Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan AWS Directory Service untuk Microsoft Active Directory
<a name="directory-services-users"></a>

Anda dapat menggunakan AWS Transfer Family untuk mengautentikasi pengguna akhir transfer file Anda menggunakan AWS Directory Service for Microsoft Active Directory. Ini memungkinkan migrasi mulus dari alur kerja transfer file yang mengandalkan otentikasi Active Directory tanpa mengubah kredensyal pengguna akhir atau memerlukan otorisasi khusus. 

Dengan AWS Managed Microsoft AD, Anda dapat dengan aman memberikan akses kepada Directory Service pengguna dan grup melalui SFTP, FTPS, dan FTP untuk data yang disimpan di Amazon Simple Storage Service (Amazon S3) atau Amazon Elastic File System (Amazon EFS). Jika Anda menggunakan Active Directory untuk menyimpan kredensi pengguna Anda, Anda sekarang memiliki cara yang lebih mudah untuk mengaktifkan transfer file untuk pengguna ini. 

Anda dapat memberikan akses ke grup Active Directory AWS Managed Microsoft AD di lingkungan lokal atau di AWS Cloud menggunakan konektor Active Directory. Anda dapat memberi pengguna yang sudah dikonfigurasi di lingkungan Microsoft Windows Anda, baik di AWS Cloud atau di jaringan lokal mereka, akses ke AWS Transfer Family server yang menggunakan AWS Managed Microsoft AD identitas. Blog AWS penyimpanan berisi posting yang merinci solusi untuk menggunakan Active Directory dengan Transfer Family: [Sederhanakan otentikasi Active Directory dengan penyedia identitas kustom untuk](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/). AWS Transfer Family

**catatan**  
AWS Transfer Family tidak mendukung Simple AD.
Transfer Family tidak mendukung konfigurasi Direktori Aktif lintas wilayah: kami hanya mendukung integrasi Direktori Aktif yang berada di wilayah yang sama dengan server Transfer Family.
Transfer Family tidak mendukung penggunaan salah satu AWS Managed Microsoft AD atau AD Connector untuk mengaktifkan otentikasi multi-faktor (MFA) untuk infrastruktur MFA berbasis Radius yang ada.
AWS Transfer Family tidak mendukung wilayah yang direplikasi dari Direktori Aktif Terkelola.

Untuk menggunakannya AWS Managed Microsoft AD, Anda harus melakukan langkah-langkah berikut:

1. Buat satu atau lebih AWS Managed Microsoft AD direktori menggunakan Directory Service konsol.

1. Gunakan konsol Transfer Family untuk membuat server yang digunakan AWS Managed Microsoft AD sebagai penyedia identitasnya. 

1. Siapkan AWS Direktori menggunakan Konektor Direktori Aktif.

1. Tambahkan akses dari satu atau beberapa Directory Service grup Anda. 

1. Meskipun tidak diperlukan, kami menyarankan Anda menguji dan memverifikasi akses pengguna.

**Topics**
+ [Sebelum Anda mulai menggunakan AWS Directory Service for Microsoft Active Directory](#managed-ad-prereq)
+ [Bekerja dengan ranah Active Directory](#managed-ad-realms)
+ [Memilih AWS Managed Microsoft AD sebagai penyedia identitas Anda](#managed-ad-identity-provider)
+ [Menghubungkan ke Microsoft Active Directory di lokasi](#on-prem-ad)
+ [Memberikan akses ke grup](#directory-services-grant-access)
+ [Menguji pengguna](#directory-services-test-user)
+ [Menghapus akses server untuk grup](#directory-services-misc)
+ [Menghubungkan ke server menggunakan SSH (Secure Shell)](#directory-services-ssh-procedure)
+ [Menghubungkan AWS Transfer Family ke Active Directory yang dikelola sendiri menggunakan hutan dan trust](#directory-services-ad-trust)

## Sebelum Anda mulai menggunakan AWS Directory Service for Microsoft Active Directory
<a name="managed-ad-prereq"></a>

**catatan**  
AWS Transfer Family memiliki batas default 100 grup Active Directory per server. Jika kasus penggunaan Anda memerlukan lebih dari 100 grup, pertimbangkan untuk menggunakan solusi penyedia identitas kustom seperti yang dijelaskan dalam [Simplify Active Directory autentikasi dengan penyedia identitas kustom untuk](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/). AWS Transfer Family

