Trabalhar com usuários gerenciados por serviços - AWS Transfer Family
Adicionar usuários gerenciados por serviços do Amazon S3Adicionar usuários gerenciados por serviços do Amazon EFSUsuário gerenciados por serviços

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Trabalhar com usuários gerenciados por serviços

É possível adicionar usuários gerenciados por serviços do Amazon S3 ou do Amazon EFS ao seu servidor, dependendo da configuração de domínio do servidor. Para obter mais informações, consulte Configurando um endpoint de servidor SFTP, FTPS ou FTP.

Se você usar um tipo de identidade gerenciada por serviço, adicione usuários ao seu servidor habilitado para SFTP. Ao fazer isso, cada nome de usuário deve ser único no servidor.

Para adicionar programaticamente um usuário gerenciado pelo serviço, veja o exemplo da API. CreateUser

nota

Para usuários gerenciados por serviços, há um limite de 2.000 entradas de diretório lógico. Para obter informações sobre o uso de diretórios lógicos, consulteComo usar diretórios lógicos para simplificar suas estruturas de diretórios do Transfer Family.

Adicionar usuários gerenciados por serviços do Amazon S3

nota

Se você quiser configurar um bucket Amazon S3 com várias contas, siga as etapas mencionadas neste artigo do Knowledge Center: Como configuro meu AWS Transfer Family servidor para usar um bucket do Amazon Simple Storage Service que está em outra AWS conta? .

Para adicionar um usuário gerenciado por serviços do Amazon S3 ao seu servidor

  1. Abra o AWS Transfer Family console em https://console.aws.amazon.com/transfer/e selecione Servidores no painel de navegação.

  2. Na página Servidores, escolha a caixa de seleção ao lado do servidor para o qual você deseja adicionar um usuário.

  3. Escolha Adicionar usuário.

  4. Na seção Configuração do usuário, em Nome de usuário, insira o nome de usuário. Esse nome de usuário deve ter, no mínimo, 3 e, no máximo 100 caracteres. Você pode usar os seguintes caracteres no nome de usuário: a—z, A-Z, 0—9, sublinhado '_', hífen '-', ponto '.' e sinal de arroba '@'. O nome de usuário não pode começar com um hífen '-', ponto '.' ou com o sinal '@'.

  5. Para For Acesso, selecione o perfil do IAM que você criou anteriormente e que fornece acesso ao seu bucket do Amazon S3.

    Você criou esse perfil do IAM usando o procedimento em Criar uma política e um perfil do IAM. Esso perfil do IAM inclui uma política do IAM que fornece acesso ao seu bucket do Amazon S3. Também inclui uma relação de confiança com o AWS Transfer Family serviço, definida em outra política do IAM. Se você precisar de um controle de acesso refinado para seus usuários, consulte a postagem do blog Enhance data access with an Amazon AWS Transfer Family S3.

  6. (Opcional) Para Política, selecione uma das seguintes ações:

    • Nenhum

    • Política existente

    • Selecione uma política do IAM: permite que você escolha uma política de sessão existente. Escolha Exibir para ver um objeto JSON contendo os detalhes da política.

    • Política de geração automática com base na pasta inicial: gera uma política de sessão para você. Escolha Exibir para ver um objeto JSON contendo os detalhes da política.

      nota

      Se você escolher Gerar política automaticamente com base na pasta inicial, não selecione Restrito para esse usuário.

    Para saber mais sobre políticas de sessãoCriar uma política e um perfil do IAM, consulteCriar uma política de sessão de um bucket do Amazon S3, ouAbordagens dinâmicas de gerenciamento de permissões.

  7. Para o diretório inicial, escolha o bucket do Amazon S3 para armazenar os dados a serem transferidos usando. AWS Transfer Family Insira o caminho no diretório home que o usuário acessa quando faz login usando seu cliente.

    Se você deixar esse parâmetro em branco, o diretório root do seu bucket do Amazon S3 será usado. Nesse caso, certifique-se de que seu perfil do IAM fornece acesso a esse root diretório.

    nota

    Recomendamos que você escolha um caminho de diretório que contenha o nome do usuário, o que permite que você efetivamente use uma política de sessão. A política de sessão limita o acesso do usuário no bucket do Amazon S3 para o diretório home do usuário.

