使用 Amazon Azure 活动目录域服务的目录服务 - Amazon Transfer Family
开始使用适用于 Azure 的 Amazon 目录服务之前 Active Directory 域服务步骤 1:添加 Azure 活动目录域服务步骤 2:创建服务账号步骤 3:使用 AD Connector 设置 Amazon 目录步骤 4:设置 Amazon Transfer Family 服务器步骤 5:授予对组的访问权限步骤 6:测试用户
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Azure 活动目录域服务的目录服务

本主题介绍如何使用 Active Directory Connector 和 Azure 活动目录域服务 (Azure ADDS) 通过 Azure Active Directory 对 SFTP 传输用户进行身份验证。

开始使用适用于 Azure 的 Amazon 目录服务之前 Active Directory 域服务

对于 Amazon,你需要以下内容:

  • 位于您使用 Transfer Family 服务器的 Amazon 区域中的虚拟私有云 (VPC)

  • 您的 VPC 中至少有两个私有子网

  • VPC 必须具备互联网连接

  • 用于连接微软 Azure 的 site-to-site VPN 的客户网关和虚拟专用网关

对于微软 Azure,您需要:

  • Azure 活动目录和活动目录域服务(Azure ADDS)

  • 一个 Azure 资源组

  • Azure 虚拟网络

  • Amazon VPC 和 Azure 资源组之间的 VPN 连接

    注意

    这可以通过本地 IPSEC 隧道或使用 VPN 设备实现。在本主题中,我们使用 Azure 虚拟网络网关和本地网络网关之间的 IPSEC 隧道。必须将隧道配置为允许 Azure ADDS 端点与存放 Amazon VPC 的子网之间的流量。

  • 用于连接微软 Azure 的 site-to-site VPN 的客户网关和虚拟专用网关

下图显示了在开始之前所需的配置。

Azure 广告和 Amazon Transfer Family 架构图。使用连接到 Azure AD 域服务的 Amazon 目录服务连接器,通过互联网连接到 Azure 虚拟网络的 Amazon VPC。

步骤 1:添加 Azure 活动目录域服务

默认情况下,Azure AD 不支持域加入实例。要执行诸如加入域之类的操作以及使用组策略等工具,管理员必须启用 Azure Active Directory 域服务。如果您尚未添加 Azure AD DS,或者现有实现与您希望 SFTP 传输服务器使用的域没有关联,则必须添加一个新实例。

有关启用 Azure 活动目录域服务(Azure ADDS)的信息,请参阅教程:创建和配置 Azure 活动目录域服务托管域

注意

启用 Azure ADDS 时,请确保已针对资源组和 SFTP 传输服务器连接的 Azure AD 域进行了配置。

Azure AD 域服务屏幕显示资源组 bob.us 正在运行。

步骤 2:创建服务账号

Azure AD 必须有一个服务账户,该账户必须是 Azure ADDS 中管理员组的一部分。此帐户与 Act Amazon ive Directory 连接器一起使用。确保此账户与 Azure ADDS 同步。

显示用户个人资料的 Azure AD 屏幕。
提示

使用 SFTP 协议的 Transfer Family 服务器不支持 Azure Active Directory 的多重身份验证。在用户向 SFTP 进行身份验证后,Transfer Family 服务器无法提供 MFA 令牌。在尝试连接之前,请务必禁用 MFA。

Azure AD 多重身份验证详细信息,显示两个用户的 MFA 状态为已禁用。

步骤 3:使用 AD Connector 设置 Amazon 目录

在配置了 Azure ADDS 并创建了在 VPC 和 Azure 虚拟网络之间具有 IPSE Amazon C VPN 隧道的服务帐户后,你可以通过从任何 Amazon EC2 实例执行 ping Azure ADDS DNS IP 地址来测试连接。

在您确认连接处于活动状态后,您可以继续执行以下操作。

使用 AD Connector 设置您的 Amazon 目录

  1. 打开 Directory Service 控制台并选择目录

  2. 选择设置目录

  3. 对于目录类型,请选择 AD Connector

  4. 选择目录大小,选择下一步,然后选择您的 VPC 和子网。

  5. 选择 下一步,然后如下所示填写各字段:

    • 目录 DNS 名称:输入您用于 Azure ADDS 的域名。

    • DNS IP 地址:输入 Azure ADDS IP 地址。

    • 服务器账户用户名密码:输入您在步骤 2:创建服务账户中创建的服务账户的详细信息。

  6. 完成屏幕内容以创建目录服务。

现在,目录状态应为活动,并且可以与 SFTP 传输服务器一起使用了。

目录服务屏幕根据需要显示一个状态为 “活动” 的目录。

步骤 4:设置 Amazon Transfer Family 服务器

使用 SFTP 协议创建 Transfer Family 服务器,身份提供者类型为 Amazon Directory Service。从目录下拉列表中,选择您在步骤 3:使用 AD Connector 设置 Amazon 目录中添加的目录。

注意

如果你在 Transfer Family 服务器中使用了 Microsoft AD Amazon 目录,则无法将其删除。必须先删除服务器,然后才能删除目录。

步骤 5:授予对组的访问权限

创建服务器后,您必须选择目录中哪些组应有权通过启用的协议使用上传和下载文件 Amazon Transfer Family。您可以通过创建访问权限来实现此目的。

注意

用户必须直接属于您授予访问权限的群组。例如,假设 Bob 是用户并属于 GroupA,而 groupA 本身包含在 groupB 中。

  • 如果您向 GroupA 授予访问权限,Bob 就会被授予访问权限。

  • 如果您授予对 GroupB(而不是 GroupA)的访问权限,则 Bob 没有访问权限。

要授予访问权限,您需要检索该组的 SID。

使用以下 Windows PowerShell 命令检索组的 SID,YourGroupName替换为该组的名称。

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
Windows PowerShell 显示正在检索对象 SID。
授予对组的访问权限

  1. 打开 https://console.aws.amazon.com/transfer/

  2. 导航到您的服务器详细信息页面,然后在访问权限部分中,选择添加访问权限

  3. 输入您从上一个过程的输出中收到的 SID。

  4. 在 “访问权限” 中,为群组选择一个 Amazon Identity and Access Management 角色。

  5. 策略部分,选择一个策略。默认值为 None(无)。

  6. 对于主目录,选择与该组的主目录对应的 Amazon S3 存储桶。

  7. 选择添加以创建关联。

您的 Transfer 服务器中的详细信息应类似于以下内容:

Transfer Family 服务器详细信息屏幕的一部分,显示了身份提供者的目录 ID 示例。
Transfer Family 服务器详细信息屏幕的一部分,在屏幕的访问部分显示活动目录的外部 ID。

步骤 6:测试用户

您可以测试 (测试用户) 用户是否有权访问您的服务器的 Amazon Managed Microsoft AD 目录。用户必须正好属于端点配置页面的访问权限部分中列出的一个组(外部 ID)。如果用户不属于任何群组,或者属于多个群组,则不会向该用户授予访问权限。