本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理伺服器端點的使用者
<a name="create-user"></a>

在下列各節中，您可以找到如何使用 AWS Transfer Family AWS Directory Service for Microsoft Active Directory 或自訂身分提供者新增使用者的相關資訊。

每個使用者的屬性中也要存放該使用者的 Secure Shell (SSH) 公有金鑰。金鑰型身分驗證需要這樣做。私有金鑰存放在您使用者的本機電腦上。當您的使用者使用用戶端傳送身分驗證請求到您的伺服器時，您的伺服器會先確認使用者有權存取相關聯的 SSH 私有金鑰。伺服器接著會成功驗證使用者。

**注意**  
如需具有多個 SSH 金鑰之使用者的自動化部署和管理，請參閱 [Transfer 系列 Terraform 模組](terraform.md)。

此外，您可以指定使用者的主目錄或登陸目錄，並將 AWS Identity and Access Management (IAM) 角色指派給使用者。或者，您可以提供工作階段政策，以限制使用者只能存取 Amazon S3 儲存貯體的主目錄。

**重要**  
AWS Transfer Family 會封鎖從驗證到 SFTP 伺服器長度為 1 或 2 個字元的使用者名稱。此外，我們也封鎖`root`使用者名稱。  
原因在於密碼掃描器嘗試大量惡意登入。

## Amazon EFS 與 Amazon S3
<a name="efs-vs-s3-users"></a>

每個儲存選項的特性：
+ 若要限制存取：Amazon S3 支援工作階段政策；Amazon EFS 支援 POSIX 使用者、群組和次要群組 IDs
+  兩者都支援公有/私有金鑰 
+  兩者都支援主目錄 
+  兩者都支援邏輯目錄 
**注意**  
 對於 Amazon S3，對邏輯目錄的大多數支援是透過 API/CLI 提供。您可以使用 主控台中的**受限制**核取方塊，將使用者鎖定至其主目錄，但無法指定虛擬目錄結構。

## 邏輯目錄
<a name="logical-dir-users"></a>

如果您要為使用者指定邏輯目錄值，您使用的 參數取決於使用者的類型。
+ 對於服務受管使用者，請在 中提供邏輯目錄值`HomeDirectoryMappings`。
+ 對於自訂身分提供者使用者，請在 中提供邏輯目錄值`HomeDirectoryDetails`。

AWS Transfer Family 支援在使用 LOGICAL HomeDirectory HomeDirectoryType 值。這適用於回應中提供 HomeDirectoryDetails 的服務受管使用者、Active Directory 存取和自訂身分提供者實作。

**重要**  
使用 LOGICAL HomeDirectory HomeDirectoryType 時，該值必須映射至其中一個邏輯目錄映射。服務會在使用者建立和更新期間驗證這一點，以防止組態無法運作。

### 預設行為
<a name="logical-dir-default"></a>

根據預設，如果未指定，則 LOGICAL 模式的 HomeDirectory 設定為 "/"。此行為保持不變，並保持與現有使用者定義相容。
+ 請務必將您的 HomeDirectory 映射至 *項目*，而非*目標*。如需詳細資訊，請參閱[使用邏輯目錄的規則](logical-dir-mappings.md#logical-dir-rules)。
+ 如需如何建構虛擬目錄的詳細資訊，請參閱 [虛擬目錄結構](implement-log-dirs.md#virtual-dirs)。

### 自訂身分提供者考量事項
<a name="logical-dir-custom-idp"></a>

使用自訂身分提供者時，您現在可以在使用 LOGICAL HomeDirectory HomeDirectoryType。當自訂 IDP 在 LOGICAL 模式中指定 HomeDirectory 時，TestIdentityProvider API 呼叫會產生正確的結果。

HomeDirectory 和 LOGICAL HomeDirectoryType 的自訂 IDP 回應範例：

```
{
  "Role": "arn:aws:iam::123456789012:role/transfer-user-role",
  "HomeDirectoryType": "LOGICAL",
  "HomeDirectory": "/marketing",
  "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}
```

## Active Directory 群組配額
<a name="ad-group-quotas"></a>

AWS Transfer Family 預設限制為每個伺服器 100 個 Active Directory 群組。如果您的使用案例需要超過 100 個群組，請考慮使用自訂身分提供者解決方案，如[簡化 Active Directory 身分驗證與 的自訂身分提供者 AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/)所述。

此限制適用於使用下列身分提供者的伺服器：
+ AWS 適用於 Microsoft Active Directory 的 Directory Service
+ AWS 適用於 Entra ID Domain Services 的 Directory Service

如果您需要請求提高服務限制，請參閱 中的[AWS 服務 配額](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)*AWS 一般參考*。如果您的使用案例需要超過 100 個群組，請考慮使用自訂身分提供者解決方案，如[簡化 Active Directory 身分驗證與 的自訂身分提供者 AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/)所述。

如需 Active Directory 群組限制的疑難排解資訊，請參閱 [超過 Active Directory 群組限制](auth-issues.md#managed-ad-group-limits)。

**Topics**
+ [Amazon EFS 與 Amazon S3](#efs-vs-s3-users)
+ [邏輯目錄](#logical-dir-users)
+ [Active Directory 群組配額](#ad-group-quotas)
+ [使用服務受管使用者](service-managed-users.md)
+ [使用自訂身分提供者](custom-idp-intro.md)
+ [使用 AWS Directory Service for Microsoft Active Directory](directory-services-users.md)
+ [使用 AWS Directory Service for Entra ID Domain Services](azure-sftp.md)