Amazon EFS frente a Amazon S3 Directorios lógico Cuotas de grupo de Active Directory

Administración de usuarios para puntos finales de servidor

En las siguientes secciones, encontrará información sobre cómo añadir usuarios mediante AWS Transfer Family un proveedor de identidades personalizado AWS Directory Service for Microsoft Active Directory o personalizado.

Como parte de las propiedades de cada usuario se almacena también su clave pública de Secure Shell (SSH). Es necesario hacerlo para la autenticación basada en claves. La clave privada se almacenará localmente en el equipo de su usuario. Cuando el usuario envía una solicitud de autenticación a su servidor mediante un cliente, su servidor confirma que el usuario tiene acceso a la clave SSH privada asociada. A continuación, el servidor autentica correctamente al usuario.

nota

Para la implementación y la administración automatizadas de usuarios con varias claves SSH, consulte. Módulos Transfer Family Terraform

Además debe especificar el directorio de inicio o de destino del usuario y asignar un rol de AWS Identity and Access Management (IAM) al usuario. Opcionalmente puede indicar una política de sesión para restringir el acceso de los usuarios únicamente al directorio de inicio del bucket de Amazon S3.

importante

AWS Transfer Family impide que los nombres de usuario que tengan 1 o 2 caracteres se autentiquen en los servidores SFTP. Además, también bloqueamos el nombre de usuario root.

La razón de esto se debe al gran volumen de intentos de inicio de sesión maliciosos por parte de los escáneres de contraseñas.

Amazon EFS frente a Amazon S3

Características de cada opción de almacenamiento:

Para limitar el acceso: Amazon S3 admite políticas de sesión; Amazon EFS admite usuarios, grupos y grupos secundarios POSIX IDs
Ambas claves admiten public/private
Ambos son compatibles con los directorios principales
Ambos admiten directorios lógicos

nota
En el caso de Amazon S3, la mayor parte del soporte para los directorios lógicos se realiza mediante API/CLI. Puede utilizar la casilla de verificación Restringido de la consola para bloquear a un usuario en su directorio de inicio, pero no puede especificar una estructura de directorios virtuales.

Directorios lógico

Si especifica valores de directorio lógico para el usuario, el parámetro que utilice depende del tipo de usuario.

Para los usuarios administrados por el servicio, introduzca los valores del directorio lógico en HomeDirectoryMappings.
Para los usuarios de proveedores de identidad personalizados, proporcione los valores del directorio lógico enHomeDirectoryDetails.

AWS Transfer Family admite la especificación de un HomeDirectory valor cuando se utiliza el LOGICAL HomeDirectoryType. Esto se aplica a los usuarios gestionados por el servicio, al acceso a Active Directory y a las implementaciones de proveedores de identidad personalizados cuando HomeDirectoryDetails se proporcionan en la respuesta.

importante

Al especificar a HomeDirectory con LOGICAL HomeDirectoryType, el valor debe asignarse a una de las asignaciones de directorios lógicos. El servicio lo valida tanto durante la creación del usuario como durante las actualizaciones para evitar configuraciones que no funcionen.

Comportamiento predeterminado

De forma predeterminada, si no se especifica, HomeDirectory se establece en «/» para el modo LÓGICO. Este comportamiento no ha cambiado y sigue siendo compatible con las definiciones de usuario existentes.

Asegúrese de asignarlo HomeDirectory a una entrada y no a un objetivo. Para obtener más información, consulta Reglas para el uso de directorios lógicos.
Para obtener más información sobre la estructura de un directorio virtual, consulteEstructura de directorio virtual.

Consideraciones sobre el proveedor de identidad personalizado

Al usar un proveedor de identidad personalizado, ahora puede especificar un HomeDirectory en la respuesta mientras usa LOGICAL HomeDirectoryType. La llamada a la TestIdentityProvider API generará resultados correctos cuando el IDP personalizado especifique un HomeDirectory en modo LÓGICO.

Ejemplo de respuesta de IDP personalizada con HomeDirectory y LOGICAL: HomeDirectoryType


{
  "Role": "arn:aws:iam::123456789012:role/transfer-user-role",
  "HomeDirectoryType": "LOGICAL",
  "HomeDirectory": "/marketing",
  "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}

Cuotas de grupo de Active Directory

AWS Transfer Family tiene un límite predeterminado de 100 grupos de Active Directory por servidor. Si su caso de uso requiere más de 100 grupos, considere la posibilidad de utilizar una solución de proveedor de identidad personalizada, tal como se describe en Simplifique la autenticación de Active Directory con un proveedor de identidad personalizado para AWS Transfer Family.

Este límite se aplica a los servidores que utilizan los siguientes proveedores de identidad:

AWS Directory Service para Microsoft Active Directory
AWS Directory Service para los servicios de dominio Entra ID

Si necesita solicitar un aumento del límite de servicio, consulte Servicio de AWS las cuotas en Referencia general de AWS. Si su caso de uso requiere más de 100 grupos, considere la posibilidad de utilizar una solución de proveedor de identidad personalizada, tal como se describe en Simplifique la autenticación de Active Directory con un proveedor de identidad personalizado para AWS Transfer Family.

Para obtener información sobre la solución de problemas relacionados con los límites de grupos de Active Directory, consulteSe han superado los límites de grupos de Active Directory.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Transfiera archivos a través del punto final del servidor

Usuarios administrados por servicios