Travailler avec des utilisateurs gérés par des services - AWS Transfer Family
Ajouter des utilisateurs gérés par le service Amazon S3Ajouter des utilisateurs gérés par le EFS service AmazonUtilisateurs gérés par le service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Travailler avec des utilisateurs gérés par des services

Vous pouvez ajouter des utilisateurs EFS gérés par Amazon S3 ou Amazon Service à votre serveur, en fonction du paramètre de domaine du serveur. Pour de plus amples informations, veuillez consulter Configuration d'un point SFTP de FTPS terminaison ou d'FTPun serveur.

Pour ajouter un utilisateur géré par un service par programmation, consultez l'exemple du. CreateUserAPI

Note

Pour les utilisateurs gérés par des services, il existe une limite de 2 000 entrées de répertoire logique. Pour plus d'informations sur l'utilisation de répertoires logiques, consultezUtilisation de répertoires logiques pour simplifier vos structures de répertoires Transfer Family.

Ajouter des utilisateurs gérés par le service Amazon S3

Note

Si vous souhaitez configurer un bucket Amazon S3 multi-comptes, suivez les étapes décrites dans cet article du centre de connaissances : Comment configurer mon AWS Transfer Family serveur pour utiliser un bucket Amazon Simple Storage Service qui se trouve dans un autre AWS compte ? .

Pour ajouter un utilisateur géré par le service Amazon S3 à votre serveur

  1. Ouvrez la AWS Transfer Family console sur https://console.aws.amazon.com/transfer/, puis sélectionnez Serveurs dans le volet de navigation.

  2. Sur la page Serveurs, cochez la case du serveur auquel vous souhaitez ajouter un utilisateur.

  3. Sélectionnez Ajouter un utilisateur.

  4. Dans la section Configuration utilisateur, pour Nom d'utilisateur, entrez le nom d'utilisateur. Ce nom d'utilisateur doit comporter au minimum 3 caractères et au maximum 100 caractères. Vous pouvez utiliser les caractères suivants dans le nom d'utilisateur : a—z, A-Z, 0—9, trait de soulignement « _ », tiret « - », point ' . ', et au panneau « @ ». Le nom d'utilisateur ne peut pas commencer par un tiret « - », point ' . ', ou au panneau « @ ».

  5. Pour Access, choisissez le IAM rôle que vous avez créé précédemment et qui donne accès à votre compartiment Amazon S3.

    Vous avez créé ce IAM rôle à l'aide de la procédure décrite dansCréation d'un IAM rôle et d'une politique. Ce IAM rôle inclut une IAM politique qui fournit l'accès à votre compartiment Amazon S3. Cela inclut également une relation de confiance avec le AWS Transfer Family service, définie dans une autre IAM politique. Si vous avez besoin d'un contrôle d'accès précis pour vos utilisateurs, consultez le billet de blog Enhance data access control with AWS Transfer Family and Amazon S3.

  6. (Facultatif) Pour Politique, sélectionnez l'une des options suivantes :

    • Aucun

    • Politique existante

    • Sélectionnez une politique parmi IAM : vous permet de choisir une politique de session existante. Choisissez Afficher pour voir un JSON objet contenant les détails de la politique.

    • Génération automatique d'une politique basée sur le dossier de base : génère une politique de session pour vous. Choisissez Afficher pour voir un JSON objet contenant les détails de la politique.

      Note

      Si vous choisissez Générer automatiquement une politique basée sur le dossier de base, ne sélectionnez pas Restreint pour cet utilisateur.

    Pour en savoir plus sur les règles de session, voirCréation d'un IAM rôle et d'une politique. Pour en savoir plus sur la création d'une politique de session, consultezCréation d'une politique de session pour un compartiment Amazon S3.

  7. Pour le répertoire personnel, choisissez le compartiment Amazon S3 dans lequel stocker les données à transférer AWS Transfer Family. Entrez le chemin d'accès au home répertoire dans lequel votre utilisateur atterrit lorsqu'il se connecte à l'aide de son client.

    Si vous laissez ce paramètre vide, le root répertoire de votre compartiment Amazon S3 est utilisé. Dans ce cas, assurez-vous que votre IAM rôle donne accès à ce root répertoire.

    Note

    Nous vous recommandons de choisir un chemin de répertoire contenant le nom d'utilisateur de l'utilisateur, afin d'utiliser efficacement une politique de session. La politique de session limite l'accès des utilisateurs dans le compartiment Amazon S3 au home répertoire de cet utilisateur.

