本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用自訂身分提供者
若要驗證您的使用者,您可以將現有的身分提供者與 搭配使用 AWS Transfer Family。您可以使用 函數整合身分提供者,該 AWS Lambda 函數會驗證並授權您的使用者存取 Amazon S3 或 Amazon Elastic File System (Amazon EFS)。如需詳細資訊,請參閱 使用 AWS Lambda 整合您的身分提供者。您也可以存取 CloudWatch 圖表以取得指標,例如在 AWS Transfer Family 管理主控台中傳輸的檔案數和位元組數,為您提供單一面板,以使用集中式儀表板監控檔案傳輸。
或者,您可以使用單一 Amazon API Gateway 方法提供RESTful介面。Transfer Family 會呼叫此方法,以連線至您的身分提供者,該提供者會驗證並授權您的使用者存取 Amazon S3 或 Amazon EFS。如果您需要 RESTfulAPI整合身分提供者,或如果您想要使用 AWS WAF 來利用其功能進行地理封鎖或速率限制請求,請使用此選項。如需詳細資訊,請參閱 使用 Amazon API Gateway 整合您的身分提供者。
無論哪種情況,您都可以使用AWS Transfer Family 主控台
注意
我們有一個您可以參加的研討會,您可以在其中建置檔案傳輸解決方案。此解決方案 AWS Transfer Family 會利用 受管 SFTP/FTPS 端點和 Amazon Cognito 和 DynamoDB 進行使用者管理。您可以在這裡檢視此研討會的詳細資訊
AWS Transfer Family 提供下列選項,以使用自訂身分提供者。
-
使用 AWS Lambda 來連接您的身分提供者 – 您可以使用現有的身分提供者,並由 Lambda 函數提供支援。您提供 Lambda 函數的名稱。如需詳細資訊,請參閱使用 AWS Lambda 整合您的身分提供者。
-
使用 Amazon API Gateway 來連接您的身分提供者 – 您可以建立由 Lambda 函數支援的API閘道方法,以用作身分提供者。您提供 Amazon API Gateway URL和調用角色。如需詳細資訊,請參閱使用 Amazon API Gateway 整合您的身分提供者。
對於任一選項,您也可以指定如何驗證。
-
密碼或金鑰 – 使用者可以使用其密碼或金鑰進行身分驗證。這是預設值。
-
密碼 ONLY – 使用者必須提供密碼才能連線。
-
金鑰 ONLY – 使用者必須提供其私有金鑰才能連線。
-
密碼AND金鑰 – 使用者必須提供其私有金鑰和密碼才能連線。伺服器會先檢查金鑰,如果金鑰有效,系統會提示輸入密碼。如果提供的私有金鑰與儲存的公有金鑰不相符,身分驗證會失敗。
使用多種身分驗證方法與您的自訂身分提供者進行身分驗證
使用多種身分驗證方法時,Transfer Family 伺服器會控制AND邏輯。Transfer Family 會將此視為兩個單獨的請求給您的自訂身分提供者:不過,它們會合併其效果。
這兩個請求都必須成功傳回正確的回應,才能完成身分驗證。Transfer Family 需要兩個回應才能完成,這表示它們包含所有必要的元素 (角色、主目錄、政策和POSIX設定檔,如果您使用 Amazon EFS進行儲存)。Transfer Family 也要求密碼回應不得包含公有金鑰。
公有金鑰請求必須與身分提供者有單獨的回應。使用 Password OR Key 或 Password AND Key 時,該行為保持不變。
SSH/SFTP 通訊協定會先使用公有金鑰身分驗證來挑戰軟體用戶端,然後請求密碼身分驗證。在允許使用者完成身分驗證之前,此操作要求兩者都成功。
