使用邏輯目錄來簡化 Transfer Family 目錄結構

若要簡化 AWS Transfer Family 伺服器目錄結構，您可以使用邏輯目錄。使用邏輯目錄，您可以建構虛擬目錄結構，該結構使用使用者易用的名稱，當使用者連線到您的 Amazon S3 儲存貯體或 Amazon EFS 檔案系統時，即可瀏覽這些名稱。使用邏輯目錄時，您可以避免向最終使用者揭露絕對目錄路徑、Amazon S3 儲存貯體名稱和EFS檔案系統名稱。

您可以使用邏輯目錄，透過執行所謂chroot的操作，將使用者的根目錄設定為儲存階層中所需的位置。在此模式中，使用者無法導覽至您為其設定的主目錄或根目錄以外的目錄。

例如，雖然 Amazon S3 使用者的範圍已縮減為僅存取 /mybucket/home/${transfer:UserName}，但有些用戶端允許使用者將資料夾向上移動至 /mybucket/home。在此情況下，使用者只有在登出並再次登入 Transfer Family 伺服器後，才會回到其預期的主目錄。執行chroot操作可以防止發生這種情況。

您可以在儲存貯體和字首之間建立自己的目錄結構。如果您有工作流程預期無法複寫到儲存貯體字首的特定目錄結構，此功能非常有用。您也可以連結至 Amazon S3 中的多個非連續位置，類似於在 Linux 檔案系統中建立符號連結，其中目錄路徑參考檔案系統中的不同位置。

使用邏輯目錄的規則

在建置邏輯目錄映射之前，您應該了解下列規則：

實作邏輯目錄和 chroot

若要使用邏輯目錄和chroot功能，您必須執行下列動作：

開啟每個使用者的邏輯目錄。建立或更新使用者LOGICAL時，請將 HomeDirectoryType 參數設定為 ，藉此執行此操作。

"HomeDirectoryType": "LOGICAL"

chroot

針對 chroot，建立包含每個使用者的單一 Entry和 Target 配對的目錄結構。根資料夾是 Entry 點，而 Target是儲存貯體或檔案系統中要映射的位置。

您可以使用如上一個範例的絕對路徑，也可以使用動態取代搭配 的使用者名稱${transfer:UserName}，如下列範例所示。

[{"Entry": "/", "Target":
"/mybucket/${transfer:UserName}"}]

在上述範例中，使用者會鎖定到其根目錄，並且無法在階層中向上移動。

虛擬目錄結構

對於虛擬目錄結構，只要使用者IAM的角色映射具有存取目標的許可，您就可以使用 S3 儲存貯體或EFS檔案系統中任何位置的目標建立多個EntryTarget配對，包括跨多個儲存貯體或檔案系統。

在下列虛擬結構範例中，當使用者登入 時 AWS SFTP，他們位於具有 /pics、、 /doc/reporting和 子目錄的根目錄中/anotherpath/subpath/financials。

[
{"Entry": "/pics", "Target": "/bucket1/pics"}, 
{"Entry": "/doc", "Target": "/bucket1/anotherpath/docs"},
{"Entry": "/reporting", "Target": "/reportingbucket/Q1"},
{"Entry": "/anotherpath/subpath/financials", "Target": "/reportingbucket/financials"}]

{
   "Entry": "/pics", 
   "Target": "/mybucket/pics"
}, 
{
   "Entry": "/doc", 
   "Target": "/mybucket/mydocs"
}, 
{
   "Entry": "/temp", 
   "Target": "/mybucket"
}

sftp> pwd
Remote working directory: /
sftp> put file
Uploading file to /file
remote open("/file"): No such file or directory

如需chroot為使用者設定邏輯目錄和 的詳細資訊，包括您可以下載和使用的 AWS CloudFormation 範本，請參閱 AWS 儲存部落格中的使用 chroot 和邏輯目錄簡化您的 AWS SFTP結構。

設定邏輯目錄範例

在此範例中，我們會建立使用者並指派兩個邏輯目錄。下列命令會使用邏輯目錄 pics和 建立新的使用者 （適用於現有的 Transfer Family 伺服器）doc。

aws transfer create-user --user-name marymajor-logical --server-id s-11112222333344445 --role arn:aws:iam::1234abcd5678:role/marymajor-role --home-directory-type LOGICAL \
 --home-directory-mappings "[{\"Entry\":\"/pics\", \"Target\":\"/DOC-EXAMPLE-BUCKET1/pics\"}, {\"Entry\":\"/doc\", \"Target\":\"/DOC-EXAMPLE-BUCKET2/test/mydocs\"}]" \
 --ssh-public-key-body file://~/.ssh/id_rsa.pub

如果 marymajor 是現有使用者，且其主目錄類型為 PATH，您可以使用與上一個相似LOGICAL的命令將其變更為 。

aws transfer update-user --user-name marymajor-logical \
 --server-id s-11112222333344445 --role arn:aws:iam::1234abcd5678:role/marymajor-role \
 --home-directory-type LOGICAL --home-directory-mappings "[{\"Entry\":\"/pics\", \"Target\":\"/DOC-EXAMPLE-BUCKET1/pics\"}, \
 {\"Entry\":\"/doc\", \"Target\":\"/DOC-EXAMPLE-BUCKET2/test/mydocs\"}]"

注意下列事項：

設定 Amazon 的邏輯目錄 EFS

如果您的 Transfer Family 伺服器使用 Amazon EFS，則必須使用讀取和寫入存取權來建立使用者的主目錄，使用者才能在其邏輯主目錄中工作。使用者無法自行建立此目錄，因為他們在邏輯主目錄mkdir上缺少 的許可。

如果使用者的主目錄不存在，而且他們執行ls命令，系統會回應如下：

sftp> ls
remote readdir ("/"): No such file or directory

具有父目錄管理存取權的使用者需要建立使用者的邏輯主目錄。

自訂 AWS Lambda 回應

您可以使用邏輯目錄搭配連線至自訂身分提供者的 Lambda 函數。若要這麼做，請在 Lambda 函數中指定 HomeDirectoryType為 LOGICAL，並新增 HomeDirectoryDetails 參數的 Entry 和 Target值。例如：

HomeDirectoryType: "LOGICAL"
HomeDirectoryDetails: "[{\"Entry\": \"/\", \"Target\": \"/DOC-EXAMPLE-BUCKET/theRealFolder"}]"

下列程式碼是自訂 Lambda 身分驗證呼叫成功回應的範例。

aws transfer test-identity-provider --server-id s-1234567890abcdef0 --user-name myuser
{
    "Url": "https://a1b2c3d4e5.execute-api.us-east-2.amazonaws.com/prod/servers/s-1234567890abcdef0/users/myuser/config", 
    "Message": "", 
    "Response": "{\"Role\": \"arn:aws:iam::123456789012:role/bob-usa-role\",\"HomeDirectoryType\": \"LOGICAL\",\"HomeDirectoryDetails\": \"[{\\\"Entry\\\":\\\"/myhome\\\",\\\"Target\\\":\\\"/DOC-EXAMPLE-BUCKET/theRealFolder\\\"}]\",\"PublicKeys\": \"[ssh-rsa myrsapubkey]\"}", 
    "StatusCode": 200
}