Mengelola pengguna untuk titik akhir server - AWS Transfer Family
Amazon EFS vs Amazon S3Direktori logisKuota grup Direktori Aktif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola pengguna untuk titik akhir server

Di bagian berikut, Anda dapat menemukan informasi tentang cara menambahkan pengguna yang menggunakan AWS Transfer Family, AWS Directory Service for Microsoft Active Directory atau penyedia identitas khusus.

Sebagai bagian dari properti setiap pengguna, Anda juga menyimpan kunci publik Secure Shell (SSH) pengguna tersebut. Melakukan hal itu diperlukan untuk otentikasi berbasis kunci. Kunci pribadi disimpan secara lokal di komputer pengguna Anda. Ketika pengguna Anda mengirim permintaan otentikasi ke server Anda dengan menggunakan klien, server Anda terlebih dahulu mengonfirmasi bahwa pengguna memiliki akses ke kunci pribadi SSH terkait. Server kemudian berhasil mengotentikasi pengguna.

Selain itu, Anda menentukan direktori home pengguna, atau direktori landing, dan menetapkan peran AWS Identity and Access Management (IAM) kepada pengguna. Secara opsional, Anda dapat memberikan kebijakan sesi untuk membatasi akses pengguna hanya ke direktori home bucket Amazon S3 Anda.

penting

AWS Transfer Family memblokir nama pengguna yang panjangnya 1 atau 2 karakter dari otentikasi ke server SFTP. Selain itu, kami juga memblokir nama root pengguna.

Alasan di balik ini adalah karena volume besar upaya login berbahaya oleh pemindai kata sandi.

Amazon EFS vs Amazon S3

Karakteristik masing-masing opsi penyimpanan:

  • Untuk membatasi akses: Amazon S3 mendukung kebijakan sesi; Amazon EFS mendukung pengguna POSIX, grup, dan grup sekunder IDs

  • Kedua public/private kunci dukungan

  • Keduanya mendukung direktori rumah

  • Keduanya mendukung direktori logis

    catatan

    Untuk Amazon S3, sebagian besar dukungan untuk direktori logis adalah melalui API/CLI. Anda dapat menggunakan kotak centang Dibatasi di konsol untuk mengunci pengguna ke direktori home mereka, tetapi Anda tidak dapat menentukan struktur direktori virtual.

Direktori logis

Jika Anda menentukan nilai direktori logis untuk pengguna Anda, parameter yang Anda gunakan tergantung pada jenis pengguna.

  • Untuk pengguna yang dikelola layanan, berikan nilai direktori logis di. HomeDirectoryMappings

  • Untuk pengguna penyedia identitas kustom, berikan nilai direktori logis diHomeDirectoryDetails.

AWS Transfer Family mendukung menentukan HomeDirectory nilai saat menggunakan LOGICAL HomeDirectoryType. Ini berlaku untuk pengguna yang Dikelola Layanan, akses Direktori Aktif, dan implementasi Penyedia Identitas Kustom HomeDirectoryDetails yang disediakan dalam respons.

penting

Saat menentukan HomeDirectory dengan LOGICAL HomeDirectoryType, nilainya harus dipetakan ke salah satu pemetaan direktori logis Anda. Layanan memvalidasi ini selama pembuatan dan pembaruan pengguna untuk mencegah konfigurasi yang tidak akan berfungsi.

Perilaku default

Secara default, jika dibiarkan tidak ditentukan, HomeDirectory diatur ke “/” untuk mode LOGICAL. Perilaku ini tidak berubah dan tetap kompatibel dengan definisi pengguna yang ada.

Pertimbangan Penyedia Identitas Kustom

Saat menggunakan Penyedia Identitas Kustom, Anda sekarang dapat menentukan respons saat menggunakan LOGICAL HomeDirectoryType. HomeDirectory Panggilan TestIdentityProvider API akan menghasilkan hasil yang benar ketika IDP Kustom menentukan mode LOGICAL. HomeDirectory

Contoh respon IDP kustom dengan HomeDirectory dan LOGICAL HomeDirectoryType:

{
  "Role": "arn:aws:iam::123456789012:role/transfer-user-role",
  "HomeDirectoryType": "LOGICAL",
  "HomeDirectory": "/marketing",
  "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}

Kuota grup Direktori Aktif

AWS Transfer Family memiliki batas default 100 grup Active Directory per server. Jika kasus penggunaan Anda memerlukan lebih dari 100 grup, pertimbangkan untuk menggunakan solusi penyedia identitas kustom seperti yang dijelaskan dalam Simplify Active Directory autentikasi dengan penyedia identitas kustom untuk. AWS Transfer Family

Batas ini berlaku untuk server yang menggunakan penyedia identitas berikut:

  • AWS Directory Service untuk Microsoft Active Directory

  • AWS Directory Service untuk Entra ID Domain Services

Jika Anda perlu meminta peningkatan batas layanan, lihat Layanan AWS kuota di. Referensi Umum AWS Jika kasus penggunaan Anda memerlukan lebih dari 100 grup, pertimbangkan untuk menggunakan solusi penyedia identitas kustom seperti yang dijelaskan dalam Simplify Active Directory autentikasi dengan penyedia identitas kustom untuk. AWS Transfer Family

Untuk informasi pemecahan masalah yang terkait dengan batas grup Active Directory, lihat. Batas grup Active Directory terlampaui

Topik