Uso del proveedor de identidad de AWS Directory Service - AWS Transfer Family

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso del proveedor de identidad de AWS Directory Service

En este tema se describe cómo utilizar el proveedor de identidad de AWS Directory Service para AWS Transfer Family.

Usando AWS Directory Service for Microsoft Active Directory

Puede usarlo AWS Transfer Family para autenticar sus usuarios finales de transferencia de archivos mediante AWS Directory Service for Microsoft Active Directory. Permite una migración fluida de los flujos de trabajo de transferencia de archivos que se basan en la autenticación de Active Directory sin cambiar las credenciales de los usuarios finales ni necesitar un autorizador personalizado.

Con AWS Managed Microsoft AD, puede proporcionar de forma segura a AWS Directory Service los usuarios y grupos acceso a los datos almacenados en Amazon Simple Storage Service (Amazon S3) o Amazon Elastic File System (Amazon), y FTP para dichos datos. SFTP FTPS EFS Si utiliza Active Directory para almacenar las credenciales de sus usuarios, ahora dispone de una forma más sencilla de habilitar la transferencia de archivos para estos usuarios.

Puede proporcionar acceso a los grupos de Active Directory AWS Managed Microsoft AD en su entorno local o en la AWS nube mediante conectores de Active Directory. Puede dar a los usuarios que ya están configurados en su entorno de Microsoft Windows, ya sea en la AWS nube o en su red local, acceso a un AWS Transfer Family servidor que utilice AWS Managed Microsoft AD como identidad.

nota
  • AWS Transfer Family no es compatible con Simple AD.

  • Transfer Family no admite configuraciones de Active Directory entre regiones: solo admitimos integraciones de Active Directory que estén en la misma región que la del servidor de Transfer Family.

  • Transfer Family no admite el uso de AD Connector AWS Managed Microsoft AD ni el uso de AD Connector para habilitar la autenticación multifactorial (MFA) en su MFA infraestructura RADIUS basada actual.

  • AWS Transfer Family no admite regiones replicadas de Active Directory administrado.

Para usarlo AWS Managed Microsoft AD, debe realizar los siguientes pasos:

  1. Cree uno o más AWS Managed Microsoft AD directorios mediante la AWS Directory Service consola.

  2. Utilice la consola Transfer Family para crear un servidor que AWS Managed Microsoft AD lo utilice como proveedor de identidad.

  3. Añada el acceso desde uno o varios de sus AWS Directory Service grupos.

  4. Aunque no es obligatorio, le recomendamos que pruebe y verifique el acceso de los usuarios.

Antes de empezar a usar AWS Directory Service for Microsoft Active Directory

Proporcione un identificador único para sus grupos de AD

Antes de poder usarlo AWS Managed Microsoft AD, debe proporcionar un identificador único para cada grupo del directorio de Microsoft AD. Para ello, puede utilizar el identificador de seguridad (SID) de cada grupo. Los usuarios del grupo que asocie tienen acceso a sus EFS recursos de Amazon S3 o Amazon a través de los protocolos habilitados mediante AWS Transfer Family.

Utilice el siguiente PowerShell comando de Windows para recuperar el valor SID de un grupo, sustituyendo YourGroupName con el nombre del grupo.

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
nota

Si lo utiliza AWS Directory Service como proveedor de identidad userPrincipalName y SamAccountName tiene valores diferentes, AWS Transfer Family acepta el valor enSamAccountName. Transfer Family no acepta el valor especificado en userPrincipalName.

Añada AWS Directory Service permisos a su función

También necesitas AWS Directory Service API permisos para utilizarlos AWS Directory Service como proveedor de identidad. Los siguientes permisos son necesarios o recomendados:

  • Se requiere ds:DescribeDirectories para que Transfer Family busque en el directorio

  • ds:AuthorizeApplication es necesario añadir una autorización para Transfer Family

  • Se sugiere ds:UnauthorizeApplication para eliminar todos los recursos que se hayan creado provisionalmente, en caso de que algo vaya mal durante el proceso de creación del servidor

Añada estos permisos al rol que está utilizando para crear sus servidores de Transfer Family. Para obtener más información sobre estos permisos, consulta la referencia sobre AWS Directory Service API permisos: acciones, recursos y condiciones.

