本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CreateAccess
管理员使用它来选择目录中哪些组应该有权通过启用的协议上传和下载文件 Amazon Transfer Family。例如,Microsoft Active Directory 可能包含 50,000 个用户,但只有一小部分用户可能需要能够将文件传输到服务器。管理员可以使用 CreateAccess 将访问权限限制为需要此功能的正确用户组。
请求语法
{
"ExternalId": "string",
"HomeDirectory": "string",
"HomeDirectoryMappings": [
{
"Entry": "string",
"Target": "string",
"Type": "string"
}
],
"HomeDirectoryType": "string",
"Policy": "string",
"PosixProfile": {
"Gid": number,
"SecondaryGids": [ number ],
"Uid": number
},
"Role": "string",
"ServerId": "string"
}请求参数
有关所有操作的通用参数的信息,请参阅通用参数。
该请求接受以下JSON格式的数据。
- ExternalId
-
识别目录中特定组所需的唯一标识符。您关联的群组中的用户可以通过启用的协议访问您的 Amazon S3 或 Amazon EFS 资源 Amazon Transfer Family。如果您知道组名,则可以使用 Windows 运行以下命令来查看这些SID值 PowerShell。
Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid在该命令中,替换为您的 YourGroupNameActive Directory 组的名称。
用于验证此参数的正则表达式是由不带空格的大写和小写字母数字字符组成的字符串。此外,还可以包括下划线或以下任何字符:=、.@:/-
类型:字符串
长度限制:最小长度为 1。最大长度为 256。
模式:
S-1-[\d-]+必需:是
- HomeDirectory
-
用户使用客户端登录服务器时的登录目录(文件夹)。
HomeDirectory示例为/bucket_name/home/mydirectory。注意
HomeDirectory参数仅在HomeDirectoryType设置为PATH时使用。类型:字符串
长度约束:最小长度为 0。最大长度为 1024。
模式:
(|/.*)必需:否
- HomeDirectoryMappings
-
逻辑目录映射,用于指定哪些 Amazon S3 或 Amazon EFS 路径和密钥应该对您的用户可见,以及您希望如何让它们可见。您必须指定
Entry和Target对,其中Entry显示路径是如何显示的,并且Target是实际的 Amazon S3 或 Amazon EFS 路径。如果您只指定一个目标,则将按原样显示。您还必须确保您的 Amazon Identity and Access Management (IAM) 角色提供对中路径的访问权限Target。只有当设置为时,才能设置HomeDirectoryType此值LOGICAL。以下是
Entry和Target对的示例。[ { "Entry": "/directory1", "Target": "/bucket_name/home/mydirectory" } ]在大多数情况下,您可以使用此值而不是会话策略将您的用户锁定到指定的主目录(“
chroot”)。为此,您可以将Entry设置为/并将Target设置为HomeDirectory参数值。以下是
chroot的Entry和Target对示例。[ { "Entry": "/", "Target": "/bucket_name/home/mydirectory" } ]类型:HomeDirectoryMapEntry 对象数组
数组成员:最少 1 个物品。最大数量为 50000 件物品。
必需:否
- HomeDirectoryType
-
您希望用户在登录服务器时,用户主目录的登录目录(文件夹)的类型。如果您将其设置为
PATH,则用户将在其文件传输协议客户端中看到绝对的 Amazon S3 存储桶或 Amazon EFS 路径。如果将其设置为LOGICAL,则需要在中提供映射,说明如何让用户看见 Amazon S3 或 Amazon EFS 路径。HomeDirectoryMappings注意
如果
HomeDirectoryType是LOGICAL,则必须使用HomeDirectoryMappings参数提供映射。另一方面,如果HomeDirectoryType是PATH,则使用HomeDirectory参数提供绝对路径。您的模板中不能同时使用HomeDirectory和HomeDirectoryMappings。类型:字符串
有效值:
PATH | LOGICAL必需:否
- Policy
-
适用于您的用户的会话策略,以便您可以跨多个用户使用相同的 Amazon Identity and Access Management (IAM) 角色。此策略将用户的访问权限缩小至 Amazon S3 存储桶的一部分。可在此策略中使用的变量包括
${Transfer:UserName}、${Transfer:HomeDirectory}和${Transfer:HomeBucket}。注意
仅当
ServerId域为 Amazon S3 时,此政策才适用。Amazon EFS 不使用会话策略。对于会话策略,将策略 Amazon Transfer Family 存储为 JSON blob,而不是策略的 Amazon 资源名称 (ARN)。您将策略另存为 JSON blob 并将其传递到
Policy参数中。有关会话策略的示例,请参阅示例会话策略。
有关更多信息,请参阅 “ Amazon Security Token Service API参考” AssumeRole中的。
类型:字符串
长度约束:最小长度为 0。最大长度为 2048。
必需:否
- PosixProfile
-
控制用户访问您的 Amazon EFS 文件系统的完整POSIX身份,包括用户 ID IDs (
UidGidSecondaryGids)、群组 ID () 和任何次要群组 ()。对文件系统中的文件和目录设置的POSIX权限决定了您的用户在将文件传入和传出您的 Amazon EFS 文件系统时获得的访问权限级别。类型:PosixProfile 对象
必需:否
- Role
-
() 角色的亚马逊资源名称 (ARN),用于控制您的用户对您的 Amazon S3 存储桶或亚马逊EFS文件系统的访问权限。 Amazon Identity and Access Management IAM附加到此角色的策略决定了在将文件传入和传出您的 Amazon S3 存储桶或 Amazon EFS 文件系统时,您希望向用户提供的访问权限级别。该IAM角色还应包含信任关系,允许服务器在为用户的转移请求提供服务时访问您的资源。
类型:字符串
长度约束:最小长度为 20。最大长度为 2048。
模式:
arn:.*role/\S+必需:是
- ServerId
-
服务器实例的系统分配的唯一标识符。这是将您的用户添加到的特定服务器。
类型:字符串
长度限制:固定长度为 19。
模式:
s-([0-9a-f]{17})必需:是
响应语法
{
"ExternalId": "string",
"ServerId": "string"
}响应元素
如果操作成功,服务将发回 HTTP 200 响应。
以下数据由服务以JSON格式返回。
- ExternalId
-
用户可以通过启用的协议访问您的 Amazon S3 或 Amazon EFS 资源的群组的外部标识符 Amazon Transfer Family。
类型:字符串
长度限制:最小长度为 1。最大长度为 256。
模式:
S-1-[\d-]+ - ServerId
-
用户连接到的服务器的标识符。
类型:字符串
长度限制:固定长度为 19。
模式:
s-([0-9a-f]{17})
错误
有关所有操作的常见错误的信息,请参阅常见错误。
- InternalServiceError
-
当 Amazon Transfer Family 服务中发生错误时,会引发此异常。
HTTP状态码:500
- InvalidRequestException
-
当客户端提交格式错误的请求时,会引发此异常。
HTTP状态码:400
- ResourceExistsException
-
请求的资源不存在,或者存在于为命令指定的区域以外的区域。
HTTP状态码:400
- ResourceNotFoundException
-
当 Transfer Family 服务找不到资源时,就会 Amazon引发此异常。
HTTP状态码:400
- ServiceUnavailableException
-
请求失败,因为 Trans Amazon fer Family 服务不可用。
HTTP状态码:500
另请参阅
有关API在一种特定语言中使用此功能的更多信息 Amazon SDKs,请参阅以下内容: