Administración de usuarios para puntos finales de servidor - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de usuarios para puntos finales de servidor

En las secciones siguientes encontrará información sobre cómo agregar usuarios usando AWS Transfer Family, AWS Directory Service for Microsoft Active Directory o un proveedor de identidad personalizado.

Cuando utilice la modalidad con identidad administrada por el servicio, debe añadir los usuarios al servidor con protocolo habilitado de transferencia de archivos. Al hacerlo, cada nombre de usuario debe ser único en el servidor.

Como parte de las propiedades de cada usuario se almacena también su clave pública de Secure Shell (SSH). Esto es necesario para la autenticación basada en claves, que es la que emplea este ejercicio de introducción. La clave privada se almacenará localmente en el equipo de su usuario. Cuando el usuario envía una solicitud de autenticación a su servidor mediante un cliente, su servidor confirma que el usuario tiene acceso a la clave SSH privada asociada. A continuación, el servidor autentica correctamente al usuario.

Además debe especificar el directorio principal o de destino del usuario y asignar un rol de AWS Identity and Access Management (IAM) al usuario. Opcionalmente puede indicar una política de sesión para restringir el acceso de los usuarios únicamente al directorio principal del bucket de Amazon S3.

importante

AWS Transfer Family impide que los nombres de usuario que tengan 1 o 2 caracteres se autentiquen en los servidores SFTP. Además, también bloqueamos el nombre de usuario root.

La razón de esto se debe al gran volumen de intentos de inicio de sesión maliciosos por parte de los escáneres de contraseñas.

Amazon EFS frente a Amazon S3

Características de cada opción de almacenamiento:

  • Para limitar el acceso: Amazon S3 soporta políticas de sesión; Amazon EFS soporta identificadores de usuario, grupo y grupo secundario POSIX

  • Ambos admiten claves públicas y privadas

  • Ambos son compatibles con los directorios principales

  • Ambos admiten directorios lógicos

    nota

    En el caso de Amazon S3, la mayor parte del soporte para los directorios lógicos se realiza mediante API/CLI. Puede utilizar la casilla de verificación Restringido de la consola para bloquear a un usuario en su directorio principal, pero no puede especificar una estructura de directorios virtuales.

Directorios lógico

Si especifica valores de directorio lógico para el usuario, el parámetro que utilice depende del tipo de usuario.

  • Para los usuarios gestionados por el servicio, introduzca los valores del directorio lógico en HomeDirectoryMappings.

  • Para los usuarios de proveedores de identidades personalizados, proporcione los valores del directorio lógico enHomeDirectoryDetails.

Temas