  8. (Opcional) Em Restrito, marque a caixa de seleção para que seus usuários não possam acessar nada fora dessa pasta e não possam ver o bucket ou o nome da pasta do Amazon S3.

    nota

    Atribuir ao usuário um diretório inicial e restringir o usuário a esse diretório inicial deve ser suficiente para bloquear o acesso do usuário à pasta designada. Se você precisar aplicar mais controles, use uma política de sessão.

    Se você selecionar Restrito para esse usuário, não poderá selecionar a Política gerada automaticamente com base na pasta inicial, pois a pasta inicial não é um valor definido para usuários restritos.

  9. Para chave pública SSH, insira a parte da chave pública SSH do par de chaves SSH.

    Sua chave é validada pelo serviço antes que você possa adicionar o novo usuário.

    nota

    Para obter instruções sobre como gerar um par de chaves SSH, consulte Gere chaves SSH para usuários gerenciados por serviços.

  10. (Opcional) Em Chave e Valor, insira uma ou mais tags como pares de chave/valor e escolha Adicionar tag.

  11. Escolha Adicionar para adicionar o novo usuário ao servidor que você escolheu.

    O novo usuário será exibido na seção Usuários da página Detalhes do servidor.

Próximas etapas - Para a próxima etapa, continue em Transferindo arquivos em um endpoint de servidor usando um cliente.

Adicionar usuários gerenciados por serviços do Amazon EFS

O Amazon EFS usa o modelo de permissão de arquivo da Portable Operating System Interface (POSIX) para representar a propriedade do arquivo.

Para adicionar um usuário gerenciado por serviços do Amazon EFS ao seu servidor

  1. Abra o AWS Transfer Family console em https://console.aws.amazon.com/transfer/e selecione Servidores no painel de navegação.

  2. Na página Servidores, selecione o servidor do Amazon EFS ao qual você deseja adicionar um usuário.

  3. Escolha Adicionar usuário para exibir a página Adicionar usuário.

  4. Na seção Configuração de usuários, use as seguintes configurações.

    1. Esse Nome de usuário deve ter, no mínimo, 3 e, no máximo 100 caracteres. É possível usar os seguintes caracteres no nome de usuário: a-z, A-Z, 0-9, sublinhado, '_', hífen '-', ponto final '.' e o sinal de arroba "@". O nome de usuário não pode começar com hífen '-', ponto final '.' ou o sinal de arroba "@".

    2. Para ID de usuário e ID de grupo, observe o seguinte:

      • Para o primeiro usuário que você criar, recomendamos que você insira um valor de ID 0 de ID de grupo e ID de usuário. Isso concede ao usuário privilégios de administrador para o Amazon EFS.

      • Para usuários adicionais, insira o ID de usuário POSIX e o ID do grupo do usuário. Eles IDs são usados para todas as operações do Amazon Elastic File System realizadas pelo usuário.

      • Para ID de usuário e ID de grupo, não use nenhum zero à esquerda. Por exemplo, 12345 é aceitável, mas 012345 não é.

    3. (Opcional) Em Grupo secundário IDs, insira um ou mais grupos POSIX adicionais IDs para cada usuário, separados por vírgulas.

    4. Para Acesso, escolha o perfil do IAM que:

      • Concede ao usuário acesso apenas aos recursos do Amazon EFS (sistemas de arquivos) que você deseja que ele acesse.

      • Define quais operações do sistema de arquivos o usuário pode ou não realizar.

      Recomendamos que você use a função do IAM para a seleção do sistema de arquivos do Amazon EFS com acesso e read/write permissões de montagem. Por exemplo, a combinação das duas políticas AWS gerenciadas a seguir, embora bastante permissiva, concede as permissões necessárias para seu usuário:

      • AmazonElasticFileSystemClientFullAccess

      • AWSTransferConsoleFullAccess

      Para obter mais informações, consulte a publicação do blog: Suporte do AWS Transfer Family para Amazon Elastic File System.

