本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用服務受管使用者
<a name="service-managed-users"></a>

視伺服器的**網域**設定而定，您可以將 Amazon S3 或 Amazon EFS 服務受管使用者新增至您的伺服器。如需詳細資訊，請參閱[設定 SFTP、FTPS 或 FTP 伺服器端點](tf-server-endpoint.md)。

如果您使用服務受管身分類型，您可以將使用者新增至已啟用檔案傳輸通訊協定的伺服器。當您這樣做時，每個使用者名稱在伺服器上都必須是唯一的。

若要以程式設計方式新增服務受管使用者，請參閱 [CreateUser](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html) API [的範例](https://docs.aws.amazon.com/transfer/latest/APIReference/API_CreateUser.html#API_CreateUser_Examples)。

**注意**  
對於服務受管使用者，限制為 2，000 個邏輯目錄項目。如需使用邏輯目錄的詳細資訊，請參閱 [使用邏輯目錄來簡化 Transfer Family 目錄結構](logical-dir-mappings.md)。

**Topics**
+ [新增 Amazon S3 服務受管使用者](#add-s3-user)
+ [新增 Amazon EFS 服務受管使用者](#add-efs-user)
+ [管理服務受管使用者](#managing-service-managed-users)

## 新增 Amazon S3 服務受管使用者
<a name="add-s3-user"></a>

**注意**  
 如果您想要設定跨帳戶 Amazon S3 儲存貯體，請遵循本 知識中心文章中所述的步驟：[如何將 AWS Transfer Family 伺服器設定為使用另一個 AWS 帳戶中的 Amazon Simple Storage Service 儲存貯體？](https://aws.amazon.com/premiumsupport/knowledge-center/sftp-cross-account-s3-bucket/)。

**將 Amazon S3 服務受管使用者新增至您的伺服器**

1. 在 https：//[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) 開啟 AWS Transfer Family 主控台，然後從導覽窗格中選取**伺服器**。

1. 在**伺服器**頁面上，選取要新增使用者的伺服器核取方塊。

1. 選擇**新增使用者**。

1. 在**使用者組態**區段中，針對**使用者名稱**輸入使用者名稱。此使用者名稱必須至少為 3 個字元，最多為 100 個字元。您可以在使用者名稱中使用下列字元：a–z、A-Z、0–9、底線 '\_'、連字號 '-'、句點 '.' 和符號 '@'。使用者名稱開頭不能是連字號 '-'、句點 '.' 或符號 '@'。

1. 針對 **Access**，選擇您先前建立的 IAM 角色，該角色可讓您存取 Amazon S3 儲存貯體。

   您使用[建立 IAM 角色和政策](requirements-roles.md)的程序建立此 IAM 角色。該 IAM 角色包含 IAM 政策，可讓您存取 Amazon S3 儲存貯體。它還包含與 AWS Transfer Family 服務的信任關係，在另一個 IAM 政策中定義。若您的使用者需要精細存取控制，請參閱[使用 AWS Transfer Family 和 Amazon S3 增強資料存取控制](https://aws.amazon.com/blogs/storage/enhance-data-access-control-with-aws-transfer-family-and-amazon-s3-access-points/)部落格文章。

1. （選用） 針對**政策**，選取下列其中一項：
   + **無**
   + **現有政策**
   + **從 IAM 選取政策**： 可讓您選擇現有的工作階段政策。選擇**檢視**以查看包含政策詳細資訊的 JSON 物件。
   + **根據主資料夾自動產生政策**： 會為您產生工作階段政策。選擇**檢視**以查看包含政策詳細資訊的 JSON 物件。
**注意**  
如果您選擇**根據主資料夾自動產生政策**，請勿為此使用者選取**限制**。

   若要進一步了解工作階段政策，請參閱 [建立 IAM 角色和政策](requirements-roles.md)、 [為 Amazon S3 儲存貯體建立工作階段政策](users-policies-session.md)或 [動態許可管理方法](dynamic-permission-management.md)。

1. 對於**主目錄**，選擇 Amazon S3 儲存貯體以存放要使用的資料 AWS Transfer Family。輸入使用者使用其用戶端登入時所到達`home`目錄的路徑。

   如果您將此參數保留空白，則會使用 Amazon S3 儲存貯體的`root`目錄。在本例中，請確定您的 IAM 角色能夠存取此 `root` 目錄。
**注意**  
我們建議您選擇包含使用者名稱的目錄路徑，這可讓您有效地使用工作階段政策。工作階段政策會將 Amazon S3 儲存貯體中的使用者存取權限制在該使用者的`home`目錄。

