本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Amazon Azure 活动目录域服务的目录服务
-
要利用现有的活动目录林来满足 SFTP 传输需求,可以使用 Active Directory Connector。
-
如果您想在完全托管的服务中获得活动目录的好处和高可用性,则可以使用 Amazon Directory Service for Microsoft Active Directory。有关更多信息,请参阅 使用微软 Active Directory 的 Amazon 目录服务。
本主题介绍如何使用 Active Directory Connector 和 Azure 活动目录域服务 (Azure ADDS)
主题
开始使用适用于 Azure 的 Amazon 目录服务之前 Active Directory 域服务
对于 Amazon,你需要以下内容:
-
位于您使用 Transfer Family 服务器的 Amazon 区域中的虚拟私有云 (VPC)
-
您的 VPC 中至少有两个私有子网
-
VPC 必须具备互联网连接
-
用于连接微软 Azure 的 site-to-site VPN 的客户网关和虚拟专用网关
对于微软 Azure,您需要:
-
Azure 活动目录和活动目录域服务(Azure ADDS)
-
一个 Azure 资源组
-
Azure 虚拟网络
-
Amazon VPC 和 Azure 资源组之间的 VPN 连接
注意
这可以通过本地 IPSEC 隧道或使用 VPN 设备实现。在本主题中,我们使用 Azure 虚拟网络网关和本地网络网关之间的 IPSEC 隧道。必须将隧道配置为允许 Azure ADDS 端点与存放 Amazon VPC 的子网之间的流量。
-
用于连接微软 Azure 的 site-to-site VPN 的客户网关和虚拟专用网关
下图显示了在开始之前所需的配置。
![Azure 广告和 Amazon Transfer Family 架构图。使用连接到 Azure AD 域服务的 Amazon 目录服务连接器,通过互联网连接到 Azure 虚拟网络的 Amazon VPC。](images/azure-architecture.png)
步骤 1:添加 Azure 活动目录域服务
默认情况下,Azure AD 不支持域加入实例。要执行诸如加入域之类的操作以及使用组策略等工具,管理员必须启用 Azure Active Directory 域服务。如果您尚未添加 Azure AD DS,或者现有实现与您希望 SFTP 传输服务器使用的域没有关联,则必须添加一个新实例。
有关启用 Azure 活动目录域服务(Azure ADDS)的信息,请参阅教程:创建和配置 Azure 活动目录域服务托管域
注意
启用 Azure ADDS 时,请确保已针对资源组和 SFTP 传输服务器连接的 Azure AD 域进行了配置。
![Azure AD 域服务屏幕显示资源组 bob.us 正在运行。](images/azure-ad-add-instance.png)
步骤 2:创建服务账号
Azure AD 必须有一个服务账户,该账户必须是 Azure ADDS 中管理员组的一部分。此帐户与 Act Amazon ive Directory 连接器一起使用。确保此账户与 Azure ADDS 同步。
![显示用户个人资料的 Azure AD 屏幕。](images/azure-service-acct.png)
提示
使用 SFTP 协议的 Transfer Family 服务器不支持 Azure Active Directory 的多重身份验证。在用户向 SFTP 进行身份验证后,Transfer Family 服务器无法提供 MFA 令牌。在尝试连接之前,请务必禁用 MFA。
![Azure AD 多重身份验证详细信息,显示两个用户的 MFA 状态为已禁用。](images/azure-ad-mfa-disable.png)
步骤 3:使用 AD Connector 设置 Amazon 目录
在配置了 Azure ADDS 并创建了在 VPC 和 Azure 虚拟网络之间具有 IPSE Amazon C VPN 隧道的服务帐户后,你可以通过从任何 Amazon EC2 实例执行 ping Azure ADDS DNS IP 地址来测试连接。
在您确认连接处于活动状态后,您可以继续执行以下操作。
使用 AD Connector 设置您的 Amazon 目录
-
打开 Directory Service
控制台并选择目录。 -
选择设置目录。
-
对于目录类型,请选择 AD Connector。
-
选择目录大小,选择下一步,然后选择您的 VPC 和子网。
-
选择 下一步,然后如下所示填写各字段:
-
目录 DNS 名称:输入您用于 Azure ADDS 的域名。
-
DNS IP 地址:输入 Azure ADDS IP 地址。
-
服务器账户用户名和密码:输入您在步骤 2:创建服务账户中创建的服务账户的详细信息。
-
-
完成屏幕内容以创建目录服务。
现在,目录状态应为活动,并且可以与 SFTP 传输服务器一起使用了。
![目录服务屏幕根据需要显示一个状态为 “活动” 的目录。](images/azure-connector-ready.png)
步骤 4:设置 Amazon Transfer Family 服务器
使用 SFTP 协议创建 Transfer Family 服务器,身份提供者类型为 Amazon Directory Service。从目录下拉列表中,选择您在步骤 3:使用 AD Connector 设置 Amazon 目录中添加的目录。
注意
如果你在 Transfer Family 服务器中使用了 Microsoft AD Amazon 目录,则无法将其删除。必须先删除服务器,然后才能删除目录。
步骤 5:授予对组的访问权限
创建服务器后,您必须选择目录中哪些组应有权通过启用的协议使用上传和下载文件 Amazon Transfer Family。您可以通过创建访问权限来实现此目的。
注意
用户必须直接属于您授予访问权限的群组。例如,假设 Bob 是用户并属于 GroupA,而 groupA 本身包含在 groupB 中。
-
如果您向 GroupA 授予访问权限,Bob 就会被授予访问权限。
-
如果您授予对 GroupB(而不是 GroupA)的访问权限,则 Bob 没有访问权限。
要授予访问权限,您需要检索该组的 SID。
使用以下 Windows PowerShell 命令检索组的 SID,YourGroupName
替换为该组的名称。
Get-ADGroup -Filter {samAccountName -like "
YourGroupName
*"} -Properties * | Select SamAccountName,ObjectSid
![Windows PowerShell 显示正在检索对象 SID。](images/azure-grant-access.png)
授予对组的访问权限
-
导航到您的服务器详细信息页面,然后在访问权限部分中,选择添加访问权限。
-
输入您从上一个过程的输出中收到的 SID。
-
在 “访问权限” 中,为群组选择一个 Amazon Identity and Access Management 角色。
-
在策略部分,选择一个策略。默认值为 None(无)。
-
对于主目录,选择与该组的主目录对应的 Amazon S3 存储桶。
-
选择添加以创建关联。
您的 Transfer 服务器中的详细信息应类似于以下内容:
![Transfer Family 服务器详细信息屏幕的一部分,显示了身份提供者的目录 ID 示例。](images/azure-assoc-1.png)
![Transfer Family 服务器详细信息屏幕的一部分,在屏幕的访问部分显示活动目录的外部 ID。](images/azure-assoc-2.png)
步骤 6:测试用户
您可以测试 (测试用户) 用户是否有权访问您的服务器的 Amazon Managed Microsoft AD 目录。用户必须正好属于端点配置页面的访问权限部分中列出的一个组(外部 ID)。如果用户不属于任何群组,或者属于多个群组,则不会向该用户授予访问权限。