Tutoriel : Configuration d'une application Web Transfer Family de base - AWS Transfer Family
PrérequisÉtape 1 : créer les ressources de soutien nécessairesÉtape 2 : Création d'une application Web Transfer FamilyÉtape 3 : configurer le partage de ressources entre origines (CORS) pour votre bucketÉtape 4 : Ajouter un utilisateur à votre application Web Transfer FamilyÉtape 5 : enregistrer un emplacement dans Amazon S3 et créer une autorisation d'accèsÉtape 6 : Accédez à votre application Web Transfer Family en tant qu'utilisateurÉtapes suivantesIntégrez Okta en tant que fournisseur d'identité pour les applications Web

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel : Configuration d'une application Web Transfer Family de base

Ce didacticiel explique comment configurer une application Web Transfer Family. Les applications Web Transfer Family offrent une interface simple pour transférer des données vers et depuis Amazon S3 via un navigateur Web. Pour obtenir une documentation détaillée sur cette fonctionnalité, consultezApplications Web Transfer Family.

Tutoriel sur les applications Web : prérequis

Note

Ce didacticiel part du principe que vous utilisez le répertoire IAM Identity Center pour votre fournisseur d'identité. Si ce n'est pas le cas, reportez-vous à ce didacticiel Configurer votre fournisseur d'identité pour les applications Web Transfer Family avant de poursuivre ce didacticiel.

Une fois le didacticiel terminé, votre utilisateur peut se connecter et interagir avec l'application Web que vous créez.

Étape 1 : créer les ressources de soutien nécessaires

Vous devez ajouter un utilisateur à votre répertoire IAM Identity Center. Vous avez également besoin de deux rôles : un à utiliser comme rôle de porteur d'identité pour votre application Web, et un second à utiliser pour configurer une autorisation d'accès Amazon S3. Dans le cadre du didacticiel, nous autorisons les AWS services à créer ces rôles pour nous.

Pour ajouter un utilisateur

  1. Connectez-vous à la AWS IAM Identity Center console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/singlesignon/.

  2. Dans le volet de navigation de gauche, sélectionnez Utilisateurs.

  3. Choisissez Ajouter un utilisateur et spécifiez les détails de l'utilisateur.

    Spécifiez un nom d'utilisateur, une adresse e-mail et les autres informations requises. Vous pouvez choisir d'envoyer un e-mail à l'utilisateur avec des instructions pour configurer son mot de passe ou de générer un mot de passe à usage unique à partager avec lui.

  4. Choisissez Next et assignez éventuellement le nouvel utilisateur à un ou plusieurs groupes.

  5. Choisissez Suivant et passez en revue vos choix.

    Si tout semble correct, choisissez Ajouter un utilisateur pour créer le nouvel utilisateur avec les informations que vous avez spécifiées.

    Pour le didacticiel, l'exemple d'utilisateur est Bob Stiles, le nom d'utilisateur bobstiles et l'adresse e-mail bobstiles@example.com.

Étape 2 : Création d'une application Web Transfer Family

Pour créer une application Web Transfer Family

  1. Connectez-vous à la AWS Transfer Family console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/transfer/.

  2. Dans le volet de navigation de gauche, sélectionnez Web apps.

  3. Choisissez Créer une application Web.

    Pour l'accès par authentification, notez que le service trouve automatiquement l' AWS IAM Identity Center instance que vous avez configurée comme condition préalable.

  4. Dans le volet Type d'autorisation, sélectionnez Créer et utiliser un nouveau rôle de service. Le service crée pour vous le rôle de porteur d'identité. Un rôle de porteur d'identité inclut l'identité d'un utilisateur authentifié dans ses sessions.

  5. Dans le volet des unités de l'application Web, acceptez la valeur par défaut de 1 ou ajustez-la à une valeur supérieure si nécessaire.

  6. Ajoutez une balise pour vous aider à organiser vos applications Web. Pour le didacticiel, entrez le nom de la clé et l'application Web du didacticiel pour la valeur.

    Astuce

    Vous pouvez modifier le nom de l'application Web directement depuis la page de liste des applications Web après l'avoir créée.

  7. Choisissez Suivant pour ouvrir la page de l'application Web Design. Sur cet écran, fournissez les informations suivantes.

    Vous pouvez éventuellement fournir un titre pour votre application Web. Vous pouvez également télécharger des fichiers image pour votre logo et votre favicon.

    • Pour le titre de page, personnalisez le titre de l'onglet du navigateur que vos utilisateurs voient lorsqu'ils se connectent à l'application Web. Si vous ne saisissez rien pour le titre de la page, la valeur par défaut est Transfer Web App.

    • Pour le logo, téléchargez un fichier image. La taille de fichier maximale pour l'image de votre logo est de 50 Ko.

    • Pour le favicon, téléchargez un fichier image. La taille de fichier maximale de votre favicon est de 20 Ko.

