管理服务器端点的用户 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理服务器端点的用户

在以下各节中,您可以找到有关如何使用 Amazon Transfer Family Amazon Directory Service for Microsoft Active Directory 或自定义身份提供商添加用户的信息。

如果您使用服务托管身份类型,则将用户添加到您启用文件传输协议的服务器。在执行此操作时,服务器上的各个用户名必须唯一。

作为每个用户属性的一部分,您还可以存储该用户的 Secure Shell (SSH) 公钥。对于此过程使用的基于密钥的身份验证,必须这样操作。私有密钥存储在您用户的计算机本地。当您的用户使用客户端向您的服务器发送身份验证请求时,您的服务器会首先确认该用户有权访问关联的SSH私钥。然后,服务器成功验证用户身份。

此外,还可以指定用户的主目录或登录目录,并为该用户分配 Amazon Identity and Access Management (IAM) 角色。或者,您可以提供一个会话策略来限制用户仅访问 AmazonS3 存储桶的主目录。

重要

Amazon Transfer Family 阻止长度为 1 或 2 个字符的用户名向SFTP服务器进行身份验证。此外,我们还屏蔽了 root 用户名。

其背后的原因是密码扫描器进行了大量的恶意登录尝试。

亚马逊EFS与亚马逊 S3

每种存储选项的特点:

  • 限制访问权限:Amazon S3 支持会话策略;Amazon EFS 支持POSIX用户、群组和辅助群组 IDs

  • 两者都支持公开密钥/私有密钥

  • 两者都支持主目录

  • 两者都支持逻辑目录

    注意

    对于 Amazon S3,对逻辑目录的大部分支持都是通过 API /提供的CLI。您可以使用控制台中的受限复选框将用户锁定至其主目录,但不能指定虚拟目录结构。

逻辑目录

如果要为用户指定逻辑目录值,则使用的参数取决于用户的类型。

  • 对于服务托管的用户,请在 HomeDirectoryMappings 中提供逻辑目录值。

  • 对于自定义身份提供商用户,请在中提供逻辑目录值HomeDirectoryDetails