### Menyediakan pengenal unik untuk grup iklan Anda
<a name="add-identifier-adgroups"></a>

Sebelum dapat menggunakan AWS Managed Microsoft AD, Anda harus memberikan pengenal unik untuk setiap grup di direktori Microsoft AD Anda. Anda dapat menggunakan pengenal keamanan (SID) untuk setiap grup untuk melakukan ini. Pengguna grup yang Anda asosiasikan memiliki akses ke sumber daya Amazon S3 atau Amazon EFS Anda melalui protokol yang diaktifkan menggunakan Transfer Family. AWS 

Gunakan PowerShell perintah Windows berikut untuk mengambil SID untuk grup, ganti *YourGroupName* dengan nama grup. 

```
Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
```

**catatan**  
Jika Anda menggunakan AWS Directory Service sebagai penyedia identitas Anda, dan jika `userPrincipalName` dan `SamAccountName` memiliki nilai yang berbeda, AWS Transfer Family terima nilainya. `SamAccountName` Transfer Family tidak menerima nilai yang ditentukan dalam`userPrincipalName`.

### Tambahkan Directory Service izin ke peran Anda
<a name="add-active-directory-permissions"></a>

Anda juga memerlukan izin Directory Service API untuk digunakan AWS Directory Service sebagai penyedia identitas Anda. Izin berikut diperlukan atau disarankan:
+ `ds:DescribeDirectories`Diperlukan Transfer Family untuk mencari direktori
+ `ds:AuthorizeApplication`diperlukan untuk menambahkan otorisasi untuk Transfer Family
+ `ds:UnauthorizeApplication`disarankan untuk menghapus sumber daya apa pun yang dibuat untuk sementara, jika terjadi kesalahan selama proses pembuatan server

Tambahkan izin ini ke peran yang Anda gunakan untuk membuat server Transfer Family Anda. Untuk detail selengkapnya tentang izin ini, lihat Izin [Directory Service API: Referensi tindakan, sumber daya, dan kondisi](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/UsingWithDS_IAM_ResourcePermissions.html).

## Bekerja dengan ranah Active Directory
<a name="managed-ad-realms"></a>

 Saat Anda mempertimbangkan cara agar pengguna Active Directory mengakses AWS Transfer Family server, ingatlah ranah pengguna, dan ranah grup mereka. Idealnya, ranah pengguna dan ranah grup mereka harus cocok. Artinya, baik pengguna maupun grup berada di ranah default, atau keduanya berada di ranah tepercaya. Jika tidak demikian, pengguna tidak dapat diautentikasi oleh Transfer Family.

Anda dapat menguji pengguna untuk memastikan konfigurasi sudah benar. Lihat perinciannya di [Menguji pengguna](#directory-services-test-user). Jika ada masalah dengan user/group ranah, Anda menerima kesalahan, Tidak ada akses terkait yang ditemukan untuk grup pengguna.

## Memilih AWS Managed Microsoft AD sebagai penyedia identitas Anda
<a name="managed-ad-identity-provider"></a>

Bagian ini menjelaskan cara menggunakan AWS Directory Service for Microsoft Active Directory dengan server.

**Untuk digunakan AWS Managed Microsoft AD dengan Transfer Family**

1. Masuk ke Konsol Manajemen AWS dan buka Directory Service konsol di [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).

   Gunakan Directory Service konsol untuk mengonfigurasi satu atau beberapa direktori terkelola. Untuk informasi lebih lanjut, lihat [AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html) dalam *Panduan Admin Directory Service *.  
![\[Konsol Directory Service menampilkan daftar direktori dan detailnya.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/directory-services-AD-list.png)

1. Buka AWS Transfer Family konsol di [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/), dan pilih **Buat server**.

1. Pada halaman **Pilih protokol**, pilih satu atau beberapa protokol dari daftar.
**catatan**  
Jika Anda memilih **FTPS**, Anda harus memberikan AWS Certificate Manager sertifikat. 

1. Untuk **Pilih penyedia identitas**, pilih **AWS Directory Service**.  
![\[Tangkapan layar konsol yang menampilkan bagian Pilih penyedia identitas dengan Directory Service dipilih.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/create-server-choose-idp-directory-services.png)

1. Daftar **Direktori** berisi semua direktori terkelola yang telah Anda konfigurasi. Pilih direktori dari daftar, dan pilih **Berikutnya**.
**catatan**  
 Direktori Cross-Account dan Shared tidak didukung untuk. AWS Managed Microsoft AD
Untuk menyiapkan server dengan Directory Service sebagai penyedia identitas Anda, Anda perlu menambahkan beberapa Directory Service izin. Lihat perinciannya di [Sebelum Anda mulai menggunakan AWS Directory Service for Microsoft Active Directory](#managed-ad-prereq).