  8. Choisissez Suivant, puis sélectionnez Créer une application Web.

Pour offrir une expérience personnalisée, vous pouvez fournir une URL personnalisée permettant à vos utilisateurs d'accéder à votre application Web Transfer Family. Pour en savoir plus, consultez Mettez à jour votre point de terminaison d'accès avec une URL personnalisée.

Étape 3 : configurer le partage de ressources entre origines (CORS) pour votre bucket

Vous devez configurer le partage de ressources entre origines (CORS) pour tous les buckets utilisés par votre application Web. Une configuration CORS est un document qui définit des règles identifiant les origines auxquelles vous autoriserez l'accès à votre bucket. Pour plus d'informations sur CORS, voir Configuration du partage de ressources entre origines (CORS).

Pour configurer le partage de ressources entre origines (CORS) pour votre compartiment Amazon S3

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Choisissez Buckets dans le panneau de navigation de gauche et recherchez votre compartiment dans la boîte de dialogue de recherche, puis choisissez l'onglet Autorisations.

  3. Dans le partage de ressources entre origines (CORS), choisissez Modifier et collez le code suivant. AccessEndpointRemplacez-le par le point de terminaison d'accès réel de votre application Web. Veillez à ne pas saisir de barres obliques à la fin, car cela entraîne des erreurs lorsque les utilisateurs tentent de se connecter à votre application Web.

    • Exemple incorrect : https://webapp-c7bf3423.transfer-webapp.us-east-2.on.aws/

    • Exemple correct : https://webapp-c7bf3423.transfer-webapp.us-east-2.on.aws

    Si vous réutilisez un bucket pour plusieurs applications Web, ajoutez leurs points de terminaison d'accès aux applications Web à la liste. AllowedOrigins

    [
  {
    "AllowedHeaders": [
      "*"
    ],
    "AllowedMethods": [
      "GET",
      "PUT",
      "POST",
      "DELETE",
      "HEAD"
    ],
    "AllowedOrigins": [
      "https://AccessEndpoint"
    ],
    "ExposeHeaders": [
      "last-modified",
       "content-length",
      "etag",
      "x-amz-version-id",
      "content-type",
      "x-amz-request-id",
      "x-amz-id-2",
      "date",
      "x-amz-cf-id",
      "x-amz-storage-class",
      "access-control-expose-headers"
     ],
    "MaxAgeSeconds": 3000
  }
]

  4. Choisissez Enregistrer les modifications pour mettre à jour le CORS.

Étape 4 : Ajouter un utilisateur à votre application Web Transfer Family

Ajoutez l'utilisateur que vous avez créé précédemment dans IAM Identity Center.

Pour attribuer des utilisateurs à une application Web Transfer Family

  1. Accédez à l'application Web que vous avez créée précédemment.

  2. Choisissez Assign users and groups (Attribuer des utilisateurs et des groupes).

    Écran présentant les détails d'une application Web sélectionnée.

  3. Pour attribuer l'utilisateur que vous avez créé précédemment dans IAM Identity Center, sélectionnez Attribuer des utilisateurs et des groupes existants, puis sélectionnez Suivant.

    1. Recherchez l'utilisateur par son nom d'affichage. Notez qu'aucun utilisateur n'apparaît tant que vous n'avez pas commencé à saisir vos critères de recherche. Pour ajouterBob Stiles, saisissez bob dans le champ de recherche. Si vous ne trouvez pas votre utilisateur, accédez à la console de gestion IAM Identity Center, trouvez-le, puis copiez-collez son nom d'affichage ici.

    2. Choisissez l'Bob Stilesutilisateur, puis choisissez Attribuer.

Étape 5 : enregistrer un emplacement dans Amazon S3 et créer une autorisation d'accès

Après avoir attribué un utilisateur à votre application Web, vous devez enregistrer un bucket et créer une autorisation d'accès pour cet utilisateur.

Note

Vous devez disposer d'une instance S3 Access Grants avant de pouvoir continuer. Pour plus de détails, consultez la section Créer une instance S3 Access Grants dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Pour enregistrer un emplacement et créer une autorisation d'accès

  1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

  2. Choisissez Access Grants dans le volet de navigation de gauche.

  3. Choisissez Afficher les détails pour voir les détails de votre instance S3 Access Grants.

  4. Sélectionnez l'onglet Emplacements, puis sélectionnez Enregistrer l'emplacement.

  5. Saisissez les informations suivantes.

    • Pour le champ d'application, recherchez un compartiment ou entrez le nom de votre compartiment, et éventuellement un préfixe. Notez que le champ d'application commence par la chaînes3://.

    • Pour le rôle IAM, choisissez Create new role pour qu'Amazon S3 crée un rôle. Ce rôle permet à S3 Access Grants d'accéder à l'étendue de localisation que vous avez spécifiée.

    Écran présentant la boîte de dialogue Enregistrer les compartiments ou les préfixes S3 d'Amazon S3 en tant qu'emplacements avec les paramètres Scope et Create new role par défaut.

    Choisissez Enregistrer la localisation pour continuer.