Trabajando con dominios de Active Directory

Cuando esté pensando en cómo hacer que los usuarios de Active Directory accedan a los servidores de AWS Transfer Family , tenga en cuenta el dominio del usuario y el dominio de su grupo. Lo ideal es que el dominio del usuario y el dominio de su grupo coincidan. Es decir, tanto el usuario como el grupo están en el dominio predeterminado o ambos están en el dominio de confianza. Si este no es el caso, Transfer Family no podrá autenticar al usuario.

Puede probar al usuario para asegurarse de que la configuración es correcta. Para obtener más detalles, consulte Probando usuarios. Si hay algún problema con el dominio del usuario o del grupo, recibirá el mensaje de error: No se ha encontrado ningún acceso asociado a los grupos de usuarios.

Elegir AWS Managed Microsoft AD como proveedor de identidad

En esta sección se describe cómo usarlo AWS Directory Service for Microsoft Active Directory con un servidor.

Para usar AWS Managed Microsoft AD con Transfer Family
  1. Inicia sesión en AWS Management Console y abre la AWS Directory Service consola en https://console.aws.amazon.com/directoryservicev2/.

    Utilice la AWS Directory Service consola para configurar uno o más directorios gestionados. Para obtener más información, consulte AWS Managed Microsoft AD en la Guía para administradores de AWS Directory Service .

    La consola de Directory Service que muestra una lista de directorios y sus detalles.
  2. Abra la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/y seleccione Crear servidor.

  3. En la página Elegir protocolos, elija uno o más protocolos de la lista.

    nota

    Si lo selecciona FTPS, debe proporcionar el AWS Certificate Manager certificado.

  4. En Elegir un proveedor de identidad, elija Directory Service de AWS .

    Captura de pantalla de la consola que muestra la sección Elegir proveedor de identidad con Directory Service seleccionado.
  5. La lista Directorio contiene todos los directorios administrados que ha configurado. Elija un directorio de la lista y elija Siguiente.

    nota
  6. Para terminar de crear el servidor, utilice uno de los procedimientos siguientes:

    En esos procedimientos, continúe con el paso siguiente: elegir un proveedor de identidad.

importante

No puedes eliminar un directorio de Microsoft AD AWS Directory Service si lo usaste en un servidor Transfer Family. Primero debe eliminar el servidor y, a continuación, puede eliminar el directorio.

Conceder acceso a los grupos

Tras crear el servidor, debe elegir qué grupos del directorio deben tener acceso para cargar y descargar archivos mediante los protocolos habilitados AWS Transfer Family. Para ello, debe crear un acceso.

nota

Los usuarios deben pertenecer directamente al grupo al que se concede el acceso. Por ejemplo, supongamos que Bob es un usuario y pertenece al grupo A y que el propio grupo A está incluido en el grupo B.

  • Si concede acceso al Grupo A, a Bob se le concede el acceso.

  • Si concede acceso al grupo B (y no al grupo A), Bob no tendrá acceso.

Cómo conceder acceso a un grupo
  1. Abra la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/.

  2. Navegue a la página de detalles del servidor.

  3. En la sección Accesos, seleccione Añadir acceso.

  4. Introduzca SID el AWS Managed Microsoft AD directorio al que desea tener acceso a este servidor.

    nota

    Para obtener información sobre cómo encontrar el SID correspondiente a su grupo, consulteAntes de empezar a usar AWS Directory Service for Microsoft Active Directory.

  5. En Access, elija un rol AWS Identity and Access Management (IAM) para el grupo.

  6. En la sección Política, elija una política. El valor predeterminado es Ninguno.

  7. En el Directorio de inicio, elija un bucket S3 que corresponda al directorio de inicio del grupo.

    nota

    Puede limitar las partes del bucket que ven los usuarios mediante la creación de una política de sesión. Por ejemplo, para limitar a los usuarios a su propia carpeta en el directorio de /filetest, introduzca el siguiente texto en el cuadro.

