根目錄的存取權。

  5. 對於 SSH 公開金鑰,請輸入安全殼層 key pair 的公開安全殼層金鑰部分。

    金鑰要先經服務驗證,您才能新增新使用者。

    注意

    如需如何產生 SSH 金鑰對的說明,請參閱為服務管理的使用者產生 SSH 金鑰

  6. (選擇性) 輸入使用者的任何標籤。在「」中,輸入一或多個標籤作為鍵值配對,然後選擇「新增標籤」。

  7. 選擇 Add (新增) 將新使用者新增至您選擇的伺服器。

    新使用者會顯示在 [伺服器詳細資訊] 頁面的 [使者] 區段中。

當您第一次將 SFTP 轉移到 Transfer Family 伺服器時可能會遇到的問題:

  • 如果您執行sftp命令,但沒有出現提示,您可能會遇到下列訊息:

    Couldn't canonicalize: Permission denied

    Need cwd

    在此情況下,您必須增加使用者角色的原則權限。您可以新增受AWS管理的策略,例如AmazonElasticFileSystemClientFullAccess

  • 如果您pwdsftp提示下輸入以檢視使用者的主目錄,您可能會看到下列訊息,其中使用者主目錄是 SFTP 使用者的主目錄:

    remote readdir("/USER-HOME-DIRECTORY"): No such file or directory

    在此情況下,您應該能夠瀏覽至父目錄 (cd ..),並建立使用者的主目錄 (mkdir username)。

後續步驟 — 對於下一步,請繼續執行使用用戶端透過伺服器端點傳輸檔案

管理服務管理使用者

在本節中,您可以找到有關如何檢視使用者清單、如何編輯使用者詳細資訊,以及如何新增安全殼層公開金鑰的相關資訊。

若要尋找您的使用者清單

  1. 請在以下位置開啟AWS Transfer Family主控台。 https://console.aws.amazon.com/transfer/

  2. 從導覽窗格中選取 [伺服器] 以顯示 [伺服器] 頁面。

  3. 在「伺服器 ID」欄中選擇識別碼,以查看「伺服器詳細資訊」頁面。

  4. 在「使用者」下,檢視使用者清單。

檢視或編輯使用者詳細資訊

  1. 請在以下位置開啟AWS Transfer Family主控台。 https://console.aws.amazon.com/transfer/

  2. 從導覽窗格中選取 [伺服器] 以顯示 [伺服器] 頁面。

  3. 在「伺服器 ID」欄中選擇識別碼,以查看「伺服器詳細資訊」頁面。

  4. 在 [使用者] 下,選擇使用者名稱以查看 [使用者詳細資料]

    您可以選擇 [編輯],在此頁面上變更使用者的特性。

  5. 在 [使用者詳細資料] 頁面上,選擇 [使用者組態] 旁邊的 [

    顯示編輯使用者設定的畫面的影像

  6. 在「編輯組態」 頁面上,對於「存取」,選擇您先前建立的 IAM 角色,以提供對 Amazon S3 儲存貯體的存取權。

    您使用建立 IAM 角色和政策的程序建立此 IAM 角色。該 IAM 角色包含 IAM 政策,可讓您存取 Amazon S3 儲存貯體。它也包含在其他 IAM 政策中定義的 AWS Transfer Family 服務信任關係。

  7. (選擇性) 針對策略,選擇下列其中一項:

    • 現有政策

    • 從 IAM 選取政策以選擇現有政策。選擇檢視以查看包含原則詳細資訊的 JSON 物件。

    若要進一步瞭解工作階段原則,請參閱建立 IAM 角色和政策。若要進一步瞭解如何建立工作階段原則,請參閱為 Amazon S3 儲存貯體建立工作階段政策

  8. 對於主目錄,請選擇要使用的 Amazon S3 儲存貯體存放要傳輸的資料AWS Transfer Family。輸入使用者使用其用戶端登入時所在home目錄的路徑。

    如果將此參數保留空白,則會使用 Amazon S3 儲存貯體的root目錄。在本例中,請確定您的 IAM 角色能夠存取此 root 目錄。

    注意

    建議您選擇包含使用者使用者名稱的目錄路徑,以便有效地使用階段作業原則。工作階段政策將 Amazon S3 儲存貯體中的使用者存取限制在該使用者的home目錄。

  9. (選擇性) 對於「受限制」,請選取核取方塊,讓使用者無法存取該資料夾以外的任何內容,也看不到 Amazon S3 儲存貯體或資料夾名稱。

    注意

    為使用者指定主目錄並將使用者限制在該主目錄時,這應該足以鎖定使用者對指定資料夾的存取權限。當您需要套用進一步控制時,請使用工作階段原則。

  10. 選擇儲存,以儲存變更。

若要刪除使用者

  1. 請在以下位置開啟AWS Transfer Family主控台。 https://console.aws.amazon.com/transfer/

  2. 從導覽窗格中選取 [伺服器] 以顯示 [伺服器] 頁面。

  3. 在「伺服器 ID」欄中選擇識別碼,以查看「伺服器詳細資訊」頁面。

  4. 在 [使用者] 下,選擇使用者名稱以查看 [使用者詳細資料]

  5. 在 [使用者詳細資料] 頁面上,選擇使用者名稱右邊的 [刪除]。

  6. 在出現的確認對話方塊中,輸入文字delete,然後選擇 [刪除] 以確認您要刪除使用者。

這時系統會從用戶列表中刪除該用戶

若要為使用者新增 SSH 公開金鑰

  1. 請在以下位置開啟AWS Transfer Family主控台。 https://console.aws.amazon.com/transfer/

  2. 在導覽窗格中,選擇 Servers (伺服器)

  3. 在「伺服器 ID」欄中選擇識別碼,以查看「伺服器詳細資訊」頁面。

  4. 在 [使用者] 下,選擇使用者名稱以查看 [使用者詳細資料]

  5. 選擇 Add SSH public key (新增 SSH 公有金鑰) 來將新的 SSH 公有金鑰新增至使用者。

    注意

    SSH 金鑰只能由已啟用安全殼層 (SSH) 檔案傳輸通訊協定 (SFTP) 的伺服器使用。如需如何產生 SSH key pair 的詳細資訊,請參閱為服務管理的使用者產生 SSH 金鑰

  6. 針對 SSH public key (SSH 公有金鑰),輸入 SSH 金鑰對的 SSH 公有金鑰部分。

    金鑰要先經服務驗證,您才能新增新使用者。SSH 金鑰的格式是 ssh-rsa string。若要產生 SSH key pair,請參閱為服務管理的使用者產生 SSH 金鑰

  7. 選擇 Add key (新增金鑰)

若要刪除使用者的安全殼層公開金鑰

  1. 請在以下位置開啟AWS Transfer Family主控台。 https://console.aws.amazon.com/transfer/

  2. 在導覽窗格中,選擇 Servers (伺服器)

  3. 在「伺服器 ID」欄中選擇識別碼,以查看「伺服器詳細資訊」頁面。

  4. 在 [使用者] 下,選擇使用者名稱以查看 [使用者詳細資料]

  5. 若要刪除公開金鑰,請選取其安全殼層金鑰核取方塊,然後選擇刪除