  6. Sélectionnez l'onglet Subventions, puis choisissez Créer une subvention et fournissez les informations suivantes.

    • Dans Emplacement, sélectionnez Parcourir les emplacements et choisissez le lieu que vous avez enregistré à l'étape précédente.

    • Dans le champ Sous-préfixe, entrez * pour indiquer que l'autorisation d'accès s'applique à l'ensemble du compartiment.

    • Pour les autorisations, sélectionnez Lire et écrire.

    • Pour le type de bénéficiaire, choisissez Directory identity dans IAM Identity Center.

    • Pour le type d'identité du répertoire, sélectionnez Utilisateur.

    • Dans le champ Utilisateur/ID d'IAM Identity Center, copiez et collez le nom d'utilisateur pour. Bob Stiles Cet identifiant est disponible dans le volet Utilisateurs de votre application Web Transfer Family.

  7. Choisissez Create Grant.

L'autorisation d'accès est créée.

Étape 6 : Accédez à votre application Web Transfer Family en tant qu'utilisateur

À présent, nous accédons à l'URL de l'application Web et nous nous connectons en tant qu'utilisateur que nous avons attribué précédemment.

Pour vous connecter à l'application Web Transfer Family

  1. Accédez à votre application Web

  2. Choisissez le point de terminaison Access dans le volet de détails de l'application Web.

    Écran présentant les détails de l'application Web créée pendant le didacticiel.

  3. Sur l'écran de connexion, entrez l'utilisateur que vous avez créébobstiles, puis sélectionnez Suivant.

  4. Entrez le mot de passe que le système a attribué à cet utilisateur lors de sa création et sélectionnez Suivant.

  5. Si votre organisation a besoin d'une authentification multifactorielle (MFA), vous devez la configurer dès maintenant. Sinon, passez à l'étape 6.

    1. Un écran s'affiche pour enregistrer votre appareil MFA. Choisissez l'une des options disponibles, puis sélectionnez Suivant.

    2. Effectuez les étapes nécessaires pour configurer l'authentification multifacteur pour cet utilisateur : les étapes dépendent de l'option MFA que vous avez choisie.

    3. Vous devrez peut-être définir un nouveau mot de passe pour votre utilisateur : si nécessaire, faites-le maintenant. Le système peut également vous demander de vous reconnecter en utilisant les nouvelles informations d'identification MFA que vous avez configurées.

Votre utilisateur devrait voir un écran similaire au suivant. Notez que cette capture d'écran inclut la personnalisation du favicon et du logo.

Exemple d'application Web Transfer Family, avec un titre, un favicon et un logo personnalisés.

Étapes suivantes

Vous avez correctement configuré une application Web Transfer Family de base avec un accès standard au bucket S3. Si vous avez besoin d'un contrôle plus précis des autorisations de compartiment, par exemple en permettant aux utilisateurs de télécharger depuis un compartiment et de le télécharger vers un autre, consultezTutoriel : Configuration d'une application AWS Transfer Family Web avec un accès sélectif à plusieurs compartiments.

Intégrez Okta en tant que fournisseur d'identité pour les applications Web

Vous pouvez intégrer un fournisseur d'identité externe aux applications Web Transfer Family. Cette section explique comment configurer Okta en tant que fournisseur d'identité.

  1. Dans Okta, créez un utilisateur, un groupe et une application. Pour plus de détails sur la procédure à suivre, consultez Configurer SAML et SCIM avec Okta et IAM Identity Center.

    Exemple d'application Okta à utiliser avec le didacticiel de l'application Web Transfer Family

  2. Connectez Okta et importez des utilisateurs et des groupes depuis Okta vers. AWS IAM Identity Center Suivez les étapes 1 à 4 de la section Configurer SAML et SCIM avec Okta et IAM Identity Center.

    IAM Identity Center présentant un exemple d'utilisateur intégré depuis Okta
    IAM Identity Center présentant un exemple de groupe intégré depuis Okta

  3. Vérifiez que la source d'identité dans IAM Identity Center est SAML 2.0.

    IAM Identity Center indiquant que la source d'identité est SAML 2.0

  4. Attribuez votre utilisateur et votre groupe, comme décrit dansÉtape 4 : Ajouter un utilisateur à votre application Web Transfer Family.

  5. Pour éviter que vos utilisateurs n'aient besoin d'utiliser le MFA lorsqu'ils se connectent à votre application Web, effectuez les étapes suivantes dans Okta.

    1. Depuis la console d'administration Okta, accédez à [Applications] - [Applications], puis sélectionnez l' AWS IAM Identity Center application.

    2. Dans l'onglet Connexion, sélectionnez [Authentification utilisateur] - Modifier.

    3. Sélectionnez Mot de passe uniquement.

Après avoir effectué toutes les autres étapes du didacticiel, votre utilisateur devrait pouvoir accéder à votre application Web Transfer Family en accédant au point d'accès de l'application Web dans un navigateur Web.