使用逻辑目录简化您的 Transfer Family 目录结构

要简化 Amazon Transfer Family 服务器目录结构，可以使用逻辑目录。使用逻辑目录，您可以使用用户在连接您的 Amazon S3 存储桶或 Amazon EFS 文件系统时浏览的用户名称来构建虚拟目录结构。使用逻辑目录时，可以避免向最终用户泄露绝对目录路径、Amazon S3 存储桶名称和EFS文件系统名称。

通过执行所谓的 chroot 操作，您可以使用逻辑目录将用户的根目录设置为存储层次结构中的所需位置。在此模式下，用户无法导航到您为其配置的主目录或根目录之外的目录。

例如，尽管 Amazon S3 用户的范围已缩小为仅限访问 /mybucket/home/${transfer:UserName}，但有些客户端允许用户向上遍历文件夹至 /mybucket/home。在这种情况下，用户只有在注销并再次登录 Transfer Family 服务器后才会重新进入其预期的主目录。执行 chroot 操作可以防止这种情况的发生。

您可以跨存储桶和前缀创建自己的目录结构。如果您的工作流程需要一个无法通过存储桶前缀复制的特定目录结构，则此功能适用。您还可以链接到 Amazon S3 中的多个非连续位置，类似于在 Linux 文件系统中创建符号链接，其中您的目录路径引用文件系统中的不同位置。

使用逻辑目录的规则

在构建逻辑目录映射之前，应了解以下规则：

实现逻辑目录和 chroot

要使用逻辑目录和 chroot 功能，您必须执行以下操作：

为每个用户开启逻辑目录。为此，请在创建或更新用户时将 HomeDirectoryType 参数设置为 LOGICAL。

"HomeDirectoryType": "LOGICAL"

chroot

对于 chroot，创建一个由每个用户的单个 Entry 和 Target 配对组成的目录结构。根文件夹是 Entry 重点，Target 是存储桶或文件系统中要映射到的位置。

您可以像前面的示例一样使用绝对路径，也可以使用 ${transfer:UserName} 动态替换用户名，如下例所示。

[{"Entry": "/", "Target":
"/mybucket/${transfer:UserName}"}]

在前面的示例中，用户被锁定到其根目录，且无法在层次结构中向上移动。

虚拟目录结构

对于虚拟目录结构，您可以创建多个EntryTarget配对，目标位于您的 S3 存储桶或EFS文件系统中的任何位置，包括跨多个存储桶或文件系统，前提是用户的IAM角色映射有权访问它们。

在以下虚拟结构示例中，当用户登录时 Amazon SFTP，他们位于根目录中，子目录为/pics、/doc/reporting、和/anotherpath/subpath/financials。

[
{"Entry": "/pics", "Target": "/bucket1/pics"}, 
{"Entry": "/doc", "Target": "/bucket1/anotherpath/docs"},
{"Entry": "/reporting", "Target": "/reportingbucket/Q1"},
{"Entry": "/anotherpath/subpath/financials", "Target": "/reportingbucket/financials"}]

{
   "Entry": "/pics", 
   "Target": "/mybucket/pics"
}, 
{
   "Entry": "/doc", 
   "Target": "/mybucket/mydocs"
}, 
{
   "Entry": "/temp", 
   "Target": "/mybucket"
}

sftp> pwd
Remote working directory: /
sftp> put file
Uploading file to /file
remote open("/file"): No such file or directory

有关为用户配置逻辑目录chroot的更多信息（包括您可以下载和使用的 Amazon CloudFormation 模板），请参阅 Amazon 存储博客中的使用 chroot 和逻辑目录简化 Amazon SFTP结构。

配置逻辑目录示例

在此示例中，我们创建一个用户并分配两个逻辑目录。以下命令使用逻辑目录 pics 和 doc 创建新用户（适用于现有的 Transfer Family 服务器）。

aws transfer create-user --user-name marymajor-logical --server-id s-11112222333344445 --role arn:aws:iam::1234abcd5678:role/marymajor-role --home-directory-type LOGICAL \
 --home-directory-mappings "[{\"Entry\":\"/pics\", \"Target\":\"/DOC-EXAMPLE-BUCKET1/pics\"}, {\"Entry\":\"/doc\", \"Target\":\"/DOC-EXAMPLE-BUCKET2/test/mydocs\"}]" \
 --ssh-public-key-body file://~/.ssh/id_rsa.pub

如果 marymajor 是现有用户并且她的主目录类型是 PATH，则您可以使用与前一个命令类似的命令将其更改为 LOGICAL。

aws transfer update-user --user-name marymajor-logical \
 --server-id s-11112222333344445 --role arn:aws:iam::1234abcd5678:role/marymajor-role \
 --home-directory-type LOGICAL --home-directory-mappings "[{\"Entry\":\"/pics\", \"Target\":\"/DOC-EXAMPLE-BUCKET1/pics\"}, \
 {\"Entry\":\"/doc\", \"Target\":\"/DOC-EXAMPLE-BUCKET2/test/mydocs\"}]"

请注意以下几点：

为 Amazon 配置逻辑目录 EFS

如果您的 Transfer Family 服务器使用 AmazonEFS，则必须先创建具有读写权限的用户主目录，然后用户才能在其逻辑主目录中工作。用户无法自己创建此目录，因为他们将缺乏 mkdir 对逻辑主目录的权限。

如果用户的主目录不存在，并且他们运行了 ls 命令，则系统会按如下方式做出响应：

sftp> ls
remote readdir ("/"): No such file or directory

对父目录具有管理访问权限的用户需要创建该用户的逻辑主目录。

自定义 Amazon Lambda 响应

您可以将逻辑目录与连接到自定义身份提供商的 Lambda 函数一起使用。为此，在 Lambda 函数中，将 HomeDirectoryType 指定为 LOGICAL，并为 HomeDirectoryDetails 参数添加 Entry 和 Target 值。例如：

HomeDirectoryType: "LOGICAL"
HomeDirectoryDetails: "[{\"Entry\": \"/\", \"Target\": \"/DOC-EXAMPLE-BUCKET/theRealFolder"}]"

以下代码是来自自定义 Lambda 身份验证调用的成功响应示例。

aws transfer test-identity-provider --server-id s-1234567890abcdef0 --user-name myuser
{
    "Url": "https://a1b2c3d4e5.execute-api.us-east-2.amazonaws.com/prod/servers/s-1234567890abcdef0/users/myuser/config", 
    "Message": "", 
    "Response": "{\"Role\": \"arn:aws:iam::123456789012:role/bob-usa-role\",\"HomeDirectoryType\": \"LOGICAL\",\"HomeDirectoryDetails\": \"[{\\\"Entry\\\":\\\"/myhome\\\",\\\"Target\\\":\\\"/DOC-EXAMPLE-BUCKET/theRealFolder\\\"}]\",\"PublicKeys\": \"[ssh-rsa myrsapubkey]\"}", 
    "StatusCode": 200
}