Politique basée sur les ressources Lambda Structure du message Exemples de fonctions Lambda

Utilisation AWS Lambda pour intégrer votre fournisseur d'identité

Créez une AWS Lambda fonction qui se connecte à votre fournisseur d'identité personnalisé. Vous pouvez utiliser n'importe quel fournisseur d'identité personnalisé, tel qu'Okta, Secrets Manager OneLogin, ou un magasin de données personnalisé incluant une logique d'autorisation et d'authentification.

Note

Avant de créer un serveur Transfer Family qui utilise Lambda comme fournisseur d'identité, vous devez créer la fonction. Pour obtenir un exemple de fonction Lambda, veuillez consulter Exemples de fonctions Lambda. Vous pouvez également déployer une CloudFormation pile qui utilise l'un desModèles de fonctions Lambda. Assurez-vous également que votre fonction Lambda utilise une politique basée sur les ressources qui fait confiance à Transfer Family. Pour un exemple de politique, consultez Politique basée sur les ressources Lambda.

Ouvrez la AWS Transfer Family console.
Choisissez Create server pour ouvrir la page Create server. Pour Choisir un fournisseur d'identité, choisissez le fournisseur d'identité personnalisé, comme illustré dans la capture d'écran suivante.

Note
Le choix des méthodes d'authentification n'est disponible que si vous les activez SFTP comme l'un des protocoles de votre serveur Transfer Family.
Assurez-vous que la valeur par défaut, Utiliser AWS Lambda pour connecter votre fournisseur d'identité, est sélectionnée.
Pour AWS Lambda fonction, choisissez le nom de votre fonction Lambda.
Remplissez les cases restantes, puis choisissez Create server. Pour plus de détails sur les étapes restantes de création d'un serveur, consultezConfiguration d'un point SFTP de FTPS terminaison ou d'FTPun serveur.

Politique basée sur les ressources Lambda

Vous devez disposer d'une politique qui fait référence au serveur Transfer Family et à LambdaARNs. Par exemple, vous pouvez utiliser la politique suivante avec votre fonction Lambda qui se connecte à votre fournisseur d'identité. La politique est échappée JSON sous forme de chaîne.


"Policy":
"{
  "Version": "2012-10-17",
  "Id": "default",
  "Statement": [
    {
      "Sid": "AllowTransferInvocation",
      "Effect": "Allow",
      "Principal": {
        "Service": "transfer.amazonaws.com"
      },
      "Action": "lambda:InvokeFunction",
      "Resource": "arn:aws:transfer:region:account-id:function:my-lambda-auth-function",
      "Condition": {
        "ArnLike": {
          "AWS:SourceArn": "arn:aws:transfer:region:account-id:server/server-id"
        }
      }
    }
  ]
}"

Note

Dans l'exemple de politique ci-dessus, remplacez chaque user input placeholder avec vos propres informations.

Structure des messages d'événements

La structure du message d'événement envoyé par le SFTP serveur à la fonction Lambda d'autorisation pour une IDP personnalisation est la suivante.


{
    'username': 'value',
    'password': 'value',
    'protocol': 'SFTP',
    'serverId': 's-abcd123456',
    'sourceIp': '192.168.0.100'
}

Où username et password quelles sont les valeurs des informations de connexion envoyées au serveur.

Par exemple, vous entrez la commande suivante pour vous connecter :


sftp bobusa@server_hostname

Vous êtes ensuite invité à saisir votre mot de passe :


Enter password:
    mysecretpassword

Vous pouvez le vérifier à partir de votre fonction Lambda en imprimant l'événement transmis depuis la fonction Lambda. Il doit ressembler au bloc de texte suivant.


{
    'username': 'bobusa',
    'password': 'mysecretpassword',
    'protocol': 'SFTP',
    'serverId': 's-abcd123456',
    'sourceIp': '192.168.0.100'
}

La structure de l'événement est similaire pour FTP et FTPS : la seule différence est que les valeurs sont utilisées pour le protocol paramètre, plutôt queSFTP.