  8. (Facultatif) Pour Restreint, cochez la case afin que vos utilisateurs ne puissent accéder à rien en dehors de ce dossier et ne puissent pas voir le nom du compartiment ou du dossier Amazon S3.

    Note

    L'attribution d'un répertoire personnel à l'utilisateur et la restriction de l'utilisateur à ce répertoire personnel devraient suffire à verrouiller l'accès de l'utilisateur au dossier désigné. Si vous devez appliquer des contrôles supplémentaires, utilisez une politique de session.

    Si vous sélectionnez Restreint pour cet utilisateur, vous ne pouvez pas sélectionner Générer automatiquement une politique basée sur le dossier de base, car le dossier de base n'est pas une valeur définie pour les utilisateurs restreints.

  9. Pour clé SSH publique, entrez la partie SSH clé publique de la paire de SSH clés.

    Votre clé est validée par le service avant que vous puissiez ajouter votre nouvel utilisateur.

    Note

    Pour obtenir des instructions sur la façon de générer une paire de SSH clés, consultezGénération de SSH clés pour les utilisateurs gérés par des services.

  10. (Facultatif) Pour Clé et Valeur, entrez une ou plusieurs balises sous forme de paires clé-valeur, puis choisissez Ajouter une balise.

  11. Choisissez Add (Ajouter) pour ajouter votre nouvel utilisateur au serveur que vous avez choisi.

    Le nouvel utilisateur apparaît dans la section Utilisateurs de la page de détails du serveur.

Prochaines étapes — Pour l'étape suivante, passez àTransfert de fichiers via un point de terminaison serveur à l'aide d'un client.

Ajouter des utilisateurs gérés par le EFS service Amazon

Amazon EFS utilise le modèle d'autorisation de fichier Portable Operating System Interface (POSIX) pour représenter la propriété des fichiers.

Pour ajouter un utilisateur EFS géré par le service Amazon à votre serveur

  1. Ouvrez la AWS Transfer Family console sur https://console.aws.amazon.com/transfer/, puis sélectionnez Serveurs dans le volet de navigation.

  2. Sur la page Servers, sélectionnez le EFS serveur Amazon auquel vous souhaitez ajouter un utilisateur.

  3. Choisissez Ajouter un utilisateur pour afficher la page Ajouter un utilisateur.

  4. Dans la section Configuration utilisateur, utilisez les paramètres suivants.

    1. Le nom d'utilisateur doit comporter un minimum de 3 et un maximum de 100 caractères. Vous pouvez utiliser les caractères suivants dans le nom d'utilisateur : a—z, A-Z, 0—9, trait de soulignement « _ », tiret « - », point ' . ', et au panneau « @ ». Le nom d'utilisateur ne peut pas commencer par un tiret « - », point ' . ', ou au panneau « @ ».

    2. Pour l'ID utilisateur et l'ID de groupe, notez ce qui suit :

      • Pour le premier utilisateur que vous créez, nous vous recommandons de saisir une valeur égale à la fois 0 pour l'ID de groupe et l'ID utilisateur. Cela accorde à l'utilisateur des privilèges d'administrateur pour AmazonEFS.

      • Pour les utilisateurs supplémentaires, entrez l'ID utilisateur et POSIX l'ID de groupe de l'utilisateur. Ils IDs sont utilisés pour toutes les opérations Amazon Elastic File System effectuées par l'utilisateur.

      • Pour l'ID utilisateur et l'ID de groupe, n'utilisez pas de zéros en début de liste. Par exemple, 12345 c'est acceptable, ne l'012345est pas.

    3. (Facultatif) Pour Groupe secondaire IDs, entrez un ou plusieurs POSIX groupes supplémentaires IDs pour chaque utilisateur, séparés par des virgules.

    4. Pour Access, choisissez le IAM rôle qui :

      • Permet à l'utilisateur d'accéder uniquement aux EFS ressources Amazon (systèmes de fichiers) auxquelles vous souhaitez qu'il accède.

      • Définit les opérations de système de fichiers que l'utilisateur peut ou ne peut pas effectuer.

      Nous vous recommandons d'utiliser le IAM rôle pour sélectionner le système de EFS fichiers Amazon avec un accès au montage et des autorisations de lecture/écriture. Par exemple, la combinaison des deux politiques AWS gérées suivantes, bien que très permissive, accorde les autorisations nécessaires à votre utilisateur :

      • AmazonElasticFileSystemClientFullAccess

      • AWSTransferConsoleFullAccess

      Pour plus d'informations, consultez le billet de blog sur la AWS Transfer Family prise en charge d'Amazon Elastic File System.

