Utilizzo di AWS Directory Service per Entra ID Domain Services - AWS Transfer Family
Prima di iniziare a utilizzare AWS Directory Service per Entra ID Domain ServicesFase 1: aggiunta dei servizi di dominio Entra IDFase 2: Creazione di un account di servizioFase 3: Configurazione della AWS directory tramite AD ConnectorFase 4: Configurazione AWS Transfer Family del serverFase 5: Concessione dell'accesso ai gruppiFase 6: Test degli utenti

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di AWS Directory Service per Entra ID Domain Services

Per i clienti che necessitano solo di SFTP Transfer e non desiderano gestire un dominio, è disponibile Simple Active Directory. In alternativa, i clienti che desiderano i vantaggi di Active Directory e l'elevata disponibilità in un servizio completamente gestito possono utilizzare AWS Managed Microsoft AD. Infine, per i clienti che desiderano sfruttare la foresta Active Directory esistente per il trasferimento SFTP, è disponibile Active Directory Connector.

Tieni presente quanto segue:

  • Per sfruttare la foresta Active Directory esistente per le esigenze di trasferimento SFTP, è possibile utilizzare Active Directory Connector.

  • Se desideri i vantaggi di Active Directory e l'elevata disponibilità in un servizio completamente gestito, puoi utilizzare AWS Directory Service for Microsoft Active Directory. Per informazioni dettagliate, consultare Utilizzo di AWS Directory Service per Microsoft Active Directory.

Questo argomento descrive come usare un connettore Active Directory e i servizi di dominio Entra ID (precedentemente Azure AD) per autenticare gli utenti di SFTP Transfer con Entra ID.

Prima di iniziare a utilizzare AWS Directory Service per Entra ID Domain Services

Nota

AWS Transfer Family ha un limite predefinito di 100 gruppi Active Directory per server. Se il tuo caso d'uso richiede più di 100 gruppi, prendi in considerazione l'utilizzo di una soluzione di provider di identità personalizzata, come descritto in Semplificare l'autenticazione di Active Directory con un provider di identità personalizzato per AWS Transfer Family.

Perché AWS, hai bisogno di quanto segue:

  • Un cloud privato virtuale (VPC) in una AWS regione in cui utilizzi i server Transfer Family

  • Almeno due sottoreti private nel tuo VPC

  • Il VPC deve disporre di connettività Internet

  • Un gateway per i clienti e un gateway privato virtuale per la connessione site-to-site VPN con Microsoft Entra

Per Microsoft Entra, è necessario quanto segue:

  • Un ID Entra e un servizio di dominio Active Directory

  • Un gruppo di risorse Entra

  • Una rete virtuale Entra

  • Connettività VPN tra Amazon VPC e il gruppo di risorse Entra

    Nota

    Ciò può avvenire tramite tunnel IPSEC nativi o utilizzando dispositivi VPN. In questo argomento, utilizziamo i tunnel IPSEC tra un gateway di rete Entra Virtual e un gateway di rete locale. I tunnel devono essere configurati per consentire il traffico tra gli endpoint del servizio di dominio Entra e le sottoreti che ospitano il VPC. AWS

  • Un gateway per i clienti e un gateway privato virtuale per la connessione site-to-site VPN con Microsoft Entra

Il diagramma seguente mostra la configurazione necessaria prima di iniziare.

Entra/Azure AD e diagramma dell'architettura. AWS Transfer Family Un AWS VPC che si connette a una rete virtuale Entra tramite Internet, utilizzando un connettore AWS Directory Service al servizio di dominio Entra.

Fase 1: aggiunta dei servizi di dominio Entra ID

Per impostazione predefinita, Entra ID non supporta le istanze di aggiunta al dominio. Per eseguire azioni come Domain Join e utilizzare strumenti come Group Policy, gli amministratori devono abilitare Entra ID Domain Services. Se non hai già aggiunto Entra DS o l'implementazione esistente non è associata al dominio che desideri venga utilizzato dal server di trasferimento SFTP, devi aggiungere una nuova istanza.

Per informazioni sull'attivazione di Entra ID Domain Services, vedere Tutorial: Creare e configurare un dominio gestito di Microsoft Entra Domain Services.

Nota

Quando abiliti Entra DS, assicurati che sia configurato per il gruppo di risorse e il dominio Entra a cui stai connettendo il tuo server di trasferimento SFTP.

Entra nella schermata dei servizi di dominio che mostra il gruppo di risorse bob.us in esecuzione.

Fase 2: Creazione di un account di servizio

Entra deve disporre di un account di servizio che faccia parte di un gruppo di amministratori in Entra DS. Questo account viene utilizzato con il connettore AWS Active Directory. Assicurati che questo account sia sincronizzato con Entra DS.