    5. Para o Diretório inicial, faça o seguinte:

      • Escolha o sistema de arquivos do Amazon EFS que você deseja usar para armazenar os dados a serem transferidos usando AWS Transfer Family.

      • Decida se deseja definir o diretório inicial como Restrito. Definir o diretório inicial como Restrito tem os seguintes efeitos:

        • Os usuários do Amazon EFS não podem acessar nenhum arquivo ou diretório fora dessa pasta.

        • Os usuários do Amazon EFS não conseguem ver o nome do sistema de arquivos do Amazon EFS (fs-xxxxxxx).

          nota

          Quando você seleciona a opção Restrito, os links simbólicos não são resolvidos para os usuários do Amazon EFS.

      • (Opcional) Insira o caminho para o diretório inicial no qual você deseja que os usuários estejam quando fizerem login usando o cliente.

        Se você não especificar um diretório inicial, o diretório raiz do seu sistema de arquivos Amazon EFS será usado. Nesse caso, certifique-se de que seu perfil do IAM fornece acesso a esse diretório .

  5. Para chave pública SSH, insira a parte da chave pública SSH do par de chaves SSH.

    Sua chave é validada pelo serviço antes que você possa adicionar o novo usuário.

    nota

    Para obter instruções sobre como gerar um par de chaves SSH, consulte Gere chaves SSH para usuários gerenciados por serviços.

  6. (Opcional) Insira qualquer tag para o usuário. Para Chave and Valor, insira uma ou mais tags como pares de chave/valor e escolha Adicionar tag.

  7. Escolha Adicionar para adicionar o novo usuário ao servidor que você escolheu.

    O novo usuário será exibido na seção Usuários da página Detalhes do servidor.

Problemas possíveis de encontrar ao usar o SFTP pela primeira vez no servidor do Transfer Family:

  • Se você executar o comando sftp e o prompt não aparecer, é possível encontrar a seguinte mensagem:

    Couldn't canonicalize: Permission denied

    Need cwd

    Nesse caso, aumente as permissões da política para a função do seu usuário. Você pode adicionar uma política AWS gerenciada, comoAmazonElasticFileSystemClientFullAccess.

  • Se você entrar pwd no sftp prompt para visualizar o diretório inicial do usuário, poderá ver a seguinte mensagem, onde USER-HOME-DIRECTORY está o diretório inicial do usuário SFTP:

    remote readdir("/USER-HOME-DIRECTORY"): No such file or directory

    Nesse caso, você deve conseguir navegar até o diretório pai (cd ..) e criar o diretório inicial do usuário (mkdir username).

Próximas etapas - Para a próxima etapa, continue em Transferindo arquivos em um endpoint de servidor usando um cliente.

Gerenciar usuários gerenciados por serviços

Nesta seção, é possível encontrar informações sobre como visualizar uma lista de usuários, como editar detalhes do usuário e como adicionar uma chave pública SSH.

Para encontrar uma lista de seus usuários

  1. Abra o AWS Transfer Family console em https://console.aws.amazon.com/transfer/.

  2. Selecione Servidores no painel de navegação para exibir a página Servidores.

  3. Escolha o identificador na coluna ID do servidor para ver a página Detalhes do servidor.

  4. Em Usuários, veja uma lista de usuários.

Para visualizar ou editar detalhes do usuário

  1. Abra o AWS Transfer Family console em https://console.aws.amazon.com/transfer/.

  2. Selecione Servidores no painel de navegação para exibir a página Servidores.

  3. Escolha o identificador na coluna ID do servidor para ver a página Configuração do servidor.

  4. Em Usuários, escolha um nome de usuário para ver a página de Detalhes do usuário.

    É possível alterar as propriedades do usuário nessa página escolhendo Editar.

  5. Na página Detalhes do usuário, escolha Editar ao lado de Configuração do usuário.

    Imagem mostrando a tela para edição da configuração de um usuário

  6. Na página Editar configuração, para Acesso, escolha o perfil do IAM que você criou antes e que fornece acesso ao seu bucket do Amazon S3.

