Amazon EFS versus Amazon S3 Diretórios lógicos Cotas de grupo do Active Directory

Gerenciando usuários para endpoints de servidor

Nas seções a seguir, você encontrará informações sobre como adicionar usuários usando AWS Transfer Family AWS Directory Service for Microsoft Active Directory ou um provedor de identidade personalizado.

Como parte das propriedades de cada usuário, você também pode armazenar a chave pública Secure Shell (SSH) desse usuário. Isso é necessário para a autenticação baseada em chaves. A chave privada será armazenada localmente no computador do seu usuário. Quando o usuário envia uma solicitação de autenticação ao seu servidor usando um cliente, o servidor confirma que o usuário tem acesso à chave privada SSH associada. Em seguida, o servidor autentica o usuário com êxito.

nota

Para implantação e gerenciamento automatizados de usuários com várias chaves SSH, consulteMódulos Transfer Family Terraform.

Além disso, especifique um diretório da página inicial do usuário, ou o diretório inicial, e atribua um perfil (IAM) do AWS Identity and Access Management para o usuário. Opcionalmente, é possível fornecer uma política de sessão para limitar o acesso do usuário somente ao diretório do seu bucket do Amazon S3.

Importante

AWS Transfer Family bloqueia a autenticação de nomes de usuário com 1 ou 2 caracteres nos servidores SFTP. Além disso, também bloqueamos o nome de usuário root.

A razão por trás disso é devido ao grande volume de tentativas mal-intencionadas de login por scanners de senha.

Amazon EFS versus Amazon S3

Características de cada opção de armazenamento:

Para limitar o acesso: o Amazon S3 oferece suporte a políticas de sessão; o Amazon EFS oferece suporte a usuários, grupos e grupos secundários POSIX IDs
Ambas as public/private teclas de suporte
Ambos dão suporte a diretórios iniciais
Ambos dão suporte a diretórios lógicos

nota
Para o Amazon S3, a maior parte do suporte para diretórios lógicos é por meio da API/CLI. É possível usar a caixa de seleção Restrito no console para bloquear um usuário em seu diretório inicial, mas não pode especificar uma estrutura de diretório virtual.

Diretórios lógicos

Se você estiver especificando valores de diretório lógico para seu usuário, o parâmetro usado dependerá do tipo de usuário.

Para usuários gerenciados por serviços, forneça valores de diretório lógico em HomeDirectoryMappings.
Para usuários de provedores de identidade personalizados, forneça valores de diretório lógico emHomeDirectoryDetails.

AWS Transfer Family suporta a especificação de um HomeDirectory valor ao usar o LOGICAL HomeDirectoryType. Isso se aplica aos usuários do Service Managed, ao acesso ao Active Directory e às implementações do Provedor de Identidade Personalizado, onde HomeDirectoryDetails são fornecidos na resposta.

Importante

Ao especificar um HomeDirectory com LOGICAL HomeDirectoryType, o valor deve ser mapeado para um de seus mapeamentos lógicos de diretório. O serviço valida isso durante a criação e as atualizações do usuário para evitar configurações que não funcionariam.

Comportamento padrão

Por padrão, se não for especificado, o HomeDirectory é definido como “/” para o modo LÓGICO. Esse comportamento permanece inalterado e permanece compatível com as definições de usuário existentes.

Certifique-se de mapear sua entrada HomeDirectory para uma entrada e não para um alvo. Consulte mais detalhes em Regras para usar diretórios lógicos.
Para obter detalhes sobre como um diretório virtual é estruturado, consulteEstrutura do diretório virtual.

Considerações sobre provedores de identidade personalizados

Ao usar um provedor de identidade personalizado, agora você pode especificar um HomeDirectory na resposta ao usar o LOGICAL HomeDirectoryType. A chamada da TestIdentityProvider API produzirá resultados corretos quando o IDP personalizado especificar um HomeDirectory no modo LÓGICO.

Exemplo de resposta personalizada do IDP com HomeDirectory e LOGICAL HomeDirectoryType:


{
  "Role": "arn:aws:iam::123456789012:role/transfer-user-role",
  "HomeDirectoryType": "LOGICAL",
  "HomeDirectory": "/marketing",
  "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}

Cotas de grupo do Active Directory

AWS Transfer Family tem um limite padrão de 100 grupos do Active Directory por servidor. Se seu caso de uso exigir mais de 100 grupos, considere usar uma solução de provedor de identidade personalizada, conforme descrito em Simplifique a autenticação do Active Directory com um provedor de identidade personalizado para AWS Transfer Family.

Esse limite se aplica aos servidores que usam os seguintes provedores de identidade:

AWS Directory Service para Microsoft Active Directory
AWS Directory Service para serviços de domínio Entra ID

Se você precisar solicitar um aumento do limite de serviço, consulte as AWS service (Serviço da AWS) cotas no Referência geral da AWS. Se seu caso de uso exigir mais de 100 grupos, considere usar uma solução de provedor de identidade personalizada, conforme descrito em Simplifique a autenticação do Active Directory com um provedor de identidade personalizado para AWS Transfer Family.

Para obter informações sobre solução de problemas relacionadas aos limites de grupos do Active Directory, consulteLimites de grupos do Active Directory excedidos.

Tópicos

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Transferir arquivos pelo endpoint do servidor

Usuário gerenciados por serviços