使用 Amazon Directory Service for Microsoft Active Directory - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Directory Service for Microsoft Active Directory

您可以使用Amazon Transfer Family对文件传输最终用户进行身份验证,使用Amazon Directory Service for Microsoft Active Directory。它可以无缝迁移依赖 Active Directory 身份验证的文件传输工作流,而无需更改最终用户的凭据或需要自定义授权程序。

与Amazon Managed Microsoft AD,您可以安全地提供Amazon Directory Service用户和组通过 SFTP、FTPS 和 FTP 访问存储在亚马逊简单存储服务 (Amazon S3) 或 Amazon Elastic File System (亚马逊 EFS) 中的数据。如果您使用 Active Directory 存储用户的凭据,则现在可以更简单地为这些用户启用文件传输的方法。

您可以提供对活动目录组的访问权限Amazon Managed Microsoft AD在您的本地环境或Amazon云使用活动目录连接器。您可以为已在 Microsoft Windows 环境中配置的用户提供Amazon云或其本地网络中,可以访问Amazon Transfer Family服务器使用Amazon Managed Microsoft AD身份。

使用Amazon Managed Microsoft AD,您必须执行下列步骤:

  1. 创建一个或多个Amazon Managed Microsoft AD目录使用Amazon Directory Service控制台。

  2. 使用 Transfer Family 控制台创建使用Amazon Managed Microsoft AD作为其身份提供商。

  3. 从您的一个或多个Amazon Directory Service组中)。

  4. 虽然不是必需的,但我们建议您测试和验证用户访问。

在您开始之前

在您可以使用Amazon Managed Microsoft AD,则必须为 Microsoft AD 目录中的每个组提供唯一标识符。您可以为每个组使用安全标识符 (SID) 来执行此操作。您关联的组的用户可以通过启用的协议访问您的 Amazon S3 或 Amazon EFS 资源,使用AmazonTransfer Family。

使用以下 Windows PowerShell 命令检索组的 SID,替换您的组名替换为组的名称。

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid

选择Amazon Managed Microsoft AD作为身份提供商

本节说明如何将Amazon Directory Service for Microsoft Active Directory与服务器一起使用。

使用Amazon Managed Microsoft AD带 TTransfer Family

  1. 登录到Amazon Web Services Management Console,然后打开Amazon Directory Service控制台https://console.aws.amazon.com/directoryservicev2/

    使用Amazon Directory Service控制台配置一个或多个托管目录。有关更多信息,请参阅 。Amazon Managed Microsoft AD中的 Amazon Directory Service管理员指南

    
                        显示目录列表的 Directory Service 控制台的控制台屏幕截图。
  2. 打开Amazon Transfer Family控制台https://console.aws.amazon.com/transfer/,然后选择创建服务器

  3. 在存储库的选择协议页面上,从列表中选择一个或多个协议。

    注意

    如果您选择FTPS,您必须提供Amazon Certificate Manager证书。

  4. 适用于选择身份提供商中,选择Amazon目录服务

    
                        控制台屏幕截图显示选择 Directory Service 的选择身份提供程序部分。
  5. 这些区域有:目录列表包含您已配置的所有托管目录。从列表中选择目录,然后选择下一步

    注意

    跨账户和共享目录不支持Amazon Managed Microsoft AD。

  6. 要完成创建服务器,请使用以下过程之一:

    在这些过程中,继续执行选择身份提供程序后的步骤。

重要

您不能删除Amazon Directory Service(如果您在 Transfer Family 务器中使用)。必须先删除该服务器,然后才能删除该目录。

向授予对组的访问权限

创建服务器后,必须选择目录中的哪些组可以通过启用的协议上传和下载文件,使用Amazon Transfer Family。您可以通过创建访问

注意

用户必须属于直接添加到要向其授予访问权限的组中。例如,假设 Bob 是一个用户,他属于 GroupA,并且 GroupA 本身包含在 GroupB 中。

  • 如果您授予对 GrouPA 的访问权限,Bob 将被授予访问权限。

  • 如果您授予对 GroupB 的访问权限(而不是对 GroupA),Bob 没有访问权限。

向授予对组的访问权限

  1. 打开Amazon Transfer Family控制台https://console.aws.amazon.com/transfer/

  2. 导航到您的服务器详细信息页面。

  3. 访问部分,选择创建访问权限

  4. 输入Amazon Managed Microsoft AD目录中,您希望有权访问该服务器。

    注意

    有关如何查找组的 SID 的信息,请参阅在您开始之前

  5. 适用于访问中,选择Amazon Identity and Access Management(IAM) 角色。

  6. 策略部分,选择策略。默认设置为

  7. 适用于主目录中,选择与组的主目录对应的 S3 存储桶。

    注意

    您可以通过创建会话策略限制用户看到的存储桶部分。例如,要将用户限制在/filetest目录中,在框中输入下面的文本。

    /filetest/${transfer:UserName}

    要了解有关创建会话策略的更多信息,请参阅为 Amazon S3 存储桶创建会话策略

  8. 选择Add创建关联。

  9. 选择您的服务器。

  10. 选择创建访问权限

    1. 输入组的 SID。

      注意

      有关如何查找 SID 的信息,请参阅在您开始之前

  11. 选择创建访问权限

访问部分中,将列出服务器的访问。


                显示 “访问” 部分的控制台屏幕截图,其中列出了服务器访问。

测试用户

您可以测试用户是否有权访问Amazon Managed Microsoft AD目录。

注意

用户必须正好位于一个组(外部 ID)中,该组位于访问的 部分终端节点配置页. 如果用户不在任何组中,或者在多个组中,则不会授予该用户访问权限。

测试特定用户是否具有访问权限

  1. 在服务器详细信息页面上,选择操作,然后选择测试

  2. 适用于身份提供商测试中,输入具有访问权限的组之一中的用户的用户名和密码。

  3. 选择 Test (测试)

您将看到一个成功的身份提供程序测试,表明所选用户已被授予对服务器的访问权限。


                成功的身份提供程序测试响应的控制台屏幕截图。

如果用户属于多个具有访问权限的组,您将收到以下响应。

"Response":"", "StatusCode":200, "Message":"More than one associated access found for user's groups."

删除组的服务器访问权限

删除组的服务器访问权限

  1. 在服务器详细信息页面上,选择操作,然后选择删除访问权限

  2. 在对话框中,确认您要删除对该组的访问。

当您返回到服务器详细信息页面时,您会看到此组的访问权限不再列出。

使用 SSH(安全外壳)连接到服务器

配置服务器和用户后,可以使用 SSH 连接到服务器,并对具有访问权限的用户使用完全限定的用户名。

sftp user@active-directory-domain@vpc-endpoint

例如:transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com

此格式针对联合身份验证的搜索,限制了对潜在较大的活动目录的搜索。

注意

您可以指定简单的用户名。但是,在这种情况下,活动目录代码必须搜索联合中的所有目录。这可能会限制搜索,即使用户应具有访问权限,身份验证也可能会失败。

身份验证后,用户位于在配置用户时指定的主目录中。