As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando o AWS Directory Service para o Microsoft Active Directory
Você pode usar AWS Transfer Family para autenticar seus usuários finais de transferência de arquivos usando AWS Directory Service for Microsoft Active Directory. Ele permite a migração perfeita de fluxos de trabalho de transferência de arquivos que dependem da autenticação do Active Directory sem alterar as credenciais dos usuários finais ou precisar de um autorizador personalizado.
Com AWS Managed Microsoft AD, você pode fornecer acesso seguro a Directory Service usuários e grupos via SFTP, FTPS e FTP para dados armazenados no Amazon Simple Storage Service (Amazon S3) ou no Amazon Elastic File System (Amazon EFS). Se você usa o Active Directory para armazenar as credenciais de seus usuários, agora tem uma maneira mais fácil de habilitar transferências de arquivos para esses usuários.
Você pode fornecer acesso aos grupos do Active Directory AWS Managed Microsoft AD em seu ambiente local ou na AWS nuvem usando conectores do Active Directory. Você pode dar aos usuários que já estão configurados em seu ambiente Microsoft Windows, na AWS nuvem ou em sua rede local, acesso a um AWS Transfer Family servidor que usa AWS Managed Microsoft AD como identidade. O blog AWS de armazenamento contém uma postagem que detalha uma solução para usar o Active Directory com o Transfer Family: Simplifique a autenticação do Active Directory com um provedor de identidade personalizado para AWS Transfer Family
nota
-
AWS Transfer Family não é compatível com Simple AD.
-
O Transfer Family não é compatível com as configurações entre regiões do Active Directory: oferecemos suporte apenas às integrações do Active Directory que estejam na mesma região do servidor Transfer Family.
-
O Transfer Family não suporta o uso de nenhum deles AWS Managed Microsoft AD nem do AD Connector para habilitar a autenticação multifator (MFA) para sua infraestrutura de MFA existente baseada em RADIUS.
-
AWS Transfer Family não oferece suporte a regiões replicadas do Managed Active Directory.
Para usar AWS Managed Microsoft AD, você deve executar as seguintes etapas:
-
Crie um ou mais AWS Managed Microsoft AD diretórios usando o Directory Service console.
-
Use o console Transfer Family para criar um servidor que use AWS Managed Microsoft AD como provedor de identidade.
-
Configure o AWS Directory usando um conector do Active Directory.
-
Adicione acesso de um ou mais dos seus Directory Service grupos.
-
Embora não seja obrigatório, recomendamos que você teste e verifique o acesso do usuário.
Tópicos
Antes de começar a usar AWS Directory Service for Microsoft Active Directory
nota
AWS Transfer Family tem um limite padrão de 100 grupos do Active Directory por servidor. Se seu caso de uso exigir mais de 100 grupos, considere usar uma solução de provedor de identidade personalizada, conforme descrito em Simplifique a autenticação do Active Directory com um provedor de identidade personalizado para AWS Transfer Family
Forneça um identificador exclusivo para seus grupos do AD
Antes de poder usar AWS Managed Microsoft AD, você deve fornecer um identificador exclusivo para cada grupo em seu diretório do Microsoft AD. É possível usar o identificador de segurança (SID) de cada grupo para fazer isso. Os usuários do grupo que você associa têm acesso aos seus recursos do Amazon S3 ou do Amazon EFS por meio dos protocolos habilitados usando o AWS Transfer Family.
Use o seguinte PowerShell comando do Windows para recuperar o SID de um grupo, YourGroupName substituindo-o pelo nome do grupo.
Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
nota
Se você estiver usando AWS Directory Service como seu provedor de identidade userPrincipalName e SamAccountName tiver valores diferentes, AWS Transfer Family aceite o valor emSamAccountName. O Transfer Family não aceita o valor especificado em userPrincipalName.
Adicione Directory Service permissões à sua função
Você também precisa de permissões de Directory Service API para usar AWS Directory Service como seu provedor de identidade. As seguintes permissões são necessárias ou sugeridas:
-
ds:DescribeDirectoriesé necessária para que o Transfer Family procure o diretório -
ds:AuthorizeApplicationé necessária para adicionar autorização para o Transfer Family -
ds:UnauthorizeApplicationé sugerida para remover todos os recursos criados provisoriamente, caso algo dê errado durante o processo de criação do servidor
Adicione essas permissões à função que você está usando para criar seus servidores do Transfer Family. Para obter detalhes sobre essas permissões, consulte Permissões da API do Directory Service : referência de ações, recursos e condições.
