Menggunakan AWS Directory Service untuk Entra ID Domain Services - AWS Transfer Family
Sebelum Anda mulai menggunakan AWS Directory Service untuk Entra ID Domain ServicesLangkah 1: Menambahkan Layanan Domain Entra IDLangkah 2: Membuat akun layananLangkah 3: Menyiapkan AWS Direktori menggunakan AD ConnectorLangkah 4: Menyiapkan AWS Transfer Family serverLangkah 5: Memberikan akses ke grupLangkah 6: Menguji pengguna

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan AWS Directory Service untuk Entra ID Domain Services

Untuk pelanggan yang membutuhkan Transfer SFTP saja, dan tidak ingin mengelola domain, ada Simple Active Directory. Atau, pelanggan yang menginginkan manfaat Active Directory dan ketersediaan tinggi dalam layanan yang dikelola sepenuhnya dapat menggunakan Microsoft AD yang AWS Dikelola. Terakhir, bagi pelanggan yang ingin memanfaatkan hutan Direktori Aktif yang ada untuk Transfer SFTP mereka, ada Konektor Direktori Aktif.

Perhatikan hal berikut:

  • Untuk memanfaatkan hutan Active Directory yang ada untuk kebutuhan Transfer SFTP Anda, Anda dapat menggunakan Active Directory Connector.

  • Jika Anda menginginkan manfaat Active Directory dan ketersediaan tinggi dalam layanan yang dikelola sepenuhnya, Anda dapat menggunakannya AWS Directory Service for Microsoft Active Directory. Lihat perinciannya di Menggunakan AWS Directory Service untuk Microsoft Active Directory.

Topik ini menjelaskan cara menggunakan Konektor Direktori Aktif dan Layanan Domain Entra ID (sebelumnya Azure AD) untuk mengautentikasi pengguna Transfer SFTP dengan ID Entra.

Sebelum Anda mulai menggunakan AWS Directory Service untuk Entra ID Domain Services

catatan

AWS Transfer Family memiliki batas default 100 grup Active Directory per server. Jika kasus penggunaan Anda memerlukan lebih dari 100 grup, pertimbangkan untuk menggunakan solusi penyedia identitas kustom seperti yang dijelaskan dalam Simplify Active Directory autentikasi dengan penyedia identitas kustom untuk. AWS Transfer Family

Untuk AWS, Anda memerlukan yang berikut ini:

  • Virtual Private Cloud (VPC) di AWS wilayah tempat Anda menggunakan server Transfer Family

  • Setidaknya dua subnet pribadi di VPC Anda

  • VPC harus memiliki konektivitas internet

  • Gateway pelanggan dan gateway pribadi Virtual untuk koneksi site-to-site VPN dengan Microsoft Entra

Untuk Microsoft Entra, Anda memerlukan yang berikut ini:

  • ID Entra dan layanan domain direktori Aktif

  • Grup sumber daya Entra

  • Jaringan virtual Entra

  • Konektivitas VPN antara VPC Amazon Anda dan grup sumber daya Entra Anda

    catatan

    Ini bisa melalui terowongan IPSEC asli atau menggunakan peralatan VPN. Dalam topik ini, kami menggunakan terowongan IPSEC antara gateway jaringan Virtual Entra dan gateway jaringan lokal. Terowongan harus dikonfigurasi untuk memungkinkan lalu lintas antara titik akhir Layanan Domain Entra Anda dan subnet yang menampung VPC Anda. AWS

  • Gateway pelanggan dan gateway pribadi Virtual untuk koneksi site-to-site VPN dengan Microsoft Entra

Diagram berikut menunjukkan konfigurasi yang diperlukan sebelum Anda mulai.

Entra/Azure AD dan diagram arsitektur. AWS Transfer Family AWS VPC yang terhubung ke jaringan virtual Entra melalui internet, menggunakan konektor AWS Directory Service ke Entra Domain Service.

Langkah 1: Menambahkan Layanan Domain Entra ID

Entra ID tidak mendukung instance penggabungan Domain secara default. Untuk melakukan tindakan seperti Gabung Domain, dan untuk menggunakan alat seperti Kebijakan Grup, administrator harus mengaktifkan Layanan Domain ID Entra. Jika Anda belum menambahkan Entra DS, atau implementasi yang ada tidak terkait dengan domain yang Anda inginkan server Transfer SFTP Anda gunakan, Anda harus menambahkan instance baru.

Untuk informasi tentang mengaktifkan Layanan Domain ID Entra, lihat Tutorial: Membuat dan mengonfigurasi domain terkelola Microsoft Entra Domain Services.

catatan

Saat Anda mengaktifkan Entra DS, pastikan itu dikonfigurasi untuk grup sumber daya dan domain Entra tempat Anda menghubungkan server Transfer SFTP Anda.

Layar layanan domain entra yang menampilkan grup sumber daya bob.us berjalan.

Langkah 2: Membuat akun layanan

Entra harus memiliki satu akun layanan yang merupakan bagian dari grup Admin di Entra DS. Akun ini digunakan dengan konektor AWS Active Directory. Pastikan akun ini sinkron dengan Entra DS.

