本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 Nimble Studio File Transfer
第一次使用 Nimble Studio File Transfer 之前,請先完成以下任務。
**Topics**
+ [註冊一個 AWS 帳戶](#sign-up-for-aws)
+ [建立具有管理權限的使用者](#create-an-admin)
+ [建立成員帳戶](#setting-up-member-account)
+ [在靈活工作室設立工作室](#setting-up-nimble-studio)
+ [建立 S3 儲存貯體](#setting-up-bucket)
+ [建立 IAM 存取政策](#setting-up-iam-access-policy)
+ [設定 AWS CLI](#setting-up-cli)
## 註冊一個 AWS 帳戶
如果您沒有 AWS 帳戶,請完成以下步驟來建立一個。
**若要註冊成為 AWS 帳戶**
1. 開啟 [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)。
1. 請遵循線上指示進行。
部分註冊程序需接收來電,並在電話鍵盤輸入驗證碼。
當您註冊一個時 AWS 帳戶,將創建*AWS 帳戶根使用者*一個。根使用者有權存取該帳戶中的所有 AWS 服務 和資源。安全性最佳做法[是將管理存取權指派給使用者,並僅使用 root 使用者來執行需要 root 使用者存取權](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)的工作。
AWS 註冊過程完成後,會向您發送確認電子郵件。您可以隨時登錄 [https://aws.amazon.com/](https://aws.amazon.com/) 並選擇 **我的帳戶**,以檢視您目前的帳戶活動並管理帳戶。
## 建立具有管理權限的使用者
註冊後,請保護您的 AWS 帳戶 AWS 帳戶根使用者 AWS IAM Identity Center、啟用和建立系統管理使用者,這樣您就不會將 root 使用者用於日常工作。
**保護您的 AWS 帳戶根使用者**
1. 選擇 **Root 使用者**並輸入您的 AWS 帳戶 電子郵件地址,以帳戶擁有者身分登入。[AWS 管理主控台](https://console.aws.amazon.com/)在下一頁中,輸入您的密碼。
如需使用根使用者登入的說明,請參閱 *AWS 登入 使用者指南*中的[以根使用者身分登入](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)。
1. 若要在您的根使用者帳戶上啟用多重要素驗證 (MFA)。
如需指示,請參閱《*IAM 使用者指南》*中[的為 AWS 帳戶 根使用者啟用虛擬 MFA 裝置 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)。
**建立具有管理權限的使用者**
1. 啟用 IAM Identity Center。
如需指示,請參閱 *AWS IAM Identity Center 使用者指南*中的[啟用 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。
1. 在 IAM 身分中心中,將管理存取權授予使用者。
[若要取得有關使用 IAM Identity Center 目錄 做為身分識別來源的自學課程,請參閱《使用*指南》 IAM Identity Center 目錄中的「以預設值設定使用AWS IAM Identity Center 者*存取](https://docs.aws.amazon.com/singlesignon/latest/userguide/quick-start-default-idc.html)」。
**以具有管理權限的使用者身分登入**
+ 若要使用您的 IAM Identity Center 使用者簽署,請使用建立 IAM Identity Center 使用者時傳送至您電子郵件地址的簽署 URL。
如需使用 IAM 身分中心使用者[登入的說明,請參閱使用*AWS 登入 者指南*中的登入 AWS 存取入口網站](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)。
**指派存取權給其他使用者**
1. 在 IAM 身分中心中,建立遵循套用最低權限許可的最佳做法的權限集。
如需指示,請參閱*《AWS IAM Identity Center 使用指南》*中的「[建立權限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-create-a-permission-set.html)」。
1. 將使用者指派給群組,然後將單一登入存取權指派給群組。
如需指示,請參閱*《AWS IAM Identity Center 使用指南》*中的「[新增群組](https://docs.aws.amazon.com/singlesignon/latest/userguide/addgroups.html)」。
## 建立成員帳戶
**注意**
如果您要在管理帳戶中設置靈活工作室,請跳過此步驟。
如果您是擁有 AWS 成員帳戶的 IT 管理員,並且嘗試設定 Nimble Studio,您的管理使用者必須先授予該成員帳戶的正確存取權限和權限。
您可以在管理帳戶或成員帳戶中設定 Nimble Studio,只要該帳戶位於組織中 AWS Organizations即可。組織擁有單一*管理帳戶*。組織的中央功能是由管理帳戶設定和強制執行。*會員帳戶*設置和使用不同的服務。如需管理帳戶和成員帳戶的詳細資訊,請參閱[AWS Organizations 術語和概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)。
此外, AWS IAM Identity Center 必須在組織中啟用。IAM 身分中心只能在管理帳戶中啟用,而且工作室必須與 IAM AWS 區域 身分中心位於相同。若要在組織中啟用 IAM 身分中心,請遵循[啟用 IAM 身分中心中](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-started-enable-identity-center.html)的指示操作。
**注意**
如果您嘗試在未啟用 IAM 身分中心的成員帳戶中設定工作室,該成員帳戶將無法自行啟用 IAM 身分中心。在這種情況下,成員帳戶必須要求其企業 IT 在其 AWS 組織中設定 IAM 身分中心。