1. Untuk menyelesaikan pembuatan server, gunakan salah satu prosedur berikut:
   + [Buat server berkemampuan SFTP](create-server-sftp.md)
   + [Buat server berkemampuan FTPS](create-server-ftps.md)
   + [Buat server berkemampuan FTP](create-server-ftp.md)

   Dalam prosedur tersebut, lanjutkan dengan langkah berikut memilih penyedia identitas.

**penting**  
 Anda tidak dapat menghapus direktori Microsoft AD Directory Service jika Anda menggunakannya di server Transfer Family. Anda harus menghapus server terlebih dahulu, dan kemudian Anda dapat menghapus direktori. 

## Menghubungkan ke Microsoft Active Directory di lokasi
<a name="on-prem-ad"></a>

Bagian ini menjelaskan cara menyiapkan AWS Direktori menggunakan AD Connector

**Untuk mengatur AWS Direktori menggunakan AD Connector**

1. Buka konsol [Directory Service](https://console.aws.amazon.com/directoryservicev2/) dan pilih **Directories.**

1. Pilih **Siapkan direktori**.

1. Untuk jenis direktori, pilih **AD Connector**.

1. Pilih ukuran direktori, pilih **Berikutnya**, lalu pilih VPC dan Subnet Anda.

1. Pilih **Berikutnya**, lalu isi kolom sebagai berikut:
   + **Nama DNS direktori: masukkan nama** domain yang Anda gunakan untuk Microsoft Active Directory Anda.
   + **Alamat IP DNS: masukkan alamat IP** Microsoft Active Directory Anda.
   + **Nama pengguna dan **kata sandi** akun server**: masukkan detail untuk akun layanan yang akan digunakan.

1. Lengkapi layar untuk membuat layanan direktori.

Langkah selanjutnya adalah membuat server Transfer Family dengan protokol SFTP, dan tipe penyedia identitas **AWS Directory** Service. Dari daftar drop-down **Direktori**, pilih direktori yang Anda tambahkan di prosedur sebelumnya.

## Memberikan akses ke grup
<a name="directory-services-grant-access"></a>

 Setelah Anda membuat server, Anda harus memilih grup mana di direktori yang harus memiliki akses untuk mengunggah dan mengunduh file melalui protokol yang diaktifkan menggunakan. AWS Transfer Family Anda melakukan ini dengan membuat *akses*.

**catatan**  
AWS Transfer Family memiliki batas default 100 grup Active Directory per server. Jika kasus penggunaan Anda memerlukan lebih dari 100 grup, pertimbangkan untuk menggunakan solusi penyedia identitas kustom seperti yang dijelaskan dalam [Simplify Active Directory autentikasi dengan penyedia identitas kustom untuk](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/). AWS Transfer Family

**catatan**  
Pengguna harus menjadi bagian *langsung* dari grup tempat Anda memberikan akses. Misalnya, asumsikan bahwa Bob adalah pengguna dan milik GroupA, dan GroupA sendiri termasuk dalam GroupB.  
Jika Anda memberikan akses ke GroUpa, Bob diberikan akses.
 Jika Anda memberikan akses ke GroupB (dan bukan ke GroupA), Bob tidak memiliki akses.

**Untuk memberikan akses ke grup**

1. Buka AWS Transfer Family konsol di [https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/).

1. Arahkan ke halaman detail server Anda.

1.  Di bagian **Accesses**, pilih **Tambah akses**. 

1.  Masukkan SID untuk AWS Managed Microsoft AD direktori yang ingin Anda akses ke server ini.
**catatan**  
Untuk informasi tentang cara menemukan SID untuk grup Anda, lihat[Sebelum Anda mulai menggunakan AWS Directory Service for Microsoft Active Directory](#managed-ad-prereq).

1. Untuk **Access**, pilih peran AWS Identity and Access Management (IAM) untuk grup.

1.  Di bagian **Kebijakan**, pilih kebijakan. Pengaturan default adalah **None**. 

1. Untuk **direktori Home**, pilih bucket Amazon S3 yang sesuai dengan direktori home grup.
**catatan**  
Anda dapat membatasi bagian bucket yang dilihat pengguna dengan membuat kebijakan sesi. Misalnya, untuk membatasi pengguna ke folder mereka sendiri di bawah `/filetest` direktori, masukkan teks berikut di dalam kotak.  