    Você criou esse perfil do IAM usando o procedimento em Criar uma política e um perfil do IAM. Esso perfil do IAM inclui uma política do IAM que fornece acesso ao seu bucket do Amazon S3. Também inclui uma relação de confiança com o AWS Transfer Family serviço, definida em outra política do IAM.

  7. (Opcional) Para Política, escolha uma das seguintes opções:

    • Nenhum

    • Política existente

    • Selecionar uma política do IAM: permite que você escolha uma política de sessão existente. Escolha Exibir para ver um objeto JSON contendo os detalhes da política.

    Para saber mais sobre as políticas de sessão, consulte Criar uma política e um perfil do IAM. Para saber mais sobre como criar uma política de sessão, consulte Criar uma política de sessão de um bucket do Amazon S3.

  8. Para o diretório inicial, escolha o bucket do Amazon S3 para armazenar os dados a serem transferidos usando. AWS Transfer Family Insira o caminho no diretório home que o usuário acessa quando faz login usando seu cliente.

    Se você deixar esse parâmetro em branco, o diretório root do seu bucket do Amazon S3 será usado. Nesse caso, certifique-se de que seu perfil do IAM fornece acesso a esse root diretório.

    nota

    Recomendamos que você escolha um caminho de diretório que contenha o nome do usuário, o que permite que você efetivamente use uma política de sessão. A política de sessão limita o acesso do usuário no bucket do Amazon S3 para o diretório home do usuário.

  9. (Opcional) Em Restrito, marque a caixa de seleção para que seus usuários não possam acessar nada fora dessa pasta e não possam ver o bucket ou o nome da pasta do Amazon S3.

    nota

    Ao designar ao usuário um diretório inicial e restringir o usuário a esse diretório inicial, isso deve ser suficiente para bloquear o acesso do usuário à pasta designada. Se você precisar aplicar mais controles, use uma política de sessão.

  10. Escolha Salvar para salvar as alterações.

Para excluir um usuário

  1. Abra o AWS Transfer Family console em https://console.aws.amazon.com/transfer/.

  2. Selecione Servidores no painel de navegação para exibir a página Servidores.

  3. Escolha o identificador na coluna ID do servidor para ver a página Configuração do servidor.

  4. Em Usuários, escolha um nome de usuário para ver a página de Detalhes do usuário.

  5. Na página Detalhes do usuário, escolha Excluir à direita do nome de usuário.

  6. Na caixa de diálogo de confirmação exibida, insira a palavra delete e escolha Excluir para confirmar que deseja excluir o usuário.

O usuário é excluído e removido da lista de usuários .

Para adicionar uma chave pública SSH para um usuário

  1. Abra o AWS Transfer Family console em https://console.aws.amazon.com/transfer/.

  2. No painel de navegação, selecione Servidores.

  3. Escolha o identificador na coluna ID do servidor para ver a página Configuração do servidor.

  4. Em Usuários, escolha um nome de usuário para ver a página de Detalhes do usuário.

  5. Escolha Add SSH public key (Adicionar chave pública SSH) para adicionar uma nova chave pública SSH a um usuário.

    nota

    As chaves SSH são usadas somente por servidores habilitados para File Transfer Protocol (SFTP) da Secure Shell (SSH). Para obter informações sobre como gerar um par de chaves SSH, consulte Gere chaves SSH para usuários gerenciados por serviços.

  6. Em chave pública SSH, insira a parte da chave pública SSH do par de chaves SSH.

    Sua chave é validada pelo serviço antes que você possa adicionar o novo usuário. O formato da chave SSH é ssh-rsa string. Para gerar um par de chaves SSH, consulte Gere chaves SSH para usuários gerenciados por serviços.

  7. Escolha Adicionar chave.

Para excluir uma chave pública SSH para um usuário

  1. Abra o AWS Transfer Family console em https://console.aws.amazon.com/transfer/.

  2. No painel de navegação, selecione Servidores.

  3. Escolha o identificador na coluna ID do servidor para ver a página Configuração do servidor.

  4. Em Usuários, escolha um nome de usuário para ver a página de Detalhes do usuário.

  5. Para excluir uma chave pública, marque a caixa de seleção da chave SSH e escolha Excluir.