Sebelum Anda mulai menggunakan AWS Directory Service for Microsoft Active Directory Bekerja dengan ranah Active Directory Memilih AWS Managed Microsoft AD sebagai penyedia identitas Anda Menghubungkan ke Microsoft Active Directory di lokasi Memberikan akses ke grup Menguji pengguna Menghapus akses server untuk grup Menghubungkan ke server menggunakan SSH (Secure Shell)Menghubungkan AWS Transfer Family ke Active Directory yang dikelola sendiri menggunakan hutan dan trust

Menggunakan AWS Directory Service untuk Microsoft Active Directory

Anda dapat menggunakan AWS Transfer Family untuk mengautentikasi pengguna akhir transfer file Anda menggunakan AWS Directory Service for Microsoft Active Directory. Ini memungkinkan migrasi mulus dari alur kerja transfer file yang mengandalkan otentikasi Active Directory tanpa mengubah kredensyal pengguna akhir atau memerlukan otorisasi khusus.

Dengan AWS Managed Microsoft AD, Anda dapat dengan aman memberikan akses kepada Directory Service pengguna dan grup melalui SFTP, FTPS, dan FTP untuk data yang disimpan di Amazon Simple Storage Service (Amazon S3) atau Amazon Elastic File System (Amazon EFS). Jika Anda menggunakan Active Directory untuk menyimpan kredensi pengguna Anda, Anda sekarang memiliki cara yang lebih mudah untuk mengaktifkan transfer file untuk pengguna ini.

Anda dapat memberikan akses ke grup Active Directory AWS Managed Microsoft AD di lingkungan lokal atau di AWS Cloud menggunakan konektor Active Directory. Anda dapat memberi pengguna yang sudah dikonfigurasi di lingkungan Microsoft Windows Anda, baik di AWS Cloud atau di jaringan lokal mereka, akses ke AWS Transfer Family server yang menggunakan AWS Managed Microsoft AD identitas. Blog AWS penyimpanan berisi posting yang merinci solusi untuk menggunakan Active Directory dengan Transfer Family: Sederhanakan otentikasi Active Directory dengan penyedia identitas kustom untuk. AWS Transfer Family

catatan

AWS Transfer Family tidak mendukung Simple AD.
Transfer Family tidak mendukung konfigurasi Direktori Aktif lintas wilayah: kami hanya mendukung integrasi Direktori Aktif yang berada di wilayah yang sama dengan server Transfer Family.
Transfer Family tidak mendukung penggunaan salah satu AWS Managed Microsoft AD atau AD Connector untuk mengaktifkan otentikasi multi-faktor (MFA) untuk infrastruktur MFA berbasis Radius yang ada.
AWS Transfer Family tidak mendukung wilayah yang direplikasi dari Direktori Aktif Terkelola.

Untuk menggunakannya AWS Managed Microsoft AD, Anda harus melakukan langkah-langkah berikut:

Buat satu atau lebih AWS Managed Microsoft AD direktori menggunakan Directory Service konsol.
Gunakan konsol Transfer Family untuk membuat server yang digunakan AWS Managed Microsoft AD sebagai penyedia identitasnya.
Siapkan AWS Direktori menggunakan Konektor Direktori Aktif.
Tambahkan akses dari satu atau beberapa Directory Service grup Anda.
Meskipun tidak diperlukan, kami menyarankan Anda menguji dan memverifikasi akses pengguna.