    /filetest/${transfer:UserName}

    Para obtener más información sobre la creación de una política de sesión, consulte Creación de una política de sesión para un bucket de Amazon S3.

  8. Seleccione Añadir para crear la asociación.

  9. Seleccione su servidor.

  10. Seleccione Añadir acceso.

    1. Introduzca el SID para el grupo.

      nota

      Para obtener información sobre cómo encontrar elSID, consulteAntes de empezar a usar AWS Directory Service for Microsoft Active Directory.

  11. Seleccione Añadir acceso.

En la sección Accesos, se muestran los accesos al servidor.

La consola muestra la sección de accesos con los accesos al servidor listados.

Probando usuarios

Puede comprobar si un usuario tiene acceso al AWS Managed Microsoft AD directorio de su servidor.

nota

Un usuario debe pertenecer exactamente a un grupo (un identificador externo) que aparece en la sección Acceso de la página Configuración del punto de conexión. Si el usuario no está en ningún grupo o está en más de un grupo, no se le concede el acceso.

Comprobación de si un usuario específico tiene acceso
  1. En la página de detalles del servidor, elija Acciones y, a continuación, elija Probar.

  2. Para Realizar pruebas con un proveedor de identidad, introduzca las credenciales de inicio de sesión de un usuario que pertenezca a uno de los grupos a los que tenga acceso.

  3. Seleccione Probar.

Aparece una prueba de proveedor de identidad correcta, que indica que se ha concedido acceso al servidor al usuario seleccionado.

Captura de pantalla de la consola donde se muestra la respuesta correcta a la prueba del proveedor de identidad.

Si el usuario pertenece a más de un grupo al que tiene acceso, recibirá la siguiente respuesta.

"Response":"", "StatusCode":200, "Message":"More than one associated access found for user's groups."

Eliminar el acceso al servidor de un grupo

Eliminación del acceso al servidor de un grupo
  1. En la página de detalles del servidor, elija Acciones y, a continuación, elija Eliminar acceso.

  2. En el cuadro de diálogo, confirme que desea eliminar el acceso para este grupo.

Al volver a la página de detalles del servidor, verá que el acceso a este grupo ya no aparece en la lista.

Conexión al servidor mediante SSH (Secure Shell)

Después de configurar el servidor y los usuarios, puede conectarse al servidor con el nombre de usuario completo del usuario que tenga acceso SSH y utilizar dicho nombre.

sftp user@active-directory-domain@vpc-endpoint

Por ejemplo: transferuserexample@mycompany.com@vpce-0123456abcdef-789xyz.vpc-svc-987654zyxabc.us-east-1.vpce.amazonaws.com.

Este formato apunta a la búsqueda de la federación, lo que limita la búsqueda de un Active Directory potencialmente grande.

nota

Puede especificar un nombre de usuario sencillo. Sin embargo, en este caso, el código de Active Directory debe buscar en todos los directorios de la federación. Esto podría limitar la búsqueda y la autenticación podría fallar aunque el usuario tuviera acceso.

Tras la autenticación, el usuario se encuentra en el directorio de inicio que especificó al configurar el usuario.

AWS Transfer Family Conectarse a un Active Directory autoadministrado mediante bosques y fideicomisos

Los usuarios de su Active Directory (AD) autogestionado también pueden utilizarlo AWS IAM Identity Center para el acceso mediante inicio de sesión único a los servidores Transfer Cuentas de AWS Family. Para ello, AWS Directory Service dispone de las siguientes opciones:

  • La confianza unidireccional en el bosque (entrante AWS Managed Microsoft AD y saliente en el caso de Active Directory local) solo funciona para el dominio raíz.

  • Para dominios secundarios, puede utilizar uno de los procedimientos a continuación:

    • Utilice una confianza bidireccional entre el Active Directory local AWS Managed Microsoft AD y el entorno local

    • Utilice una confianza externa unidireccional para cada dominio secundario.

Al conectarse al servidor mediante un dominio de confianza, el usuario debe especificar el dominio de confianza, por ejemplo, transferuserexample@mycompany.com.

Uso AWS de Directory Service para los servicios de dominio de Azure Active Directory

  • Para aprovechar el bosque de Active Directory existente para sus necesidades de SFTP transferencia, puede usar Active Directory Connector.

