使用服务管理的用户 - Amazon Transfer Family
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务管理的用户

您可以将 Amazon S3 或 Amazon EFS 服务托管用户添加到您的服务器,具体取决于服务器的设置。有关更多信息,请参阅创建服务器

添加 Amazon S3 服务管理的用户

将 Amazon S3 服务托管用户添加到您的服务器

  1. 打开Amazon Transfer Family控制台https://console.aws.amazon.com/transfer/.

  2. 在存储库的服务器页面上,选中要将用户添加到的服务器的复选框。

  3. 选择 Add user

  4. 用户配置部分, 用于用户名中,输入用户名。此用户名长度最少为 3 个字符,最多为 100 个字符 您可在用户名中使用以下字符:a—z、A-Z、0—9 下划线 “_”、连字符 “-”、句点 . ',并在符号 “@” 处。用户名不能以连字符 '-'、句点 '开头 . ',或者在符号 “@” 处。

  5. 适用于访问下,选择您之前创建的提供 Amazon S3 存储桶访问权限的 IAM 角色。

    您可使用创建 IAM 角色和策略中的过程创建此 IAM 角色。该 IAM 角色包括一个提供 Amazon S3 存储桶访问权限的 IAM 策略。它还包括与 Amazon Transfer Family 服务的信任关系,在另一个 IAM 策略中定义。

  6. (可选)用于策略下,选择下列选项之一:

    • 现有策略

    • 从 IAM 中选择策略以选择现有策略。选择查看查看包含策略详细信息的 JSON 对象。

    要了解有关会话策略的更多信息,请参阅创建 IAM 角色和策略. 要了解有关创建会话策略的更多信息,请参阅为 Amazon S3 存储桶创建会话策略.

  7. 适用于主目录中,选择 Amazon S3 存储桶用于存储使用传输的数据Amazon Transfer Family. 输入home目录,用户在使用其客户端登录时转到该目录。

    如果将此参数保留为空,则root目 Amazon S3。在这种情况下,请确保您的 IAM 角色提供对此 root 目录的访问权限。

    注意

    我们建议您选择包含用户的用户名的目录路径,这使得您可以更高效地使用会话策略。会话策略将用户在 Amazon S3 存储桶中的访问权限限限制为该用户的home目录。

  8. (可选)用于Restric中,选中该复选框,以便您的用户无法访问该文件夹之外的任何内容,也无法看到 Amazon S3 存储桶或文件夹名称。

    注意

    为用户分配一个主目录并限制用户访问该主目录应足以锁定用户对指定文件夹的访问权限。如果需要应用其他控件,请使用会话策略。

  9. 适用于SSH 公有密钥中,输入 SSH key pair 的公有 SSH 密钥部分。

    您的密钥先由服务进行验证,然后才能添加新用户。

    重要

    SSH 公有密钥的格式为ssh-rsa <string>. 有关如何生成 SSH 密钥对的说明,请参阅生成 SSH 密钥

  10. (可选)用于密钥,输入一个或多个标签作为键值对,然后选择添加标签.

  11. 选择 Add (添加) 可将您的新用户添加到所选服务器。

    新用户将显示在用户的 部分Server 详细信息页.

后续步骤— 对于下一步,请继续使用客户端传输文件.

添加亚马逊 EFS 服务管理的用户

Amazon EFS 文件所有权

Amazon EFS 使用可移植操作系统接口 (POSIX) 文件权限模型来表示文件所有权。

在 POSIX 中,系统中的用户分为三个不同的权限类:当您允许用户访问存储在 Amazon EFS 文件系统中的文件时,使用Amazon Transfer Family,您必须为他们分配一个 “POSIX 配置文件”。此配置文件用于确定他们对 Amazon EFS 文件系统中文件和目录的访问权限。

  • 用户 (u):文件或目录的所有者。通常,文件或目录的创建者也是所有者。

  • (g) 组:需要对他们共享的文件和目录进行相同访问的用户集。

  • 其他 (o):除所有者和组成员以外,具有系统访问权限的所有其他用户。此权限类也称作 “公有”。

在 POSIX 权限模型中,每个文件系统对象(文件、目录、符号链接、命名管道和套接字)都与前面提到的三组权限相关联。Amazon EFS 对象具有关联的 Unix 风格模式。此模式值定义了对该对象执行操作的权限。

此外,在 Unix 风格的系统上,用户和组被映射到数字标识符,Amazon EFS 使用这些标识符来表示文件所有权。对于 Amazon EFS,对象由单个所有者和单个组拥有。当用户尝试访问文件系统对象时,Amazon EFS 使用映射的数字 ID 来检查权限。

将 Amazon EFS 服务托管用户添加到您的服务器

  1. 打开Amazon Transfer Family控制台https://console.aws.amazon.com/transfer/.

