Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Edite la configuración del proveedor de identidades
Puede cambiar el tipo de proveedor de identidad de su servidor de cualquier tipo a cualquier otro tipo. Los tipos de proveedores de identidad disponibles son:
-
Servicio gestionado: almacene las credenciales de usuario dentro del servicio
-
AWS Directory Service: utilice Microsoft AD AWS administrado o AWS Directory Service para los servicios de dominio Entra ID
-
Personalizado: utilice la función Lambda o Amazon API Gateway para integrarlo con su proveedor de identidad actual
Al cambiar los tipos de proveedores de identidad, debe proporcionar información específica en función de la transición que vaya a realizar. En las siguientes secciones se describe la información necesaria para cada tipo de cambio.
importante
Consideraciones a la hora de cambiar de proveedor de identidad:
-
Migración de usuarios: al cambiar los tipos de proveedores de identidad, las configuraciones de usuario existentes no se migran automáticamente. Deberá configurar los usuarios en el nuevo sistema del proveedor de identidades.
-
Pruebas: pruebe minuciosamente la nueva configuración del proveedor de identidad antes de realizar el cambio en los entornos de producción.
-
Permisos: asegúrese de que el nuevo proveedor de identidades tenga configurados los permisos y funciones de IAM necesarios antes de realizar el cambio.
Cambiar a un proveedor de identidades gestionado por un servicio
Al cambiar de cualquier otro tipo de proveedor de identidad a un tipo de proveedor de identidad gestionado por un servicio, debe:
-
Seleccione Servicio gestionado como tipo de proveedor de identidades
-
Cree nuevos usuarios directamente AWS Transfer Family después de completar el cambio, ya que las configuraciones de usuario existentes de otros proveedores de identidad no se transferirán
Ejemplo: si vas a cambiar de un proveedor de identidad personalizado a uno gestionado por el servicio, tendrás que volver a crear todas las cuentas de usuario y sus permisos asociados dentro del servicio. AWS Transfer Family
Cambiar a AWS Directory Service
Al cambiar de cualquier otro tipo de proveedor de identidad a AWS Directory Service, debe proporcionar:
-
Directorio: seleccione un Microsoft AD o AWS Directory Service AWS administrado existente para el directorio de Entra ID Domain Services
-
Acceso: elija si desea restringir el acceso a un grupo específico o permitir el acceso a todos los usuarios del directorio
-
Función de acceso: función de IAM que permite acceder AWS Transfer Family a su directorio
Ejemplo: si va a cambiar de un servicio gestionado a uno de AWS Directory Service, debe seleccionar el d-1234567890 directorio existente, restringir el acceso al TransferUsers grupo y especificar la función de TransferDirectoryAccessRole IAM.
Cambiar a un proveedor de identidad personalizado
Al cambiar de cualquier otro tipo de proveedor de identidad a uno personalizado, debe elegir entre la función Lambda o Amazon API Gateway y proporcionar la configuración requerida:
Uso de la función Lambda
Para la integración de funciones Lambda, proporcione:
-
Función: seleccione una función Lambda existente que gestione la autenticación
-
Método de autenticación (para el protocolo SFTP): elija la contraseña, la clave pública o ambas
Ejemplo: si va a cambiar de AWS Directory Service a un proveedor de identidades Lambda personalizado, debe seleccionar su TransferCustomAuth función y elegir Password como método de autenticación.
Uso de Amazon API Gateway
Para la integración de Amazon API Gateway, proporcione:
-
URL de API Gateway: la URL de invocación de su punto final de API Gateway
-
Función de invocación: una función de IAM que permite AWS Transfer Family invocar su API Gateway
-
Método de autenticación (para el protocolo SFTP): elija una contraseña, una clave pública o ambas
Ejemplo: si cambias de servidor gestionado a API Gateway, debes proporcionar la URLhttps://abcdef123.execute-api.us-east-1.amazonaws.com/prod, especificar la función de TransferApiGatewayInvocationRole IAM y elegir clave pública como método de autenticación.
Cambio de Amazon API Gateway a la función Lambda
Una transición común es cambiar de Amazon API Gateway a la función Lambda para la integración de proveedores de identidad personalizados. Este cambio le permite simplificar su arquitectura y, al mismo tiempo, mantener la misma lógica de autenticación.
Consideraciones clave para esta transición:
-
Misma función, permisos diferentes: puedes usar la misma función de Lambda para la integración de API Gateway y Lambda directa, pero la política de recursos debe actualizarse.
-
Requisitos de la política de recursos: al cambiar a una integración Lambda directa, la política de recursos de la función debe conceder
transfer.amazonaws.com.rproxy.govskope.capermiso para invocar la función, además de.apigateway.amazonaws.com
Para realizar este cambio
-
Actualice la política de recursos de la función Lambda para permitir la invocación
transfer.amazonaws.com.rproxy.govskope.cade la función. -
En la AWS Transfer Family consola, cambie el proveedor de identidad de API Gateway a función Lambda.
-
Seleccione la función Lambda existente.
-
Pruebe la configuración para asegurarse de que la autenticación funciona correctamente.
Ejemplo de política de recursos para la integración directa de Lambda:
-
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "Service": [ "transfer.amazonaws.com", "apigateway.amazonaws.com" ] }, "Action": "lambda:InvokeFunction", "Resource": "arn:aws:lambda:us-east-1:123456789012:function:function-name" }] }
Preservación del usuario durante las transiciones entre proveedores de identidad
Al cambiar de un tipo de proveedor de identidad a otro, las configuraciones de usuario existentes se conservan en escenarios específicos para permitir una reversión eficiente en caso de problemas:
-
Servicio gestionado a proveedor de identidades personalizado y viceversa: si cambias de un proveedor de identidades gestionado por el servicio a uno personalizado y, después, vuelves a ser gestionado por el servicio, todos los usuarios se mantienen en su última configuración conocida.
-
AWS Directory Service a un proveedor de identidades personalizado y viceversa: si cambias de un proveedor de AWS Directory Service identidades personalizado y luego vuelves a AWS Directory Service, todas las definiciones de los grupos de acceso delegado se conservan en su última configuración conocida.
Este comportamiento de conservación le permite probar de forma segura las configuraciones de los proveedores de identidades personalizados y volver a la configuración anterior sin perder las configuraciones de acceso de los usuarios.
Consideraciones importantes a la hora de cambiar de proveedor de identidad
-
Migración de usuarios: al cambiar los tipos de proveedores de identidad, las configuraciones de usuario existentes no se migran automáticamente. Deberá configurar los usuarios en el nuevo sistema del proveedor de identidades.
-
Pruebas: pruebe minuciosamente la nueva configuración del proveedor de identidad antes de realizar el cambio en los entornos de producción.
-
Permisos: asegúrese de que el nuevo proveedor de identidades tenga configurados los permisos y funciones de IAM necesarios antes de realizar el cambio.