Topik

Sebelum Anda mulai menggunakan AWS Directory Service for Microsoft Active Directory
Bekerja dengan ranah Active Directory
Memilih AWS Managed Microsoft AD sebagai penyedia identitas Anda
Menghubungkan ke Microsoft Active Directory di lokasi
Memberikan akses ke grup
Menguji pengguna
Menghapus akses server untuk grup
Menghubungkan ke server menggunakan SSH (Secure Shell)
Menghubungkan AWS Transfer Family ke Active Directory yang dikelola sendiri menggunakan hutan dan trust

Sebelum Anda mulai menggunakan AWS Directory Service for Microsoft Active Directory

catatan

AWS Transfer Family memiliki batas default 100 grup Active Directory per server. Jika kasus penggunaan Anda memerlukan lebih dari 100 grup, pertimbangkan untuk menggunakan solusi penyedia identitas kustom seperti yang dijelaskan dalam Simplify Active Directory autentikasi dengan penyedia identitas kustom untuk. AWS Transfer Family

Menyediakan pengenal unik untuk grup iklan Anda

Sebelum dapat menggunakan AWS Managed Microsoft AD, Anda harus memberikan pengenal unik untuk setiap grup di direktori Microsoft AD Anda. Anda dapat menggunakan pengenal keamanan (SID) untuk setiap grup untuk melakukan ini. Pengguna grup yang Anda asosiasikan memiliki akses ke sumber daya Amazon S3 atau Amazon EFS Anda melalui protokol yang diaktifkan menggunakan Transfer Family. AWS

Gunakan PowerShell perintah Windows berikut untuk mengambil SID untuk grup, ganti YourGroupName dengan nama grup.


Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

catatan

Jika Anda menggunakan AWS Directory Service sebagai penyedia identitas Anda, dan jika userPrincipalName dan SamAccountName memiliki nilai yang berbeda, AWS Transfer Family terima nilainya. SamAccountName Transfer Family tidak menerima nilai yang ditentukan dalamuserPrincipalName.

Tambahkan Directory Service izin ke peran Anda

Anda juga memerlukan izin Directory Service API untuk digunakan AWS Directory Service sebagai penyedia identitas Anda. Izin berikut diperlukan atau disarankan:

ds:DescribeDirectoriesDiperlukan Transfer Family untuk mencari direktori
ds:AuthorizeApplicationdiperlukan untuk menambahkan otorisasi untuk Transfer Family
ds:UnauthorizeApplicationdisarankan untuk menghapus sumber daya apa pun yang dibuat untuk sementara, jika terjadi kesalahan selama proses pembuatan server

Tambahkan izin ini ke peran yang Anda gunakan untuk membuat server Transfer Family Anda. Untuk detail selengkapnya tentang izin ini, lihat Izin Directory Service API: Referensi tindakan, sumber daya, dan kondisi.

Bekerja dengan ranah Active Directory

Saat Anda mempertimbangkan cara agar pengguna Active Directory mengakses AWS Transfer Family server, ingatlah ranah pengguna, dan ranah grup mereka. Idealnya, ranah pengguna dan ranah grup mereka harus cocok. Artinya, baik pengguna maupun grup berada di ranah default, atau keduanya berada di ranah tepercaya. Jika tidak demikian, pengguna tidak dapat diautentikasi oleh Transfer Family.

Anda dapat menguji pengguna untuk memastikan konfigurasi sudah benar. Lihat perinciannya di Menguji pengguna. Jika ada masalah dengan user/group ranah, Anda menerima kesalahan, Tidak ada akses terkait yang ditemukan untuk grup pengguna.

Memilih AWS Managed Microsoft AD sebagai penyedia identitas Anda

Bagian ini menjelaskan cara menggunakan AWS Directory Service for Microsoft Active Directory dengan server.

Untuk digunakan AWS Managed Microsoft AD dengan Transfer Family

Masuk ke Konsol Manajemen AWS dan buka Directory Service konsol di https://console.aws.amazon.com/directoryservicev2/.