  • Si desea disfrutar de las ventajas de Active Directory y de la alta disponibilidad en un servicio totalmente administrado, puede utilizar AWS Directory Service for Microsoft Active Directory. Para obtener más información, consulte Uso del proveedor de identidad de AWS Directory Service.

En este tema se describe cómo usar un conector de Active Directory y los servicios de dominio de Azure Active Directory (AzureADDS) para autenticar a los usuarios de SFTP Transfer con Azure Active Directory.

Antes de empezar a usar AWS Directory Service para Azure Active Directory Domain Services

Para AWS ello, necesita lo siguiente:

  • Una nube privada virtual (VPC) en una AWS región en la que utilice sus servidores Transfer Family

  • Al menos dos subredes privadas en su VPC

  • La VPC conectividad a Internet imprescindible

  • Una puerta de enlace para el cliente y una puerta de enlace privada virtual para la site-to-site VPN conexión con Microsoft Azure

Para Microsoft Azure, necesita lo siguiente:

  • Un servicio de dominio de Azure Active Directory y Active Directory (AzureADDS)

  • Un grupo de recursos de Azure

  • Una red virtual de Azure

  • VPNconectividad entre su grupo de recursos de Amazon VPC y Azure

    nota

    Esto puede realizarse a través de IPSEC túneles nativos o mediante VPN dispositivos. En este tema, utilizamos IPSEC túneles entre una puerta de enlace de red virtual de Azure y una puerta de enlace de red local. Los túneles deben configurarse para permitir el tráfico entre sus ADDS puntos de enlace de Azure y las subredes que los albergan. AWS VPC

  • Una puerta de enlace para el cliente y una puerta de enlace privada virtual para la site-to-site VPN conexión con Microsoft Azure

En el siguiente diagrama se muestra la configuración necesaria antes de comenzar.

Diagrama de AWS Transfer Family arquitectura y Azure AD. Una AWS VPC conexión a una red virtual de Azure a través de Internet mediante un conector de AWS Directory Service al servicio de dominio de Azure AD.

Paso 1: agregar los servicios de dominio de Azure Active Directory

De forma predeterminada, Azure AD no admite instancias que se unan a dominios. Para realizar acciones como unirse a un dominio y utilizar herramientas como la política de grupo, los administradores deben habilitar los servicios de dominio de Azure Active Directory. Si aún no ha agregado Azure AD DS o su implementación actual no está asociada al dominio que desea que use su servidor de SFTP transferencia, debe agregar una nueva instancia.

Para obtener información sobre cómo habilitar los Servicios de dominio de Azure Active Directory (AzureADDS), consulte el tutorial: Creación y configuración de un dominio administrado de los Servicios de dominio de Azure Active Directory.

nota

Al habilitar AzureADDS, asegúrese de que esté configurado para el grupo de recursos y el dominio de Azure AD al que va a conectar el servidor de SFTP transferencia.

Pantalla de servicios de dominio de Azure AD que muestra el grupo de recursos bob.us en ejecución.

Paso 2: creación de una cuenta de servicio

Azure AD debe tener una cuenta de servicio que forme parte de un grupo de administradores en Azure. ADDS Esta cuenta se usa con el conector de AWS Active Directory. Asegúrese de que esta cuenta esté sincronizada con AzureADDS.

Pantalla de Azure AD que muestra el perfil de un usuario.
sugerencia

La autenticación multifactor para Azure Active Directory no es compatible con los servidores Transfer Family que utilizan el SFTP protocolo. El servidor Transfer Family no puede proporcionar el MFA token después de que el usuario se haya autenticado. SFTP Asegúrese de deshabilitarlo MFA antes de intentar conectarse.

Detalles de la autenticación multifactorial de Azure AD, que muestran el MFA estado deshabilitado para dos usuarios.

Paso 3: Configuración del AWS directorio mediante AD Connector

Una vez que haya configurado Azure ADDS y creado una cuenta de servicio con IPSEC VPN túneles entre su red virtual AWS VPC y la de Azure, puede probar la conectividad haciendo ping a la dirección ADDS DNS IP de Azure desde cualquier AWS EC2 instancia.

