本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理服务器端点的用户
<a name="create-user"></a>

在以下各节中，您可以找到有关如何使用 AWS Transfer Family AWS Directory Service for Microsoft Active Directory 或自定义身份提供商添加用户的信息。

作为各个用户属性的一部分，您还可以存储该用户的安全外壳 (SSH) 公有密钥。基于密钥的身份验证需要这样做。私有密钥存储在您用户的计算机本地。当用户使用客户端发送身份验证请求到服务器时，您的服务器首先确认用户具有关联 SSH 私有密钥的访问权限。然后，服务器成功验证用户身份。

**注意**  
有关自动部署和管理拥有多个 SSH 密钥的用户，请参阅[Transfer Family terraform 模块](terraform.md)。

此外，您指定用户的主目录或登录目录，并将 AWS Identity and Access Management IAM 角色分配给用户。或者，您可以提供一个会话策略来限制用户仅访问 AmazonS3 存储桶的主目录。

**重要**  
AWS Transfer Family 阻止长度为 1 或 2 个字符的用户名向 SFTP 服务器进行身份验证。此外，我们还屏蔽了 `root` 用户名。  
其背后的原因是密码扫描器进行了大量的恶意登录尝试。

## Amazon EFS 与 Amazon S3
<a name="efs-vs-s3-users"></a>

每种存储选项的特点：
+ 限制访问权限：Amazon S3 支持会话策略；Amazon EFS 支持 POSIX 用户、群组和辅助群组 IDs
+  两者都支持 public/private 按键 
+  两者都支持主目录 
+  两者都支持逻辑目录 
**注意**  
 对于 Amazon S3，对逻辑目录的大部分支持是通过 API/CLI 实现的。您可以使用控制台中的**受限**复选框将用户锁定至其主目录，但不能指定虚拟目录结构。

## 逻辑目录
<a name="logical-dir-users"></a>

如果要为用户指定逻辑目录值，则使用的参数取决于用户的类型。
+ 对于服务托管的用户，请在 `HomeDirectoryMappings` 中提供逻辑目录值。
+ 对于自定义身份提供商用户，请在中提供逻辑目录值`HomeDirectoryDetails`。

AWS Transfer Family 支持在使用 LO HomeDirectory GICAL 时指定值 HomeDirectoryType。这适用于响应中提供的服务托管用户、Active Directory 访问权限和自定义身份提供 HomeDirectoryDetails 者实现。

**重要**  
 HomeDirectory 使用 LOGICAL 指定 a 时 HomeDirectoryType，该值必须映射到您的一个逻辑目录映射。该服务在用户创建和更新过程中都会对此进行验证，以防止配置失效。

### 默认 行为
<a name="logical-dir-default"></a>

默认情况下，如果未指定， HomeDirectory 则逻辑模式将设置为 “/”。此行为保持不变，并且与现有用户定义保持兼容。
+ 确保将您的映射 HomeDirectory 到*条目*而不是*目标*。有关更多详细信息，请参阅[使用逻辑目录的规则](logical-dir-mappings.md#logical-dir-rules)。
+ 有关虚拟目录结构的详细信息，请参阅[虚拟目录结构](implement-log-dirs.md#virtual-dirs)。

### 自定义身份提供商注意事项
<a name="logical-dir-custom-idp"></a>

使用自定义身份提供商时，您现在可以在使用 LOGICA HomeDirectory L 的同时在响应中指定 HomeDirectoryType。当自定义 IDP 在逻辑模式下指定时， TestIdentityProvider API 调用将生成正确的结果。 HomeDirectory 

带有 HomeDirectory 和逻辑 HomeDirectoryType的自定义 IDP 响应示例：

```
{
  "Role": "arn:aws:iam::123456789012:role/transfer-user-role",
  "HomeDirectoryType": "LOGICAL",
  "HomeDirectory": "/marketing",
  "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}
```

## 活动目录组配额
<a name="ad-group-quotas"></a>

AWS Transfer Family 默认限制为每台服务器 100 个 Active Directory 组。如果您的用例需要超过 100 个群组，请考虑使用自定义身份提供商解决方案，如使用自定义身份提供商[简化 Active Directory 身份验证](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/)中所述 AWS Transfer Family。

此限制适用于使用以下身份提供商的服务器：
+ AWS 微软 Active Directory 的目录服务
+ AWS 适用于 Entra ID 域服务的目录服务

如果您需要申请提高服务限制，请参阅中的[AWS 服务 配额*AWS 一般参考*](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。如果您的用例需要超过 100 个群组，请考虑使用自定义身份提供商解决方案，如使用自定义身份提供商[简化 Active Directory 身份验证](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/)中所述 AWS Transfer Family。

有关 Active Directory 组限制的疑难解答信息，请参阅[已超出活动目录组限制](auth-issues.md#managed-ad-group-limits)。

**Topics**
+ [Amazon EFS 与 Amazon S3](#efs-vs-s3-users)
+ [逻辑目录](#logical-dir-users)
+ [活动目录组配额](#ad-group-quotas)
+ [与服务托管用户合作](service-managed-users.md)
+ [使用自定义身份提供程序](custom-idp-intro.md)
+ [使用微软 Active Directory 的 AWS 目录服务](directory-services-users.md)
+ [将 AWS Directory Service 用于 Entra ID 域服务](azure-sftp.md)