  2. 在存储库的服务器页面上,选择您要添加用户的 Amazon EFS 服务器。

  3. 选择添加用户显示添加用户页.

  4. 用户配置部分中,使用以下设置。

    1. 对于 Username (用户名),请输入用户名。此用户名长度最少为 3 个字符,最多为 100 个字符 您可在用户名中使用以下字符:a—z、A-Z、0—9 下划线 “_”、连字符 “-”、句点 . ',并在符号 “@” 处。用户名不能以连字符 '-'、句点 '开头 . ',或者在符号 “@” 处。

    2. 适用于User ID (用户 ID)Group ID (组 ID),请注意以下情况:

      • 对于您创建的第一个用户,我们建议您输入0代表这两者的Group ID (组 ID)User ID (用户 ID). 这将授予 Amazon EFS 的用户管理员权限。

      • 对于其他用户,输入用户的 POSIX 用户 ID 和组 ID。这些 ID 用于用户执行的所有 Amazon Elastic File System 操作。

      • 适用于User ID (用户 ID)Group ID (组 ID),请勿使用任何前导零。例如,12345是可以接受的,012345不是。

    3. (可选)用于辅助组 ID中,为每个用户输入一个或多个附加 POSIX 组 ID,用逗号分隔。

    4. 适用于访问下,选择 IAM 角色:

      • 仅允许用户访问您希望他们访问的 Amazon EFS 资源(文件系统)。

      • 定义用户可以执行和不能执行的文件系统操作。

      我们建议您将 IAM 角色用于 Amazon EFS 文件系统选择,并具有挂载访问权限和读/写权限。例如,以下两个Amazon托管策略,虽然相当宽松,但为您的用户授予必要的权限:

      • 亚马逊弹性文件系统客户端完全访问

      • 阿斯特兰斯费全面访问

      有关更多信息,请参阅博客帖子。New —Amazon Transfer Family支持 Amazon Elastic File System.

    5. 适用于主目录中,执行以下操作:

      • 选择要用来存储要传输的数据的 Amazon EFS 文件系统,使用Amazon Transfer Family.

      • 决定是否将主目录设置为Restric. 将主目录设置为Restric具有以下影响:

        • Amazon EFS 用户无法访问该文件夹之外的任何文件或目录。

        • 亚马逊 EFS 用户无法看到亚马逊 EFS 文件系统名称 (fs-xxxxxxx)。

          注意

          当您选择Restric选项,则不会为亚马逊 EFS 用户解析符号链接。

      • (可选)输入用户在使用其客户端登录时希望其所在主目录的路径。

        如果您未指定主目录,则使用 Amazon EFS 文件系统的根目录。在这种情况下,请确保您的 IAM 角色提供对此根目录的访问权限。

  5. 适用于SSH 公有密钥中,输入 SSH key pair 的公有 SSH 密钥部分。

    您的密钥先由服务进行验证,然后才能添加新用户。

    重要

    SSH 公有密钥的格式为ssh-rsa <string>. 有关如何生成 SSH 密钥对的说明,请参阅生成 SSH 密钥

  6. (可选)输入用户的任何标签。适用于密钥,输入一个或多个标签作为键值对,然后选择添加标签.

  7. 选择 Add (添加) 可将您的新用户添加到所选服务器。

    新用户将显示在用户的 部分Server 详细信息页.

当您首次 SFTP 到 Transfer Family 服务器时,您可能遇到的问题:

  • 如果您运行sftp命令并且未显示提示符,您可能会遇到以下消息:

    Couldn't canonicalize: Permission denied

    Need cwd

    在这种情况下,您必须增加用户角色的策略权限。您可以添加Amazon托管策略,例如亚马逊弹性文件系统客户端完全访问权限。

  • 如果您输入pwdsftp提示符来查看用户主目录时,您可能会看到以下消息,其中用户主目录是 SFTP 用户的主目录。 :

    remote readdir("/user-home-directory"): No such file or directory

    在这种情况下,您应该能够导航到父目录 (cd ..),然后创建用户的主目录(mkdir username)。

后续步骤— 对于下一步,请继续使用客户端传输文件.