Gunakan Directory Service konsol untuk mengonfigurasi satu atau beberapa direktori terkelola. Untuk informasi lebih lanjut, lihat AWS Managed Microsoft AD dalam Panduan Admin Directory Service .
Buka AWS Transfer Family konsol di https://console.aws.amazon.com/transfer/, dan pilih Buat server.
Pada halaman Pilih protokol, pilih satu atau beberapa protokol dari daftar.

catatan
Jika Anda memilih FTPS, Anda harus memberikan AWS Certificate Manager sertifikat.
Untuk Pilih penyedia identitas, pilih AWS Directory Service.
Daftar Direktori berisi semua direktori terkelola yang telah Anda konfigurasi. Pilih direktori dari daftar, dan pilih Berikutnya.
catatan
- Direktori Cross-Account dan Shared tidak didukung untuk. AWS Managed Microsoft AD
- Untuk menyiapkan server dengan Directory Service sebagai penyedia identitas Anda, Anda perlu menambahkan beberapa Directory Service izin. Lihat perinciannya di Sebelum Anda mulai menggunakan AWS Directory Service for Microsoft Active Directory.
Untuk menyelesaikan pembuatan server, gunakan salah satu prosedur berikut:
Dalam prosedur tersebut, lanjutkan dengan langkah berikut memilih penyedia identitas.

penting

Anda tidak dapat menghapus direktori Microsoft AD Directory Service jika Anda menggunakannya di server Transfer Family. Anda harus menghapus server terlebih dahulu, dan kemudian Anda dapat menghapus direktori.

Menghubungkan ke Microsoft Active Directory di lokasi

Bagian ini menjelaskan cara menyiapkan AWS Direktori menggunakan AD Connector

Untuk mengatur AWS Direktori menggunakan AD Connector

Buka konsol Directory Service dan pilih Directories.
Pilih Siapkan direktori.
Untuk jenis direktori, pilih AD Connector.
Pilih ukuran direktori, pilih Berikutnya, lalu pilih VPC dan Subnet Anda.
Pilih Berikutnya, lalu isi kolom sebagai berikut:
- Nama DNS direktori: masukkan nama domain yang Anda gunakan untuk Microsoft Active Directory Anda.
- Alamat IP DNS: masukkan alamat IP Microsoft Active Directory Anda.
- Nama pengguna dan kata sandi akun server: masukkan detail untuk akun layanan yang akan digunakan.
Lengkapi layar untuk membuat layanan direktori.

Langkah selanjutnya adalah membuat server Transfer Family dengan protokol SFTP, dan tipe penyedia identitas AWS Directory Service. Dari daftar drop-down Direktori, pilih direktori yang Anda tambahkan di prosedur sebelumnya.

Memberikan akses ke grup

Setelah Anda membuat server, Anda harus memilih grup mana di direktori yang harus memiliki akses untuk mengunggah dan mengunduh file melalui protokol yang diaktifkan menggunakan. AWS Transfer Family Anda melakukan ini dengan membuat akses.

catatan

Pengguna harus menjadi bagian langsung dari grup tempat Anda memberikan akses. Misalnya, asumsikan bahwa Bob adalah pengguna dan milik GroupA, dan GroupA sendiri termasuk dalam GroupB.

Jika Anda memberikan akses ke GroUpa, Bob diberikan akses.
Jika Anda memberikan akses ke GroupB (dan bukan ke GroupA), Bob tidak memiliki akses.

Untuk memberikan akses ke grup

Buka AWS Transfer Family konsol di https://console.aws.amazon.com/transfer/.
Arahkan ke halaman detail server Anda.
Di bagian Accesses, pilih Tambah akses.
Masukkan SID untuk AWS Managed Microsoft AD direktori yang ingin Anda akses ke server ini.

catatan
Untuk informasi tentang cara menemukan SID untuk grup Anda, lihatSebelum Anda mulai menggunakan AWS Directory Service for Microsoft Active Directory.
Untuk Access, pilih peran AWS Identity and Access Management (IAM) untuk grup.
Di bagian Kebijakan, pilih kebijakan. Pengaturan default adalah None.
Untuk direktori Home, pilih bucket Amazon S3 yang sesuai dengan direktori home grup.
catatan
Anda dapat membatasi bagian bucket yang dilihat pengguna dengan membuat kebijakan sesi. Misalnya, untuk membatasi pengguna ke folder mereka sendiri di bawah /filetest direktori, masukkan teks berikut di dalam kotak.
```
/filetest/${transfer:UserName}
```
Untuk mempelajari lebih lanjut tentang membuat kebijakan sesi, lihatMembuat kebijakan sesi untuk bucket Amazon S3.
Pilih Tambah untuk membuat asosiasi.
Pilih server Anda.
Pilih Tambahkan akses.
1. Masukkan SID untuk grup.
  
  catatan
  Untuk informasi tentang cara menemukan SID, lihatSebelum Anda mulai menggunakan AWS Directory Service for Microsoft Active Directory.
Pilih Tambahkan akses.

