使用服務受管使用者 - AWS Transfer Family
新增 Amazon S3 服務受管使用者新增 Amazon EFS 服務受管使用者服務受管使用者

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用服務受管使用者

視伺服器的網域設定而定,您可以將 Amazon S3 或 Amazon EFS 服務受管使用者新增至您的伺服器。如需詳細資訊,請參閱設定 SFTP、FTPS 或 FTP 伺服器端點

如果您使用服務受管身分類型,您可以將使用者新增至已啟用檔案傳輸通訊協定的伺服器。當您這樣做時,每個使用者名稱在伺服器上都必須是唯一的。

若要以程式設計方式新增服務受管使用者,請參閱 CreateUser API 的範例

注意

對於服務受管使用者,限制為 2,000 個邏輯目錄項目。如需使用邏輯目錄的詳細資訊,請參閱 使用邏輯目錄來簡化 Transfer Family 目錄結構

新增 Amazon S3 服務受管使用者

注意

如果您想要設定跨帳戶 Amazon S3 儲存貯體,請遵循本 知識中心文章中所述的步驟:如何設定我的 AWS Transfer Family 伺服器以使用另一個 AWS 帳戶中的 Amazon Simple Storage Service 儲存貯體?

將 Amazon S3 服務受管使用者新增至您的伺服器

  1. 在 https://https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台,然後從導覽窗格中選取伺服器

  2. 伺服器頁面上,選取您要新增使用者之伺服器的核取方塊。

  3. 選擇新增使用者

  4. 使用者組態區段中,針對使用者名稱輸入使用者名稱。此使用者名稱必須至少為 3 個字元,最多為 100 個字元。您可以在使用者名稱中使用下列字元:a–z、A-Z、0–9、底線 '_'、連字號 '-'、句點 '.' 和符號 '@'。使用者名稱開頭不能是連字號 '-'、句點 '.' 或符號 '@'。

  5. 針對 Access,選擇您先前建立的 IAM 角色,該角色可讓您存取 Amazon S3 儲存貯體。

    您使用建立 IAM 角色和政策的程序建立此 IAM 角色。該 IAM 角色包含一個 IAM 政策,可讓您存取 Amazon S3 儲存貯體。它還包含與 AWS Transfer Family 服務的信任關係,在另一個 IAM 政策中定義。如果您需要針對使用者進行精細存取控制,請參閱使用 AWS Transfer Family 和 Amazon S3 增強資料存取控制部落格文章。

  6. (選用) 針對政策,選取下列其中一項:

    • 現有政策

    • 從 IAM 選取政策: 可讓您選擇現有的工作階段政策。選擇檢視以查看包含政策詳細資訊的 JSON 物件。

    • 根據主資料夾自動產生政策: 會為您產生工作階段政策。選擇檢視以查看包含政策詳細資訊的 JSON 物件。

      注意

      如果您選擇根據主資料夾自動產生政策,請勿為此使用者選取限制

    若要進一步了解工作階段政策,請參閱 建立 IAM 角色和政策為 Amazon S3 儲存貯體建立工作階段政策動態許可管理方法

  7. 對於主目錄,選擇 Amazon S3 儲存貯體以存放要使用的資料 AWS Transfer Family。輸入使用者使用其用戶端登入時所到達home目錄的路徑。

    如果您將此參數保留空白,則會使用 Amazon S3 儲存貯體的root目錄。在本例中,請確定您的 IAM 角色能夠存取此 root 目錄。

    注意

    我們建議您選擇包含使用者名稱的目錄路徑,這可讓您有效地使用工作階段政策。工作階段政策會將 Amazon S3 儲存貯體中的使用者存取權限制在該使用者的home目錄。

  8. (選用) 對於受限,選取核取方塊,讓您的使用者無法存取該資料夾以外的任何內容,也看不到 Amazon S3 儲存貯體或資料夾名稱。

    注意

    為使用者指派主目錄,並將使用者限制為該主目錄,應足以鎖定使用者對指定資料夾的存取權。如果您需要套用進一步的控制項,請使用工作階段政策。

    如果您為此使用者選取限制,則無法根據主資料夾選取自動產生政策,因為主資料夾不是受限制使用者的定義值。

  9. 針對 SSH 公有金鑰,輸入 SSH 金鑰對的公有 SSH 金鑰部分。

    金鑰要先經服務驗證,您才能新增新使用者。

    注意

    如需如何產生 SSH 金鑰對的說明,請參閱為服務受管使用者產生 SSH 金鑰

  10. (選用) 針對索引鍵,輸入一或多個標籤做為索引鍵/值對,然後選擇新增標籤

  11. 選擇 Add (新增) 將新使用者新增至您選擇的伺服器。

    新使用者會出現在伺服器詳細資訊頁面的使用者區段中。

後續步驟 – 針對下一個步驟,請繼續執行 使用用戶端透過伺服器端點傳輸檔案

新增 Amazon EFS 服務受管使用者

Amazon EFS 使用可攜式作業系統界面 (POSIX) 檔案許可模型來代表檔案擁有權。

將 Amazon EFS 服務受管使用者新增至您的伺服器

  1. 在 https://https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台,然後從導覽窗格中選取伺服器

