Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

管理服务器端点的用户

在以下各节中，您可以找到有关如何使用 Amazon Transfer Family Amazon Directory Service for Microsoft Active Directory 或自定义身份提供商添加用户的信息。

作为各个用户属性的一部分，您还可以存储该用户的安全外壳 (SSH) 公有密钥。基于密钥的身份验证需要这样做。私有密钥存储在您用户的计算机本地。当用户使用客户端发送身份验证请求到服务器时，您的服务器首先确认用户具有关联 SSH 私有密钥的访问权限。然后，服务器成功验证用户身份。

此外，您指定用户的主目录或登录目录，并将 Amazon Identity and Access Management IAM 角色分配给用户。或者，您可以提供一个会话策略来限制用户仅访问 AmazonS3 存储桶的主目录。

Amazon EFS 与 Amazon S3

每种存储选项的特点：

逻辑目录

如果要为用户指定逻辑目录值，则使用的参数取决于用户的类型。

Amazon Transfer Family 支持在使用 LO HomeDirectory GICAL 时指定值 HomeDirectoryType。这适用于响应中提供的服务托管用户、Active Directory 访问权限和自定义身份提供 HomeDirectoryDetails 者实现。

默认行为

默认情况下，如果未指定， HomeDirectory 则逻辑模式将设置为 “/”。此行为保持不变，并且与现有用户定义保持兼容。

自定义身份提供商注意事项

使用自定义身份提供程序时，您现在可以在使用 LOGICA HomeDirectory L 的同时在响应中指定 HomeDirectoryType。当自定义 IDP 在逻辑模式下指定时， TestIdentityProvider API 调用将生成正确的结果。 HomeDirectory

带有 HomeDirectory 和逻辑 HomeDirectoryType的自定义 IDP 响应示例：

{
  "Role": "arn:aws:iam::123456789012:role/transfer-user-role",
  "HomeDirectoryType": "LOGICAL",
  "HomeDirectory": "/marketing",
  "HomeDirectoryDetails": "[{\"Entry\":\"/\",\"Target\":\"/bucket/home\"},{\"Entry\":\"/marketing\",\"Target\":\"/marketing-bucket/campaigns\"}]"
}

活动目录组配额

Amazon Transfer Family 默认限制为每台服务器 100 个 Active Directory 组。如果您的用例需要超过 100 个群组，请考虑使用自定义身份提供商解决方案，如使用自定义身份提供商简化 Active Directory 身份验证中所述 Amazon Transfer Family。

此限制适用于使用以下身份提供商的服务器：

如果您需要申请提高服务限制，请参阅中的Amazon Web Services 服务 配额Amazon Web Services 一般参考。如果您的用例需要超过 100 个群组，请考虑使用自定义身份提供商解决方案，如使用自定义身份提供商简化 Active Directory 身份验证中所述 Amazon Transfer Family。

有关 Active Directory 组限制的疑难解答信息，请参阅已超出活动目录组限制。