Layar Entra menampilkan profil untuk pengguna.
Tip

Otentikasi multi-faktor untuk Entra ID tidak didukung untuk server Transfer Family yang menggunakan protokol SFTP. Server Transfer Family tidak dapat menyediakan token MFA setelah pengguna mengautentikasi ke SFTP. Pastikan untuk menonaktifkan MFA sebelum Anda mencoba untuk terhubung.

Entra detail otentikasi multi-faktor, menunjukkan status MFA sebagai dinonaktifkan untuk dua pengguna.

Langkah 3: Menyiapkan AWS Direktori menggunakan AD Connector

Setelah Anda mengonfigurasi Entra DS, dan membuat akun layanan dengan terowongan VPN IPSEC antara AWS VPC dan jaringan Virtual Entra, Anda dapat menguji konektivitas dengan melakukan ping ke alamat IP DNS Entra DS dari instans apa pun. AWS EC2

Setelah Anda memverifikasi koneksi aktif, Anda dapat melanjutkan di bawah ini.

Untuk mengatur AWS Direktori menggunakan AD Connector

  1. Buka konsol Directory Service dan pilih Directories.

  2. Pilih Siapkan direktori.

  3. Untuk jenis direktori, pilih AD Connector.

  4. Pilih ukuran direktori, pilih Berikutnya, lalu pilih VPC dan Subnet Anda.

  5. Pilih Berikutnya, lalu isi kolom sebagai berikut:

    • Nama DNS direktori: masukkan nama domain yang Anda gunakan untuk Entra DS Anda.

    • Alamat IP DNS: masukkan alamat IP Entra DS Anda.

    • Nama pengguna dan kata sandi akun server: masukkan detail untuk akun layanan yang Anda buat di Langkah 2: Buat akun layanan.

  6. Lengkapi layar untuk membuat layanan direktori.

Sekarang status direktori harus Aktif, dan siap digunakan dengan server Transfer SFTP.

Layar Layanan Direktori menampilkan satu direktori dengan status Aktif, seperti yang diperlukan.

Langkah 4: Menyiapkan AWS Transfer Family server

Buat server Transfer Family dengan protokol SFTP, dan jenis penyedia identitas AWS Directory Service. Dari daftar drop-down Directory, pilih direktori yang Anda tambahkan di Langkah 3: Setup AWS Directory menggunakan AD Connector.

catatan

Anda tidak dapat menghapus direktori Microsoft AD di AWS Directory Service jika Anda menggunakannya di server Transfer Family. Anda harus menghapus server terlebih dahulu, dan kemudian Anda dapat menghapus direktori.

Langkah 5: Memberikan akses ke grup

Setelah Anda membuat server, Anda harus memilih grup mana di direktori yang harus memiliki akses untuk mengunggah dan mengunduh file melalui protokol yang diaktifkan menggunakan. AWS Transfer Family Anda melakukan ini dengan membuat akses.

catatan

Pengguna harus menjadi bagian langsung dari grup tempat Anda memberikan akses. Misalnya, asumsikan bahwa Bob adalah pengguna dan milik GroupA, dan GroupA sendiri termasuk dalam GroupB.

  • Jika Anda memberikan akses ke GroUpa, Bob diberikan akses.

  • Jika Anda memberikan akses ke GroupB (dan bukan ke GroupA), Bob tidak memiliki akses.

Untuk memberikan akses, Anda perlu mengambil SID untuk grup.

Gunakan PowerShell perintah Windows berikut untuk mengambil SID untuk grup, ganti YourGroupName dengan nama grup. 

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
Windows PowerShell menunjukkan Object SID sedang diambil.
Berikan akses ke grup

  1. Buka https://console.aws.amazon.com/transfer/.

  2. Arahkan ke halaman detail server Anda dan di bagian Akses, pilih Tambahkan akses.

  3. Masukkan SID yang Anda terima dari output dari prosedur sebelumnya.

  4. Untuk Access, pilih AWS Identity and Access Management peran untuk grup.

  5. Di bagian Kebijakan, pilih kebijakan. Nilai defaultnya adalah None.

  6. Untuk direktori Home, pilih bucket Amazon S3 yang sesuai dengan direktori home grup.

  7. Pilih Tambah untuk membuat asosiasi.

Detail dari server Transfer Anda akan terlihat mirip dengan yang berikut ini:

Sebagian dari layar detail server Transfer Family, menampilkan contoh ID Direktori untuk penyedia Identitas.
Sebagian dari layar detail server Transfer Family, menampilkan ID Eksternal direktori aktif di bagian Accesses layar.

Langkah 6: Menguji pengguna

Anda dapat menguji (Menguji pengguna) apakah pengguna memiliki akses ke AWS Managed Microsoft AD direktori untuk server Anda. Seorang pengguna harus berada dalam satu grup (ID eksternal) yang tercantum di bagian Access pada halaman konfigurasi Endpoint. Jika pengguna tidak berada dalam grup, atau berada di lebih dari satu grup, pengguna tersebut tidak diberikan akses.