Edit konfigurasi penyedia identitas - AWS Transfer Family
Mengubah ke penyedia identitas yang dikelola layananMengubah ke AWS Directory ServiceMengubah ke penyedia identitas khususPelestarian pengguna selama transisi penyedia identitasPertimbangan penting saat mengganti penyedia identitas

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Edit konfigurasi penyedia identitas

Anda dapat mengubah jenis penyedia identitas server Anda dari jenis apa pun ke jenis lainnya. Jenis penyedia identitas yang tersedia adalah:

  • Layanan dikelola - Simpan kredensyal pengguna dalam layanan

  • AWS Directory Service — Menggunakan Microsoft AD atau AWS Directory Service yang AWS Dikelola untuk Layanan Domain Entra ID

  • Kustom - Gunakan fungsi Lambda atau Amazon API Gateway untuk berintegrasi dengan penyedia identitas yang ada

Saat mengubah jenis penyedia identitas, Anda perlu memberikan informasi spesifik tergantung pada transisi yang Anda buat. Bagian berikut menjelaskan informasi yang diperlukan untuk setiap jenis perubahan.

penting

Pertimbangan saat mengubah penyedia identitas:

  • Migrasi pengguna — Saat mengubah jenis penyedia identitas, konfigurasi pengguna yang ada tidak dimigrasi secara otomatis. Anda harus mengatur pengguna di sistem penyedia identitas baru.

  • Pengujian - Uji konfigurasi penyedia identitas baru secara menyeluruh sebelum membuat perubahan di lingkungan produksi.

  • Izin — Pastikan bahwa penyedia identitas baru memiliki izin dan peran IAM yang diperlukan yang dikonfigurasi sebelum melakukan perubahan.

Mengubah ke penyedia identitas yang dikelola layanan

Saat mengubah dari jenis penyedia identitas lain ke yang dikelola layanan, Anda perlu:

  • Pilih Layanan yang dikelola sebagai tipe penyedia identitas

  • Buat pengguna baru langsung AWS Transfer Family setelah perubahan selesai, karena konfigurasi pengguna yang ada dari penyedia identitas lain tidak akan ditransfer

Contoh: Jika Anda mengubah dari penyedia identitas kustom ke yang dikelola layanan, Anda harus membuat ulang semua akun pengguna dan izin terkait mereka dalam layanan. AWS Transfer Family

Mengubah ke AWS Directory Service

Saat mengubah dari jenis penyedia identitas lain ke AWS Directory Service, Anda perlu menyediakan:

  • Direktori — Pilih AWS Managed Microsoft AD atau AWS Directory Service yang ada untuk direktori Entra ID Domain Services

  • Akses — Pilih apakah akan membatasi akses ke grup tertentu atau mengizinkan akses ke semua pengguna di direktori

  • Peran akses - Peran IAM yang memungkinkan AWS Transfer Family untuk mengakses direktori Anda

Contoh: Jika Anda mengubah dari service-managed ke AWS Directory Service, Anda akan memilih d-1234567890 direktori yang ada, memilih untuk membatasi akses ke TransferUsers grup, dan menentukan peran IAM. TransferDirectoryAccessRole

Mengubah ke penyedia identitas khusus

Saat mengubah dari jenis penyedia identitas lain ke penyedia identitas khusus, Anda harus memilih antara fungsi Lambda atau Amazon API Gateway dan menyediakan konfigurasi yang diperlukan:

Menggunakan fungsi Lambda

Untuk integrasi fungsi Lambda, berikan:

  • Fungsi - Pilih fungsi Lambda yang ada yang menangani otentikasi

  • Metode otentikasi (untuk protokol SFTP) - Pilih kata sandi, kunci publik, atau keduanya

Contoh: Jika Anda mengubah dari AWS Directory Service ke penyedia identitas Lambda kustom, Anda akan memilih TransferCustomAuth fungsi Anda dan memilih Kata Sandi sebagai metode otentikasi.

Untuk penyedia identitas Lambda, Anda dapat mengubah fungsi Lambda yang mendasarinya.