Fonctions Lambda pour l'authentification

Pour implémenter différentes stratégies d'authentification, modifiez la fonction Lambda. Pour répondre aux besoins de votre application, vous pouvez déployer une CloudFormation pile. Pour plus d'informations sur Lambda, consultez le guide du AWS Lambda développeur ou la création de fonctions Lambda avec Node.js.

Modèles de fonctions Lambda

Vous pouvez déployer une AWS CloudFormation pile qui utilise une fonction Lambda pour l'authentification. Nous proposons plusieurs modèles qui authentifient et autorisent vos utilisateurs à l'aide de leurs identifiants de connexion. Vous pouvez modifier ces modèles ou ce AWS Lambda code pour personnaliser davantage l'accès des utilisateurs.

Note

Vous pouvez créer un FIPS AWS Transfer Family serveur compatible AWS CloudFormation en spécifiant une politique de sécurité FIPS activée dans votre modèle. Les politiques de sécurité disponibles sont décrites dans Politiques de sécurité pour AWS Transfer Family

Pour créer une AWS CloudFormation pile à utiliser pour l'authentification

Ouvrez la AWS CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.
Suivez les instructions pour déployer une AWS CloudFormation pile à partir d'un modèle existant dans la section Sélection d'un modèle de pile dans le guide de AWS CloudFormation l'utilisateur.
Utilisez l'un des modèles suivants pour créer une fonction Lambda à utiliser pour l'authentification dans Transfer Family.
- Modèle de pile classique (Amazon Cognito)
  
  Un modèle de base pour créer un AWS Lambda à utiliser en tant que fournisseur d'identité personnalisé dans AWS Transfer Family. Il s'authentifie auprès d'Amazon Cognito pour l'authentification par mot de passe et les clés publiques sont renvoyées depuis un compartiment Amazon S3 si l'authentification par clé publique est utilisée. Après le déploiement, vous pouvez modifier le code de la fonction Lambda pour faire quelque chose de différent.
- AWS Secrets Manager modèle de pile
  
  Modèle de base à utiliser AWS Lambda avec un AWS Transfer Family serveur pour intégrer Secrets Manager en tant que fournisseur d'identité. Il s'authentifie par le biais d'une entrée au AWS Secrets Manager formataws/transfer/server-id/username. En outre, le secret doit contenir les paires clé-valeur pour toutes les propriétés utilisateur renvoyées à Transfer Family. Après le déploiement, vous pouvez modifier le code de la fonction Lambda pour faire quelque chose de différent.
- Modèle de pile Okta : modèle de base utilisé AWS Lambda avec un AWS Transfer Family serveur pour intégrer Okta en tant que fournisseur d'identité personnalisé.
- Modèle de pile Okta-MFA : modèle de base utilisé AWS Lambda avec un AWS Transfer Family serveur pour intégrer Okta, avec MultiFactor Authentication, en tant que fournisseur d'identité personnalisé.
- Modèle Azure Active Directory : les détails de cette pile sont décrits dans le billet de blog Authentication to AWS Transfer Family with Azure Active Directory et AWS Lambda.
Une fois la pile déployée, vous pouvez consulter les détails la concernant dans l'onglet Sorties de la CloudFormation console.

Le déploiement de l'une de ces piles est le moyen le plus simple d'intégrer un fournisseur d'identité personnalisé dans le flux de travail Transfer Family.

Valeurs Lambda valides

Le tableau suivant décrit en détail les valeurs acceptées par Transfer Family pour les fonctions Lambda utilisées par les fournisseurs d'identité personnalisés.