**建立具有建立工作室權限的會員帳戶**
1. 按照《使用指南》中的「新[增](https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html)使用 AWS IAM Identity Center 者」中的指示,使用現有的會員帳戶或建立新的會員帳戶。
1. 此會員帳戶必須屬於在敏捷工作室設立工作室的組織。
1. 依照[註冊會員帳戶中的指示,將管理員存取權委派給成員帳戶](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html#delegated-admin-how-to-register)。
1. 委派的系統管理員存取權是 IAM 身分中心功能。委派的管理員存取權與 IAM 管理員存取權無關。某人可以擁有完整的管理員權限來存取其帳戶,但無法從管理帳戶委派系統管理員存取權。
您的 IT 管理員現在可以在接下來的章節中完成下列步驟。
## 在靈活工作室設立工作室
如果您已經擁有靈活的工作室雲工作室,請跳過此步驟。
**注意**
File Transfer不需要您的 Amazon S3 儲存貯體與靈活的工作室建立關聯。 File Transfer只需要靈活的工作室,因為該工具僅對敏捷工作室的客戶無需額外費用即可使用。
要創建一個工作室,請按照[設置靈活工作室中的說明進](https://docs.aws.amazon.com/nimble-studio/latest/userguide/nimble-studio-setup.html)行操作。設置工作室時,請確保以下信息是真的。
+ 在管理帳戶或透過 IAM 身分中心委派管理員存取權限的成員帳戶中設定您的 Nimble Studio。
+ 在*步[驟 1:設定工作室基礎架構](https://docs.aws.amazon.com/nimble-studio/latest/userguide/nimble-studio-setup.html#studio-infrastructure)的步驟 5* 中,選擇您在 AWS 區域 中啟用 IAM 身分中心的基礎架構。
## 建立 S3 儲存貯體
您必須先完成[設定 Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/setting-up-s3.html) 教學課程File Transfer,才能使用。如果未正確設定 Amazon S3,儲存貯體中內容的安全性可能會受到損害。
您也必須完成[建立您的第一個 S3 儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/creating-bucket.html)教學課程。這會建立 S3 儲存貯體,供您從中上傳和下載檔案。
+ (建議使用) 在*步驟 8* 中,**啟用值區版本控制**。
+ 如此可確保在您不小心以新版本覆寫 Amazon S3 中的檔案時,資料不會遺失。
+ 啟用時段版本控制會產生額外的成本。如需 Amazon S3 定價的詳細資訊,請參閱 [Amazon S3 定價](https://aws.amazon.com/s3/pricing/)頁面。
+ (建議使用) 在*步驟 11* 中,針對**加密金鑰類型**,選擇金**AWS Key Management Service 鑰 (SSE-KMS**)。
+ 如果您沒有 SSE-KMS 金鑰,請依照建立[對稱加密 KMS 金鑰教學課程中的指示建立金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)。
+ 如需有關不同金鑰類型的詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的[客戶 AWS 金鑰和金鑰頁面](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#key-mgmt)。若要允許某人使用其他人的值區 AWS 帳戶,您必須使用客戶管理的金鑰。建立值區之後很難變更金鑰,因此請務必使用正確的金鑰建立值區。
+ 將所有其他設定和使用者偏好設定保留為預設值。
## 建立 IAM 存取政策
接下來,您必須建立 IAM 存取政策,以授予您在[建立 S3 儲存貯體](#setting-up-bucket)本節中建立之 Amazon S3 儲存貯體的權限。之後,您會將此 IAM 政策附加到 IAM 使用者。此 IAM 使用者將產生存取 Amazon S3 儲存貯體所File Transfer需的登入資料。
遵循 *IAM 使用者指南*中[的 JSON 索引標籤上的建立](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor)政策教學課程,並使用下列 JSON 政策文件。您需要使用的策略取決於您選擇 AWS KMS key 的類型。
------
#### [ Using an AWS KMS key (SSE-KMS) ]
+ 在 JSON 範本中輸入下列文字,以提供 Amazon S3 上傳和下載所需的存取權。
+ 若要允許刪除 S3 儲存貯體中的物件,請從下列文字中包含含有 Sid「OptionalActions」的陳述式中列出的動作。如果您不想允許刪除 S3 物件,則不需要包含這些動作。
```
{
"Statement": [
{
"Sid": "ListBucketContents",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectTagging"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
],
},
{
"Sid": "KMSKeyAccess",
"Action": [
"kms:GenerateDataKey*",
"kms:Encrypt",
"kms:Decrypt"
],
"Effect": "Allow",
"Resource": "arn:aws:kms:key-region:account-number:key/key-id"
},
{
"Sid": "OptionalActions",
"Action": [
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:ListBucketVersions",
"s3:AbortMultipartUpload"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
],
}
],
"Version": "2012-10-17"
}
```