Menggunakan Amazon API Gateway

Untuk integrasi Amazon API Gateway, berikan:

  • API Gateway URL — URL pemanggilan titik akhir API Gateway Anda

  • Peran pemanggilan - Peran IAM yang memungkinkan AWS Transfer Family untuk memanggil API Gateway Anda

  • Metode otentikasi (untuk protokol SFTP) - Pilih kata sandi, kunci publik, atau keduanya

Contoh: Jika Anda mengubah dari yang dikelola layanan ke API Gateway, Anda akan memberikan URLhttps://abcdef123.execute-api.us-east-1.amazonaws.com/prod, menentukan peran TransferApiGatewayInvocationRole IAM, dan memilih kunci Publik sebagai metode otentikasi.

Untuk penyedia identitas API Gateway, Anda dapat memperbarui URL Gateway atau peran pemanggilan, atau keduanya.

Mengubah dari Amazon API Gateway ke fungsi Lambda

Transisi umum berubah dari Amazon API Gateway ke fungsi Lambda untuk integrasi penyedia identitas kustom. Perubahan ini memungkinkan Anda untuk menyederhanakan arsitektur Anda sambil mempertahankan logika otentikasi yang sama.

Pertimbangan utama untuk transisi ini:

  • Fungsi yang sama, izin yang berbeda — Anda dapat menggunakan fungsi Lambda yang sama untuk API Gateway dan integrasi Lambda langsung, tetapi kebijakan sumber daya harus diperbarui.

  • Persyaratan kebijakan sumber daya — Saat mengubah integrasi Lambda langsung, kebijakan sumber daya fungsi harus memberikan transfer.amazonaws.com izin untuk menjalankan fungsi, sebagai tambahan. apigateway.amazonaws.com

Untuk membuat perubahan ini

  1. Perbarui kebijakan sumber daya fungsi Lambda Anda transfer.amazonaws.com untuk memungkinkan menjalankan fungsi.

  2. Di AWS Transfer Family konsol, ubah penyedia identitas dari API Gateway ke fungsi Lambda.

  3. Pilih fungsi Lambda yang ada.

  4. Uji konfigurasi untuk memastikan otentikasi berfungsi dengan benar.

Contoh kebijakan sumber daya untuk integrasi Lambda langsung:

{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Principal": {
         "Service": [
            "transfer.amazonaws.com",
            "apigateway.amazonaws.com"
         ]
      },
      "Action": "lambda:InvokeFunction",
      "Resource": "arn:aws:lambda:us-east-1:123456789012:function:function-name"
   }]
}

Pelestarian pengguna selama transisi penyedia identitas

Saat mengubah di antara jenis penyedia identitas, konfigurasi pengguna yang ada dipertahankan dalam skenario tertentu untuk memungkinkan rollback yang efisien jika terjadi masalah:

  • Dikelola layanan ke penyedia identitas kustom dan kembali — Jika Anda mengubah dari penyedia identitas yang dikelola layanan ke penyedia identitas khusus dan kemudian kembali ke layanan yang dikelola, semua pengguna dipertahankan dalam konfigurasi terakhir yang diketahui.

  • AWS Directory Service ke penyedia identitas kustom dan kembali — Jika Anda mengubah dari AWS Directory Service ke penyedia identitas khusus dan kemudian kembali ke AWS Directory Service, semua definisi untuk grup Akses Delegasi dipertahankan dalam konfigurasi terakhir yang diketahui.

Perilaku pelestarian ini memungkinkan Anda menguji konfigurasi penyedia identitas kustom dengan aman dan memutar kembali ke pengaturan sebelumnya tanpa kehilangan konfigurasi akses pengguna.

Pertimbangan penting saat mengganti penyedia identitas

  • Migrasi pengguna — Saat mengubah jenis penyedia identitas, konfigurasi pengguna yang ada tidak dimigrasi secara otomatis. Anda harus mengatur pengguna di sistem penyedia identitas baru.

  • Pengujian - Uji konfigurasi penyedia identitas baru secara menyeluruh sebelum membuat perubahan di lingkungan produksi.

  • Izin — Pastikan bahwa penyedia identitas baru memiliki izin dan peran IAM yang diperlukan yang dikonfigurasi sebelum melakukan perubahan.