本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理服务器端点的用户
在以下各节中,您可以找到有关如何使用 Amazon Transfer Family Amazon Directory Service for Microsoft Active Directory 或自定义身份提供商添加用户的信息。
如果您使用服务托管身份类型,则将用户添加到您启用文件传输协议的服务器。在执行此操作时,服务器上的各个用户名必须唯一。
作为各个用户属性的一部分,您还可以存储该用户的安全外壳 (SSH) 公有密钥。对于此过程使用的基于密钥的身份验证,必须这样操作。私有密钥存储在您用户的计算机本地。当用户使用客户端发送身份验证请求到服务器时,您的服务器首先确认用户具有关联 SSH 私有密钥的访问权限。然后,服务器成功验证用户身份。
此外,您指定用户的主目录或登录目录,并将 Amazon Identity and Access Management IAM 角色分配给用户。或者,您可以提供一个会话策略来限制用户仅访问 AmazonS3 存储桶的主目录。
重要
Amazon Transfer Family 阻止长度为 1 或 2 个字符的用户名向 SFTP 服务器进行身份验证。此外,我们还屏蔽了 root 用户名。
其背后的原因是密码扫描器进行了大量的恶意登录尝试。
Amazon EFS 与 Amazon S3
每种存储选项的特点:
限制访问权限:Amazon S3 支持会话策略;Amazon EFS 支持 POSIX 用户、组和辅助组 ID
-
两者都支持公开密钥/私有密钥
-
两者都支持主目录
-
两者都支持逻辑目录
注意
对于 Amazon S3,对逻辑目录的大部分支持是通过 API/CLI 实现的。您可以使用控制台中的受限复选框将用户锁定至其主目录,但不能指定虚拟目录结构。
逻辑目录
如果要为用户指定逻辑目录值,则使用的参数取决于用户的类型。
-
对于服务托管的用户,请在
HomeDirectoryMappings中提供逻辑目录值。 -
对于自定义身份提供商用户,请在中提供逻辑目录值
HomeDirectoryDetails。