Valeur	Description	Obligatoire
`Role`	Spécifie le nom de ressource Amazon (ARN) du IAM rôle qui contrôle l'accès de vos utilisateurs à votre compartiment Amazon S3 ou à votre système de EFS fichiers Amazon. Les politiques associées à ce rôle déterminent le niveau d'accès que vous souhaitez fournir à vos utilisateurs lors du transfert de fichiers vers et depuis votre système de EFS fichiers Amazon S3 ou Amazon. Le IAM rôle doit également contenir une relation de confiance qui permet au serveur d'accéder à vos ressources lorsqu'il répond aux demandes de transfert de vos utilisateurs. Pour plus de détails sur l'établissement d'une relation de confiance, voirÉtape 1 : Établir une relation d'approbation.	Obligatoire
`PosixProfile`	L'POSIXidentité complète, y compris l'ID utilisateur (`Uid`), l'ID de groupe (`Gid`) et tout groupe secondaire IDs (`SecondaryGids`), qui contrôle l'accès de vos utilisateurs à vos systèmes de EFS fichiers Amazon. Les POSIX autorisations définies sur les fichiers et les répertoires de votre système de fichiers déterminent le niveau d'accès dont bénéficient vos utilisateurs lors du transfert de fichiers vers et depuis vos systèmes de EFS fichiers Amazon.	Nécessaire pour le stockage de EFS sauvegarde sur Amazon
`PublicKeys`	Liste des valeurs de clé SSH publique valides pour cet utilisateur. Une liste vide indique qu'il ne s'agit pas d'un identifiant valide. Ne doit pas être renvoyé lors de l'authentification du mot de passe.	Facultatif
`Policy`	Une politique de session pour votre utilisateur afin que vous puissiez utiliser le même IAM rôle pour plusieurs utilisateurs. Cette stratégie étend l'accès de l'utilisateur à des parties de son compartiment Amazon S3.	Facultatif
`HomeDirectoryType`	Le type de répertoire (dossier) de destination du répertoire de base de vos utilisateurs lorsqu'ils se connectent au serveur. Si vous le définissez sur`PATH`, l'utilisateur voit le bucket Amazon S3 absolu ou les EFS chemins Amazon tels quels dans leurs clients de protocole de transfert de fichiers. Si vous le définissez sur`LOGICAL`, vous devez fournir des mappages dans le `HomeDirectoryDetails` paramètre afin que les EFS chemins Amazon S3 ou Amazon soient visibles pour vos utilisateurs.	Facultatif
`HomeDirectoryDetails`	Des mappages de répertoires logiques qui spécifient quels EFS chemins et clés Amazon S3 ou Amazon doivent être visibles par votre utilisateur et comment vous souhaitez les rendre visibles. Vous devez spécifier la `Target` paire `Entry` et, qui `Entry` indique comment le chemin est rendu visible et `Target` correspond au EFS chemin Amazon S3 ou Amazon réel.	Obligatoire s'`HomeDirectoryType`il a une valeur de `LOGICAL`
`HomeDirectory`	Le répertoire de destination d'un utilisateur lorsqu'il se connecte au serveur à l'aide du client.	Facultatif

Note

HomeDirectoryDetailsest une représentation sous forme de chaîne d'une JSON carte. Cela contraste avec un objet JSON cartographique réel et PublicKeys un JSON tableau de chaînes. PosixProfile Consultez les exemples de code pour les détails spécifiques au langage.

Exemples de fonctions Lambda

Cette section présente quelques exemples de fonctions Lambda, à la fois en NodeJS et en Python.

Note

Dans ces exemples, les détails de l'utilisateur, du rôle, du POSIX profil, du mot de passe et du répertoire de base sont tous des exemples et doivent être remplacés par vos valeurs réelles.

Logical home directory, NodeJS

L'exemple de fonction NodeJS suivant fournit les informations relatives à un utilisateur disposant d'un répertoire de base logique.


// GetUserConfig Lambda

exports.handler = (event, context, callback) => {
  console.log("Username:", event.username, "ServerId: ", event.serverId);

  var response;
  // Check if the username presented for authentication is correct. This doesn't check the value of the server ID, only that it is provided.
  if (event.serverId !== "" && event.username == 'example-user') {
    var homeDirectoryDetails = [
      {
        Entry: "/",
        Target: "/fs-faa1a123"
      }
    ];
    response = {
      Role: 'arn:aws:iam::123456789012:role/transfer-access-role', // The user is authenticated if and only if the Role field is not blank
      PosixProfile: {"Gid": 65534, "Uid": 65534}, // Required for EFS access, but not needed for S3
      HomeDirectoryDetails: JSON.stringify(homeDirectoryDetails),
      HomeDirectoryType: "LOGICAL",
    };