Después de comprobar que la conexión está activa, puede continuar a continuación.

Para configurar el AWS directorio mediante AD Connector
  1. Abra la consola Servicio de directorio y seleccione Directorios.

  2. Seleccione Configurar directorio.

  3. Para el tipo de directorio, elija Conector de AD.

  4. Seleccione un tamaño de directorio, seleccione Siguiente y, a continuación, seleccione sus subredes VPC y subredes.

  5. Seleccione Siguiente y, a continuación, rellene los campos de la siguiente manera:

    • DNSNombre del directorio: introduzca el nombre de dominio que está utilizando para AzureADDS.

    • DNSDirecciones IP: introduzca sus direcciones ADDS IP de Azure.

    • Nombre de usuario de la cuenta del servidor y contraseña: introduzca los detalles de la cuenta de servicio que creó en el Paso 2: Crear una cuenta de servicio.

  6. Complete las pantallas para crear el servicio de directorio.

Ahora el estado del directorio debería ser Activo y está listo para usarse con un servidor de SFTP transferencia.

La pantalla de servicios de directorio muestra un directorio con el estado Activo, según sea necesario.

Paso 4: Configurar el AWS Transfer Family servidor

Cree un servidor Transfer Family con el SFTP protocolo y el tipo de proveedor de identidad de AWS Directory Service. En la lista desplegable de directorios, seleccione el directorio que agregó en el paso 3: Configurar el AWS directorio mediante AD Connector.

nota

No puede eliminar un directorio de Microsoft AD en AWS Directory Service si lo utilizó en un servidor Transfer Family. Primero debe eliminar el servidor y, a continuación, puede eliminar el directorio.

Paso 5: concesión de acceso a los grupos

Tras crear el servidor, debe elegir qué grupos del directorio deben tener acceso para cargar y descargar archivos mediante los protocolos habilitados AWS Transfer Family. Para ello, debe crear un acceso.

nota

Los usuarios deben pertenecer directamente al grupo al que se concede el acceso. Por ejemplo, supongamos que Bob es un usuario y pertenece al grupo A y que el propio grupo A está incluido en el grupo B.

  • Si concede acceso al Grupo A, a Bob se le concede el acceso.

  • Si concede acceso al grupo B (y no al grupo A), Bob no tendrá acceso.

Para conceder el acceso, debe recuperar el SID correspondiente al grupo.

Utilice el siguiente PowerShell comando de Windows para recuperar el valor SID de un grupo, sustituyendo YourGroupName con el nombre del grupo.

Get-ADGroup -Filter {samAccountName -like "YourGroupName*"} -Properties * | Select SamAccountName,ObjectSid
Ventanas PowerShell que muestran un objeto SID que se está recuperando.
Conceda acceso a los grupos
  1. Abrir https://console.aws.amazon.com/transfer/.

  2. Ve a la página de detalles del servidor y, en la sección Accesos, seleccione Añadir acceso.

  3. Introduzca SID lo que ha recibido del resultado del procedimiento anterior.

  4. En Access, elija un AWS Identity and Access Management rol para el grupo.

  5. En la sección Política, elija una política. El valor predeterminado es None (Ninguno).

  6. En el Directorio de inicio, elija un bucket S3 que corresponda al directorio de inicio del grupo.

  7. Seleccione Añadir para crear la asociación.

Los detalles de su servidor de transferencia deben ser similares a los siguientes:

Parte de la pantalla de detalles del servidor Transfer Family, que muestra un ejemplo de ID de directorio para el proveedor de identidad.
Parte de la pantalla de detalles del servidor Transfer Family, que muestra el ID externo del directorio activo en la parte de Accesos de la pantalla.

Paso 6: prueba de usuarios

Puede probar (Probando usuarios) si un usuario tiene acceso al directorio AWS Managed Microsoft AD de su servidor. Un usuario debe pertenecer exactamente a un grupo (un identificador externo) que aparece en la sección Acceso de la página Configuración del punto de conexión. Si el usuario no está en ningún grupo o está en más de un grupo, no se le concede el acceso.