1. （選用） 對於**受限**，選取核取方塊，讓您的使用者無法存取該資料夾以外的任何內容，也看不到 Amazon S3 儲存貯體或資料夾名稱。
**注意**  
將主目錄指派給使用者，並將使用者限制為該主目錄，就足以鎖定使用者對指定資料夾的存取權。如果您需要套用進一步的控制項，請使用工作階段政策。  
如果您為此使用者選取**限制**，則無法**根據主資料夾選取自動產生政策**，因為主資料夾不是受限制使用者的定義值。

1. 針對 **SSH 公有金鑰**，輸入 SSH 金鑰對的公有 SSH 金鑰部分。

   金鑰要先經服務驗證，您才能新增新使用者。
**注意**  
如需如何產生 SSH 金鑰對的說明，請參閱[為服務受管使用者產生 SSH 金鑰](sshkeygen.md)。

1. （選用） 針對**索引鍵**和**值**，輸入一或多個標籤做為索引鍵/值對，然後選擇**新增標籤**。

1. 選擇 **Add (新增)** 將新使用者新增至您選擇的伺服器。

   新使用者會出現在**伺服器詳細資訊**頁面**的使用者**區段中。

**後續步驟** – 對於下一個步驟，請繼續執行 [使用用戶端透過伺服器端點傳輸檔案](transfer-file.md)。

## 新增 Amazon EFS 服務受管使用者
<a name="add-efs-user"></a>

Amazon EFS 使用可攜式作業系統界面 (POSIX) 檔案許可模型來代表檔案擁有權。
+  如需 Amazon EFS 檔案擁有權的詳細資訊，請參閱 [Amazon EFS 檔案擁有權](configure-storage.md#efs-file-ownership)。
+ 如需為您的 EFS 使用者設定目錄的詳細資訊，請參閱 [為 Transfer 系列設定 Amazon EFS 使用者](configure-storage.md#configure-efs-users-permissions)。

**將 Amazon EFS 服務受管使用者新增至您的伺服器**

1. 在 https：//[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) 開啟 AWS Transfer Family 主控台，然後從導覽窗格中選取**伺服器**。

1. 在**伺服器**頁面上，選取要新增使用者的 Amazon EFS 伺服器。

1. 選擇**新增使用者**以顯示**新增使用者**頁面。

1. 在**使用者組態**區段中，使用下列設定。

   1. **使用者名稱** 必須至少為 3 個字元，最多為 100 個字元。您可以在使用者名稱中使用下列字元：a–z、A-Z、0–9、底線 '\_'、連字號 '-'、句點 '.' 和符號 "@"。使用者名稱開頭不能是連字號 '-'、句點 '.' 或符號 "@"。

   1.  對於**使用者 ID** 和**群組 ID**，請注意下列事項：
      + 對於您建立的第一個使用者，我們建議您**0**為**群組 ID** 和**使用者 ID** 輸入 的值。這會授予 Amazon EFS 的使用者管理員權限。
      + 對於其他使用者，輸入使用者的 POSIX 使用者 ID 和群組 ID。這些 IDs用於使用者執行的所有 Amazon Elastic File System 操作。
      + 對於**使用者 ID** 和**群組 ID**，請勿使用任何前導零。例如， **12345** 是可接受的， **012345** 是不可接受的。

   1. （選用） 對於**次要群組 IDs**，為每個使用者輸入一或多個額外的 POSIX 群組 IDs，以逗號分隔。

   1. 針對 **Access**，選擇符合下列條件的 IAM 角色：
      + 讓使用者只能存取您希望他們存取的 Amazon EFS 資源 （檔案系統）。
      + 定義使用者可執行和無法執行的檔案系統操作。

      我們建議您使用 IAM 角色來選取 Amazon EFS 檔案系統，以及掛載存取和讀取/寫入許可。例如，以下兩個 AWS 受管政策的組合雖然相當寬鬆，但 會為您的使用者授予必要的許可：
      +  AmazonElasticFileSystemClientFullAccess 
      +  AWSTransferConsoleFullAccess 

      如需詳細資訊，請參閱部落格文章對 [AWS Transfer Family Amazon Elastic File System 的支援](https://aws.amazon.com/blogs/aws/new-aws-transfer-family-support-for-amazon-elastic-file-system/)。