   ```
   /filetest/${transfer:UserName}
   ```
 Untuk mempelajari lebih lanjut tentang membuat kebijakan sesi, lihat[Membuat kebijakan sesi untuk bucket Amazon S3](users-policies-session.md). 

1.  Pilih **Tambah** untuk membuat asosiasi. 

1. Pilih server Anda.

1. Pilih **Tambahkan akses**.

   1.  Masukkan SID untuk grup. 
**catatan**  
Untuk informasi tentang cara menemukan SID, lihat[Sebelum Anda mulai menggunakan AWS Directory Service for Microsoft Active Directory](#managed-ad-prereq).

1. Pilih **Tambahkan akses**.

 Di bagian **Accesses**, akses untuk server terdaftar. 

![\[Konsol yang menampilkan bagian Accesses dengan akses server yang terdaftar.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/accesses-list.png)


## Menguji pengguna
<a name="directory-services-test-user"></a>

Anda dapat menguji apakah pengguna memiliki akses ke AWS Managed Microsoft AD direktori untuk server Anda.

**catatan**  
Seorang pengguna harus berada dalam satu grup (ID eksternal) yang tercantum di bagian **Access** pada halaman **konfigurasi Endpoint**. Jika pengguna tidak berada dalam grup, atau berada di lebih dari satu grup, pengguna tersebut tidak diberikan akses.

**Untuk menguji apakah pengguna tertentu memiliki akses**

1. Pada halaman detail server, pilih **Tindakan**, lalu pilih **Uji**.

1. Untuk **pengujian penyedia Identitas**, masukkan kredensi masuk untuk pengguna yang berada di salah satu grup yang memiliki akses. 

1.  Pilih **Uji**. 

Anda melihat tes penyedia identitas yang berhasil, menunjukkan bahwa pengguna yang dipilih telah diberikan akses ke server.

![\[Tangkapan layar konsol dari respons pengujian penyedia identitas yang berhasil.\]](http://docs.aws.amazon.com/id_id/transfer/latest/userguide/images/identity-provider-test-success.png)


Jika pengguna termasuk dalam lebih dari satu grup yang memiliki akses, Anda menerima tanggapan berikut.

```
"Response":"",
"StatusCode":200,
"Message":"More than one associated access found for user's groups."
```

## Menghapus akses server untuk grup
<a name="directory-services-misc"></a>

**Untuk menghapus akses server untuk grup**

1. Pada halaman detail server, pilih **Tindakan**, lalu pilih **Hapus Akses**.

1. Di kotak dialog, konfirmasikan bahwa Anda ingin menghapus akses untuk grup ini.

 Ketika Anda kembali ke halaman detail server, Anda melihat bahwa akses untuk grup ini tidak lagi terdaftar. 

## Menghubungkan ke server menggunakan SSH (Secure Shell)
<a name="directory-services-ssh-procedure"></a>

Setelah Anda mengkonfigurasi server dan pengguna Anda, Anda dapat terhubung ke server menggunakan SSH dan menggunakan nama pengguna yang sepenuhnya memenuhi syarat untuk pengguna yang memiliki akses. 

```
sftp user@active-directory-domain@vpc-endpoint
```

Sebagai contoh: `transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com`.

Format ini menargetkan pencarian federasi, membatasi pencarian Direktori Aktif yang berpotensi besar. 

**catatan**  
Anda dapat menentukan nama pengguna sederhana. Namun, dalam hal ini, kode Active Directory harus mencari semua direktori di federasi. Ini mungkin membatasi pencarian, dan otentikasi mungkin gagal bahkan jika pengguna harus memiliki akses. 

Setelah mengautentikasi, pengguna berada di direktori home yang Anda tentukan saat Anda mengonfigurasi pengguna.

## Menghubungkan AWS Transfer Family ke Active Directory yang dikelola sendiri menggunakan hutan dan trust
<a name="directory-services-ad-trust"></a>

Directory Service memiliki opsi berikut yang tersedia untuk terhubung ke Direktori Aktif yang dikelola sendiri:
+ Kepercayaan hutan satu arah (keluar dari AWS Managed Microsoft AD dan masuk untuk Active Directory lokal) hanya berfungsi untuk domain root.
+ Untuk domain anak, Anda dapat menggunakan salah satu dari berikut ini:
  + Gunakan kepercayaan dua arah antara Active AWS Managed Microsoft AD Directory dan lokal
  + Gunakan kepercayaan eksternal satu arah untuk setiap domain anak.

Saat menghubungkan ke server menggunakan domain tepercaya, pengguna perlu menentukan domain tepercaya, misalnya`transferuserexample@mycompany.com`.