Trabalhando com realms do Active Directory
Ao considerar como fazer com que seus usuários do Active Directory acessem os servidores AWS Transfer Family , tenha em mente o realm do usuário e o realm do grupo. Idealmente, o realm do usuário e o realm do grupo devem corresponder. Ou seja, tanto o usuário quanto o grupo estão no realm padrão, ou ambos estão no realm confiável. Se esse não for o caso, o usuário não poderá ser autenticado pelo Transfer Family.
É possível testar o usuário para garantir que a configuração esteja correta. Para obter detalhes, consulte Testando usuários. Se houver um problema com o user/group território, você receberá o erro Nenhum acesso associado encontrado para grupos de usuários.
Escolhendo AWS Managed Microsoft AD como seu provedor de identidade
Esta seção descreve como usar AWS Directory Service for Microsoft Active Directory com um servidor.
Para usar AWS Managed Microsoft AD com Transfer Family
Faça login no Console de gerenciamento da AWS e abra o Directory Service console em https://console.aws.amazon.com/directoryservicev2/
. Use o Directory Service console para configurar um ou mais diretórios gerenciados. Para obter mais informações, consulte AWS Managed Microsoft AD, no Guia do administrador do Directory Service .
-
Abra o AWS Transfer Family console em https://console.aws.amazon.com/transfer/
e escolha Criar servidor. -
Na página Escolher protocolos, escolha um ou mais protocolos na lista.
nota
Se você selecionar FTPS, deverá fornecer o certificado AWS Certificate Manager .
-
Em Escolher um provedor de identidade, escolha Directory Service AWS .
-
A lista Diretórios contém todos os diretórios gerenciados que você configurou. Escolha um diretório da lista e escolha Próximo.
nota
-
Não há suporte para diretórios entre contas e compartilhados. AWS Managed Microsoft AD
-
Para configurar um servidor com o Directory Service como seu provedor de identidade, você precisa adicionar algumas Directory Service permissões. Para obter detalhes, consulte Antes de começar a usar AWS Directory Service for Microsoft Active Directory.
-
-
Para concluir a criação do servidor, use um dos procedimentos a seguir:
Nesses procedimentos, continue com a etapa a seguir, escolhendo um provedor de identidade.
Importante
Você não pode excluir um diretório do Microsoft AD Directory Service se o tiver usado em um servidor Transfer Family. Primeiro, você deve excluir o servidor e, em seguida, excluir o diretório.
Conectando-se ao Microsoft Active Directory local
Esta seção descreve como configurar um AWS diretório usando um AD Connector
Para configurar seu AWS diretório usando o AD Connector
-
Abra o console do Directory Service
e selecione Diretórios. -
Selecione Configurar diretório.
-
Em tipo de diretório, escolha AD Connector.
-
Selecione um tamanho de diretório, selecione Avançar e, em seguida, selecione sua VPC e sub-redes.
-
Selecione Avançar e preencha os campos da seguinte forma:
-
Nome DNS do diretório: insira o nome de domínio que você está usando para o Microsoft Active Directory.
-
Endereços IP DNS: insira seus endereços IP do Microsoft Active Directory.
-
Nome de usuário e senha da conta do servidor: insira os detalhes da conta de serviço a ser usada.
-
-
Preencha as telas para criar o serviço de diretório.
A próxima etapa é criar um servidor Transfer Family com o protocolo SFTP e o tipo de provedor de identidade do AWS Directory Service. Na lista suspensa Diretório, selecione o diretório que você adicionou no procedimento anterior.
Como conceder acesso a grupos
Depois de criar o servidor, você deve escolher quais grupos no diretório devem ter acesso para carregar e baixar arquivos usando os protocolos habilitados AWS Transfer Family. Você faz isso criando um acesso.
nota
AWS Transfer Family tem um limite padrão de 100 grupos do Active Directory por servidor. Se seu caso de uso exigir mais de 100 grupos, considere usar uma solução de provedor de identidade personalizada, conforme descrito em Simplifique a autenticação do Active Directory com um provedor de identidade personalizado para AWS Transfer Family
nota
Os usuários devem pertencer diretamente ao grupo ao qual você está concedendo acesso. Por exemplo, suponha que Bob seja um usuário e pertença ao Grupo A, e que o próprio Grupo A esteja incluído no Grupo B.
-
Se você conceder acesso ao Grupo A, Bob terá acesso.
