本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 AWS Directory Service for Entra ID Domain Services 對於只需要 SFTP Transfer 且不想管理網域的客戶,有 Simple Active Directory。或者,想要在全受管服務中受益於 Active Directory 和高可用性的客戶可以使用 AWS Managed Microsoft AD。最後,對於想要利用現有 Active Directory 樹系進行 SFTP Transfer 的客戶,有 Active Directory Connector。 注意下列事項: + 若要根據 SFTP Transfer 需求利用現有的 Active Directory 樹系,您可以使用 [Active Directory Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)。 + 如果您想要 Active Directory 的優點和全受管服務的高可用性,您可以使用 AWS Directory Service for Microsoft Active Directory。如需詳細資訊,請參閱[使用 AWS Directory Service for Microsoft Active Directory](directory-services-users.md)。 本主題說明如何使用 Active Directory Connector 和 [Entra ID (先前稱為 Azure AD) Domain Services](https://azure.microsoft.com/en-us/services/active-directory-ds/) 來驗證具有 Entra ID 的 SFTP Transfer 使用者。 **Topics** + [開始使用 AWS Directory Service for Entra ID Domain Services 之前](#azure-prereq) + [步驟 1:新增 Entra ID 網域服務](#azure-add-adds) + [步驟 2:建立服務帳戶](#azure-create-service-acct) + [步驟 3:使用 AD Connector 設定 AWS 目錄](#azure-setup-directory) + [步驟 4:設定 AWS Transfer Family 伺服器](#azure-setup-transfer-server) + [步驟 5:授予群組存取權](#azure-grant-access) + [步驟 6:測試使用者](#azure-test) ## 開始使用 AWS Directory Service for Entra ID Domain Services 之前 **注意** AWS Transfer Family 預設限制為每個伺服器 100 個 Active Directory 群組。如果您的使用案例需要超過 100 個群組,請考慮使用自訂身分提供者解決方案,如[簡化 Active Directory 身分驗證與 的自訂身分提供者 AWS Transfer Family](https://aws.amazon.com/blogs/storage/simplify-active-directory-authentication-with-a-custom-identity-provider-for-aws-transfer-family/)所述。 對於 AWS,您需要下列項目: + 您使用 Transfer Family 伺服器的 AWS 區域中的虛擬私有雲端 (VPC) + VPC 中至少有兩個私有子網路 + VPC 必須具有網際網路連線 + 使用 Microsoft Entra site-to-site連線的客戶閘道和虛擬私有閘道 對於 Microsoft Entra,您需要下列項目: + Entra ID 和 Active Directory 網域服務 + Entra 資源群組 + Entra 虛擬網路 + Amazon VPC 與 Entra 資源群組之間的 VPN 連線 **注意** 這可以透過原生 IPSEC 通道或使用 VPN 設備。在本主題中,我們會在 Entra Virtual 網路閘道和本機網路閘道之間使用 IPSEC 通道。通道必須設定為允許 Entra Domain Service 端點與存放 AWS VPC 的子網路之間的流量。 + 使用 Microsoft Entra site-to-site連線的客戶閘道和虛擬私有閘道 下圖顯示開始之前所需的組態。 ![Entra/Azure AD 和 AWS Transfer Family 架構圖。透過網際網路連接至 Entra 虛擬網路的 AWS VPC,使用 AWS Directory Service 連接器連接至 Entra Domain Service。](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/azure-architecture.png) ## 步驟 1:新增 Entra ID 網域服務 根據預設,Entra ID 不支援網域聯結執行個體。若要執行網域聯結等動作,以及使用群組政策等工具,管理員必須啟用 Entra ID Domain Services。如果您尚未新增 Entra DS,或現有的實作未與您希望 SFTP Transfer 伺服器使用的網域建立關聯,則必須新增執行個體。 如需啟用 Entra ID Domain Services 的詳細資訊,請參閱[教學課程:建立和設定 Microsoft Entra Domain Services 受管網域](https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-getting-started)。 **注意** 當您啟用 Entra DS 時,請確定已針對您要連接 SFTP Transfer 伺服器的資源群組和 Entra 網域進行設定。 ![Entra 網域服務畫面顯示資源群組 bob.us 執行中。](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/azure-ad-add-instance.png) ## 步驟 2:建立服務帳戶 Entra 必須有一個服務帳戶,屬於 Entra DS 中的管理員群組。