    // Check if password is provided
    if (!event.password) {
      // If no password provided, return the user's SSH public key
      response['PublicKeys'] = [ "ssh-rsa abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789" ];
    // Check if password is correct
    } else if (event.password !== 'Password1234') {
      // Return HTTP status 200 but with no role in the response to indicate authentication failure
      response = {};
    }
  } else {
    // Return HTTP status 200 but with no role in the response to indicate authentication failure
    response = {};
  }
  callback(null, response);
};

Path-based home directory, NodeJS

L'exemple de fonction NodeJS suivant fournit les informations relatives à un utilisateur qui possède un répertoire de base basé sur un chemin.


// GetUserConfig Lambda

exports.handler = (event, context, callback) => {
  console.log("Username:", event.username, "ServerId: ", event.serverId);

  var response;
  // Check if the username presented for authentication is correct. This doesn't check the value of the server ID, only that it is provided.
  // There is also event.protocol (one of "FTP", "FTPS", "SFTP") and event.sourceIp (e.g., "127.0.0.1") to further restrict logins.
  if (event.serverId !== "" && event.username == 'example-user') {
    response = {
      Role: 'arn:aws:iam::123456789012:role/transfer-access-role', // The user is authenticated if and only if the Role field is not blank
      Policy: '', // Optional, JSON stringified blob to further restrict this user's permissions
      HomeDirectory: '/fs-faa1a123' // Not required, defaults to '/'
    };
    
    // Check if password is provided
    if (!event.password) {
      // If no password provided, return the user's SSH public key
     response['PublicKeys'] = [ "ssh-rsa abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789" ];
    // Check if password is correct
    } else if (event.password !== 'Password1234') {
      // Return HTTP status 200 but with no role in the response to indicate authentication failure
      response = {};
    } 
  } else {
    // Return HTTP status 200 but with no role in the response to indicate authentication failure
    response = {};
  }
  callback(null, response);
};

Logical home directory, Python

L'exemple de fonction Python suivant fournit les informations relatives à un utilisateur disposant d'un répertoire de base logique.


# GetUserConfig Python Lambda with LOGICAL HomeDirectoryDetails
import json

def lambda_handler(event, context):
  print("Username: {}, ServerId: {}".format(event['username'], event['serverId']))

  response = {}

  # Check if the username presented for authentication is correct. This doesn't check the value of the server ID, only that it is provided.
  if event['serverId'] != '' and event['username'] == 'example-user':
    homeDirectoryDetails = [
      {
        'Entry': '/',
        'Target': '/fs-faa1a123'
      }
    ]
    response = {
      'Role': 'arn:aws:iam::123456789012:role/transfer-access-role', # The user will be authenticated if and only if the Role field is not blank
      'PosixProfile': {"Gid": 65534, "Uid": 65534}, # Required for EFS access, but not needed for S3
      'HomeDirectoryDetails': json.dumps(homeDirectoryDetails),
      'HomeDirectoryType': "LOGICAL"
    }

    # Check if password is provided
    if event.get('password', '') == '':
      # If no password provided, return the user's SSH public key
     response['PublicKeys'] = [ "ssh-rsa abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789" ]
    # Check if password is correct
    elif event['password'] != 'Password1234':
      # Return HTTP status 200 but with no role in the response to indicate authentication failure
      response = {}
  else:
    # Return HTTP status 200 but with no role in the response to indicate authentication failure
    response = {}

  return response

Path-based home directory, Python

L'exemple de fonction Python suivant fournit les informations relatives à un utilisateur qui possède un répertoire de base basé sur un chemin.