-
Se você conceder acesso ao Grupo B (e não ao Grupo A), Bob não terá acesso.
Para conceder acesso a um grupo
-
Abra o AWS Transfer Family console em https://console.aws.amazon.com/transfer/
. -
Navegue até a página de detalhes do seu servidor.
-
Na seção Acessos, escolha Adicionar acesso.
-
Insira o SID do AWS Managed Microsoft AD diretório ao qual você deseja ter acesso ao servidor.
nota
Para obter informações sobre como encontrar o SID do seu grupo, consulte Antes de começar a usar AWS Directory Service for Microsoft Active Directory.
-
Para Access, escolha uma função AWS Identity and Access Management (IAM) para o grupo.
-
Na seção Política, escolha uma política. A configuração padrão é Nenhum.
-
Para o diretório inicial, escolha um bucket do Amazon S3 que corresponda ao diretório inicial do grupo.
nota
É possível limitar as partes do bucket que os usuários veem criando uma política de sessão. Por exemplo, para limitar os usuários à sua própria pasta no diretório
/filetest, insira o texto a seguir na caixa./filetest/${transfer:UserName}Para saber mais sobre como criar uma política de sessão, consulte Criar uma política de sessão de um bucket do Amazon S3.
-
Escolha Adicionar para criar a associação.
-
Escolha seu servidor.
-
Escolha Adicionar acesso.
-
Insira o SID do grupo.
nota
Para obter informações sobre como encontrar o SID, consulte Antes de começar a usar AWS Directory Service for Microsoft Active Directory.
-
-
Escolha Adicionar acesso.
Na seção Acessos, os acessos para o servidor estão listados.
Testando usuários
Você pode testar se um usuário tem acesso ao AWS Managed Microsoft AD diretório do seu servidor.
nota
Um usuário deve estar em exatamente um grupo (uma ID externa) listado na seção Acesso da página de Configuração do Endpoint. Se o usuário não estiver em nenhum grupo ou estiver em mais de um único grupo, esse usuário não receberá acesso.
Para testar se um usuário específico tem acesso
-
Na página de detalhes do servidor, escolha Ações e, em seguida, escolha Teste.
-
Para testar o provedor de identidade, insira as credenciais de login de um usuário que está em um dos grupos que tem acesso.
-
Escolha Testar.
Você vê um teste bem-sucedido do provedor de identidade, mostrando que o usuário selecionado recebeu acesso ao servidor.
Se o usuário pertencer a mais de um grupo que tenha acesso, você receberá a seguinte resposta.
"Response":"", "StatusCode":200, "Message":"More than one associated access found for user's groups."
Como excluir o acesso ao servidor para um grupo
Para excluir o acesso ao servidor para um grupo
-
Na página de detalhes do servidor, escolha Ações e, em seguida, escolha Excluir acesso.
-
Na caixa de diálogo, confirme que deseja remover o acesso para este grupo.
Ao retornar à página de detalhes do servidor, você verá que o acesso para o grupo não está mais listado.
Como se conectar ao servidor usando SSH (Secure Shell)
Depois de configurar o servidor e os usuários, é possível se conectar ao servidor usando SSH e usar o nome de usuário totalmente qualificado para um usuário que tenha acesso.
sftpuser@active-directory-domain@vpc-endpoint
Por exemplo: transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com.
Este formato tem como destino a pesquisa da federação, limitando a pesquisa de um Active Directory potencialmente grande.
nota
É possível especificar o nome de usuário simples. No entanto, neste caso, o código do Active Directory precisa pesquisar todos os diretórios na federação. Isso pode limitar a pesquisa e a autenticação pode falhar mesmo que o usuário tenha acesso.
Após a autenticação, o usuário fica localizado no diretório inicial que você especificou quando configurou o usuário.
Conectando-se AWS Transfer Family a um Active Directory autogerenciado usando florestas e relações de confiança
Directory Service tem as seguintes opções disponíveis para se conectar a um Active Directory autogerenciado:
-
A confiança unidirecional na floresta (de saída AWS Managed Microsoft AD e entrada para o Active Directory local) funciona somente para o domínio raiz.
-
Para domínios secundários, é possível usar um dos seguintes:
-
Use a confiança bidirecional entre o Active Directory local AWS Managed Microsoft AD e o Active Directory
-
Use confiança externa unidirecional para cada domínio secundário.
-
Ao se conectar ao servidor usando um domínio confiável, o usuário precisa especificar o domínio confiável, por exemplo, transferuserexample@.mycompany.com