+ 將值區*名稱取代為您在中*建立的值區的名稱。[建立 S3 儲存貯體](#setting-up-bucket)
+ 將* AWS 區域 鍵區域*替換為您在中創建的密鑰區域。
+ 將* AWS 帳戶 帳戶號碼取代為您的電話號碼*。
+ 將金*鑰識別碼*取代為您在之*步驟 2* 中選擇的 KMS 金鑰的[建立 S3 儲存貯體](#setting-up-bucket)識別碼。
+ 若要尋找 KMS 金鑰 ID,請遵循檢**視 S3 儲存貯體金鑰設定教學課程中若要檢視儲存貯體的** [S3 儲存貯體金鑰設](https://docs.aws.amazon.com/AmazonS3/latest/userguide/viewing-bucket-key-settings.html)定中的指示進行。
+ 選擇您在[建立 S3 儲存貯體](#setting-up-bucket)中建立的儲存貯體。
+ 在「**預設加密**」區段中找到 **AWS KMS key ARN**。KMS 金鑰識別碼是 ARN 的最後一部分。
------
#### [ Using an Amazon Managed KMS key (SSE-S3) ]
+ 檢查您的儲存貯體是否有作用中的 KMS 金鑰。
+ 遵循 **S3 儲存貯體金鑰的檢視設定教學課程中若要檢視儲存貯體的** [S3 儲存貯體金鑰設](https://docs.aws.amazon.com/AmazonS3/latest/userguide/viewing-bucket-key-settings.html)定中的指示。
+ 如果您沒有使用 KMS 金鑰,則可以繼續執行*步驟 2*。
+ 如果您確實已將 KMS 金鑰附加至值區,請依照**使用 AWS KMS key (SSE-KMS) 中的**指示進行。
+ 在 JSON 範本中輸入下列文字,以提供 Amazon S3 上傳和下載所需的存取權。
+ 若要允許刪除 S3 儲存貯體中的物件,請從下列文字中包含含有 Sid「OptionalActions」的陳述式中列出的動作。如果您不想允許刪除 S3 物件,則不需要包含這些動作。
```
{
"Statement": [
{
"Sid": "ListBucketContents",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectTagging"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
],
},
{
"Sid": "OptionalActions",
"Action": [
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:ListBucketVersions",
"s3:AbortMultipartUpload"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
],
}
],
"Version": "2012-10-17"
}
```
+ 將值區*名稱取代為您在中*建立的值區的名稱。[建立 S3 儲存貯體](#setting-up-bucket)
------
您現在已建立 IAM 政策,授予您在其中建立之 S3 儲存貯體的權限[建立 S3 儲存貯體](#setting-up-bucket)。
## 設定 AWS CLI
安裝和配置, AWS CLI 如果你還沒有。 File Transfer僅使用 AWS Command Line Interface (AWS CLI) 具名的設定檔來處理和儲存 IAM 登入資料。如需詳細資訊,請參閱 [AWS CLI入門](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html)。
1. 若要在本機電腦 AWS CLI 上安裝或升級,請遵循*AWS Command Line Interface 使用者指南中[的安裝 AWS Command Line Interface 版本 2](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) 中的指*示。
1. AWS CLI 依照設定[新組態和認證中的指示進行設定](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html#getting-started-quickstart-new)。
1. 執行以驗證安裝或升級`aws nimble help`。這個命令會顯示可用的靈活 Studio 指令清單。
1. 依照使用具名設定檔中的指示建立[具名的設定檔](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html#cli-configure-files-using-profiles.html)。此具名的設定檔將用於在[Nimble Studio File Transfer 入門](getting-started.md)區段File Transfer中進行設定。
1. 若要建立存取金鑰和秘密金鑰,請遵循在您的中[建立 IAM 使用者中的](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console)指示 AWS 帳戶。建立使用者之後,主控台會產生存取金鑰和秘密金鑰值。
1. 在*步驟 4* 中,選擇**命令列介面 (CLI)** 做為此使用者將擁有的存取權類型。
1. 在*步驟 6* 中,選取 [**直接附加現有原則**]。選取您在中建立之策略的核取方塊[建立 IAM 存取政策](#setting-up-iam-access-policy)。
1. 執行下列命令,確認您已建立具名設定檔:`aws --profile [name of profile you created in step 4] sts get-caller-identity`
1. 此命令應產生類似下列輸出範例的輸出。在此範例中,設定檔命名為`filetransfer`。
```
$ aws --profile filetransfer sts get-caller-identity
"UserId": "ARXXXXXXXXXXXXXXXXXXX:username",
"Account": "123456789012",
"Arn": "arn:aws:sts::123456789012:XXXXXXXXXXXXXXX..."
}
```
我們建議您閱讀[AWS Command Line Interface 使用者指南](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)中提供的其他 AWS CLI 安全控制。