# GetUserConfig Python Lambda with PATH HomeDirectory

def lambda_handler(event, context):
  print("Username: {}, ServerId: {}".format(event['username'], event['serverId']))

  response = {}

  # Check if the username presented for authentication is correct. This doesn't check the value of the server ID, only that it is provided.
  # There is also event.protocol (one of "FTP", "FTPS", "SFTP") and event.sourceIp (e.g., "127.0.0.1") to further restrict logins.
  if event['serverId'] != '' and event['username'] == 'example-user':
    response = {
      'Role': 'arn:aws:iam::123456789012:role/transfer-access-role', # The user will be authenticated if and only if the Role field is not blank
      'Policy': '', #  Optional, JSON stringified blob to further restrict this user's permissions
      'HomeDirectory': '/fs-fs-faa1a123',
      'HomeDirectoryType': "PATH" # Not strictly required, defaults to PATH
    }
    
    # Check if password is provided
    if event.get('password', '') == '':
      # If no password provided, return the user's SSH public key
     response['PublicKeys'] = [ "ssh-rsa abcdef0123456789abcdef0123456789abcdef0123456789abcdef0123456789" ]
    # Check if password is correct
    elif event['password'] != 'Password1234':
      # Return HTTP status 200 but with no role in the response to indicate authentication failure
      response = {}
  else:
    # Return HTTP status 200 but with no role in the response to indicate authentication failure
    response = {}

  return response

Tester votre configuration

Après avoir créé votre fournisseur d'identité personnalisé, vous devez tester votre configuration.

Console

Pour tester votre configuration à l'aide de la AWS Transfer Family console

Ouvrez la AWS Transfer Family console.
Sur la page Serveurs, choisissez votre nouveau serveur, sélectionnez Actions, puis sélectionnez Test.
Entrez le texte du nom d'utilisateur et du mot de passe que vous avez définis lors du déploiement de la AWS CloudFormation pile. Si vous avez conservé les options par défaut, le nom d'utilisateur est myuser et le mot de passe estMySuperSecretPassword.
Choisissez le protocole du serveur et entrez l'adresse IP de l'adresse IP source, si vous les avez définies lors du déploiement de la AWS CloudFormation pile.

CLI

Pour tester votre configuration à l'aide du AWS CLI

Exécutez la commande test-identity-provider. Remplacez chacune user input placeholder par vos propres informations, comme décrit dans les étapes suivantes.
```
aws transfer test-identity-provider --server-id s-1234abcd5678efgh --user-name myuser --user-password MySuperSecretPassword --server-protocol FTP --source-ip 127.0.0.1
```
Entrez l'ID du serveur.
Entrez le nom d'utilisateur et le mot de passe que vous avez définis lors du déploiement de la AWS CloudFormation pile. Si vous avez conservé les options par défaut, le nom d'utilisateur est myuser et le mot de passe estMySuperSecretPassword.
Entrez le protocole du serveur et l'adresse IP source, si vous les avez définis lors du déploiement de la AWS CloudFormation pile.

Si l'authentification de l'utilisateur réussit, le test renvoie une StatusCode: 200 HTTP réponse, une chaîne vide Message: "" (qui contiendrait la raison de l'échec dans le cas contraire) et un Response champ.

Note

Dans l'exemple de réponse ci-dessous, le Response champ est un JSON objet « stringifié » (converti en JSON chaîne plate utilisable dans un programme) et contient les détails des rôles et autorisations de l'utilisateur.


{
    "Response":"{\"Policy\":\"{\\\"Version\\\":\\\"2012-10-17\\\",\\\"Statement\\\":[{\\\"Sid\\\":\\\"ReadAndListAllBuckets\\\",\\\"Effect\\\":\\\"Allow\\\",\\\"Action\\\":[\\\"s3:ListAllMybuckets\\\",\\\"s3:GetBucketLocation\\\",\\\"s3:ListBucket\\\",\\\"s3:GetObjectVersion\\\",\\\"s3:GetObjectVersion\\\"],\\\"Resource\\\":\\\"*\\\"}]}\",\"Role\":\"arn:aws:iam::000000000000:role/MyUserS3AccessRole\",\"HomeDirectory\":\"/\"}",
    "StatusCode": 200,
    "Message": ""
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisateurs du fournisseur d'identité personnalisé

Utilisation d'Amazon API Gateway pour intégrer votre fournisseur d'identité