  2. 伺服器頁面上,選取要新增使用者的 Amazon EFS 伺服器。

  3. 選擇新增使用者以顯示新增使用者頁面。

  4. 使用者組態區段中,使用下列設定。

    1. 使用者名稱 必須至少為 3 個字元,最多為 100 個字元。您可以在使用者名稱中使用下列字元:a–z、A-Z、0–9、底線 '_'、連字號 '-'、句點 '.' 和符號 "@"。使用者名稱開頭不能是連字號 '-'、句點 '.' 或符號 "@"。

    2. 對於使用者 ID群組 ID,請注意下列事項:

      • 對於您建立的第一個使用者,我們建議您0群組 ID使用者 ID 輸入 的值。這會授予 Amazon EFS 的使用者管理員權限。

      • 對於其他使用者,輸入使用者的 POSIX 使用者 ID 和群組 ID。這些 IDs用於使用者執行的所有 Amazon Elastic File System 操作。

      • 對於使用者 ID群組 ID,請勿使用任何前導零。例如, 12345 是可接受的, 012345 是不可接受的。

    3. (選用) 對於次要群組 IDs,為每個使用者輸入一或多個額外的 POSIX 群組 IDs,以逗號分隔。

    4. 針對 Access,選擇符合下列條件的 IAM 角色:

      • 讓使用者只能存取您希望他們存取的 Amazon EFS 資源 (檔案系統)。

      • 定義使用者可執行和無法執行的檔案系統操作。

      我們建議您使用 IAM 角色來選取 Amazon EFS 檔案系統,以及掛載存取和讀取/寫入許可。例如,以下兩個 AWS 受管政策的組合雖然相當寬鬆,但 會為您的使用者授予必要的許可:

      • AmazonElasticFileSystemClientFullAccess

      • AWSTransferConsoleFullAccess

      如需詳細資訊,請參閱部落格文章對 AWS Transfer Family Amazon Elastic File System 的支援

    5. 對於主目錄,請執行下列動作:

      • 選擇您要用於儲存資料以使用 傳輸的 Amazon EFS 檔案系統 AWS Transfer Family。

      • 決定是否將主目錄設定為受限制。將主目錄設定為受限制具有下列效果:

        • Amazon EFS 使用者無法存取該資料夾以外的任何檔案或目錄。

        • Amazon EFS 使用者看不到 Amazon EFS 檔案系統名稱 (fs-xxxxxxx)。

          注意

          當您選取限制選項時,不會為 Amazon EFS 使用者解析符號連結。

      • (選用) 輸入您要使用者在使用用戶端登入時所在的主目錄路徑。

        如果您未指定主目錄,則會使用 Amazon EFS 檔案系統的根目錄。在此情況下,請確定您的 IAM 角色提供此根目錄的存取權。

  5. 針對 SSH 公有金鑰,輸入 SSH 金鑰對的公有 SSH 金鑰部分。

    金鑰要先經服務驗證,您才能新增新使用者。

    注意

    如需如何產生 SSH 金鑰對的說明,請參閱為服務受管使用者產生 SSH 金鑰

  6. (選用) 輸入使用者的任何標籤。針對索引鍵,輸入一或多個標籤做為索引鍵/值對,然後選擇新增標籤

  7. 選擇 Add (新增) 將新使用者新增至您選擇的伺服器。

    新使用者會出現在伺服器詳細資訊頁面的使用者區段中。

第一次將 SFTP 傳送到 Transfer Family 伺服器時可能遇到的問題:

  • 如果您執行 sftp命令但未出現提示,您可能會遇到下列訊息:

    Couldn't canonicalize: Permission denied

    Need cwd

    在此情況下,您必須增加使用者角色的政策許可。您可以新增 AWS 受管政策,例如 AmazonElasticFileSystemClientFullAccess

  • 如果您在sftp提示pwd中輸入 以檢視使用者的主目錄,您可能會看到下列訊息,其中 USER-HOME-DIRECTORY 是 SFTP 使用者的主目錄:

    remote readdir("/USER-HOME-DIRECTORY"): No such file or directory

    在這種情況下,您應該能夠導覽至父目錄 (cd ..),並建立使用者的主目錄 (mkdir username)。

後續步驟 – 針對下一個步驟,請繼續執行 使用用戶端透過伺服器端點傳輸檔案

管理服務受管使用者

在本節中,您可以找到如何檢視使用者清單、如何編輯使用者詳細資訊,以及如何新增 SSH 公有金鑰的相關資訊。

尋找您的使用者清單

  1. 在 https://https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台。

  2. 從導覽窗格中選取伺服器以顯示伺服器頁面。

  3. 伺服器 ID 欄中選擇識別符,以查看伺服器詳細資訊頁面。

  4. 使用者下,檢視使用者清單。

檢視或編輯使用者詳細資訊

  1. 在 https://https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台。

  2. 從導覽窗格中選取伺服器以顯示伺服器頁面。

  3. 伺服器 ID 欄中選擇識別符,以查看伺服器詳細資訊頁面。

  4. 使用者下,選擇使用者名稱以查看使用者詳細資訊頁面。

    您可以選擇編輯,在此頁面上變更使用者的屬性。

  5. 使用者詳細資訊頁面上,選擇使用者組態旁的編輯

    顯示編輯使用者組態畫面的影像

  6. 編輯組態頁面上,針對存取,選擇您先前建立的 IAM 角色,以提供對 Amazon S3 儲存貯體的存取。

    您使用建立 IAM 角色和政策的程序建立此 IAM 角色。該 IAM 角色包含一個 IAM 政策,可讓您存取 Amazon S3 儲存貯體。它還包含與 AWS Transfer Family 服務的信任關係,在另一個 IAM 政策中定義。

  7. (選用) 針對政策,選擇下列其中一項:

    • 現有政策

    • 從 IAM 選取政策以選擇現有的政策。選擇檢視以查看包含政策詳細資訊的 JSON 物件。

    若要進一步了解工作階段政策,請參閱 建立 IAM 角色和政策。若要進一步了解如何建立工作階段政策,請參閱 為 Amazon S3 儲存貯體建立工作階段政策

  8. 對於主目錄,選擇 Amazon S3 儲存貯體以存放要使用的資料 AWS Transfer Family。輸入使用者使用其用戶端登入時所到達home目錄的路徑。

    如果您將此參數保留空白,則會使用 Amazon S3 儲存貯體的root目錄。在本例中,請確定您的 IAM 角色能夠存取此 root 目錄。

    注意

    我們建議您選擇包含使用者名稱的目錄路徑,這可讓您有效地使用工作階段政策。工作階段政策會將 Amazon S3 儲存貯體中的使用者存取權限制在該使用者的home目錄。

  9. (選用) 對於受限,選取核取方塊,讓您的使用者無法存取該資料夾以外的任何內容,也看不到 Amazon S3 儲存貯體或資料夾名稱。

    注意

    將主目錄指派給使用者並將使用者限制為該主目錄時,這應該足以鎖定使用者對指定資料夾的存取權。當您需要套用進一步控制時,請使用工作階段政策。

  10. 選擇儲存,以儲存變更。

若要刪除使用者

  1. 在 https://https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台。

  2. 從導覽窗格中選取伺服器以顯示伺服器頁面。

  3. 伺服器 ID 欄中選擇識別符,以查看伺服器詳細資訊頁面。

  4. 使用者下,選擇使用者名稱以查看使用者詳細資訊頁面。

  5. 使用者詳細資訊頁面上,選擇使用者名稱右側的刪除

  6. 在出現的確認對話方塊中,輸入字詞 delete,然後選擇刪除以確認您想要刪除使用者。

使用者會從使用者清單中刪除。

為使用者新增 SSH 公有金鑰

  1. 在 https://https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台。

  2. 在導覽窗格中,選擇 Servers (伺服器)

  3. 伺服器 ID 欄中選擇識別符,以查看伺服器詳細資訊頁面。

  4. 使用者下,選擇使用者名稱以查看使用者詳細資訊頁面。

  5. 選擇 Add SSH public key (新增 SSH 公有金鑰) 來將新的 SSH 公有金鑰新增至使用者。

    注意

    SSH 金鑰僅供啟用 Secure Shell (SSH) 檔案傳輸通訊協定 (SFTP) 的伺服器使用。如需如何產生 SSH 金鑰對的資訊,請參閱 為服務受管使用者產生 SSH 金鑰

  6. 針對 SSH public key (SSH 公有金鑰),輸入 SSH 金鑰對的 SSH 公有金鑰部分。

    金鑰要先經服務驗證,您才能新增新使用者。SSH 金鑰的格式是 ssh-rsa string。若要產生 SSH 金鑰對,請參閱 為服務受管使用者產生 SSH 金鑰

  7. 選擇 Add key (新增金鑰)

刪除使用者的 SSH 公有金鑰

  1. 在 https://https://console.aws.amazon.com/transfer/ 開啟 AWS Transfer Family 主控台。

  2. 在導覽窗格中,選擇 Servers (伺服器)

  3. 伺服器 ID 欄中選擇識別符,以查看伺服器詳細資訊頁面。

  4. 使用者下,選擇使用者名稱以查看使用者詳細資訊頁面。

  5. 若要刪除公有金鑰,請選取其 SSH 金鑰核取方塊,然後選擇刪除