Entra nella schermata che mostra il profilo di un utente.
Suggerimento

L'autenticazione a più fattori per Entra ID non è supportata per i server Transfer Family che utilizzano il protocollo SFTP. Il server Transfer Family non può fornire il token MFA dopo che un utente si è autenticato su SFTP. Assicurati di disabilitare l'MFA prima di provare a connetterti.

Inserisci i dettagli dell'autenticazione a più fattori, mostrando lo stato MFA come disabilitato per due utenti.

Fase 3: Configurazione della AWS directory tramite AD Connector

Dopo aver configurato Entra DS e creato un account di servizio con tunnel VPN IPSEC tra il tuo AWS VPC e la rete Entra Virtual, puoi testare la connettività eseguendo il ping dell'indirizzo IP DNS Entra DS da qualsiasi istanza. AWS EC2

Dopo aver verificato che la connessione sia attiva, puoi continuare qui sotto.

Per configurare la tua AWS directory utilizzando AD Connector

  1. Apri la console Directory Service e seleziona Directory.

  2. Seleziona Configura la directory.

  3. Per il tipo di directory, scegli AD Connector.

  4. Seleziona la dimensione della directory, seleziona Avanti, quindi seleziona il tuo VPC e le sottoreti.

  5. Seleziona Avanti, quindi compila i campi come segue:

    • Nome DNS della directory: inserisci il nome di dominio che stai utilizzando per Entra DS.

    • Indirizzi IP DNS: inserisci i tuoi indirizzi IP Entra DS.

    • Nome utente e password dell'account del server: inserisci i dettagli dell'account di servizio che hai creato nel Passaggio 2: Crea un account di servizio.

  6. Completa le schermate per creare il servizio di directory.

Ora lo stato della directory dovrebbe essere Attivo ed è pronto per essere utilizzato con un server di trasferimento SFTP.

La schermata Directory Services mostra una directory con lo stato Attivo, come richiesto.

Fase 4: Configurazione AWS Transfer Family del server

Crea un server Transfer Family con il protocollo SFTP e il tipo di provider di identità AWS Directory Service. Dall'elenco a discesa Directory, seleziona la directory che hai aggiunto nel Passaggio 3: Configurazione della AWS directory utilizzando AD Connector.

Nota

Non puoi eliminare una directory Microsoft AD in AWS Directory Service se l'hai usata in un server Transfer Family. È necessario prima eliminare il server, quindi è possibile eliminare la directory.

Fase 5: Concessione dell'accesso ai gruppi

Dopo aver creato il server, è necessario scegliere quali gruppi della directory devono avere accesso al caricamento e al download di file tramite AWS Transfer Family i protocolli abilitati. A tale scopo, è necessario creare un accesso.

Nota

Gli utenti devono appartenere direttamente al gruppo a cui si concede l'accesso. Ad esempio, supponiamo che Bob sia un utente e appartenga al gruppo A e che lo stesso gruppo A sia incluso nel gruppo B.

  • Se concedi l'accesso a GroupA, a Bob viene concesso l'accesso.

  • Se concedi l'accesso a GroupB (e non a GroupA), Bob non ha accesso.

Per concedere l'accesso è necessario recuperare il SID del gruppo.

Utilizzate il seguente PowerShell comando di Windows per recuperare il SID di un gruppo, sostituendolo YourGroupName con il nome del gruppo. 

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
Windows PowerShell che mostra un SID dell'oggetto in fase di recupero.
Concedi l'accesso ai gruppi

  1. Aprire https://console.aws.amazon.com/transfer/.

  2. Vai alla pagina dei dettagli del server e nella sezione Accessi, scegli Aggiungi accesso.

  3. Inserisci il SID ricevuto dall'output della procedura precedente.

  4. Per Access, scegli un AWS Identity and Access Management ruolo per il gruppo.

  5. Nella sezione Politica, scegli una politica. Il valore predefinito è None (Nessuna).

  6. Per la directory Home, scegli un bucket Amazon S3 che corrisponda alla home directory del gruppo.

  7. Scegli Aggiungi per creare l'associazione.

I dettagli del server di trasferimento dovrebbero essere simili ai seguenti:

Una parte della schermata dei dettagli del server Transfer Family, che mostra un esempio di Directory ID per il provider di identità.
Una parte della schermata dei dettagli del server Transfer Family, che mostra l'ID esterno di Active Directory nella parte Accesses della schermata.

Fase 6: Test degli utenti

Puoi verificare (Test degli utenti) se un utente ha accesso alla AWS Managed Microsoft AD directory del tuo server. Un utente deve appartenere esattamente a un gruppo (un ID esterno) elencato nella sezione Accesso della pagina di configurazione dell'endpoint. Se l'utente non fa parte di alcun gruppo o fa parte di più di un singolo gruppo, a quell'utente non viene concesso l'accesso.