   1. 對於**主目錄**，請執行下列動作：
      + 選擇您要用來存放要用來傳輸資料的 Amazon EFS 檔案系統 AWS Transfer Family。
      + 決定是否將主目錄設定為**受限制**。將主目錄設定為**受限制**具有下列效果：
        + Amazon EFS 使用者無法存取該資料夾以外的任何檔案或目錄。
        + Amazon EFS 使用者看不到 Amazon EFS 檔案系統名稱 (**fs-xxxxxxx**)。
**注意**  
當您選取**限制**選項時，不會為 Amazon EFS 使用者解析符號連結。
      + （選用） 輸入您要使用者在使用用戶端登入時所在的主目錄路徑。

        如果您未指定主目錄，則會使用 Amazon EFS 檔案系統的根目錄。在此情況下，請確定您的 IAM 角色提供此根目錄的存取權。

1. 針對 **SSH 公有金鑰**，輸入 SSH 金鑰對的公有 SSH 金鑰部分。

   金鑰要先經服務驗證，您才能新增新使用者。
**注意**  
如需如何產生 SSH 金鑰對的說明，請參閱[為服務受管使用者產生 SSH 金鑰](sshkeygen.md)。

1. （選用） 輸入使用者的任何標籤。針對**索引鍵**和**值**，輸入一或多個標籤做為索引鍵/值對，然後選擇**新增標籤**。

1. 選擇 **Add (新增)** 將新使用者新增至您選擇的伺服器。

   新使用者會出現在**伺服器詳細資訊**頁面**的使用者**區段中。

 第一次將 SFTP 傳送到 Transfer Family 伺服器時可能遇到的問題：
+  如果您執行 `sftp`命令但未出現提示，您可能會遇到下列訊息：

   `Couldn't canonicalize: Permission denied` 

   `Need cwd` 

   在此情況下，您必須增加使用者角色的政策許可。您可以新增 AWS 受管政策，例如 `AmazonElasticFileSystemClientFullAccess`。
+ 如果您在`sftp`提示`pwd`中輸入 以檢視使用者的主目錄，您可能會看到以下訊息，其中 {{USER-HOME-DIRECTORY}} 是 SFTP 使用者的主目錄：

   `remote readdir("/{{USER-HOME-DIRECTORY}}"): No such file or directory` 

  在此情況下，您應該能夠導覽至父目錄 (`cd ..`)，並建立使用者的主目錄 (`mkdir {{username}}`)。

**後續步驟** – 對於下一個步驟，請繼續執行 [使用用戶端透過伺服器端點傳輸檔案](transfer-file.md)。

## 管理服務受管使用者
<a name="managing-service-managed-users"></a>

 在本節中，您可以找到如何檢視使用者清單、如何編輯使用者詳細資訊，以及如何新增 SSH 公有金鑰的相關資訊。
+ [檢視使用者清單](#list-users)
+ [檢視或編輯使用者詳細資訊](#view-user-details)
+ [刪除使用者](#delete-user)
+ [新增 SSH 公有金鑰](#add-user-ssh-key)
+ [刪除 SSH 公有金鑰](#delete-user-ssh-key)<a name="list-users"></a>

**尋找您的使用者清單**

1. 在 https：//[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) 開啟 AWS Transfer Family 主控台。

1. 從導覽窗格中選取**伺服器**以顯示**伺服器**頁面。

1. 在**伺服器 ID** 欄中選擇識別符，以查看**伺服器詳細資訊**頁面。

1. 在**使用者**下，檢視使用者清單。<a name="view-user-details"></a>

**檢視或編輯使用者詳細資訊**

1. 在 https：//[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) 開啟 AWS Transfer Family 主控台。

1. 從導覽窗格中選取**伺服器**以顯示**伺服器**頁面。

1. 在**伺服器 ID** 欄中選擇識別符，以查看**伺服器詳細資訊**頁面。

1. 在**使用者**下，選擇使用者名稱以查看**使用者詳細資訊**頁面。

   您可以選擇**編輯**，在此頁面上變更使用者的屬性。

1. 在**使用者詳細資訊**頁面上，選擇**使用者組態**旁的**編輯**。  
![顯示編輯使用者組態畫面的影像](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/edit-user-details-page-user-config.png)