    5. Pour le répertoire personnel, procédez comme suit :

      • Choisissez le système de EFS fichiers Amazon que vous souhaitez utiliser pour stocker les données à transférer AWS Transfer Family.

      • Décidez si le répertoire de base doit être défini sur Restreint. Le fait de définir le répertoire de base sur Restreint a les effets suivants :

        • EFSLes utilisateurs d'Amazon ne peuvent accéder à aucun fichier ou répertoire en dehors de ce dossier.

        • EFSLes utilisateurs d'Amazon ne peuvent pas voir le nom EFS du système de fichiers Amazon (fs-xxxxxxx).

          Note

          Lorsque vous sélectionnez l'option Restreint, les liens symboliques ne sont pas résolus pour les EFS utilisateurs d'Amazon.

      • (Facultatif) Entrez le chemin du répertoire de base dans lequel vous souhaitez que les utilisateurs se trouvent lorsqu'ils se connectent à l'aide de leur client.

        Si vous ne spécifiez pas de répertoire personnel, le répertoire racine de votre système de EFS fichiers Amazon est utilisé. Dans ce cas, assurez-vous que votre IAM rôle donne accès à ce répertoire racine.

  5. Pour clé SSH publique, entrez la partie SSH clé publique de la paire de SSH clés.

    Votre clé est validée par le service avant que vous puissiez ajouter votre nouvel utilisateur.

    Note

    Pour obtenir des instructions sur la façon de générer une paire de SSH clés, consultezGénération de SSH clés pour les utilisateurs gérés par des services.

  6. (Facultatif) Entrez des balises pour l'utilisateur. Pour Clé et Valeur, entrez une ou plusieurs balises sous forme de paires clé-valeur, puis choisissez Ajouter une balise.

  7. Choisissez Add (Ajouter) pour ajouter votre nouvel utilisateur au serveur que vous avez choisi.

    Le nouvel utilisateur apparaît dans la section Utilisateurs de la page de détails du serveur.

Problèmes que vous pourriez rencontrer lorsque vous accédez pour la première fois SFTP à votre serveur Transfer Family :

  • Si vous exécutez la sftp commande et que l'invite ne s'affiche pas, le message suivant peut s'afficher :

    Couldn't canonicalize: Permission denied

    Need cwd

    Dans ce cas, vous devez augmenter les autorisations liées à la politique pour le rôle de votre utilisateur. Vous pouvez ajouter une politique AWS gérée, telle queAmazonElasticFileSystemClientFullAccess.

  • Si vous entrez pwd à l'sftpinvite pour consulter le répertoire personnel de l'utilisateur, le message suivant peut s'afficher, où USER-HOME-DIRECTORY est le répertoire personnel de l'SFTPutilisateur :

    remote readdir("/USER-HOME-DIRECTORY"): No such file or directory

    Dans ce cas, vous devriez pouvoir accéder au répertoire parent (cd ..) et créer le répertoire personnel de l'utilisateur (mkdir username).

Prochaines étapes — Pour l'étape suivante, passez àTransfert de fichiers via un point de terminaison serveur à l'aide d'un client.

Gestion des utilisateurs gérés par des services

Dans cette section, vous trouverez des informations sur la façon d'afficher une liste d'utilisateurs, de modifier les détails des utilisateurs et d'ajouter une clé SSH publique.

Pour trouver la liste de vos utilisateurs

  1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

  2. Sélectionnez Serveurs dans le volet de navigation pour afficher la page Serveurs.

  3. Choisissez l'identifiant dans la colonne ID du serveur pour afficher la page de détails du serveur.

  4. Sous Utilisateurs, consultez la liste des utilisateurs.

Pour afficher ou modifier les informations de l'utilisateur

  1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

  2. Sélectionnez Serveurs dans le volet de navigation pour afficher la page Serveurs.

  3. Choisissez l'identifiant dans la colonne ID du serveur pour afficher la page de détails du serveur.

  4. Sous Utilisateurs, choisissez un nom d'utilisateur pour afficher la page de détails de l'utilisateur.

    Vous pouvez modifier les propriétés de l'utilisateur sur cette page en choisissant Modifier.

  5. Sur la page Détails des utilisateurs, choisissez Modifier à côté de Configuration utilisateur.

    Image montrant l'écran permettant de modifier la configuration d'un utilisateur

  6. Sur la page Modifier la configuration, pour Access, choisissez le IAM rôle que vous avez créé précédemment et qui donne accès à votre compartiment Amazon S3.