此帳戶會與 AWS Active Directory 連接器搭配使用。請確定此帳戶與 Entra DS 同步。 ![顯示使用者設定檔的 Entra 畫面。](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/azure-service-acct.png) **提示** 使用 SFTP 通訊協定的 Transfer Family 伺服器不支援 Entra ID 的多重驗證。Transfer Family 伺服器無法在使用者向 SFTP 進行身分驗證後提供 MFA 字符。嘗試連線之前,請務必停用 MFA。 ![附加多重要素驗證詳細資訊,顯示兩個使用者的 MFA 狀態為已停用。](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/azure-ad-mfa-disable.png) ## 步驟 3:使用 AD Connector 設定 AWS 目錄 設定 Entra DS 並在 AWS VPC 和 Entra Virtual 網路之間建立具有 IPSEC VPN 通道的服務帳戶之後,您可以從任何 AWS EC2 執行個體 ping Entra DS DNS IP 地址來測試連線。 驗證連線是否作用中後,您可以在下面繼續。 **使用 AD Connector 設定您的 AWS 目錄** 1. 開啟 [Directory Service](https://console.aws.amazon.com/directoryservicev2/) 主控台,然後選取**目錄**。 1. 選取**設定目錄**。 1. 針對目錄類型,選擇 **AD Connector**。 1. 選取目錄大小,選取**下一步**,然後選取您的 VPC 和子網路。 1. 選取**下一步**,然後填入欄位,如下所示: + **目錄 DNS 名稱**:輸入您用於 Entra DS 的網域名稱。 + **DNS IP 地址**:輸入您的 Entra DS IP 地址。 + **伺服器帳戶使用者名稱和密碼******:輸入您在*步驟 2:建立服務帳戶中所建立服務帳戶*的詳細資訊。 1. 完成畫面以建立目錄服務。 現在目錄狀態應為**作用中**,且已準備好與 SFTP Transfer 伺服器搭配使用。 ![Directory Services 畫面會視需要顯示一個狀態為作用中的目錄。](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/azure-connector-ready.png) ## 步驟 4:設定 AWS Transfer Family 伺服器 使用 SFTP 通訊協定和 **AWS Directory Service** 的身分提供者類型建立 Transfer Family 伺服器。從**目錄**下拉式清單中,選取您在*步驟 3:使用 AD Connector 設定 AWS 目錄中新增的目錄*。 **注意** 如果您在 Transfer Family 伺服器中使用 Microsoft AD 目錄,則無法刪除 AWS Directory Service 中的 Microsoft AD 目錄。您必須先刪除伺服器,然後才能刪除目錄。 ## 步驟 5:授予群組存取權 建立伺服器之後,您必須選擇目錄中的哪些群組應該有權透過已啟用的通訊協定使用 上傳和下載檔案 AWS Transfer Family。您可以透過建立 *存取*來執行此操作。 **注意** 使用者必須*直接*屬於您要授予存取權的群組。例如,假設 Bob 是使用者並屬於 groupA,且 groupA 本身包含在 groupB 中。 如果您授予對 groupA 的存取權,則會授予 Bob 存取權。 如果您將存取權授予 groupB (而不是 groupA),Bob 就無法存取。 若要授予存取權,您需要擷取群組的 SID。 使用下列 Windows PowerShell 命令擷取群組的 SID,將 {{YourGroupName}} 取代為群組的名稱。 ``` Get-ADGroup -Filter {samAccountName -like "{{YourGroupName}}*"} -Properties * | Select SamAccountName,ObjectSid ``` ![Windows PowerShell 顯示正在擷取的物件 SID。](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/azure-grant-access.png) **授予 群組的存取權** 1. 開啟 https://[https://console.aws.amazon.com/transfer/](https://console.aws.amazon.com/transfer/)。 1. 導覽至您的伺服器詳細資訊頁面,然後在**存取**區段中,選擇**新增存取**。 1. 輸入您從先前程序的輸出收到的 SID。 1. 針對**存取**,選擇群組 AWS Identity and Access Management 的角色。 1. 在**政策**區段中,選擇政策。預設值為 **None (無)**。 1. 針對**主目錄**,選擇對應至群組主目錄的 Amazon S3 儲存貯體。 1. 選擇**新增**以建立關聯。 Transfer 伺服器的詳細資訊看起來應該類似以下內容: ![Transfer Family 伺服器詳細資訊畫面的一部分,顯示身分提供者的目錄 ID 範例。](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/azure-assoc-1.png) ![Transfer Family 伺服器詳細資訊畫面的一部分,在畫面的存取部分中顯示作用中目錄的外部 ID。](http://docs.aws.amazon.com/zh_tw/transfer/latest/userguide/images/azure-assoc-2.png) ## 步驟 6:測試使用者 您可以測試 ([測試使用者](directory-services-users.md#directory-services-test-user)) 使用者是否可以存取您伺服器的 AWS Managed Microsoft AD 目錄。使用者必須剛好位於**端點組態**頁面的**存取**區段中列出的一個群組 (外部 ID)。如果使用者不在群組中,或位於多個單一群組中,則不會授予該使用者存取權。