Editar a configuração do provedor de identidade - AWS Transfer Family
Mudando para provedor de identidade gerenciado por serviçosMudando para AWS Directory ServiceMudando para um provedor de identidade personalizadoPreservação do usuário durante as transições do provedor de identidadeConsiderações importantes ao alterar os provedores de identidade

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Editar a configuração do provedor de identidade

Você pode alterar o tipo de provedor de identidade do seu servidor de qualquer tipo para qualquer outro tipo. Os tipos de provedores de identidade disponíveis são:

  • Serviço gerenciado — Armazene as credenciais do usuário dentro do serviço

  • AWS Directory Service — Use o Microsoft AD AWS gerenciado ou o AWS Directory Service para serviços de domínio Entra ID

  • Personalizado — Use a função Lambda ou o Amazon API Gateway para integrar-se ao seu provedor de identidade existente

Ao alterar os tipos de provedores de identidade, você precisa fornecer informações específicas, dependendo da transição que você está fazendo. As seções a seguir descrevem as informações necessárias para cada tipo de alteração.

Importante

Considerações ao alterar os provedores de identidade:

  • Migração de usuários — Ao alterar os tipos de provedores de identidade, as configurações de usuário existentes não são migradas automaticamente. Você precisará configurar usuários no novo sistema do provedor de identidade.

  • Teste — Teste minuciosamente a configuração do novo provedor de identidade antes de fazer a alteração nos ambientes de produção.

  • Permissões — Certifique-se de que o novo provedor de identidade tenha as permissões e funções necessárias do IAM configuradas antes de fazer a alteração.

Mudando para provedor de identidade gerenciado por serviços

Ao mudar de qualquer outro tipo de provedor de identidade para gerenciado por serviços, você precisa:

  • Selecione Serviço gerenciado como o tipo de provedor de identidade

  • Crie novos usuários diretamente AWS Transfer Family após a conclusão da alteração, pois as configurações de usuário existentes de outros provedores de identidade não serão transferidas

Exemplo: se você estiver mudando de um provedor de identidade personalizado para um serviço gerenciado, precisará recriar todas as contas de usuário e suas permissões associadas no serviço. AWS Transfer Family

Mudando para AWS Directory Service

Ao mudar de qualquer outro tipo de provedor de identidade para o AWS Directory Service, você precisa fornecer:

  • Diretório — Selecione um Microsoft AD AWS gerenciado existente ou AWS Directory Service para o diretório Entra ID Domain Services

  • Acesso — Escolha se deseja restringir o acesso a um grupo específico ou permitir o acesso a todos os usuários no diretório.

  • Função de acesso — Uma função do IAM que AWS Transfer Family permite acessar seu diretório

Exemplo: se você estiver mudando de gerenciado por serviço para AWS Directory Service, você selecionaria seu d-1234567890 diretório existente, escolheria restringir o acesso ao TransferUsers grupo e especificaria a TransferDirectoryAccessRole função do IAM.

Mudando para um provedor de identidade personalizado

Ao mudar de qualquer outro tipo de provedor de identidade para um provedor de identidade personalizado, você precisa escolher entre a função Lambda ou o Amazon API Gateway e fornecer a configuração necessária:

Usando a função Lambda

Para a integração da função Lambda, forneça:

  • Função — Selecione uma função Lambda existente que gerencia a autenticação

  • Método de autenticação (para protocolo SFTP) — Escolha senha, chave pública ou ambas

Exemplo: se você estiver mudando de AWS Directory Service para um provedor de identidade Lambda personalizado, você selecionaria sua TransferCustomAuth função e escolheria Password como método de autenticação.

Para um provedor de identidade Lambda, você pode alterar a função do Lambda subjacente.

Usando o Amazon API Gateway

Para a integração com o Amazon API Gateway, forneça:

  • URL do API Gateway — O URL de invocação do seu endpoint do API Gateway

  • Função de invocação — Uma função do IAM que permite AWS Transfer Family invocar seu API Gateway

  • Método de autenticação (para protocolo SFTP) — Escolha senha, chave pública ou ambas

Exemplo: se você estiver mudando do serviço gerenciado para o API Gateway, forneça a URLhttps://abcdef123.execute-api.us-east-1.amazonaws.com/prod, especifique a função TransferApiGatewayInvocationRole do IAM e escolha a chave pública como método de autenticação.

Em um provedor de identidade API Gateway, você poderá atualizar a URL do Gateway, a função de invocação, ou ambas.

Mudança do Amazon API Gateway para a função Lambda

Uma transição comum é mudar do Amazon API Gateway para a função Lambda para integração personalizada com provedores de identidade. Essa alteração permite que você simplifique sua arquitetura enquanto mantém a mesma lógica de autenticação.

Principais considerações para essa transição:

  • Mesma função, permissões diferentes — Você pode usar a mesma função do Lambda tanto para o API Gateway quanto para a integração direta com o Lambda, mas a política de recursos deve ser atualizada.

  • Requisitos da política de recursos — Ao mudar para a integração direta com o Lambda, a política de recursos da função deve conceder transfer.amazonaws.com permissão para invocar a função, além de. apigateway.amazonaws.com

Para fazer essa alteração

  1. Atualize a política de recursos da sua função Lambda para permitir transfer.amazonaws.com a invocação da função.

  2. No AWS Transfer Family console, altere o provedor de identidade do API Gateway para a função Lambda.

  3. Selecione sua função Lambda existente.

  4. Teste a configuração para garantir que a autenticação funcione corretamente.

Exemplo de política de recursos para integração direta com o Lambda:

{
   "Version":"2012-10-17",		 	 	 
   "Statement": [{
      "Effect": "Allow",
      "Principal": {
         "Service": [
            "transfer.amazonaws.com",
            "apigateway.amazonaws.com"
         ]
      },
      "Action": "lambda:InvokeFunction",
      "Resource": "arn:aws:lambda:us-east-1:123456789012:function:function-name"
   }]
}

Preservação do usuário durante as transições do provedor de identidade

Ao alternar entre os tipos de provedores de identidade, as configurações de usuário existentes são preservadas em cenários específicos para permitir uma reversão eficiente em caso de problemas:

  • Serviço gerenciado para provedor de identidade personalizado e vice-versa — Se você mudar de provedor de identidade gerenciado para provedor de identidade personalizado e depois voltar para gerenciado por serviço, todos os usuários serão preservados em sua última configuração conhecida.

  • AWS Directory Service para o provedor de identidade personalizado e vice-versa — Se você mudar AWS Directory Service para um provedor de identidade personalizado e depois voltar para AWS Directory Service, todas as definições dos grupos de Acesso Delegado serão mantidas em sua última configuração conhecida.

Esse comportamento de preservação permite testar com segurança as configurações personalizadas do provedor de identidade e reverter para a configuração anterior sem perder as configurações de acesso do usuário.

Considerações importantes ao alterar os provedores de identidade

  • Migração de usuários — Ao alterar os tipos de provedores de identidade, as configurações de usuário existentes não são migradas automaticamente. Você precisará configurar usuários no novo sistema do provedor de identidade.

  • Teste — Teste minuciosamente a configuração do novo provedor de identidade antes de fazer a alteração nos ambientes de produção.

  • Permissões — Certifique-se de que o novo provedor de identidade tenha as permissões e funções necessárias do IAM configuradas antes de fazer a alteração.