1. 在**編輯組態**頁面上，針對**存取**，選擇您先前建立的 IAM 角色，以提供對 Amazon S3 儲存貯體的存取。

   您使用[建立 IAM 角色和政策](requirements-roles.md)的程序建立此 IAM 角色。該 IAM 角色包含 IAM 政策，可讓您存取 Amazon S3 儲存貯體。它還包含與 AWS Transfer Family 服務的信任關係，在另一個 IAM 政策中定義。

1. （選用） 針對**政策**，選擇下列其中一項：
   + **無**
   + **現有政策**
   + **從 IAM 選取政策**以選擇現有的政策。選擇**檢視**以查看包含政策詳細資訊的 JSON 物件。

   若要進一步了解工作階段政策，請參閱 [建立 IAM 角色和政策](requirements-roles.md)。若要進一步了解如何建立工作階段政策，請參閱 [為 Amazon S3 儲存貯體建立工作階段政策](users-policies-session.md)。

1. 對於**主目錄**，選擇 Amazon S3 儲存貯體以存放要使用的資料 AWS Transfer Family。輸入使用者使用其用戶端登入時所到達`home`目錄的路徑。

   如果您將此參數保留空白，則會使用 Amazon S3 儲存貯體的`root`目錄。在本例中，請確定您的 IAM 角色能夠存取此 `root` 目錄。
**注意**  
我們建議您選擇包含使用者名稱的目錄路徑，這可讓您有效地使用工作階段政策。工作階段政策會將 Amazon S3 儲存貯體中的使用者存取權限制在該使用者的`home`目錄。

1. （選用） 對於**受限**，選取核取方塊，讓您的使用者無法存取該資料夾以外的任何內容，也看不到 Amazon S3 儲存貯體或資料夾名稱。
**注意**  
為使用者指派主目錄並將使用者限制為該主目錄時，這應該足以鎖定使用者對指定資料夾的存取。當您需要套用進一步控制時，請使用工作階段政策。

1. 選擇**儲存**，以儲存變更。<a name="delete-user"></a>

**若要刪除使用者**

1. 在 https：//[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) 開啟 AWS Transfer Family 主控台。

1. 從導覽窗格中選取**伺服器**以顯示**伺服器**頁面。

1. 在**伺服器 ID** 欄中選擇識別符，以查看**伺服器詳細資訊**頁面。

1. 在**使用者**下，選擇使用者名稱以查看**使用者詳細資訊**頁面。

1. 在**使用者詳細資訊**頁面上，選擇使用者名稱右側的**刪除**。

1. 在出現的確認對話方塊中，輸入字詞 **delete**，然後選擇**刪除**以確認您想要刪除使用者。

 使用者會從使用者****清單中刪除。<a name="add-user-ssh-key"></a>

**為使用者新增 SSH 公有金鑰**

1. 在 https：//[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) 開啟 AWS Transfer Family 主控台。

1. 在導覽窗格中，選擇 **Servers (伺服器)**。

1. 在**伺服器 ID** 欄中選擇識別符，以查看**伺服器詳細資訊**頁面。

1. 在**使用者**下，選擇使用者名稱以查看**使用者詳細資訊**頁面。

1. 選擇 **Add SSH public key (新增 SSH 公有金鑰)** 來將新的 SSH 公有金鑰新增至使用者。
**注意**  
SSH 金鑰僅供啟用 Secure Shell (SSH) 檔案傳輸通訊協定 (SFTP) 的伺服器使用。如需如何產生 SSH 金鑰對的資訊，請參閱 [為服務受管使用者產生 SSH 金鑰](sshkeygen.md)。

1. 針對 **SSH public key (SSH 公有金鑰)**，輸入 SSH 金鑰對的 SSH 公有金鑰部分。

   金鑰要先經服務驗證，您才能新增新使用者。SSH 金鑰的格式是 `ssh-rsa {{string}}`。若要產生 SSH 金鑰對，請參閱 [為服務受管使用者產生 SSH 金鑰](sshkeygen.md)。

1. 選擇 **Add key (新增金鑰)**。<a name="delete-user-ssh-key"></a>

**刪除使用者的 SSH 公有金鑰**

1. 在 https：//[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/) 開啟 AWS Transfer Family 主控台。

1. 在導覽窗格中，選擇 **Servers (伺服器)**。

1. 在**伺服器 ID** 欄中選擇識別符，以查看**伺服器詳細資訊**頁面。

1. 在**使用者**下，選擇使用者名稱以查看**使用者詳細資訊**頁面。

1. 若要刪除公有金鑰，請選取其 SSH 金鑰核取方塊，然後選擇**刪除**。