管理服务管理的用户

在本节中,您可以找到有关如何查看用户列表、如何编辑用户详细信息以及如何添加 SSH 公有密钥的信息。

查找用户列表

  1. 打开Amazon Transfer Family控制台https://console.aws.amazon.com/transfer/.

  2. 导航到服务器页.

  3. 选择Server ID列以查看Server 详细信息页.

  4. UNDER用户下,查看用户列表。

查看或编辑用户详细信息

  1. 打开Amazon Transfer Family控制台https://console.aws.amazon.com/transfer/.

  2. 导航到服务器页.

  3. 选择Server ID列以查看Server 详细信息页.

  4. UNDER用户下,选择一个用户名以查看用户详细信息页.

    您可以在此页面上更改用户的属性,方法是选择编辑.

  5. 在存储库的用户详细信息页面上,选择编辑旁边用户配置.

  6. 在存储库的编辑配置页面, 用于访问下,选择您之前创建的提供 Amazon S3 存储桶访问权限的 IAM 角色。

    您可使用创建 IAM 角色和策略中的过程创建此 IAM 角色。该 IAM 角色包括一个提供 Amazon S3 存储桶访问权限的 IAM 策略。它还包括与 Amazon Transfer Family 服务的信任关系,在另一个 IAM 策略中定义。

  7. (可选)用于策略下,选择下列选项之一:

    • 现有策略

    • 从 IAM 中选择策略以选择现有策略。选择查看查看包含策略详细信息的 JSON 对象。

    要了解有关会话策略的更多信息,请参阅创建 IAM 角色和策略. 要了解有关创建会话策略的更多信息,请参阅为 Amazon S3 存储桶创建会话策略.

  8. 适用于主目录中,选择 Amazon S3 存储桶用于存储使用传输的数据Amazon Transfer Family. 输入home目录,用户在使用其客户端登录时转到该目录。

    如果将此参数留空,root目 Amazon S3。在这种情况下,请确保您的 IAM 角色提供对此 root 目录的访问权限。

    注意

    我们建议您选择包含用户的用户名的目录路径,这使得您可以更高效地使用会话策略。会话策略将用户在 Amazon S3 存储桶中的访问权限限限制为该用户的home目录。

  9. (可选)用于Restric中,选中该复选框,以便您的用户无法访问该文件夹之外的任何内容,也无法看到 Amazon S3 存储桶或文件夹名称。

    注意

    在为用户分配主目录并限制用户访问该主目录时,这足以锁定用户对指定文件夹的访问权限。当您需要应用更多控件时,请使用会话策略。

  10. 选择 Save 以保存您的更改。

删除用户

  1. 打开Amazon Transfer Family控制台https://console.aws.amazon.com/transfer/.

  2. 导航到服务器页.

  3. 选择Server ID列以查看Server 详细信息页.

  4. UNDER用户下,选择一个用户名以查看用户详细信息页.

  5. 在存储库的用户详细信息页面上,选择Delete添加到用户名的右侧。

  6. 在显示的确认对话框中,输入单词delete,然后选择Delete以确认您要删除该用户。

用户将从用户列表。

编辑用户的 SSH 公有密钥

  1. 打开Amazon Transfer Family控制台https://console.aws.amazon.com/transfer/.

  2. 在导航窗格中,选择 Servers (服务器)

  3. 选择Server ID列以查看Server 详细信息页.

  4. UNDER用户下,选择一个用户名以查看用户详细信息页.

  5. UNDERSSH 公有密钥,您可以添加或删除 SSH(安全外壳)公钥。

    • 如何添加公有密钥

      1. 选择 Add SSH public key (添加 SSH 公有密钥) 以向用户添加新的 SSH 公有密钥。

        注意

        SSH 密钥仅用于启用安全外壳 (SSH) 文件传输协议 (SFTP) 的服务器。有关如何生成 SSH key pair 的信息,请参阅生成 SSH 密钥.

      2. 对于 SSH public key (SSH 公有密钥),输入 SSH 密钥对的 SSH 公有密钥部分。

        您的密钥先由服务进行验证,然后才能添加新用户。SSH 密钥的格式为 ssh-rsa string。要生成 SSH key pair,请参阅生成 SSH 密钥.

      3. 选择 Add key (添加密钥)

    • 要删除公钥,请选中 SSH 密钥复选框,然后选择Delete.