    Vous avez créé ce IAM rôle à l'aide de la procédure décrite dansCréation d'un IAM rôle et d'une politique. Ce IAM rôle inclut une IAM politique qui fournit l'accès à votre compartiment Amazon S3. Cela inclut également une relation de confiance avec le AWS Transfer Family service, définie dans une autre IAM politique.

  7. (Facultatif) Dans le champ Politique, sélectionnez l'une des options suivantes :

    • Aucun

    • Politique existante

    • Sélectionnez une politique IAM pour choisir une politique existante. Choisissez Afficher pour voir un JSON objet contenant les détails de la politique.

    Pour en savoir plus sur les règles de session, voirCréation d'un IAM rôle et d'une politique. Pour en savoir plus sur la création d'une politique de session, consultezCréation d'une politique de session pour un compartiment Amazon S3.

  8. Pour le répertoire personnel, choisissez le compartiment Amazon S3 dans lequel stocker les données à transférer AWS Transfer Family. Entrez le chemin d'accès au home répertoire dans lequel votre utilisateur atterrit lorsqu'il se connecte à l'aide de son client.

    Si vous laissez ce paramètre vide, le root répertoire de votre compartiment Amazon S3 est utilisé. Dans ce cas, assurez-vous que votre IAM rôle donne accès à ce root répertoire.

    Note

    Nous vous recommandons de choisir un chemin de répertoire contenant le nom d'utilisateur de l'utilisateur, afin d'utiliser efficacement une politique de session. La politique de session limite l'accès des utilisateurs dans le compartiment Amazon S3 au home répertoire de cet utilisateur.

  9. (Facultatif) Pour Restreint, cochez la case afin que vos utilisateurs ne puissent accéder à rien en dehors de ce dossier et ne puissent pas voir le nom du compartiment ou du dossier Amazon S3.

    Note

    Lorsque vous attribuez un répertoire personnel à l'utilisateur et que vous le limitez à ce répertoire personnel, cela devrait être suffisant pour verrouiller l'accès de l'utilisateur au dossier désigné. Utilisez une politique de session lorsque vous devez appliquer des contrôles supplémentaires.

  10. Choisissez Save pour enregistrer les changements.

Pour supprimer un utilisateur

  1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

  2. Sélectionnez Serveurs dans le volet de navigation pour afficher la page Serveurs.

  3. Choisissez l'identifiant dans la colonne ID du serveur pour afficher la page de détails du serveur.

  4. Sous Utilisateurs, choisissez un nom d'utilisateur pour afficher la page de détails de l'utilisateur.

  5. Sur la page des détails de l'utilisateur, choisissez Supprimer à droite du nom d'utilisateur.

  6. Dans la boîte de dialogue de confirmation qui s'affichedelete, entrez le mot, puis choisissez Supprimer pour confirmer que vous souhaitez supprimer l'utilisateur.

L'utilisateur est supprimé de la liste des utilisateurs.

Pour ajouter une clé SSH publique pour un utilisateur

  1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

  2. Dans le volet de navigation, choisissez Servers (Serveurs).

  3. Choisissez l'identifiant dans la colonne ID du serveur pour afficher la page de détails du serveur.

  4. Sous Utilisateurs, choisissez un nom d'utilisateur pour afficher la page de détails de l'utilisateur.

  5. Choisissez Ajouter une clé SSH publique pour ajouter une nouvelle clé SSH publique à un utilisateur.

    Note

    SSHles clés ne sont utilisées que par les serveurs activés pour le protocole de transfert de fichiers Secure Shell (SSH) (SFTP). Pour plus d'informations sur la génération d'une paire de SSH clés, consultezGénération de SSH clés pour les utilisateurs gérés par des services.

  6. Pour clé SSH publique, entrez la partie clé SSH publique de la paire de SSH clés.

    Votre clé est validée par le service avant que vous puissiez ajouter votre nouvel utilisateur. Le format de la SSH clé estssh-rsa string. Pour générer une paire de SSH clés, consultezGénération de SSH clés pour les utilisateurs gérés par des services.

  7. Sélectionnez Ajouter une clé.

Pour supprimer une clé SSH publique pour un utilisateur

  1. Ouvrez la AWS Transfer Family console à l'adresse https://console.aws.amazon.com/transfer/.

  2. Dans le volet de navigation, choisissez Servers (Serveurs).

  3. Choisissez l'identifiant dans la colonne ID du serveur pour afficher la page de détails du serveur.

  4. Sous Utilisateurs, choisissez un nom d'utilisateur pour afficher la page de détails de l'utilisateur.

  5. Pour supprimer une clé publique, cochez SSH la case correspondante et choisissez Supprimer.