Di bagian Accesses, akses untuk server terdaftar.

Konsol yang menampilkan bagian Accesses dengan akses server yang terdaftar.

Menguji pengguna

Anda dapat menguji apakah pengguna memiliki akses ke AWS Managed Microsoft AD direktori untuk server Anda.

catatan

Seorang pengguna harus berada dalam satu grup (ID eksternal) yang tercantum di bagian Access pada halaman konfigurasi Endpoint. Jika pengguna tidak berada dalam grup, atau berada di lebih dari satu grup, pengguna tersebut tidak diberikan akses.

Untuk menguji apakah pengguna tertentu memiliki akses

Pada halaman detail server, pilih Tindakan, lalu pilih Uji.
Untuk pengujian penyedia Identitas, masukkan kredensi masuk untuk pengguna yang berada di salah satu grup yang memiliki akses.
Pilih Uji.

Anda melihat tes penyedia identitas yang berhasil, menunjukkan bahwa pengguna yang dipilih telah diberikan akses ke server.

Tangkapan layar konsol dari respons pengujian penyedia identitas yang berhasil.

Jika pengguna termasuk dalam lebih dari satu grup yang memiliki akses, Anda menerima tanggapan berikut.


"Response":"",
"StatusCode":200,
"Message":"More than one associated access found for user's groups."

Menghapus akses server untuk grup

Untuk menghapus akses server untuk grup

Pada halaman detail server, pilih Tindakan, lalu pilih Hapus Akses.
Di kotak dialog, konfirmasikan bahwa Anda ingin menghapus akses untuk grup ini.

Ketika Anda kembali ke halaman detail server, Anda melihat bahwa akses untuk grup ini tidak lagi terdaftar.

Menghubungkan ke server menggunakan SSH (Secure Shell)

Setelah Anda mengkonfigurasi server dan pengguna Anda, Anda dapat terhubung ke server menggunakan SSH dan menggunakan nama pengguna yang sepenuhnya memenuhi syarat untuk pengguna yang memiliki akses.


sftp user@active-directory-domain@vpc-endpoint

Sebagai contoh: transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com.

Format ini menargetkan pencarian federasi, membatasi pencarian Direktori Aktif yang berpotensi besar.

catatan

Anda dapat menentukan nama pengguna sederhana. Namun, dalam hal ini, kode Active Directory harus mencari semua direktori di federasi. Ini mungkin membatasi pencarian, dan otentikasi mungkin gagal bahkan jika pengguna harus memiliki akses.

Setelah mengautentikasi, pengguna berada di direktori home yang Anda tentukan saat Anda mengonfigurasi pengguna.

Menghubungkan AWS Transfer Family ke Active Directory yang dikelola sendiri menggunakan hutan dan trust

Directory Service memiliki opsi berikut yang tersedia untuk terhubung ke Direktori Aktif yang dikelola sendiri:

Kepercayaan hutan satu arah (keluar dari AWS Managed Microsoft AD dan masuk untuk Active Directory lokal) hanya berfungsi untuk domain root.
Untuk domain anak, Anda dapat menggunakan salah satu dari berikut ini:
- Gunakan kepercayaan dua arah antara Active AWS Managed Microsoft AD Directory dan lokal
- Gunakan kepercayaan eksternal satu arah untuk setiap domain anak.

Saat menghubungkan ke server menggunakan domain tepercaya, pengguna perlu menentukan domain tepercaya, misalnyatransferuserexample@mycompany.com.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

IPv6 dukungan

Layanan direktori untuk Entra ID